Indonesia English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_id/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Apa itu "Pengecualian Cloud" dalam Undang-Undang Perlindungan Informasi Pribadi? Penjelasan Berdasarkan Contoh Nyata Arahan Administratif yang Diterima oleh Penyedia Layanan Cloud.

Apa itu "Pengecualian Cloud" dalam Undang-Undang Perlindungan Informasi Pribadi? Penjelasan Berdasarkan Contoh Nyata Arahan Administratif yang Diterima oleh Penyedia Layanan Cloud.

IT

Apa itu

Pelaku usaha yang menangani informasi pribadi di Jepang tunduk pada berbagai regulasi dalam penanganan informasi tersebut berdasarkan Undang-Undang Perlindungan Informasi Pribadi Jepang. Informasi pribadi kita sangat terkait dengan privasi dan mencakup informasi penting terkait ciri-ciri fisik serta kekayaan, sehingga wajar jika aturan ketat telah ditetapkan.

Namun, dalam hukum ini juga terdapat beberapa pengecualian. Salah satunya adalah yang disebut sebagai ‘pengecualian cloud’.

Lantas, apa itu ‘pengecualian cloud’? Artikel ini akan menjelaskan secara terperinci tentang gambaran umum ‘pengecualian cloud’ dan kondisi-kondisi penerapannya berdasarkan kasus MK System yang menerima arahan administratif pada tahun Reiwa 6 (2024).

Prinsip dan Pengecualian dalam Penyediaan Data Pribadi kepada Pihak Ketiga di Bawah Hukum Jepang

Prinsip dan Pengecualian dalam Penyediaan Data Pribadi kepada Pihak Ketiga di Bawah Hukum Jepang

Pertama-tama, mari kita periksa prinsip dan pengecualian yang berlaku dalam penyediaan data pribadi kepada pihak ketiga menurut Undang-Undang Perlindungan Data Pribadi Jepang.

Prinsip Perlindungan Data Pribadi Saat Menyediakan Data Kepada Pihak Ketiga Menurut Undang-Undang Perlindungan Informasi Pribadi Jepang

Saat pengusaha yang menangani informasi pribadi menggunakan layanan cloud, mereka dianggap ‘menyerahkan sebagian atau seluruh pengelolaan data pribadi’ sesuai dengan Pasal 27 Ayat (5) Poin 1 Undang-Undang Perlindungan Informasi Pribadi Jepang (平成17年 (2005)), dan sesuai dengan prinsip yang diatur dalam Pasal 25, mereka harus melakukan pengawasan yang diperlukan dan tepat terhadap penyedia layanan cloud tersebut.

Apa Itu Pengecualian Cloud di Bawah Hukum Jepang

Pengecualian yang disebut-sebut ini adalah “Pengecualian Cloud”.

Dalam konteks ini, “Penyedia Layanan Cloud” merujuk pada perusahaan yang menyediakan infrastruktur IT seperti penyimpanan dan server (IaaS/PaaS), dan menawarkan layanan untuk menyimpan dan memproses data pihak lain melalui internet. Berikut adalah beberapa contoh penyedia layanan tersebut:

  • Amazon Web Services (AWS): Disediakan oleh Amazon Amerika dan banyak digunakan oleh perusahaan-perusahaan Jepang.
  • Microsoft Azure: Layanan infrastruktur cloud dari Microsoft dengan banyak kasus penggunaan di lembaga pemerintahan.
  • Google Cloud Platform (GCP): Disediakan oleh Google dengan keunggulan dalam AI dan pemrosesan big data.

Pengecualian Cloud menjadi masalah ketika penyedia layanan SaaS (Software as a Service) yang mengembangkan sistem di atas infrastruktur cloud (IaaS atau PaaS) ini menangani data pribadi.

