อธิบายเกี่ยวกับ 'โทษทางกฎหมาย' ใน 'กฎหมายการคุ้มครองข้อมูลส่วนบุคคล' ที่ได้รับการแก้ไขในปี พ.ศ. 2565 (2022)

ตั้งแต่เดือนเมษายน พ.ศ. 2565 (เมษายน 2022) กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขของญี่ปุ่นได้รับการบังคับใช้ ในบทความนี้ เราจะอธิบายเกี่ยวกับหัวข้อ “ความรับผิดชอบของผู้ประกอบการ” ภายใต้กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขของญี่ปุ่น พ.ศ. 2565 และจะต่อด้วยการอธิบายเกี่ยวกับวิธีการใช้ข้อมูลและโทษที่อาจเกิดขึ้น

ภาพรวมของการแก้ไข พ.ศ. 2565 (2022) ของ ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น’

การแก้ไข ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น’ ในปี พ.ศ. 2565 (2022) จะมีการดำเนินการใน 6 ประเด็นดังต่อไปนี้:

1. สถานะของสิทธิของบุคคล
2. สถานะของหน้าที่ที่ผู้ประกอบการควรปฏิบัติ
3. สถานะของระบบที่ส่งเสริมการดำเนินการอย่างเป็นอิสระของผู้ประกอบการ
4. สถานะของการใช้ประโยชน์จากข้อมูล
5. สถานะของโทษ
6. สถานะของการใช้กฎหมายนอกพื้นที่และการโอนย้ายข้ามพรมแดน

ในบทความ ‘การแก้ไข ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น’ พ.ศ. 2565 (2022) ในส่วนของ ‘หน้าที่ของผู้ประกอบการ’ และข้อควรระวัง‘ ได้ทำการอธิบายเกี่ยวกับประเด็นที่ (1) และ (2) แล้ว ในที่นี้จะทำการอธิบายเกี่ยวกับประเด็นที่ (3) (4) (5) และ (6)

บทความที่เกี่ยวข้อง: ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น’ และข้อมูลส่วนบุคคลคืออะไร? ทนายความอธิบาย

วิธีการของระบบที่ส่งเสริมการดำเนินการอิสระโดยผู้ประกอบการ

เรื่องวิธีการของระบบที่ส่งเสริมการดำเนินการอิสระโดยผู้ประกอบการ ตามที่ความหลากหลายของสถานการณ์การทำงานและการพัฒนาเทคโนโลยี IT มีการเพิ่มขึ้น ความสำคัญของการที่องค์กรเอกชนจะตั้งกฎเกณฑ์อิสระเกี่ยวกับการจัดการข้อมูลส่วนบุคคลในสาขาที่เฉพาะเจาะจง และการที่จะให้คำแนะนำแก่ผู้ประกอบการที่เป็นเป้าหมายอย่างใจจริงจริง กำลังเพิ่มขึ้น

ในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น (Japanese Personal Information Protection Law) นอกจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว ยังมีการใช้งานองค์กรเอกชนเพื่อปกป้องข้อมูล และมีการตั้งระบบองค์กรที่ได้รับการรับรอง องค์กรที่ดำเนินการด้านการจัดการข้อร้องเรียนเกี่ยวกับการจัดการข้อมูลส่วนบุคคล และการให้ข้อมูลเกี่ยวกับการจัดการข้อมูลส่วนบุคคลที่เหมาะสมแก่ผู้ประกอบการ สามารถได้รับการรับรองจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และกลายเป็น “องค์กรที่ได้รับการรับรองในการคุ้มครองข้อมูลส่วนบุคคล” แต่ในกฎหมายที่ได้รับการแก้ไข ระบบองค์กรที่ได้รับการรับรองนั้น สามารถรับรององค์กรที่มุ่งเน้นไปที่สาขาที่เฉพาะเจาะจง (แผนก) ของธุรกิจ (มาตรา 47 ข้อ 2) การยอมรับองค์กรที่ได้รับการรับรองในระดับธุรกิจ จะส่งเสริมการใช้งานองค์กรที่ได้รับการรับรองมากขึ้น และเป็นการดำเนินการเพื่อส่งเสริมการคุ้มครองข้อมูลส่วนบุคคลที่ใช้ความเชี่ยวชาญขององค์กรที่มุ่งเน้นการดำเนินการในธุรกิจที่เฉพาะเจาะจง

