Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Che cos'è l''eccezione cloud' nella legge sulla protezione dei dati personali? Spiegazione basata su un caso reale di guida amministrativa ricevuta da un fornitore di servizi cloud.

Che cos'è l''eccezione cloud' nella legge sulla protezione dei dati personali? Spiegazione basata su un caso reale di guida amministrativa ricevuta da un fornitore di servizi cloud.

IT

Che cos'è l''eccezione cloud' nella legge sulla protezione dei dati personali? Spiegazione basata su un caso reale di guida amministrativa ricevuta da un fornitore di servizi cloud.

Gli operatori che trattano dati personali sono soggetti a varie regolamentazioni nel trattamento di tali informazioni in base alla Legge sulla Protezione dei Dati Personali giapponese. I nostri dati personali sono strettamente legati alla privacy e includono informazioni importanti relative a caratteristiche fisiche e patrimoniali, quindi è naturale che siano stabilite regole rigorose.

Tuttavia, questa legge prevede alcune eccezioni. Una di queste è quella conosciuta come “eccezione cloud”.

Ma cosa significa esattamente “eccezione cloud”? In questo articolo, prendendo come esempio il caso della MK System, che ha ricevuto orientamenti amministrativi nell’anno Reiwa 6 (2024), spiegheremo in modo chiaro e comprensibile l’essenza dell'”eccezione cloud” e le condizioni per la sua applicazione.

Principi ed eccezioni nella fornitura di dati personali a terzi secondo la legge giapponese

Principi ed eccezioni nella fornitura di dati personali a terzi secondo la legge giapponese

Iniziamo con il verificare i principi e le eccezioni relativi alla fornitura di dati personali a terzi secondo la Legge sulla Protezione dei Dati Personali in Giappone.

Principi della Legge sulla Protezione dei Dati Personali in Giappone quando si forniscono dati personali a terzi

Quando un operatore che gestisce dati personali utilizza servizi cloud, si considera che “affidi tutto o parte del trattamento dei dati personali” (articolo 27, paragrafo 5, punto 1 della Legge sulla Protezione dei Dati Personali), e secondo l’articolo 25 della stessa legge, è un principio fondamentale che debba esercitare una supervisione necessaria e appropriata sul fornitore del servizio cloud.

Cos’è l’eccezione cloud

Questa eccezione è nota come “eccezione cloud”.

I “fornitori di servizi cloud” in questo contesto si riferiscono principalmente alle aziende che forniscono infrastrutture IT come storage e server (IaaS/PaaS) e gestiscono, conservano ed elaborano dati di altre aziende tramite Internet. Esempi specifici di tali fornitori includono:

  • Amazon Web Services (AWS): fornito dalla statunitense Amazon, ampiamente adottato da molte aziende giapponesi.
  • Microsoft Azure: servizio di infrastruttura cloud di Microsoft, con numerosi casi di adozione da parte di enti governativi.
  • Google Cloud Platform (GCP): offerto da Google, con punti di forza nell’IA e nell’elaborazione di big data.

L'”eccezione cloud” diventa rilevante quando i fornitori di servizi di tipo SaaS (Software as a Service), che sviluppano sistemi sull’infrastruttura cloud (IaaS o PaaS) e li forniscono ai clienti, gestiscono dati personali.

Secondo le domande e risposte sulle linee guida relative alla “Legge sulla protezione dei dati personali” della Commissione per la protezione delle informazioni personali, al punto 7-53 si afferma quanto segue:

(Quando non si tratta di un terzo) Q7-53 Se un operatore che gestisce dati personali utilizza un sistema informativo che tratta dati elettronici contenenti dati personali, come nel caso di un contratto di servizi cloud con un’azienda esterna, è necessario ottenere il “consenso dell’interessato” (articolo 27, paragrafo 1) come se i dati personali fossero stati forniti a un terzo? Oppure, si tratta di un “affidamento totale o parziale della gestione dei dati personali” (articolo 27, paragrafo 5, punto 1), richiedendo così la supervisione del fornitore di servizi cloud in base all’articolo 25?

