suomi English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fi/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Henkilötietojen suojalain "pilvipalvelupoikkeus" – Selitys pilvipalveluiden tarjoajien saamien hallinnollisten ohjeiden todellisista esimerkeistä

Henkilötietojen suojalain "pilvipalvelupoikkeus" – Selitys pilvipalveluiden tarjoajien saamien hallinnollisten ohjeiden todellisista esimerkeistä

IT

Henkilötietojen suojalain

Henkilötietojen käsittelijät ovat Japanin henkilötietojen suojalain alaisia ja heidän tietojensa käsittelyyn sovelletaan monenlaisia säännöksiä. Meidän henkilötietomme ovat syvästi yhteydessä yksityisyyteen ja sisältävät tärkeitä tietoja, kuten fyysisiä ominaisuuksia ja omaisuuteen liittyviä seikkoja, joten on luonnollista, että niiden suojelemiseksi on asetettu tiukat säännöt.

Kuitenkin tässä laissa on myös joitakin poikkeuksia. Yksi näistä on niin kutsuttu “pilvipalvelupoikkeus”.

Mitä “pilvipalvelupoikkeus” sitten tarkoittaa? Tässä artikkelissa selitämme ymmärrettävästi “pilvipalvelupoikkeuden” yleiskatsauksen ja sen soveltamisedellytykset, käyttäen esimerkkinä MK Systemin tapausta, joka sai hallinnollista ohjausta Reiwa 6 -vuonna (2024).

Henkilötietojen luovuttamisen periaatteet ja poikkeukset Japanissa

Henkilötietojen luovuttamisen periaatteet ja poikkeukset

Aluksi on tärkeää tarkastella Japanin henkilötietojen suojalain mukaisia periaatteita ja poikkeuksia, jotka koskevat henkilötietojen luovuttamista kolmansille osapuolille.

Periaatteet kolmansille osapuolille henkilötietoja luovutettaessa Japanin henkilötietolain mukaan

Kun henkilötietojen käsittelijä käyttää pilvipalveluita, katsotaan, että hän on “ulkoistanut henkilötietojen käsittelyn kokonaan tai osittain” (Henkilötietolaki, 27. pykälän 5. momentin 1. kohta), ja periaatteena on, että hänen on suoritettava tarpeellista ja asianmukaista valvontaa pilvipalvelun tarjoajaa kohtaan Japanin henkilötietolain 25. pykälän mukaisesti.

Mikä on pilvipalveluiden poikkeus?

Tämä poikkeus tunnetaan nimellä “pilvipalveluiden poikkeus”.

“Pilvipalveluiden tarjoaja” tarkoittaa tässä yhteydessä yrityksiä, jotka pääasiassa tarjoavat IT-infrastruktuuria, kuten tallennustilaa ja palvelimia (IaaS/PaaS), ja jotka vastaanottavat, tallentavat ja käsittelevät muiden yritysten tietoja internetin välityksellä. Seuraavat yritykset ovat esimerkkejä tällaisista palveluntarjoajista:

  • Amazon Web Services (AWS): Yhdysvaltalaisen Amazonin tarjoama palvelu, jota monet japanilaiset yritykset käyttävät.
  • Microsoft Azure: Microsoftin tarjoama pilvipalvelualusta, jolla on useita käyttötapauksia julkishallinnossa.
  • Google Cloud Platform (GCP): Googlen tarjoama palvelu, jolla on vahvuuksia tekoälyssä ja suurten tietomäärien käsittelyssä.

Pilvipalveluiden poikkeus tulee kyseeseen, kun SaaS (Software as a Service) -mallin mukaisesti toimivat yritykset, jotka kehittävät järjestelmiä pilvipalveluiden tarjoajien (IaaS tai PaaS) infrastruktuurilla ja tarjoavat niitä asiakkailleen, käsittelevät henkilötietoja.

