Norsk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_no/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Hva er "skyunntaket" i personvernlovgivningen? En forklaring basert på faktiske tilfeller av administrativ veiledning mottatt av skytjenesteleverandører.

Hva er "skyunntaket" i personvernlovgivningen? En forklaring basert på faktiske tilfeller av administrativ veiledning mottatt av skytjenesteleverandører.

IT

Hva er

Virksomheter som håndterer personopplysninger, er underlagt ulike reguleringer av deres informasjonsbehandling i henhold til den japanske loven om beskyttelse av personopplysninger. Våre personopplysninger er dypt knyttet til vårt privatliv og inkluderer viktig informasjon om fysiske egenskaper og eiendom, så det er naturlig at det er fastsatt strenge regler.

Likevel finnes det visse unntak i denne loven. En av disse er det som kalles “skyunntaket”.

Hva er så dette “skyunntaket”? I denne artikkelen vil vi, basert på et eksempel fra MK System som mottok administrativ veiledning i Reiwa 6 (2024), forklare hva “skyunntaket” innebærer og vilkårene for dets anvendelse på en forståelig måte.

Prinsipper og unntak ved overføring av personopplysninger til tredjeparter under japansk lov

Prinsipper og unntak ved overføring av personopplysninger til tredjeparter under japansk lov

Først, la oss bekrefte prinsippene og unntakene som gjelder for overføring av personopplysninger til tredjeparter i henhold til den japanske loven om beskyttelse av personopplysninger.

Prinsipper for overføring av personopplysninger til tredjeparter under japansk personvernlov

Når en virksomhet som håndterer personopplysninger benytter seg av skytjenester, anses det som at de har “outsourcet hele eller deler av behandlingen av persondata” i henhold til japansk personvernlov (Personopplysningsloven artikkel 27, avsnitt 5, punkt 1). På grunnlag av dette må virksomheten utføre nødvendig og passende tilsyn med leverandøren av skytjenesten i tråd med Personopplysningslovens artikkel 25, som er hovedprinsippet.

Hva er “Cloud Exception” under japansk lov?

Dette unntaket er det som kalles “Cloud Exception” i Japan.

Med “Cloud Service Provider” menes i dette tilfellet virksomheter som hovedsakelig tilbyr IT-infrastruktur som lagring og servere (IaaS/PaaS), og som tar imot og lagrer og behandler data fra andre selskaper over internett. Følgende leverandører er eksempler på dette:

  • Amazon Web Services (AWS): Tilbudt av det amerikanske selskapet Amazon og er mye brukt av japanske selskaper.
  • Microsoft Azure: Cloud-infrastrukturtjenester fra Microsoft med mange implementeringer i offentlige etater.
  • Google Cloud Platform (GCP): Tilbudt av Google med styrker innen AI og stordataanalyse.

“Cloud Exception” i Japan gjelder når en SaaS-leverandør (Software as a Service) som utvikler systemer på en Cloud Service Providers infrastruktur (IaaS eller PaaS), håndterer persondata.

I spørsmål og svar om retningslinjer for “Act on the Protection of Personal Information” fra den japanske Personal Information Protection Commission, er det i punkt 7-53 beskrevet som følger:

(Når det ikke anses som en tredjepart) Q7-53: Når en virksomhet som håndterer personopplysninger benytter seg av en ekstern leverandør for informasjonssystemer som håndterer elektroniske data inneholdende personopplysninger, som i en cloud service-avtale, er det nødvendig å innhente “personens samtykke” (Artikkel 27, paragraf 1) som om personopplysningene ble gitt til en tredjepart? Eller anses det som “outsourcing av hele eller deler av håndteringen av personopplysninger” (Artikkel 27, paragraf 5, punkt 1), og er det nødvendig å overvåke cloud service-leverandøren i henhold til Artikkel 25?