Dalam Q&A tentang “Pedoman terkait Undang-Undang Perlindungan Informasi Pribadi” yang dikeluarkan oleh Komisi Perlindungan Informasi Pribadi, terdapat penjelasan sebagai berikut mengenai penyedia layanan cloud:

(Ketika tidak dianggap sebagai pihak ketiga) Q7-53 Apakah perlu mendapatkan “persetujuan dari subjek data” (Pasal 27 Ayat 1) ketika penyelenggara bisnis yang menangani informasi pribadi menggunakan sistem informasi yang menangani data elektronik yang mengandung data pribadi melalui kontrak layanan cloud dengan penyedia layanan eksternal? Atau, apakah perlu mengawasi penyedia layanan cloud berdasarkan Pasal 25 karena “menyerahkan sebagian atau seluruh penanganan data pribadi” (Pasal 27 Ayat 5 Nomor 1)?

A7-53 Meskipun ada berbagai bentuk layanan cloud, apakah penggunaan layanan cloud dianggap sebagai penyediaan kepada pihak ketiga yang memerlukan persetujuan dari subjek data (Pasal 27 Ayat 1) atau sebagai penyerahan (Pasal 27 Ayat 5 Nomor 1) tergantung tidak pada apakah data elektronik yang disimpan mengandung data pribadi, tetapi apakah penyedia layanan cloud menangani data pribadi tersebut. Jika penyedia layanan cloud tidak menangani data pribadi tersebut, maka penyelenggara bisnis yang menangani informasi pribadi tidak dianggap telah menyediakan data pribadi, sehingga tidak perlu mendapatkan “persetujuan dari subjek data”. Selain itu, dalam kasus tersebut, karena tidak dianggap telah menyediakan data pribadi, hal itu juga tidak termasuk dalam “menyerahkan sebagian atau seluruh penanganan data pribadi … yang disediakan” (Pasal 27 Ayat 5 Nomor 1), dan tidak ada kewajiban untuk mengawasi penyedia layanan cloud berdasarkan Pasal 25. Untuk panduan tentang langkah-langkah manajemen keamanan oleh penyelenggara bisnis yang menangani informasi pribadi ketika penyedia layanan cloud tidak menangani data pribadi tersebut, lihat Q7-54. Situasi di mana penyedia layanan cloud tidak menangani data pribadi tersebut dapat termasuk ketika hal tersebut ditetapkan dalam klausa kontrak bahwa penyedia layanan eksternal tidak akan menangani data pribadi yang disimpan di server dan ketika kontrol akses yang tepat dilakukan. Untuk hubungan dengan Pasal 28, lihat Q12-3.

Q&A tentang Pedoman terkait Undang-Undang Perlindungan Informasi Pribadi[ja]|Komisi Perlindungan Informasi Pribadi

Dengan demikian, pengguna layanan cloud di Jepang tidak perlu mengawasi penyedia layanan cloud jika memenuhi kriteria pengecualian. Untuk memenuhi kriteria “dalam kasus di mana data pribadi tersebut tidak ditangani”, ada dua syarat yang diperlukan:

  • Klausa kontrak yang menetapkan bahwa penyedia layanan eksternal tidak akan menangani data pribadi yang disimpan di server
  • Implementasi kontrol akses yang tepat

Arahan Administratif kepada MK System Co., Ltd. Mengenai Perlindungan Data Pribadi di Jepang

Pada tanggal 25 Maret tahun Reiwa 6 (2024), Komisi Perlindungan Informasi Pribadi Jepang telah memberikan arahan berdasarkan Pasal 147 Undang-Undang Perlindungan Informasi Pribadi kepada MK System Co., Ltd. terkait dengan kebocoran informasi berskala besar yang melibatkan sekitar 7,5 juta orang. Sebagai tindak lanjut dari insiden ini, Komisi Perlindungan Informasi Pribadi telah mengeluarkan peringatan yang berjudul “Poin-Poin yang Perlu Diperhatikan oleh Penyedia Layanan Cloud yang Terkait dengan Pengelolaan Informasi Pribadi di Bawah Undang-Undang Perlindungan Informasi Pribadi Jepang”.

