{"id":68392,"date":"2025-07-29T18:52:46","date_gmt":"2025-07-29T09:52:46","guid":{"rendered":"https:\/\/monolith.law\/fi\/?p=68392"},"modified":"2025-08-20T13:34:08","modified_gmt":"2025-08-20T04:34:08","slug":"personal-information-cloud-exceptions","status":"publish","type":"post","link":"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions","title":{"rendered":"Henkil\u00f6tietojen suojalain \"pilvipalvelupoikkeus\" \u2013 Selitys pilvipalveluiden tarjoajien saamien hallinnollisten ohjeiden todellisista esimerkeist\u00e4"},"content":{"rendered":"\n<p>Henkil\u00f6tietojen k\u00e4sittelij\u00e4t ovat Japanin henkil\u00f6tietojen suojalain alaisia ja heid\u00e4n tietojensa k\u00e4sittelyyn sovelletaan monenlaisia s\u00e4\u00e4nn\u00f6ksi\u00e4. Meid\u00e4n henkil\u00f6tietomme ovat syv\u00e4sti yhteydess\u00e4 yksityisyyteen ja sis\u00e4lt\u00e4v\u00e4t t\u00e4rkeit\u00e4 tietoja, kuten fyysisi\u00e4 ominaisuuksia ja omaisuuteen liittyvi\u00e4 seikkoja, joten on luonnollista, ett\u00e4 niiden suojelemiseksi on asetettu tiukat s\u00e4\u00e4nn\u00f6t.<\/p>\n\n\n\n<p>Kuitenkin t\u00e4ss\u00e4 laissa on my\u00f6s joitakin poikkeuksia. Yksi n\u00e4ist\u00e4 on niin kutsuttu &#8220;pilvipalvelupoikkeus&#8221;.<\/p>\n\n\n\n<p>Mit\u00e4 &#8220;pilvipalvelupoikkeus&#8221; sitten tarkoittaa? T\u00e4ss\u00e4 artikkelissa selit\u00e4mme ymm\u00e4rrett\u00e4v\u00e4sti &#8220;pilvipalvelupoikkeuden&#8221; yleiskatsauksen ja sen soveltamisedellytykset, k\u00e4ytt\u00e4en esimerkkin\u00e4 MK Systemin tapausta, joka sai hallinnollista ohjausta Reiwa 6 -vuonna (2024).<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Henkilotietojen_luovuttamisen_periaatteet_ja_poikkeukset_Japanissa\" title=\"Henkil\u00f6tietojen luovuttamisen periaatteet ja poikkeukset Japanissa\">Henkil\u00f6tietojen luovuttamisen periaatteet ja poikkeukset Japanissa<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Periaatteet_kolmansille_osapuolille_henkilotietoja_luovutettaessa_Japanin_henkilotietolain_mukaan\" title=\"Periaatteet kolmansille osapuolille henkil\u00f6tietoja luovutettaessa Japanin henkil\u00f6tietolain mukaan\">Periaatteet kolmansille osapuolille henkil\u00f6tietoja luovutettaessa Japanin henkil\u00f6tietolain mukaan<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Mika_on_pilvipalveluiden_poikkeus\" title=\"Mik\u00e4 on pilvipalveluiden poikkeus?\">Mik\u00e4 on pilvipalveluiden poikkeus?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Hallinnollinen_ohjaus_MK_System_Inc_lle_Japanissa\" title=\"Hallinnollinen ohjaus MK System Inc:lle Japanissa\">Hallinnollinen ohjaus MK System Inc:lle Japanissa<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Tapauksen_yhteenveto\" title=\"Tapauksen yhteenveto\">Tapauksen yhteenveto<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Hallinnollisen_ohjauksen_sisalto\" title=\"Hallinnollisen ohjauksen sis\u00e4lt\u00f6\">Hallinnollisen ohjauksen sis\u00e4lt\u00f6<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Henkilotietojen_suojasta_vastaavan_komitean_huomautus\" title=\"Henkil\u00f6tietojen