A7-53: Selv om det finnes mange forskjellige typer cloud-tjenester, avhenger det av om bruken av en cloud-tjeneste krever samtykke fra den registrerte for tredjepartslevering (Artikkel 27, paragraf 1) eller outsourcing (Artikkel 27, paragraf 5, punkt 1), ikke av om de lagrede elektroniske dataene inneholder personopplysninger, men av om cloud-tjenesteleverandøren faktisk håndterer personopplysningene. Hvis cloud-tjenesteleverandøren ikke håndterer de aktuelle personopplysningene, anses det ikke som at personopplysningene er gitt til en tredjepart, og det er derfor ikke nødvendig å innhente “personens samtykke”. I tillegg, i det ovennevnte tilfellet, siden personopplysningene ikke anses som gitt til en tredjepart, faller det heller ikke under “outsourcing av hele eller deler av håndteringen av personopplysninger… som er gitt til en tredjepart” (Artikkel 27, paragraf 5, punkt 1), og det er ingen plikt til å overvåke cloud-tjenesteleverandøren i henhold til Artikkel 25. For sikkerhetstiltak som en virksomhet som håndterer personopplysninger bør vurdere når cloud-tjenesteleverandøren ikke håndterer de aktuelle personopplysningene, se Q7-54. Et eksempel på når cloud-tjenesteleverandøren ikke håndterer de aktuelle personopplysningene, er når kontraktsvilkårene fastslår at den eksterne leverandøren ikke skal håndtere personopplysningene lagret på serveren, og det er satt i verk passende tilgangskontroll. For forholdet til Artikkel 28, se Q12-3.

Spørsmål og svar om retningslinjer for “Act on the Protection of Personal Information”[ja]|Personal Information Protection Commission

Med andre ord, når brukere av cloud-tjenester i Japan benytter seg av disse tjenestene, er det ikke nødvendig å overvåke cloud-tjenesteleverandøren hvis unntakskravene er oppfylt. For at “Cloud Exception” skal anerkjennes, er det nødvendig å oppfylle følgende to krav:

  • Kontraktsvilkårene må fastslå at den eksterne leverandøren ikke skal håndtere personopplysningene lagret på serveren
  • Det må være satt i verk passende tilgangskontroll

Administrativ veiledning til MK System Co., Ltd. under japansk lov

Den 25. mars i Reiwa 6 (2024), ga Personvernkomiteen i Japan veiledning til MK System Co., Ltd. basert på artikkel 147 i den japanske loven om beskyttelse av personopplysninger. Dette tiltaket ble iverksatt som følge av en storstilt informasjonslekkasje som påvirket omtrent 7,5 millioner mennesker. I kjølvannet av hendelsen har Personvernkomiteen publisert en advarsel med tittelen “Viktige punkter å merke seg når en leverandør av skytjenester anses som en personopplysningsbehandler under loven om beskyttelse av personopplysninger”.

Referanse: Personvernkomiteen | Advarsel om viktige punkter å merke seg når en leverandør av skytjenester anses som en personopplysningsbehandler under loven om beskyttelse av personopplysninger[ja]

La oss undersøke den administrative veiledningen som ble gitt til MK System Co., Ltd. angående unntaket for skytjenester i den japanske loven om beskyttelse av personopplysninger.

Saksoversikt

MK System Co., Ltd. har bygget et støttesystem for sosialforsikring og personalarbeid ved å bruke servere fra Tencent Cloud i Kina, og har tilbudt tjenester til brukere som kontorer for sertifiserte sosialforsikrings- og arbeidskonsulenter.

I juni i Reiwa 5 (2023), ble serveren utsatt for uautorisert tilgang, og det oppstod en risiko for lekkasje av personopplysninger som ble forvaltet (navn, fødselsdato, kjønn, adresse, grunnleggende pensjonsnummer, sysselsettingsforsikringsnummer og My Number, etc. for ansatte i bedrifter og virksomheter som er kunder av sosialforsikrings- og arbeidskonsulentene).