ทางที่จะใช้ประโยชน์จากข้อมูล

ทางที่จะใช้ประโยชน์จากข้อมูลได้รับการแก้ไขใน 2 ประเด็นดังต่อไปนี้

การสร้าง “ข้อมูลที่ถูกประมวลผลด้วยชื่อเรียก” และการผ่อนคลายข้อบังคับ (มาตรา 2 ข้อ 9)

ในกฎหมายปัจจุบันของญี่ปุ่น, ข้อมูลที่ถูกประมวลผลด้วยชื่อเรียกยังคงเป็น “ข้อมูลส่วนบุคคล” และผู้ประกอบการต้องรับผิดชอบต่อหลายข้อบังคับที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล แต่สำหรับ “ข้อมูลส่วนบุคคลที่ถูกประมวลผลด้วยชื่อเรียก” นี้ มีความต้องการที่จะใช้ประโยชน์จากข้อมูลดังกล่าวที่สามารถทำการวิเคราะห์อย่างละเอียดด้วยวิธีการประมวลผลที่สะดวกและรักษาความมั่นคงทางด้านความปลอดภัย โดยรักษาความมีประโยชน์ของข้อมูลเท่ากับข้อมูลส่วนบุคคลก่อนการประมวลผล

ด้วยเหตุนี้ ในกฎหมายที่ได้รับการแก้ไข ได้สร้าง “ข้อมูลที่ถูกประมวลผลด้วยชื่อเรียก” ที่ลบชื่อและข้อมูลอื่น ๆ ออก และผ่อนคลายข้อบังคับที่เกี่ยวข้องกับการเปิดเผยและการหยุดใช้ข้อมูล ภายใต้เงื่อนไขที่จำกัดการวิเคราะห์ในภายในองค์กร เพื่อส่งเสริมนวัตกรรม

ข้อมูลที่ถูกสร้างขึ้นด้วยชื่อเรียกนี้หมายถึง “ข้อมูลเกี่ยวกับบุคคลที่ได้จากการประมวลผลข้อมูลส่วนบุคคลให้ไม่สามารถระบุบุคคลที่เฉพาะเจาะจงได้ จนกว่าจะเปรียบเทียบกับข้อมูลอื่น” ตัวอย่างเช่น การประมวลผล “ชื่อ-อายุ-วันที่-เวลา-จำนวนเงิน-ร้านค้า” เป็น “ID ชั่วคราว-อายุ-วันที่-เวลา-จำนวนเงิน-ร้านค้า” ตัวอย่างการใช้ประโยชน์ที่คาดว่าจะเกิดขึ้นรวมถึง “การวิเคราะห์ภายในสำหรับวัตถุประสงค์ที่ไม่เกี่ยวข้องกับวัตถุประสงค์ใช้งานเริ่มแรกหรือวัตถุประสงค์ใหม่ที่ยากต่อการตัดสินใจว่าเกี่ยวข้อง” (เช่น การวิจัยในภาคการแพทย์และยา การตรวจจับการทุจริต การทำนายยอดขาย และการเรียนรู้ของโมเดลการเรียนรู้ของเครื่องจักร) และ “การประมวลผลข้อมูลส่วนบุคคลที่ได้รับการใช้เพื่อวัตถุประสงค์ใช้งานเป็นข้อมูลที่ถูกประมวลผลด้วยชื่อเรียกและจัดเก็บเพื่อใช้ในการวิเคราะห์สถิติในอนาคต”

