Melayu English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ms/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hari Minggu 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Apakah 'Pengecualian Awan' dalam Undang-Undang Perlindungan Maklumat Peribadi? Penjelasan Berdasarkan Contoh Arahan Pentadbiran yang Diterima oleh Penyedia Perkhidmatan Awan

Apakah 'Pengecualian Awan' dalam Undang-Undang Perlindungan Maklumat Peribadi? Penjelasan Berdasarkan Contoh Arahan Pentadbiran yang Diterima oleh Penyedia Perkhidmatan Awan

IT

Apakah 'Pengecualian Awan' dalam Undang-Undang Perlindungan Maklumat Peribadi? Penjelasan Berdasarkan Contoh Arahan Pentadbiran yang Diterima oleh Penyedia Perkhidmatan Awan

Pengendali perniagaan yang mengendalikan maklumat peribadi di Jepun tertakluk kepada pelbagai peraturan di bawah Akta Perlindungan Maklumat Peribadi Jepun. Maklumat peribadi kita sangat berkaitan dengan privasi dan termasuk maklumat penting mengenai ciri-ciri fizikal dan harta benda, oleh itu, adalah wajar bahawa peraturan yang ketat telah ditetapkan.

Namun, terdapat beberapa pengecualian dalam undang-undang ini. Salah satunya dikenali sebagai ‘pengecualian awan’.

Jadi, apakah ‘pengecualian awan’ itu? Artikel ini akan menjelaskan secara terperinci mengenai gambaran umum ‘pengecualian awan’ dan syarat-syarat aplikasinya berdasarkan kes MK System yang menerima arahan pentadbiran pada tahun Reiwa 6 (2024).

Prinsip dan Penkecualian dalam Penyediaan Data Peribadi kepada Pihak Ketiga di Bawah Undang-Undang Perlindungan Data Peribadi Jepun

Prinsip dan Penkecualian dalam Penyediaan Data Peribadi kepada Pihak Ketiga di Bawah Undang-Undang Perlindungan Data Peribadi Jepun

Mari kita mulakan dengan mengkaji prinsip dan pengecualian yang terdapat dalam Undang-Undang Perlindungan Data Peribadi Jepun apabila menyediakan data peribadi kepada pihak ketiga.

Prinsip Perlindungan Data Peribadi Menurut Undang-Undang Perlindungan Data Peribadi Jepun Apabila Menyediakan Data Kepada Pihak Ketiga

Apabila pengendali perniagaan data peribadi menggunakan perkhidmatan awan, mereka dianggap ‘menyerahkan sebahagian atau keseluruhan pengendalian data peribadi’ (menurut Artikel 27, Perenggan 5, Butir 1 Undang-Undang Perlindungan Data Peribadi Jepun), dan menurut prinsip yang ditetapkan dalam Artikel 25 Undang-Undang Perlindungan Data Peribadi Jepun, mereka wajib melakukan pengawasan yang perlu dan sesuai terhadap penyedia perkhidmatan awan tersebut.

Apakah Penkecualian Awan (Cloud Exception)

Penkecualian yang dimaksudkan di sini adalah apa yang dikenali sebagai ‘Penkecualian Awan’.

Dalam konteks ini, ‘Penyedia Perkhidmatan Awan’ merujuk kepada syarikat yang menyediakan infrastruktur IT seperti storan dan pelayan (IaaS/PaaS), dan mengurus, menyimpan, dan memproses data pihak lain melalui internet. Penyedia perkhidmatan ini termasuklah:

  • Amazon Web Services (AWS): Disediakan oleh Amazon Amerika dan banyak digunakan oleh syarikat-syarikat Jepun.
  • Microsoft Azure: Perkhidmatan asas awan yang disediakan oleh Microsoft, dengan banyak kes penggunaan dalam agensi kerajaan.
  • Google Cloud Platform (GCP): Disediakan oleh Google dengan kelebihan dalam AI dan pemprosesan data besar.

Penkecualian Awan menjadi isu apabila penyedia perkhidmatan SaaS (Software as a Service) yang mengembangkan sistem di atas infrastruktur awan (IaaS atau PaaS) ini mengendalikan data peribadi.