Når vi anvender retningslinjene på forholdet mellom disse tre selskapene, blir resultatet som følger:

Posisjon i henhold til retningslinjeneForretningsaktørInnhold
OppdragsgiverBrukere som sosialforsikrings- og arbeidskonsulenter (personopplysningsbehandlere)Behandler personopplysninger for kunder (bedrifter og enkeltpersoner)
OppdragstakerMK System Co., Ltd.Tilbyr et system som erstatter og støtter sosialforsikrings- og arbeidskonsulentarbeid i skyen. Behandler personopplysninger basert på kundens instruksjoner
UnderleverandørTencent Cloud (Kina)MK System har delegert skyinfrastrukturen. Kan anses som overføring til utlandet

Personvernkomiteen i Japan har konkludert med at MK System hadde mangler i sine tekniske sikkerhetstiltak for håndtering av informasjon.

Innholdet i administrativ veiledning

Fra den japanske Personvernkomiteen ble det gitt administrativ veiledning i henhold til bestemmelsene i Artikkel 147 i Personopplysningsbeskyttelsesloven, samt rapportering og innsamling av informasjon i henhold til bestemmelsene i Artikkel 146 (1) i samme lov.

Advarsler fra det japanske personvernombudet

Det japanske personvernombudet har også utgitt en kunngjøring om “Viktige punkter å merke seg når en skytjenesteleverandør faller inn under behandlere av personopplysninger i henhold til personopplysningsloven (Advarsel)[ja]“.

Denne advarselen retter seg hovedsakelig mot brukere av skytjenester for å vurdere om bruken av skytjenester tilsvarer outsourcing av persondatahåndtering (Personopplysningsloven Artikkel 27, Paragraf 5, Punkt 1), og hvis det er tilfelle, må brukeren av skytjenesten, som er behandlere av personopplysninger, utføre nødvendig og passende tilsyn med underleverandøren.

Når det gjelder MK System, er det fastslått at det ikke gis unntak for skytjenester, og at de er behandlere av personopplysninger, noe som krever passende tilsyn ettersom de håndterer persondata. Dette er begrunnet med følgende tre punkter:

  • I bruksvilkårene er det fastsatt at skytjenesteleverandøren kan utføre nødvendige handlinger som overvåking, analyse og undersøkelser av data osv., når det anses nødvendig for vedlikehold og drift, og at skytjenesteleverandøren kan bruke persondata fra skytjenestebrukeren i spesifikke tilfeller.
  • Skytjenesteleverandøren har vedlikeholds-IDer og er i stand til å få tilgang til skytjenestebrukerens persondata, og det er ikke iverksatt tekniske kontrolltiltak for å forhindre slik håndtering.
  • Det ble faktisk håndtert persondata fra skytjenestebrukeren etter å ha inngått en bekreftelsesavtale med dem.
Viktige punkter å merke seg når en skytjenesteleverandør faller inn under behandlere av personopplysninger i henhold til personopplysningsloven (Advarsel)|Det japanske personvernombudet[ja]

Viktige punkter for tilbydere av skytjenester i Japan

Viktige punkter for tilbydere av skytjenester i Japan

Med utgangspunkt i de juridiske problemene og de administrative veiledningene og advarslene som er forklart så langt, hva bør tilbydere av skytjenester i Japan (i dette tilfellet refererer vi til MK System) være oppmerksomme på?

Gjennomgå på nytt om tjenesten oppfyller kravene til skyunntaket

Først og fremst, la oss gjennomgå på nytt om tjenesten din oppfyller kravene til skyunntaket.

Etter advarslene fra den japanske personvernkomiteen, kan det tenkes at virksomheter som bruker skytjenester vil undersøke om tilbyderen av skytjenesten oppfyller kravene til skyunntaket.

Derfor bør også tilbydere av skytjenester sørge for å gjennomgå på nytt om de oppfyller kravene til skyunntaket.

Hvis kravene til skyunntaket ikke er oppfylt, må man håndtere tilsyn fra oppdragsgiver

Hvis kravene til skyunntaket ikke er oppfylt, må man håndtere tilsyn fra brukere av skytjenesten (i dette tilfellet, sosial- og arbeidskontorer eller bedrifter som bruker tjenestene til MK System).