suojasta vastaavan komitean huomautus\">Henkil\u00f6tietojen suojasta vastaavan komitean huomautus<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Huomioitavia_seikkoja_Japanin_pilvipalveluiden_tarjoajille\" title=\"Huomioitavia seikkoja Japanin pilvipalveluiden tarjoajille\">Huomioitavia seikkoja Japanin pilvipalveluiden tarjoajille<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Tarkista_uudelleen_tayttaako_tarjoamasi_palvelu_pilvipalveluiden_poikkeuksen_vaatimukset\" title=\"Tarkista uudelleen, t\u00e4ytt\u00e4\u00e4k\u00f6 tarjoamasi palvelu pilvipalveluiden poikkeuksen vaatimukset\">Tarkista uudelleen, t\u00e4ytt\u00e4\u00e4k\u00f6 tarjoamasi palvelu pilvipalveluiden poikkeuksen vaatimukset<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Jos_et_tayta_pilvipalveluiden_poikkeuksen_vaatimuksia_sinun_on_vastattava_alihankkijoiden_valvonnasta\" title=\"Jos et t\u00e4yt\u00e4 pilvipalveluiden poikkeuksen vaatimuksia, sinun on vastattava alihankkijoiden valvonnasta\">Jos et t\u00e4yt\u00e4 pilvipalveluiden poikkeuksen vaatimuksia, sinun on vastattava alihankkijoiden valvonnasta<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Yhteenveto_Konsultoi_asianajajaa_henkilotietojen_suojasta_pilvipalveluissa\" title=\"Yhteenveto: Konsultoi asianajajaa henkil\u00f6tietojen suojasta pilvipalveluissa\">Yhteenveto: Konsultoi asianajajaa henkil\u00f6tietojen suojasta pilvipalveluissa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/fi\/it\/personal-information-cloud-exceptions\/#Monolith_Lakitoimiston_tarjoamat_ratkaisut\" title=\"Monolith Lakitoimiston tarjoamat ratkaisut\">Monolith Lakitoimiston tarjoamat ratkaisut<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Henkilotietojen_luovuttamisen_periaatteet_ja_poikkeukset_Japanissa\"><\/span>Henkil\u00f6tietojen luovuttamisen periaatteet ja poikkeukset Japanissa<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/b220cbcc20a6fcb8115bfe357ec9f5f6.jpg\" alt=\"Henkil\u00f6tietojen luovuttamisen periaatteet ja poikkeukset\" class=\"wp-image-137683\" \/><\/figure>\n\n\n\n<p>Aluksi on t\u00e4rke\u00e4\u00e4 tarkastella Japanin henkil\u00f6tietojen suojalain mukaisia periaatteita ja poikkeuksia, jotka koskevat henkil\u00f6tietojen luovuttamista kolmansille osapuolille.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Periaatteet_kolmansille_osapuolille_henkilotietoja_luovutettaessa_Japanin_henkilotietolain_mukaan\"><\/span>Periaatteet kolmansille osapuolille henkil\u00f6tietoja luovutettaessa Japanin henkil\u00f6tietolain mukaan<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Kun henkil\u00f6tietojen k\u00e4sittelij\u00e4 k\u00e4ytt\u00e4\u00e4 pilvipalveluita, katsotaan, ett\u00e4 h\u00e4n on &#8220;ulkoistanut henkil\u00f6tietojen k\u00e4sittelyn kokonaan tai osittain&#8221; (Henkil\u00f6tietolaki, 27. pyk\u00e4l\u00e4n 5. momentin 1. kohta), ja periaatteena on, ett\u00e4 h\u00e4nen on suoritettava tarpeellista ja asianmukaista valvontaa pilvipalvelun tarjoajaa kohtaan Japanin henkil\u00f6tietolain 25. pyk\u00e4l\u00e4n mukaisesti.