IoT-palveluissa kerätyn datan hyödyntäminen ja oikeudelliset ongelmat
Viime vuosina kotitalouksiin on yhä enemmän otettu käyttöön IoT-laitteita, kuten älykotilaitteita. Vaikka ne ovatkin erittäin käteviä, niiden internet-yhteyden vuoksi ne ovat alttiita tietovuodoille. IoT-liiketoimintaa aloittaessa on tärkeää huolehtia paitsi laitteiden turvallisuudesta kodinkoneina, myös niiden kyvystä kestää kyberhyökkäyksiä verkon turvallisuuden hallinnassa.
Kotimaassa katsoen henkilötietojen vuotojen ongelma on jo vakava. Tokyo Shoko Research on raportoinut, että vuonna 2021 pörssiyhtiöiden henkilötietojen vuodot ja katoamistapaukset saavuttivat ennätykselliset 137 tapausta, jotka koskivat 5,74 miljoonaa ihmistä.
Tässä artikkelissa selitämme, mitä lakimääräyksiä tulee tietää IoT-palveluiden keräämien tietojen turvallisen hyödyntämisen varmistamiseksi.
IoT-liiketoimintaa koskevat säännökset
IoT tarkoittaa “Internet of Things” -termiä, joka suoraan käännettynä tarkoittaa “esineiden internetiä”. Käytännössä tämä viittaa järjestelmiin ja palveluihin, jotka yhdistävät arkipäivässä käyttämämme esineet internetiin, mahdollistaen niiden etäohjauksen, automaattisen tunnistamisen ja automaattisen ohjaustoiminnon, mikä tekee elämästämme entistä mukavampaa.
Kodinkoneiden kaltaisten laitteiden kohdalla fyysiseen käyttöön liittyvät vaatimukset ovat tiukkoja, koska ne voivat vaikuttaa suoraan käyttäjän terveyteen.
Ohjelmistopuolella taas viestintäverkkoja säätelevät Japanin radiolaki ja Japanin telekommunikaatiopalvelulaki edellyttävät liiketoiminnan harjoittamiseen liittyviä rekisteröintejä ja ilmoituksia.
IoT:n laitteisto- ja ohjelmistopuolen sääntelyä käsitellään yksityiskohtaisesti tässä artikkelissa, joten suosittelemme tutustumaan siihen lisätietojen saamiseksi.
Liittyvä artikkeli: IoT-liiketoiminnassa huomioitavat laitteisto- ja ohjelmistopuolen säännökset[ja]
IoT-liiketoiminnassa perinteiset laitteet yhdistetään internetiin ja kerättyä tietoa hyödynnetään. Tämän vuoksi on tärkeää ei ainoastaan noudattaa laitteisto- ja ohjelmistopuolen sääntelyä, vaan myös pohtia, miten kerättyä tietoa käsitellään, mikä on merkittävä kysymys itsessään.
IoT-laitteiden keräämien tietojen hyödyntämiseen liittyvät oikeudelliset ongelmat
IoT-laitteet voivat kerätä ja hyödyntää käyttäjien elämäntietoja tavalla, jota ei ole alun perin tarkoitettu.
Edes käyttäjän suostumus henkilötietojen hyödyntämiseen rekisteröitymisen yhteydessä ei poista ongelmaa, sillä IoT:n luonteen vuoksi laitteet keräävät jatkuvasti käyttäytymistietoja, mikä johtaa seuraaviin ongelmiin:
- Henkilötietojen suoja
- Yksityisyyden suoja
- Kyberhyökkäysten torjunta
Tässä osiossa käsittelemme näitä IoT-laitteiden sisältämiä oikeudellisia ongelmia.
IoT ja henkilötiedot
IoT-laitteiden keräämä data ei aina ole suojattavaa henkilötietoa yksinään. Kun käyttäjärekisteröinti ja elämäntiedot yhdistetään siten, että yksilö voidaan tunnistaa, tulee tieto Japanin henkilötietolain[ja] suojan piiriin.