Referensi: Komisi Perlindungan Informasi Pribadi|Peringatan Mengenai Poin-Poin yang Perlu Diperhatikan oleh Penyedia Layanan Cloud yang Terkait dengan Pengelolaan Informasi Pribadi di Bawah Undang-Undang Perlindungan Informasi Pribadi[ja]

Mari kita tinjau arahan administratif yang diberikan kepada MK System Co., Ltd. terkait dengan pengecualian cloud dalam Undang-Undang Perlindungan Informasi Pribadi Jepang.

Ringkasan Kasus

Perusahaan MK System telah membangun sistem dukungan untuk operasi asuransi sosial dan manajemen sumber daya manusia dengan menggunakan server Tencent Cloud di China, dan menyediakan layanan kepada pengguna seperti kantor konsultan sosial dan tenaga kerja.

Pada bulan Juni tahun Reiwa 5 (2023), server tersebut mengalami akses ilegal, dan timbul kekhawatiran akan kebocoran data pribadi yang dikelola (seperti nama, tanggal lahir, jenis kelamin, alamat, nomor asuransi pensiun dasar, nomor asuransi pekerjaan, dan My Number dari karyawan perusahaan dan tempat usaha yang merupakan klien dari konsultan sosial dan tenaga kerja).

Hubungan antara ketiga perusahaan ini, jika diterapkan pada pedoman, adalah sebagai berikut:

Posisi menurut PedomanPelaku UsahaIsi
Pemberi TugasPengguna seperti konsultan sosial dan tenaga kerja (Pengusaha yang menangani informasi pribadi)Bertanggung jawab atas data pribadi klien (perusahaan atau individu)
Penerima TugasMK System Co., Ltd.Menyediakan sistem yang menggantikan dan mendukung tugas konsultan sosial dan tenaga kerja di cloud. Bertindak berdasarkan instruksi klien untuk memproses data pribadi
Penerima SubkontrakTencent Cloud (China)MK System menugaskan infrastruktur cloud. Berpotensi termasuk dalam penyediaan ke luar negeri

Komisi Perlindungan Data Pribadi Jepang telah memutuskan bahwa ada kekurangan dalam langkah-langkah manajemen keamanan teknis yang diambil oleh MK System.

Isi Arahan Administratif

Dari Komisi Perlindungan Data Pribadi Jepang, arahan administratif telah diberikan berdasarkan ketentuan Pasal 147 Undang-Undang Perlindungan Data Pribadi Jepang dan pengumpulan laporan berdasarkan ketentuan Pasal 146 Ayat (1) dari Undang-Undang yang sama.

Peringatan dari Komisi Perlindungan Data Pribadi Jepang

Bersamaan dengan itu, Komisi Perlindungan Data Pribadi Jepang telah mengumumkan “Tentang Poin-Poin yang Perlu Diperhatikan oleh Penyedia Layanan Cloud yang Terkait dengan Pengelolaan Data Pribadi Menurut Undang-Undang Perlindungan Data Pribadi (Peringatan)[ja]“.

Peringatan ini terutama ditujukan kepada pihak yang menggunakan layanan cloud, untuk menentukan apakah penggunaan layanan cloud tersebut termasuk dalam pengalihan pengelolaan data pribadi (sesuai dengan Pasal 27 Ayat 5 Poin 1 dari Undang-Undang Perlindungan Data Pribadi). Jika termasuk dalam pengalihan, maka pengguna layanan cloud yang merupakan pengelola data pribadi harus melakukan pengawasan yang diperlukan dan tepat terhadap pihak yang diberi tugas tersebut.

Untuk sistem MK, tidak diakui adanya pengecualian cloud dan dianggap sebagai pengelola data pribadi, sehingga diperlukan pengawasan yang tepat dalam pengelolaan data pribadi, berdasarkan tiga poin berikut:

  • Dalam syarat penggunaan, diatur bahwa penyedia layanan cloud dapat melakukan tindakan yang diperlukan seperti pemantauan, analisis, dan penyelidikan terhadap data, jika dianggap perlu untuk pemeliharaan dan operasional, serta tidak boleh menggunakan atau mengungkapkan data pada sistem kepada pihak ketiga tanpa izin, kecuali dalam beberapa kasus tertentu, yang memungkinkan penyedia layanan cloud menggunakan data pribadi pengguna layanan cloud dalam situasi tertentu.
  • Penyedia layanan cloud memiliki ID pemeliharaan dan berada dalam kondisi yang memungkinkan akses ke data pribadi pengguna layanan cloud, tanpa adanya tindakan pengendalian akses teknis yang diperlukan untuk mencegah penanganan tersebut.
  • Setelah melakukan pertukaran surat konfirmasi dengan pengguna layanan cloud, penyedia layanan cloud tersebut benar-benar mengelola data pribadi pengguna layanan cloud.
Tentang Poin-Poin yang Perlu Diperhatikan oleh Penyedia Layanan Cloud yang Terkait dengan Pengelolaan Data Pribadi Menurut Undang-Undang Perlindungan Data Pribadi (Peringatan)|Komisi Perlindungan Data Pribadi Jepang[ja]

Hal yang Perlu Diperhatikan oleh Penyedia Layanan Cloud di Jepang

Hal yang Perlu Diperhatikan oleh Penyedia Layanan Cloud

Mengingat masalah hukum dan arahan administratif yang telah dijelaskan sebelumnya, apa yang harus diperhatikan oleh penyedia layanan cloud (dalam contoh sebelumnya, ini merujuk pada MK System)?

Melakukan Pemeriksaan Ulang untuk Memastikan Pemenuhan Persyaratan Pengecualian Cloud

Pertama-tama, lakukan pemeriksaan ulang untuk memastikan bahwa layanan yang Anda tawarkan memenuhi persyaratan pengecualian cloud.

Menanggapi peringatan dari Komisi Perlindungan Data Pribadi, para pengguna layanan cloud mungkin akan meninjau kembali apakah penyedia layanan cloud yang mereka gunakan memenuhi persyaratan pengecualian cloud.

Oleh karena itu, penyedia layanan cloud juga harus memastikan bahwa mereka telah memenuhi persyaratan pengecualian cloud dengan melakukan pemeriksaan ulang.

Jika Tidak Memenuhi Persyaratan Pengecualian Cloud, Harus Menanggapi Pengawasan dari Pihak yang Mengontrak

Jika tidak memenuhi persyaratan pengecualian cloud, Anda harus menanggapi pengawasan dari pengguna layanan cloud (dalam hal ini, kantor konsultan tenaga kerja dan perusahaan yang menggunakan layanan yang disediakan oleh MK System).

Pengawasan dari pengguna layanan cloud dapat mencakup tindakan-tindakan berikut yang tercantum dalam Pedoman Perlindungan Data Pribadi (Bagian Umum) 3-4-4 Pengawasan Pihak yang Dikontrak (terkait dengan Pasal 25 Undang-Undang):

  • Memilih pihak yang dikontrak dengan tepat: Perlu memastikan bahwa tindakan pengamanan yang diambil oleh pihak yang dikontrak setara dengan yang diwajibkan oleh Pasal 23 dan pedoman ini kepada pihak yang mengontrak.
  • Menyusun kontrak pengawasan: Disarankan untuk membuat kontrak yang memungkinkan pihak yang mengontrak untuk secara rasional memahami bagaimana data pribadi yang dikontrakkan ditangani.
  • Memahami bagaimana data pribadi ditangani oleh pihak yang dikontrak: Secara berkala melakukan audit untuk menilai secara tepat.

Jika tindakan pengamanan yang diambil oleh pihak yang dikontrak tidak memadai, ada kemungkinan kontrak akan dihentikan, dan mereka mungkin akan dipaksa untuk mengambil tindakan pengamanan yang diperlukan atau menanggapi audit berkala.

Kesimpulan: Konsultasikan Perlindungan Data Pribadi pada Layanan Cloud kepada Pengacara

Dalam artikel ini, kami telah menjelaskan risiko yang dihadapi oleh penyedia layanan cloud ketika mereka tidak memenuhi pengecualian cloud, berdasarkan arahan administratif yang diterbitkan oleh Komisi Perlindungan Data Pribadi Jepang pada Maret 2025 (2025年3月).