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mika_on_pilvipalveluiden_poikkeus\"><\/span>Mik\u00e4 on pilvipalveluiden poikkeus?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>T\u00e4m\u00e4 poikkeus tunnetaan nimell\u00e4 &#8220;pilvipalveluiden poikkeus&#8221;.<\/p>\n\n\n\n<p>&#8220;Pilvipalveluiden tarjoaja&#8221; tarkoittaa t\u00e4ss\u00e4 yhteydess\u00e4 yrityksi\u00e4, jotka p\u00e4\u00e4asiassa tarjoavat IT-infrastruktuuria, kuten tallennustilaa ja palvelimia (IaaS\/PaaS), ja jotka vastaanottavat, tallentavat ja k\u00e4sittelev\u00e4t muiden yritysten tietoja internetin v\u00e4lityksell\u00e4. Seuraavat yritykset ovat esimerkkej\u00e4 t\u00e4llaisista palveluntarjoajista:<\/p>\n\n\n\n<ul>\n<li>Amazon Web Services (AWS): Yhdysvaltalaisen Amazonin tarjoama palvelu, jota monet japanilaiset yritykset k\u00e4ytt\u00e4v\u00e4t.<\/li>\n\n\n\n<li>Microsoft Azure: Microsoftin tarjoama pilvipalvelualusta, jolla on useita k\u00e4ytt\u00f6tapauksia julkishallinnossa.<\/li>\n\n\n\n<li>Google Cloud Platform (GCP): Googlen tarjoama palvelu, jolla on vahvuuksia teko\u00e4lyss\u00e4 ja suurten tietom\u00e4\u00e4rien k\u00e4sittelyss\u00e4.<\/li>\n<\/ul>\n\n\n\n<p>Pilvipalveluiden poikkeus tulee kyseeseen, kun SaaS (Software as a Service) -mallin mukaisesti toimivat yritykset, jotka kehitt\u00e4v\u00e4t j\u00e4rjestelmi\u00e4 pilvipalveluiden tarjoajien (IaaS tai PaaS) infrastruktuurilla ja tarjoavat niit\u00e4 asiakkailleen, k\u00e4sittelev\u00e4t henkil\u00f6tietoja.<\/p>\n\n\n\n<p>Henkil\u00f6tietojen suojasta vastaavan komitean &#8220;Henkil\u00f6tietojen suojaa koskevan lain ohjeistuksen&#8221; Q&amp;A-osiossa pilvipalveluiden tarjoajista sanotaan seuraavaa kohdassa 7-53:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>(Kun ei katsota kolmanneksi osapuoleksi) K7-53: Kun henkil\u00f6tietojen k\u00e4sittelij\u00e4 k\u00e4ytt\u00e4\u00e4 ulkopuolista palveluntarjoajaa, kuten pilvipalvelusopimuksessa, s\u00e4hk\u00f6isten tietojen, jotka sis\u00e4lt\u00e4v\u00e4t henkil\u00f6tietoja, k\u00e4sittelyyn liittyv\u00e4n tietoj\u00e4rjestelm\u00e4n osalta, onko tarpeen saada &#8220;henkil\u00f6n suostumus&#8221; (lain 27 artiklan 1 momentti) kolmannen osapuolen tarjoamiseksi, vai onko kyse &#8220;henkil\u00f6tietojen k\u00e4sittelyn kokonaan tai osittain ulkoistamisesta&#8221; (lain 27 artiklan 5 momentin 1 kohta), jolloin pilvipalveluntarjoajaa tulisi valvoa lain 25 artiklan mukaisesti?<\/p>\n\n\n\n<p>V7-53: Pilvipalveluissa on monenlaisia muotoja, mutta pilvipalvelun k\u00e4ytt\u00f6, joka edellytt\u00e4\u00e4 henkil\u00f6n suostumusta kolmannen osapuolen tarjoamiseen (lain 27 artiklan 1 momentti) tai ulkoistamiseen (lain 27 artiklan 5 momentin 1 kohta), ei riipu siit\u00e4, sis\u00e4lt\u00e4v\u00e4tk\u00f6 tallennetut s\u00e4hk\u00f6iset tiedot henkil\u00f6tietoja, vaan siit\u00e4, k\u00e4sitteleek\u00f6 pilvipalvelun tarjoaja henkil\u00f6tietoja. Jos pilvipalvelun tarjoaja ei k\u00e4sittele kyseisi\u00e4 henkil\u00f6tietoja, henkil\u00f6tietojen