การซื้อข้อมูลลูกค้าเป็นการถูกกฎหมายหรือไม่ อธิบายเกี่ยวกับ 'กฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น
ในวันที่ 30 พฤษภาคม พ.ศ. 2560 (2017) ที่ผ่านมา “กฎหมายการปกป้องข้อมูลส่วนบุคคลญี่ปุ่น ฉบับปรับปรุง” ได้รับการบังคับใช้ทั่วไป ทำให้ทุกผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมายการปกป้องข้อมูลส่วนบุคคลญี่ปุ่นในฐานะ “ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล”
กฎหมายนี้ยังมีผลบังคับใช้กับบริษัทที่ได้รับข้อมูลส่วนบุคคลผ่านการซื้อรายชื่อ ดังนั้นผู้รับผิดชอบที่กำลังพิจารณาการซื้อข้อมูลลูกค้าจำเป็นต้องทราบถึงกระบวนการ หน้าที่ และข้อห้ามที่เกี่ยวข้องกับการซื้อขายและการใช้ข้อมูลส่วนบุคคล
ดังนั้นในครั้งนี้ เราจะอธิบายเกี่ยวกับข้อกำหนดและข้อควรระวังในกฎหมายการปกป้องข้อมูลส่วนบุคคลญี่ปุ่น ตั้งแต่การซื้อข้อมูลลูกค้าจนถึงการใช้งาน
กฎหมายคุ้มครองข้อมูลส่วนบุคคลคือกฎหมายประเภทใด?
ชื่อเต็มของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในญี่ปุ่นคือ “กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” ซึ่งถูกตั้งขึ้นในปี 2003 (พ.ศ. 2546) และได้รับการแก้ไขหลายครั้งเพื่อปรับตัวตามการเปลี่ยนแปลงของยุคดิจิทัล
กฎหมายนี้ไม่ได้จำกัดการใช้ข้อมูลส่วนบุคคลเพียงอย่างเดียว แต่มีวัตถุประสงค์หลักคือ “การคุ้มครอง” และ “การใช้งานที่เหมาะสม”
วัตถุประสงค์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- การคุ้มครองสิทธิและประโยชน์ของบุคคล พร้อมกับกำหนดกฎเกณฑ์ที่เหมาะสมในการใช้ข้อมูลส่วนบุคคล
- กำหนดหน้าที่และโทษทางกฎหมายสำหรับผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล
นิยามของข้อมูลส่วนบุคคล
ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลหมายถึงข้อมูลที่เกี่ยวข้องกับบุคคลที่ยังมีชีวิต ซึ่งเป็นข้อมูลที่ตรงกับข้อใดข้อหนึ่งดังต่อไปนี้
- ข้อมูลที่สามารถระบุบุคคลโดยเฉพาะผ่านชื่อ วันเดือนปีเกิด หรือรายละเอียดอื่น ๆ ที่รวมอยู่ในข้อมูล
- ข้อมูลที่รวมถึงรหัสประจำตัวบุคคล
รหัสประจำตัวบุคคลคืออะไร
รหัสประจำตัวบุคคลหมายถึงตัวอักษร ตัวเลข สัญลักษณ์ หรือรหัสอื่น ๆ ที่สามารถระบุบุคคลโดยเฉพาะ ซึ่งตรงกับข้อใดข้อหนึ่งดังต่อไปนี้ และถูกกำหนดโดยระเบียบข้อบังคับ
- รหัสที่ถูกแปลงจากลักษณะส่วนหนึ่งของร่างกายสำหรับคอมพิวเตอร์ (DNA, ใบหน้า, ลายตา, ลายเสียง, วิธีการเดิน, ลายเส้นเลือดในนิ้วมือ, ลายนิ้วมือ/ลายฝ่ามือ ฯลฯ)
- รหัสที่ถูกแจกจ่ายให้แต่ละบุคคลในการใช้บริการหรือในเอกสาร (หมายเลขพาสปอร์ต, หมายเลขประกันสังคมพื้นฐาน, หมายเลขใบขับขี่, รหัสทะเบียนราษฎร, หมายเลข My Number, บัตรประกันสุขภาพต่าง ๆ ฯลฯ)
หากคุณต้องการทราบรายละเอียดเพิ่มเติมเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล กรุณาอ่านบทความที่เราได้รายละเอียดไว้ด้านล่างนี้ร่วมกับบทความนี้
บทความที่เกี่ยวข้อง: กฎหมายคุ้มครองข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลคืออะไร? ทนายความอธิบาย
การซื้อขายข้อมูลลูกค้าถือว่าถูกต้องตามกฎหมายหรือไม่?
สำหรับผู้ประกอบการทั่วไปที่ไม่รวมถึงหน่วยงานของรัฐหรือองค์กรสาธารณะ, การซื้อขายข้อมูลลูกค้าไม่ถือว่าผิดกฎหมายหากปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น (Japanese Personal Information Protection Law).
ขั้นตอนในการให้ข้อมูลส่วนบุคคลกับบุคคลที่สาม
เมื่อผู้ประกอบการให้ฐานข้อมูลข้อมูลส่วนบุคคลหรืออื่น ๆ กับบุคคลที่สาม, จะต้องปฏิบัติตามขั้นตอนที่กำหนดดังต่อไปนี้.
ในหลักการ, ต้องได้รับความยินยอมจากบุคคลที่เกี่ยวข้องล่วงหน้า
อย่างไรก็ตาม, มีข้อยกเว้นในกรณีต่อไปนี้.
① กรณีที่มีการดำเนินการตามกฎหมาย
② กรณีที่ยากที่จะได้รับความยินยอมจากบุคคลที่เกี่ยวข้องและเพื่อการปกป้องชีวิต, ร่างกาย, และทรัพย์สินของบุคคลหรือเพื่อสุขภาพสาธารณะและการเจริญเติบโตที่สุขภาพดีของเด็ก
③ กรณีที่ทำการร่วมมือกับรัฐหรือองค์กรสาธารณะท้องถิ่น
การให้ข้อมูลส่วนบุคคลกับบุคคลที่สามโดยวิธีการเลือกไม่รับ (Opt-out)
ในกรณีที่ผู้ประกอบการมีนโยบายที่หากบุคคลที่เกี่ยวข้องขอ, จะหยุดการให้ข้อมูลส่วนบุคคลกับบุคคลที่สาม (Opt-out), การให้ข้อมูลส่วนบุคคลกับบุคคลที่สามสามารถทำได้โดยไม่ต้องได้รับความยินยอมจากบุคคลที่เกี่ยวข้องดังนี้.
ต้องแจ้งข้อมูลต่อไปนี้ให้บุคคลที่เกี่ยวข้องทราบล่วงหน้าหรือทำให้บุคคลที่เกี่ยวข้องสามารถทราบได้ง่ายโดยการแสดงบนเว็บไซต์หรืออื่น ๆ และต้องแจ้งให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ.
① การให้ข้อมูลส่วนบุคคลกับบุคคลที่สามเพื่อใช้เป็นวัตถุประสงค์
② รายการข้อมูลส่วนบุคคลที่จะให้กับบุคคลที่สาม
③ วิธีการให้ข้อมูลส่วนบุคคลกับบุคคลที่สาม
④ การหยุดการให้ข้อมูลส่วนบุคคลกับบุคคลที่สามตามคำขอของบุคคลที่เกี่ยวข้อง
⑤ วิธีการรับคำขอจากบุคคลที่เกี่ยวข้อง
สิ่งที่ต้องระวังคือ, สำหรับข้อมูลส่วนบุคคลที่ต้องให้ความสนใจเป็นพิเศษ เช่น สายพันธุ์, ความเชื่อ, สถานภาพทางสังคม, ประวัติการเจ็บป่วย, ประวัติอาชญากรรม ซึ่งหากถูกบุคคลอื่นทราบอาจทำให้เกิดการเลือกปฏิบัติหรืออคติที่ไม่เป็นธรรม, หลักการในการให้ข้อมูลส่วนบุคคลกับบุคคลที่สามคือต้องได้รับความยินยอมจากบุคคลที่เกี่ยวข้องล่วงหน้าเท่านั้น.