Henkilötietojen suojasta vastaavan komitean “Henkilötietojen suojaa koskevan lain ohjeistuksen” Q&A-osiossa pilvipalveluiden tarjoajista sanotaan seuraavaa kohdassa 7-53:

(Kun ei katsota kolmanneksi osapuoleksi) K7-53: Kun henkilötietojen käsittelijä käyttää ulkopuolista palveluntarjoajaa, kuten pilvipalvelusopimuksessa, sähköisten tietojen, jotka sisältävät henkilötietoja, käsittelyyn liittyvän tietojärjestelmän osalta, onko tarpeen saada “henkilön suostumus” (lain 27 artiklan 1 momentti) kolmannen osapuolen tarjoamiseksi, vai onko kyse “henkilötietojen käsittelyn kokonaan tai osittain ulkoistamisesta” (lain 27 artiklan 5 momentin 1 kohta), jolloin pilvipalveluntarjoajaa tulisi valvoa lain 25 artiklan mukaisesti?

V7-53: Pilvipalveluissa on monenlaisia muotoja, mutta pilvipalvelun käyttö, joka edellyttää henkilön suostumusta kolmannen osapuolen tarjoamiseen (lain 27 artiklan 1 momentti) tai ulkoistamiseen (lain 27 artiklan 5 momentin 1 kohta), ei riipu siitä, sisältävätkö tallennetut sähköiset tiedot henkilötietoja, vaan siitä, käsitteleekö pilvipalvelun tarjoaja henkilötietoja. Jos pilvipalvelun tarjoaja ei käsittele kyseisiä henkilötietoja, henkilötietojen käsittelijän ei tarvitse saada henkilön suostumusta, koska henkilötietoja ei ole tarjottu. Lisäksi edellä mainitussa tapauksessa, koska henkilötietoja ei ole tarjottu, se ei myöskään kuulu “henkilötietojen käsittelyn kokonaan tai osittain ulkoistamiseen, joka edellyttää tarjoamista…” (lain 27 artiklan 5 momentin 1 kohta), eikä pilvipalveluntarjoajaa tarvitse valvoa lain 25 artiklan mukaisesti. Henkilötietojen käsittelijän turvatoimien harkintaa varten, kun pilvipalveluntarjoaja ei käsittele henkilötietoja, katso K7-54. Pilvipalveluntarjoaja ei käsittele henkilötietoja, kun sopimusehdot määrittelevät, että ulkopuolinen palveluntarjoaja ei käsittele palvelimella tallennettuja henkilötietoja, ja kun asianmukainen pääsynvalvonta on toteutettu. Lisätietoja lain 28 artiklan suhteesta katso K12-3.

Henkilötietojen suojaa koskevan lain ohjeistuksen Q&A[ja]|Henkilötietojen suojasta vastaava komitea

Toisin sanoen, kun pilvipalveluiden käyttäjät käyttävät pilvipalveluita, heidän ei tarvitse valvoa pilvipalveluiden tarjoajaa, jos he täyttävät poikkeuksen vaatimukset. Jotta pilvipalveluiden poikkeus voidaan hyväksyä, on täytettävä seuraavat kaksi vaatimusta:

  • Sopimusehdot määrittelevät, että ulkopuolinen palveluntarjoaja ei käsittele palvelimella tallennettuja henkilötietoja
  • Asianmukainen pääsynvalvonta on toteutettu

Hallinnollinen ohjaus MK System Inc:lle Japanissa

Reiwa 6 (2024) vuoden maaliskuun 25. päivänä Japanin henkilötietojen suojasta vastaava komitea suoritti ohjausta MK System Inc:lle henkilötietojen suojaa koskevan lain (Personal Information Protection Law) 147 artiklan mukaisesti. Tämä ohjaus seurasi tapausta, jossa noin 7,5 miljoonan ihmisen tiedot vuotivat julkisuuteen. Tämän seurauksena henkilötietojen suojasta vastaava komitea julkaisi huomautuksen, joka koskee huomioon otettavia seikkoja, kun pilvipalvelun tarjoaja katsotaan henkilötietojen käsittelijäksi henkilötietolain mukaisesti.