Som tilsyn fra brukere av skytjenesten, vil følgende tiltak, som er beskrevet i retningslinjene for beskyttelse av personopplysninger (Generelle regler) 3-4-4 Tilsyn med underleverandører (relatert til lovartikkel 25), bli iverksatt:

  • Valg av passende underleverandør: Det er nødvendig å bekrefte at underleverandørens sikkerhetstiltak er likeverdige med de som kreves av oppdragsgiveren i henhold til lovartikkel 23 og disse retningslinjene.
  • Inngåelse av underleverandørkontrakt: Det er ønskelig å inngå en kontrakt som inkluderer at oppdragsgiveren kan forstå håndteringen av de delegerte persondataene på en rimelig måte.
  • Forståelse av håndteringen av persondata hos underleverandøren: Evaluere regelmessig og på en passende måte gjennom revisjon.

Hvis underleverandørens sikkerhetstiltak er utilstrekkelige, kan kontrakten bli avsluttet, og det kan kreves at man iverksetter nødvendige sikkerhetstiltak eller svarer på regelmessige revisjoner.

Oppsummering: Rådfør deg med en advokat om beskyttelse av personopplysninger i skytjenester

I denne artikkelen har vi forklart risikoene som skytjenesteleverandører står overfor når de ikke oppfyller kravene til skyunntaket, basert på veiledning fra den japanske personvernkomiteen (Personal Information Protection Commission) publisert i mars 2025 (Reiwa 7).

Etter en hendelse med informasjonslekkasje, har personvernkomiteen i Japan sendt ut advarsler til brukere av skytjenester. Disse advarslene er relevante ikke bare for brukerne, men også for leverandørene av skytjenester, som må revurdere tjenestene de tilbyr og være oppmerksomme på potensielle byrder som kan oppstå.

Med tanke på denne veiledningen, hvis du er usikker på hvilke risikoer din virksomhet står overfor eller hvilke tiltak som er nødvendige, anbefaler vi at du konsulterer en advokat.

Veiledning om tiltak fra vår advokatfirma

Monolith Advokatfirma har omfattende erfaring med IT, spesielt internett og juss. I en tid der mange IT-selskaper, som AWS, benytter seg av skytjenester for å drive virksomheten, har personvern blitt en uunnværlig del av risikostyringen. Skulle personopplysninger lekke, kan det ha alvorlige konsekvenser for bedriftens drift. Vårt firma har spesialisert seg på å forebygge og håndtere informasjonslekkasjer. Du finner mer detaljert informasjon i artikkelen nedenfor.

Monolith Advokatfirmas tjenesteområder: Tjenester relatert til japansk personvernlovgivning[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

【2025 Nyeste Utgave】Juridisk tolkning av kryptovaluta (virtuell valuta): Relevans for verdipapirer og operatørers oppmerksomhetspunkter

【2025 Nyeste Utgave】Juridisk tolkning av kryptovaluta (virtuell valuta): Relevans for verdipapir.

IT

EUs AI-reguleringslov og nødvendige tiltak for japanske selskaper

EUs AI-reguleringslov og nødvendige tiltak for japanske selskaper

IT

Tiltak ved oppdagelse av systemfeil etter godkjenning

Tiltak ved oppdagelse av systemfeil etter godkjenning

IT

Kan generering av

Kan generering av "stemmer" med AI føre til brudd på opphavsretten? (#1 Utvikling og læringstrin.

IT

Hva er 'skjønnsmessig arbeidssystem'? Er det anvendelig for programmerere?

Hva er 'skjønnsmessig arbeidssystem'? Er det anvendelig for programmerere?

IT

Hva er mekanismen i en rettssak om overføring av domene?

Hva er mekanismen i en rettssak om overføring av domene?

IT

Risiko og tiltak forbundet med bruk av biblioteker i forretnings systemkonstruksjon

Risiko og tiltak forbundet med bruk av biblioteker i forretnings systemkonstruksjon

IT

Hva er utlån av kryptovaluta? En forklaring på to juridiske problemstillinger

Hva er utlån av kryptovaluta? En forklaring på to juridiske problemstillinger

IT

Hva er stablecoins? Forklaring av forholdet til elektroniske betalingsmidler i henhold til den reviderte japanske betalingsloven

Hva er stablecoins? Forklaring av forholdet til elektroniske betalingsmidler i henhold til den r.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tilbake til toppen