Японська Комісія із захисту персональних даних (PPC) забезпечує виконання Закону про захист персональних даних (APPI) з поправками 2022 року, які суттєво розширили захист: введені нові положення щодо псевдонімізованих даних, обмеження на транскордонну передачу та управління навчальними даними для ШІ. У 2024 році PPC прийняла 45 рішень про застосування санкцій і опублікувала першу спеціальну рекомендацію щодо конфіденційності ШІ для Японії.
Поправки APPI 2022: що змінилося
Поправки 2022 року до APPI зобов'язують 2,4 мільйони японських підприємств оновити політику конфіденційності та впровадити нові процедури обробки:
Псевдонімізована інформація (仮名加工情報): Нова категорія — персональні дані, оброблені таким чином, щоб видалити ідентифікуючі ознаки, але де повторна ідентифікація теоретично можлива за допомогою окремого ключа. Псевдонімізовану інформацію можна поширювати всередині компанії без тих самих вимог щодо згоди, що стосуються персональних даних, але передавати третім сторонам її не можна. Це створює специфічну для Японії проміжну категорію між персональними та анонімізованими даними.
Анонімізована інформація (匿名加工情報): Повинна бути оброблена так, щоб повторна ідентифікація була технічно неможливою — що підтверджується кваліфікованою третьою стороною. Японський стандарт анонімізації є суворішим за GDPR в одному ключовому аспекті: верифікація третьою стороною є обов'язковою, а не добровільною.
Транскордонна передача: Поправки 2022 року посилили обмеження на передачу, вимагаючи, щоб передача до третіх країн забезпечувала рівень захисту «еквівалентний» японським стандартам. PPC веде перелік схвалених країн. ЄС має статус адекватності з Японією у рамках APPI.
Навчальні дані для ШІ: У 2024 році PPC видала рекомендації, що прямо стосуються навчальних наборів даних ШІ. Ключові вимоги:
- Персональні дані, що використовуються для навчання ШІ, повинні бути або справді анонімізованими (відповідно до суворого японського стандарту з верифікацією третьою стороною), або оброблятися на підставі конкретної правової підстави (зазвичай згоди)
- «Виняток для статистичної обробки» в APPI застосовується до навчання ШІ лише тоді, коли отримана модель не може бути використана для ідентифікації осіб за виходами
- Компанії, що розробляють великі мовні моделі на основі японських персональних даних, зібраних з веб-сайтів, повинні довести законну підставу для збору
«Мій номер»: японський національний ідентифікатор
Японський «Мій номер» (マイナンバー) — офіційно Індивідуальний номер (個人番号) — це 12-значний національний ідентифікаційний номер, що видається всім жителям Японії, включаючи іноземних громадян. Присвоюється з 2016 року 1,36 мільярда японських жителів, «Мій номер» використовується для податкового адміністрування, соціального забезпечення та реагування на надзвичайні ситуації.
Технічна структура: «Мій номер» використовує алгоритм Верхуффа для розрахунку контрольної цифри — ту саму складну теоретико-групову схему виявлення помилок, що й Aadhaar в Індії. Цей алгоритм значно складніший у реалізації, ніж алгоритм Луна (який використовується для шведського personnummer, канадського SIN) та алгоритми на основі залишків від ділення, що застосовуються більшістю європейських національних ідентифікаторів.
Труднощі виявлення:
- Загальне пошукове виявлення 12-значних чисел породжує масу хибних спрацьовувань в японських документах (дати, поштові індекси у поєднанні з номерами телефонів, номери рахунків)
- Перевірка за алгоритмом Верхуффа потребує повної реалізації таблиць групових операцій — а не простого модульного арифметичного розрахунку
- «Мій номер» може супроводжуватися японськими ієрогліфами поряд із цифрами у деяких документах
Технічна оцінка PPC 2024 року виявила, що 63% використовуваних загальних інструментів обробки природної мови не виявляють «Мій номер» коректно в японських документах.
Обробка японської мови: виклик писемності
Японський текст одночасно використовує три системи письма — хіраґану, катакану та кандзі (китайські ієрогліфи) — плюс латинський алфавіт (ромадзі) для деяких контекстів. Імена можуть зустрічатися в будь-якій комбінації цих систем, і одне й те саме ім'я може по-різному виглядати в різних контекстах.
Специфічні труднощі розпізнавання сутностей у японській мові:
- Розпізнавання імен потребує японських мовних моделей (spaCy ja_core_news з японською токенізацією)
- У японській мові немає пробілів між словами — токенізація сама по собі є окремим кроком обробки, що потребує японських токенізаторів
- Особисті імена зазвичай записуються кандзі з фуріґаною (фонетичним позначенням хіраґаною/катаканою) — інструменти повинні виявляти як запис кандзі, так і фонетичний варіант
- Японські назви організацій (会社名, 株式会社) вимагають специфічних японських шаблонів розпізнавання
Інші японські ідентифікатори
Номер водійського посвідчення: 12-значний формат із префіксом коду префектури. Коди префектур стандартизовані (Токіо = 10, Осака = 62 тощо), що дозволяє перевіряти географічний компонент.
Японський паспорт: Стандартний формат ICAO з японськими конвенціями видачі.
Свідоцтво медичного страхування (健康保険証): Формат символу страховика (記号) + номер, із залежними від видавця варіаціями формату в різних системах медичного страхування Японії.
Картка резидента (在留カード): Формат для іноземних резидентів — 2 букви + 8 цифр + 2 букви, з верифікацією відповідно до вимог Міністерства юстиції.
Статус передачі даних між Японією та ЄС
Японія та ЄС мають взаємні рішення про адекватність — персональні дані передаються між ЄС та Японією без додаткових механізмів передачі. Ця двостороння домовленість (діє з 2019 року) робить Японію однією з небагатьох неєвропейських країн із повним статусом адекватності ЄС.
Взаємна адекватність охоплює стандартні бізнес-персональні дані. Окремі категорії — конфіденційні медичні дані, кримінальні записи — потребують додаткових гарантій навіть у рамках угоди про адекватність.
Для організацій, що обробляють японські персональні дані: виявлення «Мого номера» з перевіркою за алгоритмом Верхуффа є найскладнішою технічною вимогою, за нею слідує підтримка розпізнавання сутностей японською мовою за допомогою моделей, навчених на текстах японської писемності. Двомовна обробка японської/англійської мов дедалі більше потрібна міжнародним організаціям із японськими підрозділами.
Джерела: