Vad är 'molnundantaget' i personuppgiftslagen? En förklaring baserad på verkliga exempel av administrativa vägledningar som mottagits av molntjänstleverantörer.
Företag som hanterar personuppgifter är underkastade olika regleringar för hur de får behandla informationen enligt den japanska lagen om skydd av personuppgifter (Personal Information Protection Act). Våra personuppgifter är djupt förknippade med vår integritet och inkluderar viktig information om fysiska egenskaper och ekonomi, så det är förståeligt att det finns strikta regler på plats.
Det finns dock undantag i denna lag. Ett av dessa är det som kallas för “molnundantaget”.
Men vad innebär egentligen “molnundantaget”? I den här artikeln kommer vi att, med utgångspunkt i ett fall där MK System fick administrativ vägledning under Reiwa 6 (2024), förklara “molnundantagets” grunder och de villkor under vilka det kan tillämpas på ett lättförståeligt sätt.
Principer och undantag vid överföring av personuppgifter till tredje part enligt japansk lag
Först och främst bör vi granska de grundläggande principerna och undantagen som gäller för överföring av personuppgifter till tredje part enligt den japanska lagen om skydd av personuppgifter.
Principer enligt den japanska lagen om skydd av personuppgifter vid tillhandahållande av persondata till tredje part
När en verksamhetsutövare som hanterar personuppgifter använder molntjänster, betraktas detta enligt artikel 27, paragraf 5, punkt 1 i den japanska lagen om skydd av personuppgifter (平成17年(2005)) som att “hela eller delar av hanteringen av persondata har delegerats”. Enligt principen i artikel 25 i samma lag måste verksamhetsutövaren utföra nödvändig och lämplig övervakning av molntjänstleverantören.
Vad är “Cloud Exception” under japansk lag?
Detta undantag är vad som kallas “Cloud Exception” i Japan.
Med “Cloud Service Provider” avses i detta sammanhang företag som huvudsakligen tillhandahåller IT-infrastruktur såsom lagring och servrar (IaaS/PaaS) och som via internet tar emot, lagrar och behandlar data från andra företag. Följande leverantörer är exempel på sådana företag:
- Amazon Web Services (AWS): Tillhandahålls av det amerikanska företaget Amazon och är populärt bland många japanska företag.
- Microsoft Azure: En molnbaserad tjänst från Microsoft med många implementeringar inom offentlig sektor.
- Google Cloud Platform (GCP): Tillhandahålls av Google och är starkt inom AI och stordatabehandling.
Cloud Exception i Japan blir relevant när företag som erbjuder SaaS (Software as a Service) utvecklar system på en molninfrastruktur (IaaS eller PaaS) och hanterar personuppgifter i detta sammanhang.
I frågor och svar om riktlinjer för “Act on the Protection of Personal Information” som publicerats av den japanska Personal Information Protection Commission, beskrivs hanteringen av molntjänster i fråga 7-53 på följande sätt:
(När det inte rör sig om en tredje part) Q7-53 Om en operatör som hanterar personuppgifter använder ett informationssystem som hanterar elektroniska data innehållande personuppgifter, genom ett molntjänstavtal med en extern tjänsteleverantör, behöver de då få “personens samtycke” (enligt artikel 27, stycke 1) som om de hade tillhandahållit personuppgifterna till en tredje part? Eller betraktas det som att de har “anförtrott hela eller delar av hanteringen av personuppgifter” (enligt artikel 27, stycke 5, punkt 1) och därmed behöver övervaka molntjänstleverantören enligt artikel 25?
A7-53 Det finns många olika former av molntjänster, men om användningen av en molntjänst innebär att personuppgifter tillhandahålls till en tredje part (enligt artikel 27, stycke 1) eller att hanteringen anförtros (enligt artikel 27, stycke 5, punkt 1) beror inte på om de lagrade elektroniska datan innehåller personuppgifter, utan på om molntjänstleverantören faktiskt hanterar personuppgifterna. Om molntjänstleverantören inte hanterar de aktuella personuppgifterna, betraktas det inte som att personuppgifterna har tillhandahållits, och det är därför inte nödvändigt att få personens samtycke. I det nämnda fallet betraktas det inte heller som att personuppgifterna har tillhandahållits, och det faller därför inte under “anförtroende av hela eller delar av hanteringen av personuppgifter… som tillhandahålls” (enligt artikel 27, stycke 5, punkt 1), och det finns ingen skyldighet att övervaka molntjänstleverantören enligt artikel 25. När molntjänstleverantören inte hanterar de aktuella personuppgifterna, som när kontraktsvillkoren fastställer att den externa tjänsteleverantören inte ska hantera personuppgifterna som lagras på servern och lämplig åtkomstkontroll genomförs, se fråga 7-54 för överväganden om säkerhetsåtgärder för operatören som hanterar personuppgifter. För förhållandet till artikel 28, se fråga 12-3.