สิ่งที่ควรปฏิบัติเมื่อซื้อข้อมูลลูกค้า
หน้าที่ตามกฎหมาย
เมื่อซื้อข้อมูลลูกค้า ผู้ซื้อจะกลายเป็น “ผู้ประกอบธุรกิจด้านการจัดการข้อมูลส่วนบุคคล” ดังนั้นเมื่อรับข้อมูลส่วนบุคคลจากบุคคลที่สาม เช่น ผู้ประกอบธุรกิจรายชื่อ จะต้องปฏิบัติตามหน้าที่ตามกฎหมายดังต่อไปนี้
เมื่อซื้อข้อมูลลูกค้า ต้องตรวจสอบ 2 ข้อต่อไปนี้
- ชื่อ ที่อยู่ และผู้แทนของผู้ประกอบธุรกิจรายชื่อ
- ประวัติการรับข้อมูลส่วนบุคคลของผู้ประกอบธุรกิจรายชื่อ
เมื่อซื้อข้อมูลลูกค้า ต้องบันทึกข้อมูลต่อไปนี้และเก็บรักษาไว้ 3 ปี
- วันที่รับข้อมูลส่วนบุคคล
- ชื่อ ที่อยู่ และผู้แทนของผู้ประกอบธุรกิจรายชื่อ
- ประวัติการรับข้อมูลส่วนบุคคลของผู้ประกอบธุรกิจรายชื่อ
- ชื่อและข้อมูลอื่น ๆ ที่สามารถระบุตัวตนของบุคคลที่ถูกระบุโดยข้อมูลส่วนบุคคลนั้น
- รายการข้อมูลส่วนบุคคล
- ในกรณีที่มีการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามโดยวิธีการ Opt-out ความจำเป็นที่ต้องเปิดเผยตามคำสั่งของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น
※ สามารถตรวจสอบการแจ้งเตือนของวิธีการ Opt-out ได้ที่ เว็บไซต์ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น
การตรวจสอบเกี่ยวกับการรับข้อมูลลูกค้า
เมื่อซื้อข้อมูลลูกค้า ควรตรวจสอบวิธีการรับข้อมูลของผู้ประกอบธุรกิจรายชื่อด้วย เพราะถึงแม้จะซื้อข้อมูลลูกค้าโดยถูกต้องตามกฎหมาย แต่ถ้าวิธีการรับข้อมูลลูกค้าผิดกฎหมาย ผู้ใช้งานอาจต้องรับความรับผิดชอบในการชดใช้ความเสียหาย
การรับข้อมูลลูกค้าโดยใช้วิธีที่ไม่ซื่อสัตย์ เช่น การโกหก ของผู้ประกอบธุรกิจรายชื่อ ถือว่าผิดกฎหมาย นอกจากนี้ยังมีหน้าที่อื่น ๆ ในการรับข้อมูลดังต่อไปนี้ ควรตรวจสอบก่อนซื้อ
- ได้ระบุวัตถุประสงค์ในการใช้ข้อมูลอย่างเจาะจงหรือไม่
- ได้เปิดเผยหรือแจ้งวัตถุประสงค์ที่ระบุไปยังบุคคลนั้นหรือไม่
- ได้รับความยินยอมจากบุคคลนั้นหรือไม่ เมื่อใช้ข้อมูลส่วนบุคคลที่ได้รับสำหรับวัตถุประสงค์อื่น
- เมื่อรับข้อมูลส่วนบุคคลจากบุคคลที่สาม ได้ตรวจสอบประวัติการรับข้อมูลส่วนบุคคล วันที่รับข้อมูล และรายการที่ต้องตรวจสอบ และบันทึกไว้ 3 ปีหรือไม่
- ไม่มีข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมจากบุคคลนั้นโดยเฉพาะ “ข้อมูลส่วนบุคคลที่ต้องให้ความสนใจ” หรือไม่
หากต้องการทราบรายละเอียดเกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคลและการชดใช้ความเสียหาย สามารถอ่านรายละเอียดได้จากลิงค์ด้านล่างนี้ ร่วมกับบทความนี้
บทความที่เกี่ยวข้อง: ความเสี่ยงของการรั่วไหลของข้อมูลส่วนบุคคลขององค์กรและความรับผิดชอบในการชดใช้ความเสียหาย
สิ่งที่ควรปฏิบัติเมื่อใช้ข้อมูลลูกค้า
ไม่ควรเกินขอบเขตของวัตถุประสงค์ในการใช้
การที่ผู้ประกอบการรายชื่อและอื่น ๆ ใช้ข้อมูลลูกค้าเกินขอบเขตของวัตถุประสงค์ที่ได้รับความยินยอมจากเจ้าของข้อมูลถือว่าผิดกฎหมาย ดังนั้นหากต้องการใช้ข้อมูลเพื่อวัตถุประสงค์อื่น ควรขอความยินยอมจากเจ้าของข้อมูลอีกครั้ง