k\u00e4sittelij\u00e4n ei tarvitse saada henkil\u00f6n suostumusta, koska henkil\u00f6tietoja ei ole tarjottu. Lis\u00e4ksi edell\u00e4 mainitussa tapauksessa, koska henkil\u00f6tietoja ei ole tarjottu, se ei my\u00f6sk\u00e4\u00e4n kuulu &#8220;henkil\u00f6tietojen k\u00e4sittelyn kokonaan tai osittain ulkoistamiseen, joka edellytt\u00e4\u00e4 tarjoamista&#8230;&#8221; (lain 27 artiklan 5 momentin 1 kohta), eik\u00e4 pilvipalveluntarjoajaa tarvitse valvoa lain 25 artiklan mukaisesti. Henkil\u00f6tietojen k\u00e4sittelij\u00e4n turvatoimien harkintaa varten, kun pilvipalveluntarjoaja ei k\u00e4sittele henkil\u00f6tietoja, katso K7-54. Pilvipalveluntarjoaja ei k\u00e4sittele henkil\u00f6tietoja, kun sopimusehdot m\u00e4\u00e4rittelev\u00e4t, ett\u00e4 ulkopuolinen palveluntarjoaja ei k\u00e4sittele palvelimella tallennettuja henkil\u00f6tietoja, ja kun asianmukainen p\u00e4\u00e4synvalvonta on toteutettu. Lis\u00e4tietoja lain 28 artiklan suhteesta katso K12-3.<\/p>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/personalinfo\/faq\/APPI_QA\/\" target=\"_blank\" rel=\"noreferrer noopener\">Henkil\u00f6tietojen suojaa koskevan lain ohjeistuksen Q&amp;A[ja]<\/a><em>\uff5cHenkil\u00f6tietojen suojasta vastaava komitea<\/em><\/cite><\/blockquote>\n\n\n\n<p>Toisin sanoen, kun pilvipalveluiden k\u00e4ytt\u00e4j\u00e4t k\u00e4ytt\u00e4v\u00e4t pilvipalveluita, heid\u00e4n ei tarvitse valvoa pilvipalveluiden tarjoajaa, jos he t\u00e4ytt\u00e4v\u00e4t poikkeuksen vaatimukset. Jotta pilvipalveluiden poikkeus voidaan hyv\u00e4ksy\u00e4, on t\u00e4ytett\u00e4v\u00e4 seuraavat kaksi vaatimusta:<\/p>\n\n\n\n<ul>\n<li>Sopimusehdot m\u00e4\u00e4rittelev\u00e4t, ett\u00e4 ulkopuolinen palveluntarjoaja ei k\u00e4sittele palvelimella tallennettuja henkil\u00f6tietoja<\/li>\n\n\n\n<li>Asianmukainen p\u00e4\u00e4synvalvonta on toteutettu<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Hallinnollinen_ohjaus_MK_System_Inc_lle_Japanissa\"><\/span>Hallinnollinen ohjaus MK System Inc:lle Japanissa<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Reiwa 6 (2024) vuoden maaliskuun 25. p\u00e4iv\u00e4n\u00e4 Japanin henkil\u00f6tietojen suojasta vastaava komitea suoritti ohjausta MK System Inc:lle henkil\u00f6tietojen suojaa koskevan lain (Personal Information Protection Law) 147 artiklan mukaisesti. T\u00e4m\u00e4 ohjaus seurasi tapausta, jossa noin 7,5 miljoonan ihmisen tiedot vuotivat julkisuuteen. T\u00e4m\u00e4n seurauksena henkil\u00f6tietojen suojasta vastaava komitea julkaisi huomautuksen, joka koskee huomioon otettavia seikkoja, kun pilvipalvelun tarjoaja katsotaan henkil\u00f6tietojen k\u00e4sittelij\u00e4ksi henkil\u00f6tietolain mukaisesti.<\/p>\n\n\n\n<p>Viite: <a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Henkil\u00f6tietojen suojasta vastaava komitea\uff5cHuomautus pilvipalvelun tarjoajien huomioon otettavista seikoista, kun he katsotaan henkil\u00f6tietojen k\u00e4sittelij\u00f6iksi henkil\u00f6tietolain mukaisesti[ja]<\/a><\/p>\n\n\n\n<p>Katsotaanpa tarkemmin, mit\u00e4 hallinnollista ohjausta MK System Inc:lle annettiin Japanissa koskien pilvipalveluiden poikkeusta henkil\u00f6tietolain mukaisesti.