อย่างไรก็ตาม สำหรับวิธีการสร้างข้อมูลที่ถูกประมวลผลด้วยชื่อเรียก มีข้อบังคับที่ต้องปฏิบัติอย่างน้อยดังนี้

• การลบทั้งหมดหรือบางส่วนของคำบรรยายที่สามารถระบุบุคคลที่เฉพาะเจาะจงได้ (เช่น ชื่อ) (รวมถึงการแทนที่ และเหมือนกันในที่ต่อไป)
• การลบรหัสประจำตัวบุคคลทั้งหมด
• การลบคำบรรยายที่อาจทำให้เกิดความเสียหายทางทรัพย์สินหากถูกใช้โดยไม่เป็นธรรม (เช่น หมายเลขบัตรเครดิต)

มีการเรียกร้องให้ดำเนินการดังกล่าว

การบังคับให้ตรวจสอบข้อมูลที่คาดว่าจะเป็นข้อมูลส่วนบุคคลที่สถานที่ที่ได้รับ (มาตรา 26 ข้อสอง)

ในกฎหมายปัจจุบัน ถ้าข้อมูลไม่เป็นข้อมูลส่วนบุคคลที่แหล่งที่มา แม้ว่าจะคาดว่าจะเป็นข้อมูลส่วนบุคคลที่สถานที่ที่ได้รับ ก็จะไม่ถูกควบคุม แต่ในกฎหมายที่ได้รับการแก้ไข ข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคลที่แหล่งที่มา แต่คาดว่าจะเป็นข้อมูลส่วนบุคคลที่สถานที่ที่ได้รับ จะต้องได้รับการยืนยันว่าได้รับความยินยอมจากบุคคลที่เกี่ยวข้องเมื่อมีการให้ข้อมูลแก่บุคคลที่สาม

เนื่องจากเทคโนโลยีที่สามารถรวบรวมข้อมูลของผู้ใช้ในปริมาณมากและรวมข้อมูลเหล่านี้เป็นข้อมูลส่วนบุคคลได้ทันทีได้รับการพัฒนาและแพร่กระจาย การให้ข้อมูลแก่บุคคลที่สามในฐานะข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล โดยที่รู้ล่วงหน้าว่าจะเป็นข้อมูลส่วนบุคคลที่สถานที่ที่ได้รับ ซึ่งเป็นการหลีกเลี่ยงจุดประสงค์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น กำลังเริ่มมีขึ้นมากขึ้น มีความกังวลว่าวิธีการเก็บข้อมูลส่วนบุคคลที่ไม่มีการมีส่วนร่วมของบุคคลที่เกี่ยวข้องจะเริ่มมีขึ้นมากขึ้น

เกี่ยวกับการลงโทษ

วิธีการลงโทษได้รับการแก้ไขใน 2 ประเด็นดังต่อไปนี้

การเพิ่มอัตราโทษทางกฎหมายสำหรับการฝ่าฝืนคำสั่งของคณะกรรมการและการรายงานที่เท็จต่อคณะกรรมการ (มาตรา 83, มาตรา 87 และอื่นๆ)

ในขณะที่จำนวนคดีที่ฝ่าฝืนกฎหมายเพิ่มขึ้น การรายงานและการตรวจสอบที่เพิ่มขึ้นเป็นจุดเริ่มต้นในการเข้าใจสถานการณ์จริงของธุรกิจ ดังนั้น ในการแก้ไขกฎหมาย อัตราโทษทางกฎหมายได้รับการเพิ่มขึ้น

สำหรับผู้กระทำที่ “ฝ่าฝืนคำสั่งจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น” ในกฎหมายปัจจุบัน โทษคือการจำคุกไม่เกิน 6 เดือนหรือปรับไม่เกิน 300,000 เยน แต่ในการแก้ไขกฎหมาย โทษเป็นการจำคุกไม่เกิน 1 ปีหรือปรับไม่เกิน 1,000,000 เยน และ “การให้ข้อมูลฐานข้อมูลข้อมูลส่วนบุคคลที่ไม่เป็นธรรม” ยังคงเป็นโทษการจำคุกไม่เกิน 1 ปีหรือปรับไม่เกิน 500,000 เยน แต่ “การรายงานที่เท็จต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น” ที่ในกฎหมายปัจจุบันเป็นปรับไม่เกิน 300,000 เยน ได้ถูกแก้ไขเป็นปรับไม่เกิน 500,000 เยน

การเพิ่มอัตราโทษปรับสำหรับนิติบุคคล (มาตรา 84, มาตรา 85 และอื่นๆ)

ในกฎหมายปัจจุบัน จำนวนเงินปรับสำหรับนิติบุคคลเท่ากับอัตราโทษทางกฎหมายสำหรับผู้กระทำ แต่โดยพิจารณาความไม่เท่าเทียมกันของทรัพย์สินระหว่างนิติบุคคลและบุคคลธรรมดา ในการแก้ไขกฎหมาย อัตราโทษปรับสำหรับการฝ่าฝืนคำสั่งและอื่นๆ สำหรับนิติบุคคลได้รับการเพิ่มขึ้น (การลงโทษนิติบุคคลอย่างหนัก) นี่คือการตัดสินใจที่ไม่คาดหวังว่าการปรับเงินเท่ากับผู้กระทำจะมีผลเพียงพอในการยับยั้ง

สำหรับนิติบุคคลที่ “ฝ่าฝืนคำสั่งจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น” ในกฎหมายปัจจุบัน ปรับเท่ากับผู้กระทำไม่เกิน 300,000 เยน แต่ในการแก้ไขกฎหมาย ปรับไม่เกิน 100,000,000 เยน และ “การให้ข้อมูลฐานข้อมูลข้อมูลส่วนบุคคลที่ไม่เป็นธรรม” ในกฎหมายปัจจุบันปรับเท่ากับผู้กระทำไม่เกิน 500,000 เยน แต่ในการแก้ไขกฎหมาย ปรับไม่เกิน 100,000,000 เยน อย่างไรก็ตาม “การรายงานที่เท็จต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น” ที่ในกฎหมายปัจจุบันเป็นปรับไม่เกิน 300,000 เยน ยังคงเป็นปรับไม่เกิน 500,000 เยนเหมือนกับผู้กระทำ

การใช้กฎหมายในต่างประเทศและการโอนข้ามชาติ

เรื่องการใช้กฎหมายในต่างประเทศและการโอนข้ามชาติ มีการแก้ไขใน 2 ประเด็นดังต่อไปนี้

การเพิ่มมาตรการใช้กฎหมายในต่างประเทศ (มาตรา 75 ของ “Japanese ~”)

ในกฎหมายปัจจุบัน สิทธิ์ที่สามารถใช้กับผู้ประกอบการต่างประเทศที่เป็นเป้าหมายของการใช้กฎหมายในต่างประเทศ จำกัดอยู่เฉพาะที่สิทธิ์ที่ไม่มีอำนาจบังคับ เช่น การให้คำแนะนำและคำปรึกษา และการแนะนำ แต่เนื่องจากมีความเป็นไปได้ที่คณะกรรมการจะไม่สามารถจัดการกับเหตุการณ์ที่เกิดขึ้นในต่างประเทศ เช่น การรั่วไหลของข้อมูล ในกฎหมายที่ได้รับการแก้ไข ผู้ประกอบการต่างประเทศที่จัดการข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการให้บริการสินค้าหรือการให้บริการทางยาในญี่ปุ่น จะต้องเป็นเป้าหมายของการรายงานและการสั่งการที่ได้รับการรับรองด้วยโทษ ซึ่งจะเพิ่มการใช้สิทธิ์ของคณะกรรมการการคุ้มครองข้อมูลส่วนบุคคล