Tästä syystä älykotipalveluita tarjoavat yritykset, jotka yhdistävät elämäntiedot ja käyttäjätiedot, kantavat Japanin henkilötietolain 2 artiklan 5 kohdan mukaisina toimijoina seuraavia velvollisuuksia:
<Japanin henkilötietolain 19–26 artiklan velvollisuudet>
- Tietojen tarkkuuden varmistaminen ja poistovelvollisuus
- Turvallisuuden hallintatoimenpiteiden velvollisuus
- Työntekijöiden valvontavelvollisuus
- Alitoimittajien valvontavelvollisuus
- Kolmansille osapuolille luovuttamisen rajoitukset ja kirjanpitovelvollisuus
Henkilötietoja käsiteltäessä on tärkeää määritellä käyttötarkoitus mahdollisimman tarkasti ja ilmoittaa tai julkaista tämä tarkoitus henkilölle. Kun henkilötietojen käyttötarve päättyy, tulee tiedot käsitellä nopeasti. Lisäksi tietovuotojen estämiseksi on toteutettava huolellisia toimenpiteitä ja varmistettava, että myös työntekijät ja alihankkijat noudattavat näitä käytäntöjä tiukasti.
Periaatteessa hankittuja henkilötietoja ei saa luovuttaa kolmansille osapuolille. Palvelun parantamiseksi voi kuitenkin joskus olla tarpeen luovuttaa tietoja kolmansille osapuolille. Tällöin on varmistettava, että alkuperäisiä henkilötietoja ei voi palauttaa anonymisoinnin avulla.
Lisäksi huhtikuussa 2022 (Reiwa 4) voimaan astuneessa henkilötietojen suojaa koskevan lain uudistuksessa määriteltiin uusia säännöksiä muun muassa henkilön oikeuksien vahvistamisesta, yritysten vastuun lisäämisestä ja kolmansien osapuolten tietojen luovuttamisesta ulkomaisille yrityksille.
Tämän uudistuksen myötä henkilötietojen suojaa koskeva komitea painotti seuraavia viittä näkökulmaa:
- Yksilön oikeuksien ja etujen suojelu
- Suojelun ja käytön välinen tasapaino
- Kansainvälisten suuntausten kanssa sopusointu
- Ulkomaisiin yrityksiin liittyvien riskien muutoksiin vastaaminen
- AI:n ja big datan aikakauden haasteisiin vastaaminen
Viite: Henkilötietojen suojaa koskevan lain uudistuksen tarkistuspisteet[ja]
IoT ja yksityisyyden suoja
Vaikka kerättävät elämäntiedot eivät olisi henkilötietoja, on elämäntietojen käsittelyssä oltava varovainen, sillä ne voivat johtaa yksilön toiminnan ymmärtämiseen. Esimerkiksi sähkön ja kaasun käyttöaikojen kaltaiset tiedot voivat päätyä vääriin käsiin ja mahdollistaa rikollisen toiminnan, kuten murtovarkaudet.
Toisaalta, jotta voimme parantaa älykotipalveluiden laatua, on välttämätöntä ymmärtää ja hyödyntää henkilön toimintatietoja. Yksityisyyden suojaa kunnioittaen ja henkilötietoja hyödyntäen palvelun parantamiseksi on tarpeen noudattaa henkilötietojen suojaa koskevaa Japanin lainsäädäntöä, vaikka tiedot eivät suoraan olisikaan henkilötietoja.
IoT ja kyberturvallisuus
IoT-liiketoiminta perustuu henkilötietojen sekä yksityisyyden suojan kannalta arkaluonteisten tietojen keräämiseen, hallintaan ja hyödyntämiseen. Tämä on alalle ominaista ja edistää sen kehitystä. Koska tiedot kerätään ja hallitaan internetin kautta, on kyseessä olevien laitteiden kyberturvallisuustoimenpiteet välttämättömiä.
Alla käsittelemme etukäteen toteutettavia kyberturvallisuustoimenpiteitä sekä vastuita, joita voi syntyä kyberhyökkäyksen kohteeksi joutuessa.
Laitteiden valmistajien vastuu: Tuotevastuulaki
Mikäli IoT-laitteet joutuvat kyberhyökkäyksen kohteeksi, laitteiden valmistajat voivat joutua tuotevastuulain mukaisen vahingonkorvausvaatimuksen kohteeksi.
Tuotevastuulain mukaiset vastuun syntymisen edellytykset ovat seuraavat:
- Laitteessa oli puute.
- Puutteen vuoksi toisen henkilön elämä, terveys tai omaisuus vahingoittui.
- Vahinko on tapahtunut.
Kohdassa 1 mainittu ‘puute’ tarkoittaa tilannetta, jossa laitteesta puuttuu ‘tavallisesti odotettavissa oleva turvallisuus’, ja se voidaan jakaa valmistusvirheisiin, suunnitteluvirheisiin sekä ohjeistus- ja varoitusvirheisiin.