A7-53 Esistono molte forme diverse di servizi cloud, ma se il loro utilizzo costituisce una fornitura a terzi che richiede il consenso dell’interessato (articolo 27, paragrafo 1) o un affidamento (articolo 27, paragrafo 5, punto 1) dipende non dal fatto che i dati elettronici conservati includano dati personali, ma se il fornitore di servizi cloud gestisce effettivamente i dati personali. Se il fornitore di servizi cloud non gestisce i dati personali, l’operatore che gestisce dati personali non è considerato aver fornito tali dati, quindi non è necessario ottenere il consenso dell’interessato. Inoltre, in tale caso, non si considera che i dati personali siano stati forniti, quindi non si applica la situazione di “affidamento totale o parziale della gestione dei dati personali… forniti in tale contesto” (articolo 27, paragrafo 5, punto 1), e non vi è l’obbligo di supervisionare il fornitore di servizi cloud in base all’articolo 25. Per quanto riguarda le misure di sicurezza che l’operatore che gestisce dati personali dovrebbe adottare quando il fornitore di servizi cloud non gestisce i dati personali, si veda Q7-54. Un esempio di situazione in cui il fornitore di servizi cloud non gestisce i dati personali è quando i termini contrattuali stabiliscono che l’azienda esterna non gestirà i dati personali conservati sui server e quando sono in atto controlli di accesso appropriati. Per la relazione con l’articolo 28, si veda Q12-3.

Domande e risposte sulle linee guida relative alla “Legge sulla protezione dei dati personali”[ja]|Commissione per la protezione delle informazioni personali

In altre parole, quando gli utenti dei servizi cloud utilizzano tali servizi, non è necessario supervisionare il fornitore di servizi cloud se vengono soddisfatti i requisiti dell’eccezione. Per qualificarsi per l'”eccezione cloud”, sono necessari i seguenti due requisiti:

  • I termini contrattuali stabiliscono che l’azienda esterna non gestirà i dati personali conservati sui server
  • Sono in atto controlli di accesso appropriati

Istruzioni amministrative alla MK System Corporation sotto la legge giapponese sulla protezione dei dati personali

Il 25 marzo del sesto anno dell’era Reiwa (2024), la Commissione per la Protezione dei Dati Personali del Giappone ha emesso istruzioni alla MK System Corporation in base all’articolo 147 della legge giapponese sulla protezione dei dati personali. Questa azione è stata intrapresa in seguito a una violazione dei dati su larga scala che ha interessato circa 7,5 milioni di persone. In risposta a questo incidente, la Commissione ha pubblicato un avviso intitolato “Punti da notare quando i fornitori di servizi cloud sono considerati gestori di dati personali secondo la legge sulla protezione dei dati personali”.

Riferimento: Commissione per la Protezione dei Dati Personali|Avviso sui punti da notare quando i fornitori di servizi cloud sono considerati gestori di dati personali secondo la legge sulla protezione dei dati personali[ja]

Esaminiamo le istruzioni amministrative emesse alla MK System Corporation riguardo l’eccezione cloud nella legge giapponese sulla protezione dei dati personali.

Sommario del caso

La società MK System Co., Ltd. ha costruito un sistema di supporto per le operazioni di assicurazione sociale e gestione del personale utilizzando i server di Tencent Cloud in Cina e ha fornito servizi agli utenti come gli uffici dei consulenti del lavoro.

Nel giugno del quinto anno dell’era Reiwa (2023), il server è stato soggetto ad accessi non autorizzati, e c’è stata la possibilità di una fuga di dati personali gestiti (nomi, date di nascita, sesso, indirizzi, numeri di pensione di base, numeri di assicurazione per l’impiego e My Number, ecc. di dipendenti di aziende e uffici clienti dei consulenti del lavoro).

Applicando le linee guida alla relazione tra queste tre entità, otteniamo il seguente schema:

Posizione secondo le linee guidaOperatoreContenuto
CommittenteUtilizzatori come consulenti del lavoro (gestori di dati personali)Responsabili della gestione dei dati personali dei clienti (aziende e individui)
AppaltatoreMK System Co., Ltd.Fornisce un sistema che sostituisce e supporta le attività dei consulenti del lavoro nel cloud. Responsabile dell’elaborazione dei dati personali secondo le istruzioni del cliente
SubappaltatoreTencent Cloud (Cina)Il sistema MK delega l’infrastruttura cloud. Potenziale corrispondenza con la fornitura all’estero

La Commissione per la protezione dei dati personali ha giudicato che vi erano carenze nelle misure di gestione della sicurezza tecnica di MK System.