การเพิ่มการให้ข้อมูลแก่บุคคลที่ข้อมูลส่วนบุคคลของเขาถูกจัดการในธุรกิจที่ข้อมูลถูกโอนไป (มาตรา 78 ของ “Japanese ~”)

ในบางประเทศมีการจัดการข้อมูลส่วนบุคคลที่มีการควบคุมโดยรัฐบาล และในขณะที่โอกาสในการโอนข้อมูลส่วนบุคคลข้ามชาติกำลังเพิ่มขึ้น ความแตกต่างของระบบในแต่ละประเทศหรือภูมิภาคทำให้ความสามารถในการทำนายของบุคคลหรือผู้ประกอบการที่จัดการข้อมูลกลายเป็นสิ่งที่ไม่แน่นอน และทำให้เกิดความกังวลจากมุมมองของการคุ้มครองสิทธิและผลประโยชน์ของบุคคล

เพื่อตอบสนองต่อสิ่งนี้ ในการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามในต่างประเทศ จำเป็นต้องเพิ่มการให้ข้อมูลแก่บุคคลที่ข้อมูลส่วนบุคคลของเขาถูกจัดการในธุรกิจที่ข้อมูลถูกโอนไป และในการที่สามารถให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามในต่างประเทศ ตามกฎหมายปัจจุบัน ความต้องการที่เป็น “ความยินยอมของบุคคล” จะต้องมี “การให้ข้อมูลแก่บุคคลเมื่อได้รับความยินยอม เกี่ยวกับชื่อของประเทศที่ข้อมูลถูกโอนไป และว่ามีระบบการคุ้มครองข้อมูลส่วนบุคคลในประเทศที่ข้อมูลถูกโอนไปหรือไม่” และความต้องการที่เป็น “ผู้ประกอบการที่มีระบบที่สอดคล้องกับมาตรฐาน” จะต้องมี “การตรวจสอบสถานะการจัดการของผู้ประกอบการที่ข้อมูลถูกโอนไปอย่างประจำ + การให้ข้อมูลที่เกี่ยวข้องตามความต้องการของบุคคล”

สรุป

การปรับปรุงกฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น (Japanese Personal Information Protection Law) ในปี 2022 (พ.ศ. 2565) เป็นการปรับปรุงครั้งแรกตาม “กฎหมายที่ต้องทบทวนทุก 3 ปี” ซึ่งมีการขยายขอบเขตของการหยุดการใช้งานและการลบข้อมูล การห้ามการใช้ข้อมูลอย่างไม่เหมาะสม การเพิ่มการให้ข้อมูลที่เกี่ยวข้องกับการย้ายข้ามชาติ และการสร้าง “ข้อมูลที่ถูกประมวลผลเป็นชื่อเล่น” ซึ่งทำให้สามารถปกป้องและเพิ่มประสิทธิภาพในการใช้สิทธิของบุคคล ตอบสนองความเสี่ยงใหม่ที่เกิดจากการเพิ่มขึ้นของการจัดส่งข้อมูลข้ามชาติ และการตอบสนองต่อยุคของ AI และ Big Data ได้

การแนะนำมาตรการจากสำนักงานทนายความของเรา

สำนักงานทนายความ Monolis คือสำนักงานทนายความที่มีความเชี่ยวชาญสูงในด้าน IT โดยเฉพาะอินเทอร์เน็ตและกฎหมาย กฎหมายส่วนบุคคลที่ได้รับการแก้ไขใหม่นั้นกำลังได้รับความสนใจ และความจำเป็นในการตรวจสอบทางกฎหมายก็เพิ่มขึ้นเรื่อย ๆ ที่สำนักงานทนายความของเรา เราให้บริการในการแก้ปัญหาที่เกี่ยวข้องกับทรัพย์สินทางปัญญา รายละเอียดมีอยู่ในบทความด้านล่างนี้

https://monolith.law/practices/corporate[ja]