Sebagai reaksi terhadap kebocoran informasi ini, Komisi Perlindungan Data Pribadi Jepang telah mengeluarkan peringatan kepada pengguna layanan cloud. Peringatan ini tidak hanya penting bagi pengguna layanan cloud, tetapi juga bagi perusahaan penyedia layanan cloud untuk meninjau layanan yang mereka tawarkan dan memperhatikan beban yang mungkin timbul.

Mengingat arahan administratif ini, jika Anda merasa tidak yakin tentang risiko apa yang dihadapi perusahaan Anda dan tindakan apa yang perlu diambil, kami menyarankan Anda untuk berkonsultasi dengan seorang pengacara.

Panduan Tindakan Hukum oleh Monolith Law Office

Monolith Law Office adalah firma hukum yang memiliki pengalaman luas dalam IT, khususnya internet dan hukum. Di era saat banyak perusahaan IT menggunakan cloud seperti AWS untuk mengembangkan bisnisnya, kebocoran informasi pribadi menjadi salah satu aspek manajemen risiko yang tidak dapat diabaikan dalam operasional bisnis. Jika terjadi kebocoran informasi pribadi, hal itu dapat berdampak fatal pada aktivitas perusahaan. Firma kami memiliki keahlian khusus dalam pencegahan dan penanganan kebocoran informasi. Detailnya dapat Anda temukan dalam artikel di bawah ini.

Bidang layanan Monolith Law Office: Layanan Hukum Terkait Perlindungan Informasi Pribadi di Jepang[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Sejauh Mana Fungsi yang Tidak Tercantum dalam Spesifikasi Pengembangan Sistem Harus Diimplementasikan Menurut Hukum?

Sejauh Mana Fungsi yang Tidak Tercantum dalam Spesifikasi Pengembangan Sistem Harus Diimplementa.

IT

Kontrak yang Harus Dibuat Sebelumnya oleh Insinyur Pribadi dalam Bisnis Bersama dengan Perusahaan

Kontrak yang Harus Dibuat Sebelumnya oleh Insinyur Pribadi dalam Bisnis Bersama dengan Perusahaa.

IT

Masalah Hukum yang Muncul dalam Migrasi dari Sistem Lama ke Sistem Baru dalam Pengembangan Sistem

Masalah Hukum yang Muncul dalam Migrasi dari Sistem Lama ke Sistem Baru dalam Pengembangan Siste.

IT

Apa itu Mekanisme Penyelesaian Sengketa terkait Permintaan Transfer Domain?

Apa itu Mekanisme Penyelesaian Sengketa terkait Permintaan Transfer Domain?

IT

Apakah Menghasilkan

Apakah Menghasilkan "Suara" dengan AI Bisa Menjadi Pelanggaran Hak Cipta? (#1 Edisi Pengembangan.

IT

Apakah Jasa Ulasan Google Itu Ilegal? Penjelasan Tentang Hubungannya dengan Undang-Undang Penyajian Hadiah dan Sanksi Hukumannya

Apakah Jasa Ulasan Google Itu Ilegal? Penjelasan Tentang Hubungannya dengan Undang-Undang Penyaj.

IT

Risiko dan Tindakan Pencegahan dalam Penggunaan Perpustakaan dalam Pembangunan Sistem Bisnis

Risiko dan Tindakan Pencegahan dalam Penggunaan Perpustakaan dalam Pembangunan Sistem Bisnis

IT

Menerangkan Penerapan Hukum Subkontrak pada Pengembangan Sistem dan Sanksi saat Melanggar

Menerangkan Penerapan Hukum Subkontrak pada Pengembangan Sistem dan Sanksi saat Melanggar

IT

Apa itu Pedoman Kontrak Penggunaan AI? Penjelasan Detail tentang Klausul untuk Mencegah Masalah Sebelum Terjadi

Apa itu Pedoman Kontrak Penggunaan AI? Penjelasan Detail tentang Klausul untuk Mencegah Masalah .

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Kembali ke atas