Contenuto della guida amministrativa

Dalla Commissione per la Protezione delle Informazioni Personali è stata effettuata una guida amministrativa che comprende l’orientamento basato sull’articolo 147 della Legge sulla Protezione delle Informazioni Personali del Giappone e la raccolta di rapporti secondo l’articolo 146, paragrafo 1, della stessa legge.

Avviso della Commissione per la Protezione delle Informazioni Personali

La Commissione per la Protezione delle Informazioni Personali ha pubblicato un avviso riguardante i “Punti di attenzione per i fornitori di servizi cloud che rientrano nella categoria di operatori di trattamento di dati personali secondo la legge sulla protezione dei dati personali (Avviso)[ja]“.

Questo avviso è principalmente indirizzato alle parti che utilizzano i servizi cloud, affinché valutino se l’uso di tali servizi rientri nella delega del trattamento dei dati personali (articolo 27, paragrafo 5, punto 1 della legge sulla protezione dei dati personali) e, nel caso in cui si applichi la delega, gli operatori di trattamento di dati personali che utilizzano i servizi cloud devono esercitare la necessaria e appropriata supervisione sui fornitori a cui hanno delegato.

Per quanto riguarda il sistema MK, non è stata riconosciuta l’eccezione per i servizi cloud e, essendo considerato un operatore di trattamento di dati personali, è richiesta un’adeguata supervisione poiché tratta dati personali.

  • Nelle condizioni d’uso è previsto che il fornitore di servizi cloud possa eseguire azioni necessarie come monitoraggio, analisi e indagini sui dati, ecc., quando ritenuto necessario per manutenzione e operatività, e che, salvo in casi specifici, non possa utilizzare o divulgare i dati sul sistema senza autorizzazione né renderli disponibili a terzi.
  • Il fornitore di servizi cloud detiene un ID di manutenzione che gli consente di accedere ai dati personali degli utenti del servizio cloud, e non sono state adottate misure di controllo di accesso tecnico per prevenire tale trattamento.
  • Dopo aver scambiato una conferma scritta con l’utente del servizio cloud, il fornitore ha effettivamente trattato i dati personali dell’utente.
Punti di attenzione per i fornitori di servizi cloud che rientrano nella categoria di operatori di trattamento di dati personali secondo la legge sulla protezione dei dati personali (Avviso)|Commissione per la Protezione delle Informazioni Personali[ja]

Punti di attenzione per i fornitori di servizi cloud in Giappone

Punti di attenzione per i fornitori di servizi cloud in Giappone

Tenendo conto dei problemi legali e delle direttive amministrative e degli avvisi di cui abbiamo discusso finora, quali sono le precauzioni che i fornitori di servizi cloud dovrebbero prendere in Giappone? (ad esempio, MK System).

Riesaminare se si soddisfano i requisiti dell’eccezione per i servizi cloud

Innanzitutto, è necessario riesaminare se il servizio fornito dalla propria azienda soddisfa i requisiti dell’eccezione per i servizi cloud.

In seguito agli avvisi della Commissione per la Protezione delle Informazioni Personali, è prevedibile che gli utilizzatori di servizi cloud verifichino se i fornitori di tali servizi soddisfano i requisiti dell’eccezione per i servizi cloud.

Di conseguenza, anche i fornitori di servizi cloud dovrebbero assicurarsi di riesaminare se soddisfano correttamente i requisiti dell’eccezione per i servizi cloud.

Se non si soddisfano i requisiti dell’eccezione per i servizi cloud, è necessario rispondere alla supervisione del committente

Se non si soddisfano i requisiti dell’eccezione per i servizi cloud, sarà necessario rispondere alla supervisione da parte degli utilizzatori del servizio cloud (in questo caso, gli uffici di consulenza del lavoro e le aziende che utilizzano i servizi forniti da MK System).

La supervisione da parte degli utilizzatori del servizio cloud può includere le seguenti azioni, come descritto nelle linee guida relative alla legge sulla protezione delle informazioni personali (Parte Generale) 3-4-4 Supervisione del committente (relativa all’articolo 25 della legge):

  • Selezione appropriata del committente: è necessario verificare che le misure di sicurezza del committente siano equivalenti a quelle richieste dalla legge all’articolo 23 e dalle presenti linee guida.
  • Stipulazione del contratto di commissione: è auspicabile che il contratto includa la possibilità per il committente di comprendere in modo ragionevole la situazione del trattamento dei dati personali affidati.
  • Comprensione della situazione del trattamento dei dati personali da parte del committente: valutare adeguatamente attraverso audit periodici.