Viite: Henkilötietojen suojasta vastaava komitea|Huomautus pilvipalvelun tarjoajien huomioon otettavista seikoista, kun he katsotaan henkilötietojen käsittelijöiksi henkilötietolain mukaisesti[ja]

Katsotaanpa tarkemmin, mitä hallinnollista ohjausta MK System Inc:lle annettiin Japanissa koskien pilvipalveluiden poikkeusta henkilötietolain mukaisesti.

Tapauksen yhteenveto

Osakeyhtiö MK System käytti Kiinan Tencent Cloudin palvelimia rakentaakseen sosiaalivakuutus- ja henkilöstöhallinnon tukijärjestelmän, ja tarjosi palveluitaan muun muassa sosiaalivakuutusasiamiesten toimistoille.

Kesäkuussa 2023 (Reiwa 5), palvelimelle tehtiin luvaton tunkeutuminen, ja oli olemassa riski, että hallinnoituja henkilötietoja (sosiaalivakuutusasiamiesten asiakkaina olevien yritysten ja toimipisteiden työntekijöiden nimet, syntymäajat, sukupuolet, osoitteet, peruseläkenumerot, työttömyysvakuutusnumerot sekä My Number -tunnukset) vuotaisivat ulkopuolisille.

Kun näiden kolmen osapuolen suhdetta verrataan ohjeistukseen, saadaan seuraava tulos:

Ohjeistuksen mukainen asemaToimijaSisältö
ToimeksiantajaSosiaalivakuutusasiamiehet ja muut käyttäjät (henkilötietojen käsittelijät)Asiakkaiden (yritykset ja yksityishenkilöt) henkilötietojen käsittely
ToimeksisaajaOsakeyhtiö MK SystemTarjoaa pilvipalvelussa sosiaalivakuutusasiamiesten työtä korvaavan ja tukevan järjestelmän. Käsittelee henkilötietoja asiakkaan ohjeiden mukaisesti
AlihankkijaTencent Cloud (Kiina)MK System on ulkoistanut pilvi-infrastruktuurin. Sisältää mahdollisuuden tietojen siirtoon ulkomaille

Japanin henkilötietojen suojasta vastaava komissio totesi, että MK Systemin teknisissä turvatoimissa oli puutteita.

Hallinnollisen ohjauksen sisältö

Henkilötietojen suojasta vastaavalta komissiolta on annettu hallinnollista ohjausta, joka perustuu Japanin henkilötietojen suojalain (平成17年法律第57号, 2005) 147 artiklan määräyksiin sekä raportointi- ja tietojenkeruuohjeistukseen, joka pohjautuu saman lain 146 artiklan 1 momentin säännöksiin.

Henkilötietojen suojasta vastaavan komitean huomautus

Samalla henkilötietojen suojasta vastaava komitea on julkaissut huomautuksen “Pilvipalveluntarjoajien huomioitava henkilötietolain mukaiset velvoitteet (Huomautus)[ja]“.

Tämä huomautus on suunnattu pääasiassa pilvipalveluiden käyttäjille ja se selventää, milloin pilvipalvelun käyttö vastaa henkilötietojen käsittelyn ulkoistamista (Henkilötietolain 27. pykälän 5. momentin 1. kohta) ja milloin ulkoistamisen katsotaan tapahtuvan. Mikäli ulkoistaminen on kyseessä, pilvipalvelun käyttäjän, joka on henkilötietojen käsittelijä, tulee suorittaa tarpeellista ja asianmukaista valvontaa ulkoistuskumppanin yli.