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tapauksen_yhteenveto\"><\/span>Tapauksen yhteenveto<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Osakeyhti\u00f6 MK System k\u00e4ytti Kiinan Tencent Cloudin palvelimia rakentaakseen sosiaalivakuutus- ja henkil\u00f6st\u00f6hallinnon tukij\u00e4rjestelm\u00e4n, ja tarjosi palveluitaan muun muassa sosiaalivakuutusasiamiesten toimistoille.<\/p>\n\n\n\n<p>Kes\u00e4kuussa 2023 (Reiwa 5), palvelimelle tehtiin luvaton tunkeutuminen, ja oli olemassa riski, ett\u00e4 hallinnoituja henkil\u00f6tietoja (sosiaalivakuutusasiamiesten asiakkaina olevien yritysten ja toimipisteiden ty\u00f6ntekij\u00f6iden nimet, syntym\u00e4ajat, sukupuolet, osoitteet, perusel\u00e4kenumerot, ty\u00f6tt\u00f6myysvakuutusnumerot sek\u00e4 My Number -tunnukset) vuotaisivat ulkopuolisille.<\/p>\n\n\n\n<p>Kun n\u00e4iden kolmen osapuolen suhdetta verrataan ohjeistukseen, saadaan seuraava tulos:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>Ohjeistuksen mukainen asema<\/td><td>Toimija<\/td><td>Sis\u00e4lt\u00f6<\/td><\/tr><tr><td>Toimeksiantaja<\/td><td>Sosiaalivakuutusasiamiehet ja muut k\u00e4ytt\u00e4j\u00e4t (henkil\u00f6tietojen k\u00e4sittelij\u00e4t)<\/td><td>Asiakkaiden (yritykset ja yksityishenkil\u00f6t) henkil\u00f6tietojen k\u00e4sittely<\/td><\/tr><tr><td>Toimeksisaaja<\/td><td>Osakeyhti\u00f6 MK System<\/td><td>Tarjoaa pilvipalvelussa sosiaalivakuutusasiamiesten ty\u00f6t\u00e4 korvaavan ja tukevan j\u00e4rjestelm\u00e4n. K\u00e4sittelee henkil\u00f6tietoja asiakkaan ohjeiden mukaisesti<\/td><\/tr><tr><td>Alihankkija<\/td><td>Tencent Cloud (Kiina)<\/td><td>MK System on ulkoistanut pilvi-infrastruktuurin. Sis\u00e4lt\u00e4\u00e4 mahdollisuuden tietojen siirtoon ulkomaille<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Japanin henkil\u00f6tietojen suojasta vastaava komissio totesi, ett\u00e4 MK Systemin teknisiss\u00e4 turvatoimissa oli puutteita.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Hallinnollisen_ohjauksen_sisalto\"><\/span>Hallinnollisen ohjauksen sis\u00e4lt\u00f6<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Henkil\u00f6tietojen suojasta vastaavalta komissiolta on annettu hallinnollista ohjausta, joka perustuu Japanin henkil\u00f6tietojen suojalain (\u5e73\u621017\u5e74\u6cd5\u5f8b\u7b2c57\u53f7, 2005) 147 artiklan m\u00e4\u00e4r\u00e4yksiin sek\u00e4 raportointi- ja tietojenkeruuohjeistukseen, joka pohjautuu saman lain 146 artiklan 1 momentin s\u00e4\u00e4nn\u00f6ksiin.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Henkilotietojen_suojasta_vastaavan_komitean_huomautus\"><\/span>Henkil\u00f6tietojen suojasta vastaavan komitean huomautus<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Samalla henkil\u00f6tietojen suojasta vastaava komitea on julkaissut huomautuksen &#8220;<a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Pilvipalveluntarjoajien huomioitava henkil\u00f6tietolain mukaiset velvoitteet (Huomautus)[ja]<\/a>&#8220;.