Todellisessa kyberhyökkäystapauksessa valmistajan vastuun määräytyminen riippuu seuraavista seikoista:
- Täyttikö laite toimitushetkellä odotetut tekniset standardit?
- Noudattiko se julkisia uusimpia ohjeistuksia tai alan omia standardeja?
Laitteiden valmistajat voivat välttää vastuun, jos he pystyvät todistamaan, etteivät he voineet havaita puutetta. Kuitenkin, heidän on todistettava, ettei puutetta voitu havaita edes toimitushetken korkeimmalla teknisellä tasolla, mikä käytännössä tarkoittaa, että vastuusta vapautumisen todennäköisyys on alhainen.
Verkkojärjestelmänvalvojan vastuu: Siviilioikeus
Kun verkkojärjestelmä kohdistuu kyberhyökkäykseen ja tietovuotoja tapahtuu, vastuu ei välttämättä ole tuotevastuulain piirissä, vaan siviilioikeuden mukaisesti verkkojärjestelmänvalvoja voi joutua vastaamaan vahingonkorvausvaatimuksiin seuraavista syistä:
- Verkkojärjestelmänvalvojan ja käyttäjän välisen sopimuksen rikkominen
- Verkkojärjestelmänvalvojan turvatoimien laiminlyönti, mikä johtaa sopimusvelvoitteen rikkomiseen
- Verkkojärjestelmänvalvojan huolimattomuudesta johtuva laiton teko (Siviilioikeus 709 artikla)
Kaikissa tapauksissa keskeiseksi kysymykseksi nousee, onko verkkojärjestelmänvalvoja laiminlyönyt asianmukaiset turvatoimet.
Lisäksi on olemassa oikeustapauksia, jotka osoittavat, että “asianmukaiset turvatoimet” eivät tarkoita ainoastaan sopimushetkellä sovittuja toimia, vaan myös kyberhyökkäyksen aikaan voimassa olevien ohjeistusten mukaisia toimia (Tokion alioikeuden päätös Heisei 26 (2014).1.23).
Tämän vuoksi verkkojärjestelmänvalvojan on jatkuvasti pysyttävä ajan tasalla tärkeistä turvallisuusohjeistuksista ja tarvittaessa päivitettävä ohjelmistojaan.
Nykyiset tietoturvaohjeistukset:
- IoT-turvallisuusohjeistus versio 1.0[ja] | Japanin talous-, kauppa- ja teollisuusministeriö
- Yleinen kehys turvallisten IoT-järjestelmien kehittämiseksi[ja] | NISC
- Käsikirja turvallisuussuunnittelusta IoT-kehityksessä | IPA
Liittyvä artikkeli: Kyberhyökkäyksistä aiheutuneet vahingot. Mikä on järjestelmätoimittajan vahingonkorvausvastuu? Sopimusesimerkkien selitys[ja]
Yhteenveto: IoT-liiketoiminta vaatii erikoistunutta oikeudellista ymmärrystä
IoT-liiketoiminnan luonne on sellainen, että se kerää ja hyödyntää käyttäjien henkilötietoja ja yksityisyyteen liittyviä tietoja internetin välityksellä, mikä edistää sen kehitystä.
Tämän vuoksi yritysten on kannettava vastuuta paitsi kodinkoneiden valmistajana myös henkilötietoja käsittelevänä toimijana, ja heidän on kiinnitettävä huomiota henkilötietojen suojaa koskevan Japanilaisen lainsäädännön ja tietoturvaohjeistusten päivityksiin.
Jos tuotteessa ilmenee vika, se voi vaikuttaa käyttäjän terveyteen, mutta tietovuodon seurauksena vahinko voi myös levitä laajalle ja koskettaa lukuisia ihmisiä.
Kun aloitat IoT-liiketoiminnan, on tärkeää konsultoida asianajajaa, jolla on laaja-alainen asiantuntemus aina tuotevastuulaista henkilötietojen suojalakiin ja uusimpiin tietoturvaohjeistuksiin.
Toimenpiteemme esittely
Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten kysymysten, rikkaan kokemuksen omaava lakitoimisto. IoT-liiketoiminta on viime aikoina herättänyt paljon huomiota, ja oikeudellisten tarkastusten tarve on kasvanut entisestään. Tarjoamme ratkaisuja IoT-liiketoiminnan haasteisiin.
Monolith Lakitoimiston palvelualueet: IT- ja kasvuyritysten yritysoikeudelliset palvelut[ja]