Frågor och svar om riktlinjer för “Act on the Protection of Personal Information”[ja]|Personal Information Protection Commission
Med andra ord, när användare av molntjänster i Japan använder dessa tjänster och uppfyller undantagskraven, behöver de inte övervaka molntjänstleverantören. För att kvalificera sig för Cloud Exception och därmed inte behöva hantera personuppgifter, måste följande två krav uppfyllas:
- Kontraktsvillkoren måste fastställa att den externa tjänsteleverantören inte kommer att hantera personuppgifterna som lagras på servern
- Lämplig åtkomstkontroll måste genomföras
Administrativ vägledning för MK System Inc. under japansk personuppgiftslag
Den 25 mars 2024 (Reiwa 6), utfärdade den japanska personuppgiftskommissionen vägledning till MK System Inc. baserat på artikel 147 i lagen om skydd av personuppgifter. Detta följde en omfattande informationsläcka som berörde cirka 7,5 miljoner personer. Som en följd av detta har personuppgiftskommissionen publicerat en varning om “Viktiga punkter att beakta för leverantörer av molntjänster som hanterar personuppgifter enligt personuppgiftslagen”.
Låt oss granska den administrativa vägledningen som utfärdats till MK System Inc. angående undantaget för molntjänster i den japanska personuppgiftslagen.
Översikt över fallet
MK System Inc. har byggt ett stödsystem för socialförsäkring och personalarbete genom att använda Tencent Clouds servrar i Kina och har tillhandahållit tjänster till användare som kontor för socialförsäkrings- och arbetsrättskonsulter.
I juni (Reiwa 5) 2023 upptäcktes obehörig åtkomst till servern, vilket innebar en risk för läckage av personuppgifter (såsom namn, födelsedatum, kön, adress, grundläggande pensionsnummer, anställningsförsäkringsnummer och My Number) som hanterades för kunder som är företag och arbetsplatser som är kunder till socialförsäkrings- och arbetsrättskonsulterna.
När vi applicerar dessa tre företags relationer på riktlinjerna blir resultatet som följer:
| Position enligt riktlinjerna | Aktör | Innehåll |
| Uppdragsgivare | Användare såsom socialförsäkrings- och arbetsrättskonsulter (personuppgiftsansvariga) | Ansvarar för hantering av personuppgifter för kunder (företag och individer) |
| Uppdragstagare | MK System Inc. | Ger ett system som ersätter och stödjer socialförsäkrings- och arbetsrättskonsulters arbete i molnet. Behandlar personuppgifter enligt kundens instruktioner |
| Underleverantör | Tencent Cloud (Kina) | MK System har anlitat för molninfrastruktur. Kan innebära överföring av data till utlandet |
Den japanska kommissionen för skydd av personuppgifter har bedömt att MK System hade brister i sina tekniska säkerhetsåtgärder.
Innehållet i administrativa vägledningar
Från den Japanska Personuppgiftskyddskommissionen har administrativa vägledningar utförts enligt bestämmelserna i artikel 147 i den Japanska personuppgiftslagen, samt insamling av rapporter enligt bestämmelserna i artikel 146, stycke 1 i samma lag.
Varning från den japanska kommissionen för skydd av personuppgifter
Den japanska kommissionen för skydd av personuppgifter har nyligen publicerat en varning om “Viktiga punkter för när leverantörer av molntjänster anses vara personuppgiftsbiträden enligt lagen om skydd av personuppgifter (Varning)[ja]“.
Denna varning riktar sig främst till användare av molntjänster och klargör om användningen av molntjänster utgör ett uppdrag av personuppgiftshantering (enligt artikel 27, paragraf 5, punkt 1 i lagen om skydd av personuppgifter). Om det anses vara ett uppdrag, måste den personuppgiftsansvarige som använder molntjänsten utföra nödvändig och lämplig tillsyn över den part som uppdraget lämnas till.