MK-järjestelmän osalta on todettu, ettei pilvipalvelun poikkeusta myönnetä ja että se katsotaan henkilötietojen käsittelijäksi, joten sen on suoritettava asianmukaista valvontaa henkilötietojen käsittelyn yhteydessä. Seuraavista kolmesta kohdasta johtuen:

  • Käyttöehdoissa on määritelty, että pilvipalveluntarjoaja voi suorittaa tarvittavia toimenpiteitä, kuten valvontaa, analysointia ja tutkimusta, mikäli se on tarpeellista ylläpidon ja operoinnin kannalta, ja että pilvipalveluntarjoaja voi tietyissä tapauksissa käyttää tai paljastaa tietoja ilman lupaa tai kolmansille osapuolille.
  • Pilvipalveluntarjoaja omistaa ylläpitäjän tunnukset ja on mahdollista päästä käsiksi pilvipalvelun käyttäjän henkilötietoihin, eikä asianmukaisia teknisiä toimenpiteitä tietojen käsittelyn estämiseksi ole toteutettu.
  • Pilvipalvelun käyttäjän kanssa on tehty sopimus, jonka jälkeen pilvipalveluntarjoaja on todellisuudessa käsitellyt käyttäjän henkilötietoja.
Pilvipalveluntarjoajien huomioitava henkilötietolain mukaiset velvoitteet (Huomautus)|Henkilötietojen suojasta vastaava komitea[ja]

Huomioitavia seikkoja Japanin pilvipalveluiden tarjoajille

Huomioitavia seikkoja Japanin pilvipalveluiden tarjoajille

Aiemmin selostettujen oikeudellisten ongelmien ja hallinnollisten ohjeiden sekä huomautusten pohjalta, mitä seikkoja pilvipalveluiden tarjoajien (esimerkiksi aiemmin mainitun MK Systemin tapauksessa) tulisi ottaa huomioon Japanissa?

Tarkista uudelleen, täyttääkö tarjoamasi palvelu pilvipalveluiden poikkeuksen vaatimukset

Ensimmäiseksi, varmista uudelleen, että yrityksesi tarjoama palvelu täyttää pilvipalveluiden poikkeuksen vaatimukset Japanissa.

Henkilötietojen suojaa koskevan komitean antaman huomautuksen jälkeen pilvipalveluita käyttävien yritysten on syytä tarkastella, täyttääkö käytössä oleva pilvipalveluiden tarjoaja poikkeuksen vaatimukset.

Tästä syystä pilvipalveluiden tarjoajienkin on syytä varmistaa, että he täyttävät pilvipalveluiden poikkeuksen vaatimukset uudelleen tarkastellen.

Jos et täytä pilvipalveluiden poikkeuksen vaatimuksia, sinun on vastattava alihankkijoiden valvonnasta

Jos et täytä pilvipalveluiden poikkeuksen vaatimuksia, sinun on vastattava pilvipalveluiden käyttäjien (tässä tapauksessa MK Systemin tarjoamia palveluita käyttäneiden työsuojelutoimistojen ja yritysten) valvonnasta.

Pilvipalveluiden käyttäjien valvonta tarkoittaa seuraavia toimenpiteitä, jotka on mainittu henkilötietojen suojaa koskevassa laissa ja sen yleisissä ohjeissa 3-4-4 alihankkijoiden valvonnasta (lain 25. pykälän mukaisesti):

  • Sopivan alihankkijan valinta: On tarpeen varmistaa, että alihankkijan turvallisuuden hallintatoimenpiteet ovat lain 23. pykälän ja näiden ohjeiden mukaisia.
  • Alihankintasopimuksen tekeminen: On suositeltavaa tehdä sopimus, joka sisältää ehdot, joiden mukaan tilaaja voi kohtuullisesti ymmärtää alihankitun henkilötiedon käsittelyn tilanteen.
  • Alihankkijan henkilötietojen käsittelyn seuranta: Säännöllisesti suoritettavilla tarkastuksilla arvioidaan asianmukaisesti.

Jos alihankkijan turvallisuuden hallintatoimenpiteet ovat riittämättömiä, sopimus voidaan purkaa, ja alihankkijaa voidaan vaatia toteuttamaan tarvittavia turvallisuuden hallintatoimenpiteitä ja vastaamaan säännöllisiin tarkastuksiin.

Yhteenveto: Konsultoi asianajajaa henkilötietojen suojasta pilvipalveluissa

Tässä artikkelissa olemme käsitelleet riskejä, jotka liittyvät siihen, kun pilvipalveluiden tarjoajat eivät täytä pilvipalveluiden poikkeuksia, perustuen Japanin henkilötietojen suojaa käsittelevän komitean (Personal Information Protection Commission) maaliskuussa 2025 (Reiwa 7) julkaisemaan hallinnolliseen ohjeistukseen.