<\/p>\n\n\n\n<p>T\u00e4m\u00e4 huomautus on suunnattu p\u00e4\u00e4asiassa pilvipalveluiden k\u00e4ytt\u00e4jille ja se selvent\u00e4\u00e4, milloin pilvipalvelun k\u00e4ytt\u00f6 vastaa henkil\u00f6tietojen k\u00e4sittelyn ulkoistamista (Henkil\u00f6tietolain 27. pyk\u00e4l\u00e4n 5. momentin 1. kohta) ja milloin ulkoistamisen katsotaan tapahtuvan. Mik\u00e4li ulkoistaminen on kyseess\u00e4, pilvipalvelun k\u00e4ytt\u00e4j\u00e4n, joka on henkil\u00f6tietojen k\u00e4sittelij\u00e4, tulee suorittaa tarpeellista ja asianmukaista valvontaa ulkoistuskumppanin yli.<\/p>\n\n\n\n<p>MK-j\u00e4rjestelm\u00e4n osalta on todettu, ettei pilvipalvelun poikkeusta my\u00f6nnet\u00e4 ja ett\u00e4 se katsotaan henkil\u00f6tietojen k\u00e4sittelij\u00e4ksi, joten sen on suoritettava asianmukaista valvontaa henkil\u00f6tietojen k\u00e4sittelyn yhteydess\u00e4. Seuraavista kolmesta kohdasta johtuen:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<ul>\n<li>K\u00e4ytt\u00f6ehdoissa on m\u00e4\u00e4ritelty, ett\u00e4 pilvipalveluntarjoaja voi suorittaa tarvittavia toimenpiteit\u00e4, kuten valvontaa, analysointia ja tutkimusta, mik\u00e4li se on tarpeellista yll\u00e4pidon ja operoinnin kannalta, ja ett\u00e4 pilvipalveluntarjoaja voi tietyiss\u00e4 tapauksissa k\u00e4ytt\u00e4\u00e4 tai paljastaa tietoja ilman lupaa tai kolmansille osapuolille.<\/li>\n\n\n\n<li>Pilvipalveluntarjoaja omistaa yll\u00e4pit\u00e4j\u00e4n tunnukset ja on mahdollista p\u00e4\u00e4st\u00e4 k\u00e4siksi pilvipalvelun k\u00e4ytt\u00e4j\u00e4n henkil\u00f6tietoihin, eik\u00e4 asianmukaisia teknisi\u00e4 toimenpiteit\u00e4 tietojen k\u00e4sittelyn est\u00e4miseksi ole toteutettu.<\/li>\n\n\n\n<li>Pilvipalvelun k\u00e4ytt\u00e4j\u00e4n kanssa on tehty sopimus, jonka j\u00e4lkeen pilvipalveluntarjoaja on todellisuudessa k\u00e4sitellyt k\u00e4ytt\u00e4j\u00e4n henkil\u00f6tietoja.<\/li>\n<\/ul>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/files\/pdf\/240325_alert_cloud_service_provider.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Pilvipalveluntarjoajien huomioitava henkil\u00f6tietolain mukaiset velvoitteet (Huomautus)\uff5cHenkil\u00f6tietojen suojasta vastaava komitea[ja]<\/a><br><\/cite><\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Huomioitavia_seikkoja_Japanin_pilvipalveluiden_tarjoajille\"><\/span>Huomioitavia seikkoja Japanin pilvipalveluiden tarjoajille<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/7d8b9299c2a15a801c04913ba0d80d99.jpg\" alt=\"Huomioitavia seikkoja Japanin pilvipalveluiden tarjoajille\" class=\"wp-image-137684\" \/><\/figure>\n\n\n\n<p>Aiemmin selostettujen oikeudellisten ongelmien ja hallinnollisten ohjeiden sek\u00e4 huomautusten pohjalta, mit\u00e4 seikkoja pilvipalveluiden tarjoajien (esimerkiksi aiemmin mainitun MK Systemin tapauksessa) tulisi ottaa huomioon Japanissa?