แบบไทย English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_th/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248วันธรรมดา 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > ปรับปรุงกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น ปี 4 รัชกาลรัชวโลงค์ (2022) การสร้าง 'ข้อมูลที่ถูกประมวลผลเป็นชื่อเล่น' และอื่น ๆ เพื่อส่งเสริมการใช้ข้อมูลอย่างมีประสิทธิภาพ

ปรับปรุงกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น ปี 4 รัชกาลรัชวโลงค์ (2022) การสร้าง 'ข้อมูลที่ถูกประมวลผลเป็นชื่อเล่น' และอื่น ๆ เพื่อส่งเสริมการใช้ข้อมูลอย่างมีประสิทธิภาพ

General Corporate

ปรับปรุงกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น ปี 4 รัชกาลรัชวโลงค์ (2022) การสร้าง 'ข้อมูลที่ถูกประมวลผลเป็นชื่อเล่น' และอื่น ๆ เพื่อส่งเสริมการใช้ข้อมูลอย่างมีประสิทธิภาพ

กฎหมายเกี่ยวกับการจัดการข้อมูลส่วนบุคคลถูกแก้ไขบ่อยครั้งและเปลี่ยนแปลงตามสมัย ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลจำเป็นต้องรับรู้จุดที่ถูกแก้ไขเหล่านี้อย่างรวดเร็วและจัดระบบภายในองค์กรให้เหมาะสม

การเพิ่มเสริมสิทธิของบุคคล การเปลี่ยนแปลงที่เกี่ยวข้องกับการให้บุคคลที่สามรวมถึงต่างประเทศ การจัดตั้งข้อมูลที่ถูกประมวลผลเป็นชื่อเทียมและข้อมูลที่เกี่ยวข้องกับบุคคล จุดที่เปลี่ยนแปลงในการแก้ไขกฎหมายคุ้มครองข้อมูลส่วนบุคคลของปี 2022 (รัชกาลที่ 4) มีหลากหลาย ผู้ประกอบการต้องเข้าใจถูกต้องว่ามีการแก้ไขอย่างไรและต้องตอบสนองอย่างไร

ดังนั้น เราจะอธิบายจุดที่ต้องตรวจสอบสำหรับการปฏิบัติงานจริงของผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลและ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ซึ่งได้รับการแก้ไขและจัดตั้งใหม่ในวันที่ 1 เมษายน 2022 (รัชกาลที่ 4)

กฎหมายคุ้มครองข้อมูลส่วนบุคคลคืออะไร

กฎหมายคุ้มครองข้อมูลส่วนบุคคล

“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หรือชื่อเต็มคือ “กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” มีวัตถุประสงค์เพื่อสร้างสมดุลระหว่างประโยชน์ที่ได้จากข้อมูลส่วนบุคคลและการคุ้มครองสิทธิและผลประโยชน์ของบุคคล โดยกำหนดการจัดการที่เหมาะสมกับข้อมูลส่วนบุคคล (การรวบรวม การใช้ การเก็บรักษา การจัดการ การให้ การเปิดเผย การหยุด และวิธีการลบข้อมูล).

กฎหมายนี้มี “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” เป็นหน่วยงานที่ดูแล และกำหนดหน้าที่และความผิดที่ควรปฏิบัติและความผิดที่เกิดขึ้นเมื่อฝ่าฝืนกฎหมายนี้ สำหรับทุกหน่วยงานของรัฐและผู้ประกอบการเอกชนที่จัดการฐานข้อมูลส่วนบุคคล.

ประวัติการแก้ไข กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น

กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น ได้รับการสร้างขึ้นในวันที่ 23 พฤษภาคม พ.ศ. 2546 (2003) (กฎหมายที่ 57 ลงวันที่ 30 พฤษภาคม พ.ศ. 2546) และได้รับการบังคับใช้ทันทีสำหรับข้อบังคับที่ไม่ได้เกี่ยวข้องโดยตรงกับธุรกิจทั่วไปและไม่มีโทษในบทที่ 4 ถึง 6 และได้รับการบังคับใช้ทั้งหมดในวันที่ 1 เมษายน พ.ศ. 2548 (2005)