Dalam Q&A mengenai ‘Panduan mengenai Undang-Undang Perlindungan Data Peribadi’ oleh Komisi Perlindungan Informasi Peribadi, penyedia perkhidmatan awan disebutkan dalam butiran 7-53 seperti berikut:

(Dalam kes yang tidak dianggap sebagai pihak ketiga) Q7-53 Apabila pengendali data peribadi menggunakan sistem informasi yang mengendalikan data elektronik termasuk data peribadi melalui kontrak perkhidmatan awan dengan penyedia luar, adakah perlu mendapatkan ‘persetujuan subjek data’ (Perenggan 1 Artikel 27) atau dianggap sebagai ‘penyerahan sebahagian atau seluruh pengendalian data peribadi’ (Item 1 Perenggan 5 Artikel 27), yang memerlukan pengawasan penyedia perkhidmatan awan berdasarkan Artikel 25?

A7-53 Terdapat pelbagai bentuk perkhidmatan awan, tetapi sama ada penggunaan perkhidmatan awan dianggap sebagai penyerahan kepada pihak ketiga yang memerlukan persetujuan subjek data (Perenggan 1 Artikel 27) atau penyerahan (Item 1 Perenggan 5 Artikel 27) bergantung bukan pada sama ada data elektronik yang disimpan mengandungi data peribadi, tetapi sama ada penyedia perkhidmatan awan tersebut mengendalikan data peribadi. Jika penyedia perkhidmatan awan tidak mengendalikan data peribadi tersebut, maka pengendali data peribadi tidak dianggap telah menyerahkan data peribadi dan tidak perlu mendapatkan persetujuan subjek data. Dalam kes di atas, kerana tidak dianggap sebagai penyerahan data peribadi, ia juga tidak termasuk dalam ‘penyerahan sebahagian atau seluruh pengendalian data peribadi yang disertai dengan … penyerahan’ (Item 1 Perenggan 5 Artikel 27), dan tidak ada kewajiban untuk mengawasi penyedia perkhidmatan awan berdasarkan Artikel 25. Untuk panduan mengenai langkah-langkah keselamatan yang harus diambil oleh pengendali data peribadi apabila penyedia perkhidmatan awan tidak mengendalikan data peribadi tersebut, lihat Q7-54. Situasi di mana penyedia perkhidmatan awan tidak mengendalikan data peribadi tersebut termasuklah apabila terdapat klausa kontrak yang menetapkan bahawa penyedia luar tidak akan mengendalikan data peribadi yang disimpan di pelayan dan apabila kawalan akses yang sesuai telah dilaksanakan. Untuk hubungan dengan Artikel 28, lihat Q12-3.

Q&A mengenai ‘Panduan mengenai Undang-Undang Perlindungan Data Peribadi'[ja]| Komisi Perlindungan Informasi Peribadi

Oleh itu, pengguna perkhidmatan awan tidak perlu mengawasi penyedia perkhidmatan awan jika mereka memenuhi syarat pengecualian. Untuk memenuhi syarat “dalam kes di mana data peribadi tidak diendalikan”, dua syarat berikut diperlukan:

  • Klausa kontrak yang menetapkan bahawa penyedia luar tidak akan mengendalikan data peribadi yang disimpan di pelayan
  • Pelaksanaan kawalan akses yang sesuai

Arahan Pentadbiran terhadap Syarikat MK System di bawah Undang-Undang Perlindungan Data Peribadi Jepun

Pada 25 Mac tahun Reiwa 6 (2024), Suruhanjaya Perlindungan Data Peribadi Jepun telah memberikan arahan berdasarkan Artikel 147 Akta Perlindungan Data Peribadi kepada Syarikat MK System berikutan kebocoran maklumat berskala besar yang melibatkan data kira-kira 7.5 juta orang. Sebagai tindak balas kepada insiden ini, Suruhanjaya Perlindungan Data Peribadi telah mengeluarkan “Peringatan mengenai Aspek yang Perlu Diperhatikan oleh Penyedia Perkhidmatan Awan yang merupakan Pengendali Data Peribadi di bawah Akta Perlindungan Data Peribadi Jepun”.