<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tarkista_uudelleen_tayttaako_tarjoamasi_palvelu_pilvipalveluiden_poikkeuksen_vaatimukset\"><\/span>Tarkista uudelleen, t\u00e4ytt\u00e4\u00e4k\u00f6 tarjoamasi palvelu pilvipalveluiden poikkeuksen vaatimukset<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Ensimm\u00e4iseksi, varmista uudelleen, ett\u00e4 yrityksesi tarjoama palvelu t\u00e4ytt\u00e4\u00e4 pilvipalveluiden poikkeuksen vaatimukset Japanissa.<\/p>\n\n\n\n<p>Henkil\u00f6tietojen suojaa koskevan komitean antaman huomautuksen j\u00e4lkeen pilvipalveluita k\u00e4ytt\u00e4vien yritysten on syyt\u00e4 tarkastella, t\u00e4ytt\u00e4\u00e4k\u00f6 k\u00e4yt\u00f6ss\u00e4 oleva pilvipalveluiden tarjoaja poikkeuksen vaatimukset.<\/p>\n\n\n\n<p>T\u00e4st\u00e4 syyst\u00e4 pilvipalveluiden tarjoajienkin on syyt\u00e4 varmistaa, ett\u00e4 he t\u00e4ytt\u00e4v\u00e4t pilvipalveluiden poikkeuksen vaatimukset uudelleen tarkastellen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Jos_et_tayta_pilvipalveluiden_poikkeuksen_vaatimuksia_sinun_on_vastattava_alihankkijoiden_valvonnasta\"><\/span>Jos et t\u00e4yt\u00e4 pilvipalveluiden poikkeuksen vaatimuksia, sinun on vastattava alihankkijoiden valvonnasta<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Jos et t\u00e4yt\u00e4 pilvipalveluiden poikkeuksen vaatimuksia, sinun on vastattava pilvipalveluiden k\u00e4ytt\u00e4jien (t\u00e4ss\u00e4 tapauksessa MK Systemin tarjoamia palveluita k\u00e4ytt\u00e4neiden ty\u00f6suojelutoimistojen ja yritysten) valvonnasta.<\/p>\n\n\n\n<p>Pilvipalveluiden k\u00e4ytt\u00e4jien valvonta tarkoittaa seuraavia toimenpiteit\u00e4, jotka on mainittu henkil\u00f6tietojen suojaa koskevassa laissa ja sen yleisiss\u00e4 ohjeissa 3-4-4 alihankkijoiden valvonnasta (lain 25. pyk\u00e4l\u00e4n mukaisesti):<\/p>\n\n\n\n<ul>\n<li>Sopivan alihankkijan valinta: On tarpeen varmistaa, ett\u00e4 alihankkijan turvallisuuden hallintatoimenpiteet ovat lain 23. pyk\u00e4l\u00e4n ja n\u00e4iden ohjeiden mukaisia.<\/li>\n\n\n\n<li>Alihankintasopimuksen tekeminen: On suositeltavaa tehd\u00e4 sopimus, joka sis\u00e4lt\u00e4\u00e4 ehdot, joiden mukaan tilaaja voi kohtuullisesti ymm\u00e4rt\u00e4\u00e4 alihankitun henkil\u00f6tiedon k\u00e4sittelyn tilanteen.<\/li>\n\n\n\n<li>Alihankkijan henkil\u00f6tietojen k\u00e4sittelyn seuranta: S\u00e4\u00e4nn\u00f6llisesti suoritettavilla tarkastuksilla arvioidaan asianmukaisesti.<\/li>\n<\/ul>\n\n\n\n<p>Jos alihankkijan turvallisuuden hallintatoimenpiteet ovat riitt\u00e4m\u00e4tt\u00f6mi\u00e4, sopimus voidaan purkaa, ja alihankkijaa voidaan vaatia toteuttamaan tarvittavia turvallisuuden hallintatoimenpiteit\u00e4 ja vastaamaan s\u00e4\u00e4nn\u00f6llisiin tarkastuksiin.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Yhteenveto_Konsultoi_asianajajaa_henkilotietojen_suojasta_pilvipalveluissa\"><\/span>Yhteenveto: Konsultoi asianajajaa henkil\u00f6tietojen suojasta pilvipalveluissa<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>T\u00e4ss\u00e4 artikkelissa olemme k\u00e4sitelleet riskej\u00e4, jotka liittyv\u00e4t siihen, kun pilvipalveluiden tarjoajat eiv\u00e4t t\u00e4yt\u00e4 pilvipalveluiden poikkeuksia, perustuen Japanin henkil\u00f6tietojen suojaa k\u00e4sittelev\u00e4n komitean (Personal Information Protection Commission) maaliskuussa 2025 (Reiwa 7) julkaisemaan hallinnolliseen ohjeistukseen.