ในการแก้ไขปี พ.ศ. 2558 (2015) ได้รวมข้อบังคับที่ต้องการการปรับปรุงทุก 3 ปีเพื่อรองรับการดิจิทัลไลซ์ของสังคมทั้งหมด โดยมุ่งเน้นทั้ง “การคุ้มครองข้อมูลส่วนบุคคล” และ “การใช้ประโยชน์จากข้อมูลส่วนบุคคล” และ “การปรับตัวให้เข้ากับระบบระดับนานาชาติ”

ในการแก้ไขที่บังคับใช้ในเดือนพฤษภาคม พ.ศ. 2560 (2017) ได้เพิ่ม “รหัสประจำตัวส่วนบุคคล” “ข้อมูลส่วนบุคคลที่ต้องให้ความสนใจ” และ “ข้อมูลที่ถูกประมวลผลอย่างไม่ระบุชื่อ” ในข้อมูลส่วนบุคคล นอกจากนี้ยังได้สร้างระบบการติดตาม (Traceability) และการลบข้อมูลส่วนบุคคล และการจำกัดการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามที่อยู่ต่างประเทศ และการสร้างคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเปลี่ยนจากระบบการดูแลรักษาโดยรัฐมนตรีเป็นการดูแลรักษาโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

และในวันที่ 1 เมษายน พ.ศ. 2565 (2022) กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการแก้ไขได้รับการบังคับใช้

นี่คือการประกาศที่ได้รับในวันที่ 12 มิถุนายน พ.ศ. 2563 (2020) ซึ่งจากมุมมองของการรวมและจัดระเบียบกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล 3 กฎหมาย (กฎหมายคุ้มครองข้อมูลส่วนบุคคล กฎหมายคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานราชการ และกฎหมายคุ้มครองข้อมูลส่วนบุคคลขององค์กรอิสระ) ได้กลายเป็นการแก้ไขที่สำคัญที่สุดของ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล”

นอกจากการเป็นหนึ่งเดียวทั้งภาครัฐและภาคเอกชนในการกำหนดความหมายของข้อมูลส่วนบุคคลแล้ว จากความจำเป็นในการปรับตัวเพื่อรับมือกับยุคของ AI และ Big Data ระดับโลก และการเพิ่มความแข็งแกร่งในการคุ้มครองสิทธิและผลประโยชน์ของบุคคล กฎหมายที่ได้รับการแก้ไขและสร้างใหม่นี้ได้รวมการเปลี่ยนแปลงที่หลากหลาย

จุดที่ได้รับการแก้ไขโดยเฉพาะคือ “ข้อมูลที่ถูกประมวลผลอย่างไม่ระบุชื่อ” และ “ข้อมูลที่เกี่ยวข้องกับบุคคล” ได้รับการสร้างขึ้นใหม่ และการควบคุมการจัดการข้อมูลส่วนบุคคลที่ถือครอง รวมถึงต่างประเทศ ได้รับการเพิ่มความเข้มงวดและการลงโทษที่เข้มข้น นอกจากนี้หากมีการรั่วไหล (การรั่วไหล การสูญหาย การทำลาย) จะต้องรายงานแก่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและแจ้งให้ผู้ที่เกี่ยวข้องทราบ

นั่นคือ ผู้ประกอบการต่างประเทศที่จัดการข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคคลที่อยู่ในประเทศญี่ปุ่น จะต้องเป็นเป้าหมายของการรายงานและการสั่งการทางการบริหาร และจะต้องรับโทษด้วย สำหรับโทษ คุณสามารถดูรายละเอียดได้ในบทความนี้

บทความที่เกี่ยวข้อง: การอธิบายเกี่ยวกับ ‘โทษ’ ในกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการแก้ไขในปี พ.ศ. 2565 (2022)

นอกจากนี้ในวันที่ 1 เมษายน พ.ศ. 2566 (2023) กฎหมายที่ได้รับการแก้ไขและสร้างใหม่ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจัดการระบบโดยเดียวดายเพื่อแก้ไขความไม่สมดุลและความไม่สอดคล้องในระดับการคุ้มครองที่เกิดจากความแตกต่างในข้อบังคับและการดำเนินการของระเบียบคุ้มครองข้อมูลส่วนบุคคลของรัฐบาลท้องถิ่น กฎหมายในสาขาการแพทย์ และข้อยกเว้นในสาขาวิชาการ จะได้รับการบังคับใช้ทั้งหมดเพื่อเป้าหมายในการทำให้การควบคุมเป็นหนึ่งเดียว