ในกรณีที่ใช้สำหรับการโทรขาย
เมื่อทำการขายโดยการโทรเพื่อชักจูง สมัครหรือทำสัญญาซื้อขายสินค้า จะต้องปฏิบัติตามข้อกำหนดต่อไปนี้ที่กำหนดโดย “Japanese Act on Specified Commercial Transactions” (กฎหมายญี่ปุ่นเกี่ยวกับการธุรกรรมทางการค้าที่ระบุ)
ต้องแจ้งข้อมูลต่อไปนี้กับผู้บริโภคก่อนที่จะชักจูง
- ชื่อบริษัท
- ชื่อของผู้รับผิดชอบ (ผู้ที่จะทำการชักจูง)
- ประเภทของสินค้า (สิทธิ์, บริการ) ที่ต้องการขาย
- วัตถุประสงค์ในการชักจูงเพื่อทำสัญญา
การกระทำที่ถูกห้าม
- ชักจูงอีกครั้งต่อผู้ที่ได้ปฏิเสธแล้ว
- ให้คำอธิบายที่ไม่ตรงกับความจริง
- ไม่แจ้งความจริงโดยเจตนา
- ความรุนแรงและการทำให้ผู้อื่นสับสน
ในกรณีที่ใช้สำหรับการส่งอีเมล
เมื่อส่งอีเมลเพื่อโฆษณาหรือการประชาสัมพันธ์ ตาม “Japanese Act on Regulation of Transmission of Specified Electronic Mail” (กฎหมายญี่ปุ่นเกี่ยวกับการควบคุมการส่งอีเมลที่ระบุ) หลักการคือ ต้องห้ามส่งอีเมลถึงผู้ที่ไม่ได้แจ้งว่าต้องการรับอีเมลที่ระบุหรือไม่ได้ยินยอมให้ส่ง
แม้ว่าผู้ประกอบการรายชื่อจะได้รับแจ้งตามข้อ ① และ ② แล้ว ผู้ที่ซื้อรายชื่อจะต้องขอแจ้งใหม่ตามข้อ ① และ ② ดังนั้นการใช้อีเมลอาจจะยาก
หน้าที่ในการจัดการความปลอดภัย
เมื่อได้รับข้อมูลลูกค้า คุณจะกลายเป็นผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล และมีหน้าที่ต้องดำเนินมาตรการที่จำเป็นเพื่อป้องกันการรั่วไหล การสูญหาย หรือการทำลายข้อมูลส่วนบุคคล
นอกจากนี้ คุณยังต้องดำเนินการดูแลและควบคุมพนักงานที่จัดการข้อมูลส่วนบุคคลให้เหมาะสมและเพียงพอเพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคล
สรุป
ในครั้งนี้ เราได้ทำการอธิบายเกี่ยวกับการซื้อข้อมูลลูกค้าและความสัมพันธ์กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยแบ่งเป็น 4 หัวข้อดังนี้
- กฎหมายคุ้มครองข้อมูลส่วนบุคคลคือกฎหมายประเภทใด?
- การซื้อขายข้อมูลลูกค้าเป็นการทำตามกฎหมายหรือไม่?
- สิ่งที่ควรปฏิบัติเมื่อซื้อข้อมูลลูกค้า
- สิ่งที่ควรปฏิบัติเมื่อใช้ข้อมูลลูกค้า
อย่างไรก็ตาม หากทำธุรกรรมกับผู้บริโภคต่างประเทศผ่านอินเทอร์เน็ต คุณจำเป็นต้องตรวจสอบกฎหมายของแต่ละประเทศ ไม่เพียงแค่กฎหมายภายในประเทศเท่านั้น
ดังนั้น หากคุณกำลังพิจารณาซื้อหรือใช้ข้อมูลลูกค้า แนะนำให้คุณปรึกษากับทนายความที่มีความรู้และประสบการณ์เฉพาะทาง และขอคำแนะนำจากเขา แทนที่จะตัดสินใจด้วยตัวเอง
การแนะนำมาตรการจากสำนักงานทนายความของเรา
สำนักงานทนายความ Monolis คือสำนักงานทนายความที่มีความเชี่ยวชาญสูงในด้าน IT โดยเฉพาะอินเทอร์เน็ตและกฎหมาย ในปีหลัง ๆ นี้ กฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น (Japanese Personal Information Protection Law) ได้รับความสนใจมากขึ้น และความจำเป็นในการตรวจสอบทางกฎหมายก็เพิ่มขึ้นเรื่อย ๆ รายละเอียดเพิ่มเติมได้ระบุไว้ในบทความด้านล่างนี้