Rujukan: Suruhanjaya Perlindungan Data Peribadi|Peringatan mengenai Aspek yang Perlu Diperhatikan oleh Penyedia Perkhidmatan Awan yang merupakan Pengendali Data Peribadi di bawah Akta Perlindungan Data Peribadi[ja]

Marilah kita periksa isu arahan pentadbiran yang diberikan kepada Syarikat MK System berkaitan pengecualian awan di bawah Akta Perlindungan Data Peribadi Jepun.

Ringkasan Kes

Syarikat MK System Co., Ltd. telah membina sistem sokongan untuk tugas-tugas insurans sosial dan pengurusan sumber manusia dengan menggunakan pelayan Tencent Cloud dari China, dan menyediakan perkhidmatan kepada pengguna seperti pejabat pekerja sosial.

Pada bulan Jun tahun Reiwa 5 (2023), pelayan tersebut telah mengalami akses tidak sah, dan terdapat risiko kebocoran data peribadi yang dikelola (seperti nama, tarikh lahir, jantina, alamat, nombor asas pencen, nombor insurans pekerjaan dan My Number yang berkaitan dengan pekerja syarikat dan tempat kerja yang merupakan pelanggan pekerja sosial).

Apabila kita memetakan hubungan antara ketiga-tiga syarikat ini kepada garis panduan, ia akan kelihatan seperti berikut:

Posisi dalam Garis PanduanPihak BerkontrakKandungan
Pemberi TugasanPengguna seperti pekerja sosial (Pengendali Data Peribadi)Bertanggungjawab dalam mengendalikan data peribadi pelanggan (syarikat atau individu)
Penerima TugasanMK System Co., Ltd.Menyediakan sistem yang menggantikan dan menyokong tugas-tugas pekerja sosial di awan. Bertindak mengikut arahan pelanggan dalam pemprosesan data peribadi
Penerima SubkontrakTencent Cloud (China)Infrastruktur awan yang disubkontrak oleh MK System. Mungkin termasuk dalam penyediaan ke luar negara

Komisi Perlindungan Data Peribadi Jepun telah memutuskan bahawa terdapat kekurangan dalam langkah-langkah pengurusan keselamatan teknikal yang diambil oleh MK System.

Kandungan Arahan Pentadbiran di bawah Undang-Undang Perlindungan Data Peribadi Jepun

Dari Jawatankuasa Perlindungan Data Peribadi Jepun, arahan pentadbiran telah diberikan berdasarkan peruntukan Artikel 147 Akta Perlindungan Data Peribadi, serta pengumpulan laporan berdasarkan peruntukan subseksyen 1 Artikel 146 Akta yang sama.

Peringatan daripada Suruhanjaya Perlindungan Data Peribadi

Bersamaan dengan itu, Suruhanjaya Perlindungan Data Peribadi Jepun telah mengeluarkan “Perhatian mengenai titik-titik penting apabila penyedia perkhidmatan awan dianggap sebagai pengendali data peribadi di bawah Undang-Undang Perlindungan Data Peribadi Jepun (peringatan)[ja]“.

Peringatan ini terutamanya ditujukan kepada pengguna perkhidmatan awan untuk menilai sama ada penggunaan perkhidmatan awan tersebut termasuk dalam penyerahan pengendalian data peribadi (Perkara 27, Fasal 5, Butir 1 Undang-Undang Perlindungan Data Peribadi Jepun) dan jika ia termasuk, pengendali data peribadi yang menggunakan perkhidmatan awan tersebut perlu melakukan pengawasan yang perlu dan sesuai terhadap pihak yang diberikan penyerahan tersebut.

Mengenai Sistem MK, tiga titik berikut menunjukkan bahawa pengecualian awan tidak diterima, dan ia dianggap sebagai pengendali data peribadi, yang memerlukan pengawasan yang sesuai dalam pengendalian data peribadi:

  • Terma penggunaan menetapkan bahawa penyedia perkhidmatan awan boleh melakukan tindakan yang diperlukan seperti pemantauan, analisis, dan penyiasatan terhadap data apabila dianggap perlu untuk penyelenggaraan dan operasi, dan kecuali dalam keadaan tertentu, tidak dibenarkan menggunakan atau mendedahkan data pada sistem kepada pihak ketiga tanpa kebenaran, yang membolehkan penyedia perkhidmatan awan menggunakan data peribadi pengguna perkhidmatan awan dalam keadaan tertentu.
  • Penyedia perkhidmatan awan memiliki ID penyelenggaraan dan berada dalam keadaan yang memungkinkan akses kepada data peribadi pengguna perkhidmatan awan, dan tidak ada langkah-langkah kawalan akses teknikal yang diambil untuk mencegah pengendalian tersebut.
  • Setelah membuat perjanjian pengesahan dengan pengguna perkhidmatan awan, penyedia perkhidmatan awan sebenarnya telah mengendalikan data peribadi pengguna perkhidmatan awan tersebut.
Perhatian mengenai titik-titik penting apabila penyedia perkhidmatan awan dianggap sebagai pengendali data peribadi di bawah Undang-Undang Perlindungan Data Peribadi Jepun (peringatan)|Suruhanjaya Perlindungan Data Peribadi[ja]

Aspek Penting bagi Penyedia Perkhidmatan Awan di Jepun

Aspek Penting bagi Penyedia Perkhidmatan Awan di Jepun

Berdasarkan isu-isu hukum dan arahan pengawasan yang telah dijelaskan sebelumnya, apa yang harus diperhatikan oleh penyedia perkhidmatan awan (seperti MK System yang disebutkan dalam contoh sebelumnya)?

Semak Semula Syarat Pengecualian Awan

Pertama, semak semula apakah perkhidmatan yang disediakan oleh syarikat anda memenuhi syarat pengecualian awan.

Menyusuli peringatan dari Komisi Perlindungan Data Peribadi, para pengguna perkhidmatan awan mungkin akan menilai semula apakah penyedia perkhidmatan awan memenuhi syarat pengecualian awan tersebut.

Oleh itu, penyedia perkhidmatan awan juga harus memastikan mereka memenuhi syarat pengecualian awan dengan melakukan semakan semula.

Jika Tidak Memenuhi Syarat Pengecualian Awan, Harus Menangani Pengawasan dari Pihak yang Mengamanahkan

Jika syarat pengecualian awan tidak dipenuhi, penyedia perkhidmatan awan harus menangani pengawasan dari pengguna perkhidmatan awan (dalam hal ini, pejabat perundingan sosial atau syarikat yang menggunakan perkhidmatan yang disediakan oleh MK System).

Pengawasan dari pengguna perkhidmatan awan termasuk tindakan yang dijelaskan dalam Garis Panduan Perlindungan Data Peribadi (Bagian Umum) 3-4-4 Pengawasan Pihak yang Mengamanahkan (berkaitan dengan Artikel 25) seperti berikut:

  • Pemilihan pihak yang diamanahkan yang sesuai: Perlu memastikan bahawa langkah-langkah pengurusan keselamatan pihak yang diamanahkan adalah setara dengan yang dikehendaki oleh Artikel 23 dan garis panduan ini kepada pihak yang mengamanahkan.
  • Penyusunan kontrak pengamanahan: Disarankan untuk membuat kontrak yang memasukkan kemampuan pihak yang mengamanahkan untuk memahami dengan wajar keadaan penanganan data peribadi yang diamanahkan.
  • Pemahaman keadaan penanganan data peribadi oleh pihak yang diamanahkan: Secara berkala melakukan audit untuk menilai dengan tepat.

Jika langkah-langkah pengurusan keselamatan pihak yang diamanahkan tidak memadai, kontrak mungkin akan diputuskan, dan pihak yang diamanahkan mungkin akan diminta untuk mengambil langkah-langkah pengurusan keselamatan yang diperlukan dan mematuhi audit berkala.

Kesimpulan: Konsultasi dengan Peguam Mengenai Perlindungan Data Peribadi di Perkhidmatan Awan

Artikel ini membincangkan risiko yang dihadapi oleh penyedia perkhidmatan awan apabila mereka gagal memenuhi pengecualian awan, berdasarkan arahan pentadbiran yang dikeluarkan oleh Komisi Perlindungan Data Peribadi Jepun pada bulan Mac 2025 (2025年3月).