6 ข้อสำคัญในการแก้ไข พ.ศ. 2565 (2022) ของกฎหมายการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น

6 ข้อสำคัญในการแก้ไข พ.ศ. 2565 (2022) ของกฎหมายการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่นที่ได้รับการแก้ไขใหม่ในปี พ.ศ. 2563 (2020) นั้น มีการพิจารณาจาก 5 มุมมองต่อไปนี้ โดยมุ่งหวังที่จะสร้าง “ระบบที่สามารถทำให้ผลลัพธ์จากการปรับปรุงเทคโนโลยีที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและข้อมูลที่เกี่ยวข้องกับบุคคล สามารถกระจายไปทั่วทั้งด้านการเติบโตทางเศรษฐกิจและการคุ้มครองสิทธิและผลประโยชน์ของบุคคล” โดยพิจารณาจากการเปลี่ยนแปลงของสถานการณ์ทางสังคมและเศรษฐกิจ

  1. การคุ้มครองสิทธิและผลประโยชน์ของบุคคล
  2. การเสริมสร้างการคุ้มครองและการใช้ประโยชน์จากผลลัพธ์ของการปรับปรุงเทคโนโลยี
  3. การปรับเข้ากับระบบระหว่างประเทศและการทำงานร่วมกัน
  4. การตอบสนองต่อความเสี่ยงที่เกี่ยวข้องกับการเพิ่มขึ้นของการจัดการข้อมูลข้ามพรมแดน
  5. การตอบสนองต่อยุคของ AI และ Big Data

ที่มา: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น ‘การแก้ไขกฎหมายการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น พ.ศ. 2563 ความเข้าใจและการใช้ประโยชน์ที่เหมาะสมจากข้อมูลส่วนบุคคล’

6 ข้อสำคัญในการแก้ไขกฎหมายการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่นในปี พ.ศ. 2565 (2022) ได้แก่

  1. การขยายสิทธิ์ในการร้องขอของบุคคล
  2. การเพิ่มหน้าที่ของผู้ประกอบการ
  3. การส่งเสริมการดำเนินการอย่างเป็นอิสระของผู้ประกอบการ
  4. การส่งเสริมการใช้ประโยชน์จากข้อมูล
  5. การเพิ่มความเข้มงวดของการลงโทษ
  6. การขยายการประยุกต์ใช้นอกพื้นที่

เพื่อปรับตัวให้สอดคล้องกับ “กฎหมายการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่นที่ได้รับการแก้ไข” ซึ่งเริ่มใช้บังคับในวันที่ 1 เมษายน พ.ศ. 2565 (2022) ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลจำเป็นต้องทบทวนและแก้ไขระบบการจัดการข้อมูลส่วนบุคคล นโยบายความเป็นส่วนตัว กฎระเบียบภายใน และเนื้อหาของสัญญา (เช่น เงื่อนไขการใช้บริการ) คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น (PPC) มี “คู่มือกฎหมายการคุ้มครองข้อมูลส่วนบุคคล” และเอกสารฝึกอบรมที่อัปเดตอยู่เสมอ ซึ่งสามารถใช้เป็นแนวทางในการทบทวนระบบการจัดการข้อมูลส่วนบุคคลขององค์กรของคุณ

นอกจากนี้ สำหรับหน้าที่ของผู้ประกอบการที่ได้รับการเพิ่มเติมในการแก้ไขครั้งนี้ กรุณาดูรายละเอียดเพิ่มเติมในบทความด้านล่างนี้

บทความที่เกี่ยวข้อง: การแก้ไขกฎหมายการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น พ.ศ. 2565 (2022) ‘หน้าที่ของผู้ประกอบการ’ คำอธิบายเกี่ยวกับข้อที่ควรระวัง

วิธีการที่สิทธิ์ของบุคคลในข้อมูลส่วนบุคคล

ในที่นี้ เราจะอธิบายเกี่ยวกับสิทธิ์ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ได้รับการขยายในการแก้ไขครั้งนี้ และวิธีการตอบสนองที่จำเป็นในทางปฏิบัติ

 การผ่อนปรนข้อกำหนดในการร้องขอหยุดการใช้งาน, การลบ, และการหยุดการให้บริการแก่บุคคลที่สาม