Se le misure di sicurezza del committente sono inadeguate, potrebbe esserci il rischio che il contratto venga rescisso, oltre alla possibilità di essere obbligati a implementare le necessarie misure di sicurezza o a sottoporsi a audit periodici.

Riepilogo: Consultare un avvocato per la protezione dei dati personali sui servizi cloud

In questo articolo, abbiamo esaminato i rischi per i fornitori di servizi cloud che non soddisfano le eccezioni previste dal cloud, basandoci sulle linee guida amministrative pubblicate dalla Commissione per la Protezione dei Dati Personali in Giappone (Personal Information Protection Commission) nel marzo 2025 (2025年3月).

A seguito di una violazione dei dati in questione, la Commissione per la Protezione dei Dati Personali in Giappone ha emesso un avviso di cautela agli utenti dei servizi cloud. Questo avviso riguarda non solo gli utenti dei servizi cloud, ma anche le aziende che forniscono tali servizi, le quali devono rivedere i servizi offerti e prestare attenzione ai possibili oneri che potrebbero sorgere.

Alla luce di questa guida amministrativa, se avete preoccupazioni riguardo ai rischi che la vostra azienda potrebbe correre e alle misure che potrebbero essere necessarie, si consiglia di consultare un avvocato.

Presentazione delle strategie del nostro studio legale

Lo Studio Legale Monolith vanta una vasta esperienza sia nel settore IT, in particolare in quello di Internet, sia nel campo legale. In un’epoca in cui molte aziende IT utilizzano servizi cloud come AWS per espandere le loro attività, la gestione del rischio legato alla perdita di dati personali è diventata un aspetto fondamentale. Una fuga di informazioni può avere effetti devastanti sull’attività aziendale. Il nostro studio possiede una conoscenza specialistica nella prevenzione e nelle strategie di risposta alle perdite di dati. Troverete maggiori dettagli nell’articolo sottostante.

Aree di competenza dello Studio Legale Monolith: Servizi legali correlati alla protezione dei dati personali secondo la legge giapponese[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Cosa sono gli obblighi di cooperazione che l'utente, in qualità di committente dello sviluppo del sistema, deve assumere

Cosa sono gli obblighi di cooperazione che l'utente, in qualità di committente dello sviluppo de.

IT

Quali sono i rischi di perdita di informazioni con ChatGPT? Introduzione a quattro misure preventive da adottare

Quali sono i rischi di perdita di informazioni con ChatGPT? Introduzione a quattro misure preven.

IT

【Flash News】La Commissione per la Protezione dei Dati Personali giapponese mette in guardia sull'uso di ChatGPT

【Flash News】La Commissione per la Protezione dei Dati Personali giapponese mette in guardia sull.

IT

Cosa sono le differenze tra STO e ICO? Spiegazione del concetto di token di sicurezza e del significato di STO

Cosa sono le differenze tra STO e ICO? Spiegazione del concetto di token di sicurezza e del sign.

IT

Che cos'è l'IA generativa? Spiegazione chiara dei tipi, vantaggi e metodi di utilizzo

Che cos'è l'IA generativa? Spiegazione chiara dei tipi, vantaggi e metodi di utilizzo

IT

Contratto che un ingegnere individuale dovrebbe preparare in anticipo per un'impresa congiunta con un'azienda

Contratto che un ingegnere individuale dovrebbe preparare in anticipo per un'impresa congiunta c.

IT

Qual è l'entità della responsabilità dei fornitori per i prodotti consegnati che includono software open source (OSS)? Spiegazione delle responsabilità civili e delle contromisure per ogni tipo di contratto.

Qual è l'entità della responsabilità dei fornitori per i prodotti consegnati che includono softw.

IT

Quali sono le leggi relative all'abbandono dei membri di un progetto di sviluppo di sistemi?

Quali sono le leggi relative all'abbandono dei membri di un progetto di sviluppo di sistemi?

IT

Cosa sono i meccanismi del processo riguardanti la richiesta di trasferimento di dominio?

Cosa sono i meccanismi del processo riguardanti la richiesta di trasferimento di dominio?

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su