Insiden kebocoran maklumat ini telah menyebabkan Komisi Perlindungan Data Peribadi Jepun mengeluarkan amaran kepada pengguna perkhidmatan awan. Amaran tersebut tidak hanya penting bagi pengguna perkhidmatan awan tetapi juga bagi syarikat penyedia perkhidmatan awan untuk mengkaji semula perkhidmatan yang mereka tawarkan dan berhati-hati terhadap beban yang mungkin timbul.

Mengambil kira arahan pentadbiran ini, jika anda merasa tidak pasti tentang risiko apa yang mungkin dihadapi oleh syarikat anda dan tindakan apa yang perlu diambil, kami menyarankan anda untuk berunding dengan peguam.

Panduan Tindakan oleh Firma Kami

Firma Guaman Monolith merupakan firma guaman yang memiliki pengalaman luas dalam IT, khususnya internet dan undang-undang. Di zaman sekarang di mana banyak syarikat IT menggunakan awan seperti AWS untuk mengembangkan perniagaan mereka, kebocoran maklumat peribadi merupakan salah satu aspek pengurusan risiko yang tidak boleh diabaikan dalam pengoperasian perniagaan. Sekiranya berlaku kebocoran maklumat peribadi, ia boleh memberikan kesan yang sangat buruk kepada aktiviti korporat. Firma kami mempunyai kepakaran khusus dalam pencegahan dan tindak balas terhadap kebocoran maklumat. Sila rujuk artikel di bawah untuk maklumat lanjut.

Bidang yang ditangani oleh Firma Guaman Monolith: Perundangan Berkaitan Perlindungan Maklumat Peribadi di Jepun[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Apakah Status Undang-Undang yang Mengatur AI? Perbandingan dan Poin Tindakan antara Jepun dan EU Dijelaskan

Apakah Status Undang-Undang yang Mengatur AI? Perbandingan dan Poin Tindakan antara Jepun dan EU.

IT

Apa itu Peraturan Undang-Undang Jepun 'Pencegahan Pengalihan Keuntungan Jenayah dalam Transaksi Tanpa Hadapan seperti Penerimaan Pos'?

Apa itu Peraturan Undang-Undang Jepun 'Pencegahan Pengalihan Keuntungan Jenayah dalam Transaksi .

IT

Apa yang Perlu Diperhatikan dalam Karya yang Memiliki Penyebutan Creative Commons?

Apa yang Perlu Diperhatikan dalam Karya yang Memiliki Penyebutan Creative Commons?

IT

Perkhidmatan Sokongan Perniagaan Berkaitan Kontrak AI dan Hubungannya dengan Artikel 72 Undang-Undang Peguam Jepun serta Pengumuman Garis Panduan oleh Kementerian Kehakiman

Perkhidmatan Sokongan Perniagaan Berkaitan Kontrak AI dan Hubungannya dengan Artikel 72 Undang-U.

IT

Tanggungjawab Undang-Undang Pengendali Platform: Apakah 5 Kewajipan yang Ditunjukkan oleh Kes Preseden?

Tanggungjawab Undang-Undang Pengendali Platform: Apakah 5 Kewajipan yang Ditunjukkan oleh Kes Pr.

IT

Poin Penting dalam Membuat Terma dan Syarat Penggunaan Servis Web (Bahagian Akhir)

Poin Penting dalam Membuat Terma dan Syarat Penggunaan Servis Web (Bahagian Akhir)

IT

Perbezaan dan Perbandingan Antara Kontrak Perolehan dan Kontrak Kuasa Sementara dalam Pembangunan Sistem

Perbezaan dan Perbandingan Antara Kontrak Perolehan dan Kontrak Kuasa Sementara dalam Pembanguna.

IT

Apa itu Tanggungjawab Ketidaksesuaian Kontrak dalam Pembangunan Sistem dan Perisian? Penjelasan Mengenai Perubahan

Apa itu Tanggungjawab Ketidaksesuaian Kontrak dalam Pembangunan Sistem dan Perisian? Penjelasan .

IT

Apakah Tadbir Urus AI yang Perlu Dilaksanakan oleh Syarikat? Penjelasan Mengenai Aspek Berdasarkan

Apakah Tadbir Urus AI yang Perlu Dilaksanakan oleh Syarikat? Penjelasan Mengenai Aspek Berdasark.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Kembali ke Atas