I fallet med MK System har det fastställts att följande tre punkter inte tillåter undantag för molntjänster, och att företaget anses vara en personuppgiftsbiträde som hanterar personuppgifter och därmed måste utföra lämplig tillsyn:
Viktiga punkter för när leverantörer av molntjänster anses vara personuppgiftsbiträden enligt lagen om skydd av personuppgifter (Varning)|den japanska kommissionen för skydd av personuppgifter[ja]
- Användarvillkoren stipulerar att leverantören av molntjänsten kan utföra nödvändiga åtgärder såsom övervakning, analys och undersökning av data när det anses nödvändigt för underhåll och drift, samt att leverantören inte får använda eller avslöja systemdata till tredje part utan tillstånd, förutom i vissa fall.
- Leverantören av molntjänsten innehar underhålls-ID och har möjlighet att komma åt användarens personuppgifter, utan att tekniska åtgärder för tillträdeskontroll har vidtagits för att förhindra hantering.
- Efter att ha ingått en bekräftelse med användaren av molntjänsten, har leverantören faktiskt hanterat användarens personuppgifter.
Viktiga punkter för leverantörer av molntjänster under japansk lag
Med hänsyn till de juridiska frågor och administrativa vägledningar som vi har förklarat hittills, vad bör leverantörer av molntjänster (i det tidigare nämnda exemplet hänvisar vi till MK System) vara uppmärksamma på?
Kontrollera återigen om tjänsten uppfyller kraven för molnundantaget
Först och främst bör du kontrollera om din tjänst uppfyller kraven för molnundantaget igen.
Efter uppmärksamheten från den japanska kommissionen för skydd av personuppgifter kan det vara så att företag som använder molntjänster kommer att granska om deras molntjänstleverantör uppfyller kraven för molnundantaget.
Därför bör även leverantörer av molntjänster se till att de uppfyller kraven för molnundantaget genom att göra en ny kontroll.
Om kraven för molnundantaget inte uppfylls måste man hantera tillsyn från uppdragsgivaren
Om tjänsten inte uppfyller kraven för molnundantaget måste du hantera tillsyn från användare av molntjänsten (i detta fall de kontor för socialförsäkringsrådgivare och företag som använder tjänsterna som tillhandahålls av MK System).
Tillsynen från användare av molntjänsten kan innebära följande åtgärder, som anges i riktlinjerna för skydd av personuppgifter (allmänna delen) 3-4-4 Tillsyn av uppdragstagare (relaterat till artikel 25 i lagen):
- Val av lämplig uppdragstagare: Det är nödvändigt att bekräfta att uppdragstagarens säkerhetsåtgärder är likvärdiga med de som krävs av uppdragsgivaren enligt artikel 23 i lagen och dessa riktlinjer.
- Ingående av uppdragsavtal: Det är önskvärt att avtalet inkluderar att uppdragsgivaren på ett rimligt sätt kan förstå hur personuppgifterna hanteras av uppdragstagaren.
- Förståelse för hanteringen av personuppgifter hos uppdragstagaren: Regelbundet utvärdera genom revisioner för att säkerställa att hanteringen är lämplig.
Om uppdragstagarens säkerhetsåtgärder är otillräckliga kan kontraktet bli uppsagt, och det kan krävas att man vidtar nödvändiga säkerhetsåtgärder eller svarar på regelbundna revisioner.
Sammanfattning: Rådfråga en advokat om skydd av personuppgifter på molntjänster
I den här artikeln har vi förklarat riskerna för molntjänstleverantörer som inte uppfyller undantagen för molntjänster, baserat på administrativa vägledningar publicerade i mars 2025 (Reiwa 7) av den japanska kommissionen för skydd av personuppgifter.
Informationen om läckan ledde till att den japanska kommissionen för skydd av personuppgifter utfärdade en varning till användare av molntjänster. Denna varning är relevant inte bara för användarna utan också för leverantörerna av molntjänster, som behöver se över de tjänster de erbjuder och vara medvetna om de potentiella bördorna som kan uppstå.
Med tanke på denna administrativa vägledning, om du är osäker på vilka risker ditt företag kan stå inför eller vilka åtgärder som kan behövas, rekommenderar vi att du konsulterar en advokat.
Vår byrås åtgärder
Monolith Advokatbyrå är en juridisk firma med omfattande erfarenhet inom IT, särskilt internet och juridik. I en tid där många IT-företag använder molntjänster som AWS för att driva sina verksamheter, är hantering av personuppgifter en oumbärlig del av riskhanteringen. Om personuppgifter skulle läcka kan det ha en förödande effekt på företagets verksamhet. Vår byrå har specialkunskaper i att förebygga och hantera informationsläckor. Följande artikel ger mer detaljerad information.
Monolith Advokatbyrås expertisområden: Tjänster relaterade till skydd av personuppgifter enligt japansk lag[ja]
Category: IT
Tag: ITTerms of Use