<\/p>\n\n\n\n<p>Kyseisen tietovuodon seurauksena henkil\u00f6tietojen suojaa k\u00e4sittelev\u00e4 komitea antoi varoituksen pilvipalveluiden k\u00e4ytt\u00e4jille. T\u00e4m\u00e4 varoitus koskee paitsi pilvipalveluiden k\u00e4ytt\u00e4ji\u00e4 my\u00f6s pilvipalveluita tarjoavia yrityksi\u00e4, jotka tarvitsevat tarkistaa tarjoamiaan palveluita ja olla tietoisia mahdollisista vastuista.<\/p>\n\n\n\n<p>Huomioon ottaen t\u00e4m\u00e4n hallinnollisen ohjeistuksen, jos yrityksess\u00e4si on ep\u00e4varmuutta siit\u00e4, millaisia riskej\u00e4 on olemassa ja millaisia toimenpiteit\u00e4 tarvitaan, suosittelemme konsultoimaan asianajajaa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Monolith_Lakitoimiston_tarjoamat_ratkaisut\"><\/span>Monolith Lakitoimiston tarjoamat ratkaisut<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Monolith Lakitoimisto on IT-alan ja erityisesti internetin sek\u00e4 oikeudellisten kysymysten osaamiseen erikoistunut lakitoimisto. Nyky\u00e4\u00e4n, kun monet IT-yritykset k\u00e4ytt\u00e4v\u00e4t AWS:n kaltaisia pilvipalveluita liiketoimintansa laajentamiseen, henkil\u00f6tietojen vuotaminen on yksi v\u00e4ltt\u00e4m\u00e4tt\u00f6mist\u00e4 riskienhallinnan osa-alueista liiketoiminnan johtamisessa. Mik\u00e4li henkil\u00f6tietoja vuotaa, se voi aiheuttaa yritystoiminnalle kohtalokkaita seurauksia. Meill\u00e4 on erikoisosaamista tietovuotojen ehk\u00e4isemisess\u00e4 ja niihin reagoimisessa. Alla olevassa artikkelissa kerromme asiasta tarkemmin.<\/p>\n\n\n\n<p>Monolith Lakitoimiston palvelualueet: <a href=\"https:\/\/monolith.law\/personalinformation\" target=\"_blank\" rel=\"noreferrer noopener\">Henkil\u00f6tietojen suojaa koskeva Japanin lains\u00e4\u00e4d\u00e4nt\u00f6[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Henkil\u00f6tietojen k\u00e4sittelij\u00e4t ovat Japanin henkil\u00f6tietojen suojalain alaisia ja heid\u00e4n tietojensa k\u00e4sittelyyn sovelletaan monenlaisia s\u00e4\u00e4nn\u00f6ksi\u00e4. Meid\u00e4n henkil\u00f6tietomme ovat syv\u00e4sti yhteydess\u00e4 yksityis [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":68562,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[19,51],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts\/68392"}],"collection":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/comments?post=68392"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts\/68392\/revisions"}],"predecessor-version":[{"id":68563,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts\/68392\/revisions\/68563"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/media\/68562"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/media?parent=68392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/categories?post=68392"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/tags?post=68392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}