Kyseisen tietovuodon seurauksena henkilötietojen suojaa käsittelevä komitea antoi varoituksen pilvipalveluiden käyttäjille. Tämä varoitus koskee paitsi pilvipalveluiden käyttäjiä myös pilvipalveluita tarjoavia yrityksiä, jotka tarvitsevat tarkistaa tarjoamiaan palveluita ja olla tietoisia mahdollisista vastuista.

Huomioon ottaen tämän hallinnollisen ohjeistuksen, jos yrityksessäsi on epävarmuutta siitä, millaisia riskejä on olemassa ja millaisia toimenpiteitä tarvitaan, suosittelemme konsultoimaan asianajajaa.

Monolith Lakitoimiston tarjoamat ratkaisut

Monolith Lakitoimisto on IT-alan ja erityisesti internetin sekä oikeudellisten kysymysten osaamiseen erikoistunut lakitoimisto. Nykyään, kun monet IT-yritykset käyttävät AWS:n kaltaisia pilvipalveluita liiketoimintansa laajentamiseen, henkilötietojen vuotaminen on yksi välttämättömistä riskienhallinnan osa-alueista liiketoiminnan johtamisessa. Mikäli henkilötietoja vuotaa, se voi aiheuttaa yritystoiminnalle kohtalokkaita seurauksia. Meillä on erikoisosaamista tietovuotojen ehkäisemisessä ja niihin reagoimisessa. Alla olevassa artikkelissa kerromme asiasta tarkemmin.

Monolith Lakitoimiston palvelualueet: Henkilötietojen suojaa koskeva Japanin lainsäädäntö[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Mikä on työn valmistuminen järjestelmäkehityksen urakkasopimuksessa

Mikä on työn valmistuminen järjestelmäkehityksen urakkasopimuksessa

IT

Nettikaupan hallinta ja laki: Japanilainen 'Palkintojen esittämislaki' ja 'Sähköinen sopimuslaki

Nettikaupan hallinta ja laki: Japanilainen 'Palkintojen esittämislaki' ja 'Sähköinen sopimuslaki

IT

Mitkä ovat AI:n yrityskäyttöönoton sopimusriskit? Selitämme talousministeriön laatiman

Mitkä ovat AI:n yrityskäyttöönoton sopimusriskit? Selitämme talousministeriön laatiman "tarkistu.

IT

Onko ChatGPT:n käyttö työssä mahdollista? Selitämme hyödyt ja huomioitavat seikat

Onko ChatGPT:n käyttö työssä mahdollista? Selitämme hyödyt ja huomioitavat seikat

IT

Mihin tulee kiinnittää huomiota, kun käsitellään Creative Commons -merkinnällä varustettuja teoksia?

Mihin tulee kiinnittää huomiota, kun käsitellään Creative Commons -merkinnällä varustettuja teok.

IT

Mikä on käyttäjän, joka tilaa järjestelmän kehityksen, yhteistyövelvollisuus?

Mikä on käyttäjän, joka tilaa järjestelmän kehityksen, yhteistyövelvollisuus?

IT

Onko järjestelmän kehityksen jälkikäteinen hintakorotus mahdollista?

Onko järjestelmän kehityksen jälkikäteinen hintakorotus mahdollista?

IT

Mitä on generatiivinen tekoäly? Selkeä selitys tyypeistä, eduista ja käyttötavoista

Mitä on generatiivinen tekoäly? Selkeä selitys tyypeistä, eduista ja käyttötavoista

IT

Kuinka pitkälle toimittajan vastuu ulottuu OSS:ää sisältävissä toimituksissa? Selitämme siviilivastuun ja toimenpiteet sopimustyypeittäin.

Kuinka pitkälle toimittajan vastuu ulottuu OSS:ää sisältävissä toimituksissa? Selitämme siviiliv.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Takaisin alkuun