การร้องขอหยุดการใช้งานหรือการลบข้อมูลส่วนบุคคล และการหยุดการให้บริการแก่บุคคลที่สาม ก่อนหน้านี้สามารถทำได้เฉพาะในกรณีที่มีการใช้งานที่ไม่เกี่ยวข้องกับวัตถุประสงค์หรือการรับข้อมูลอย่างไม่ถูกต้อง แต่หลังจากการแก้ไขกฎหมาย การร้องขอนี้สามารถทำได้ในกรณีที่มีความเสี่ยงที่จะทำให้สิทธิ์หรือผลประโยชน์ที่ถูกต้องของบุคคลถูกทำลาย นอกจากนี้ ในกรณีที่ไม่จำเป็นต้องใช้ข้อมูลส่วนบุคคลอีกต่อไป การร้องขอเหล่านี้ก็สามารถทำได้

ดังนั้น หลังจากการแก้ไข จำนวนการร้องขอเหล่านี้ที่มุ่งหวังไปยังผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลนั้นจะมีแนวโน้มเพิ่มขึ้น สำหรับผู้ประกอบการ จำเป็นต้องมีการรักษาทรัพยากรเพื่อตอบสนองการร้องขอเหล่านี้และการปรับปรุงคู่มือและอื่น ๆ

นอกจากนี้ ในการตัดสินว่า “ไม่จำเป็นต้องใช้งานอีกหรือไม่” จำเป็นต้องมีระบบที่สามารถตรวจสอบวัตถุประสงค์ในการใช้งานสำหรับข้อมูลส่วนบุคคลแต่ละรายที่ถือครอง

 การขยายขอบเขตการร้องขอเปิดเผยข้อมูลจากบุคคลเอง

ขอบเขตของการร้องขอเปิดเผยข้อมูลส่วนบุคคลที่ถือครองจากบุคคลเองได้รับการขยายขึ้น และเราสามารถร้องขอเปิดเผยข้อมูลเกี่ยวกับบันทึกการให้บุคคลที่สามรับข้อมูลส่วนบุคคลจากผู้ประกอบธุรกิจที่จัดการข้อมูลส่วนบุคคลได้แล้ว

นอกจากนี้ การร้องขอเปิดเผยข้อมูลในอดีตจะต้องทำผ่านเอกสารเท่านั้น แต่ตอนนี้เราสามารถเลือกการเปิดเผยข้อมูลตามวิธีที่บุคคลเองกำหนด (การเปิดเผยข้อมูลผ่านการบันทึกแม่เหล็ก) ซึ่งจะทำให้เกิดการเพิ่มขึ้นของจำนวนการร้องขอเปิดเผยข้อมูลออนไลน์จากผู้ประกอบธุรกิจที่จัดการข้อมูลส่วนบุคคล ดังนั้น ผู้ประกอบธุรกิจจำเป็นต้องทำการเตรียมการทางเทคนิคและองค์กรเพื่อให้สามารถให้บริการการเปิดเผยข้อมูลผ่านการบันทึกแม่เหล็กได้

ผู้ประกอบธุรกิจที่จัดการข้อมูลส่วนบุคคลจำเป็นต้องเปิดเผยข้อมูลตามวิธีที่บุคคลเองร้องขอ หากบุคคลเองร้องขอเปิดเผยข้อมูลโดยระบุวิธีการให้ข้อมูลส่วนบุคคลที่ถือครอง ยกเว้นเมื่อวิธีการที่ระบุนั้นยากต่อการดำเนินการ

ผู้ประกอบธุรกิจที่จัดการข้อมูลส่วนบุคคลสามารถกำหนดรูปแบบไฟล์ของการบันทึกแม่เหล็ก (รูปแบบ PDF, Word และอื่น ๆ) และวิธีการให้บริการการบันทึกแม่เหล็ก (การบันทึกแม่เหล็กบันทึกลงในสื่อบันทึกแล้วส่งทางไปรษณีย์ การแนบการบันทึกแม่เหล็กในอีเมลและส่ง หรือให้ดาวน์โหลดการบันทึกแม่เหล็กจากเว็บไซต์ และอื่น ๆ) หากวิธีการเปิดเผยที่บุคคลเองระบุนั้นยากต่อการดำเนินการ ผู้ประกอบธุรกิจสามารถเปิดเผยข้อมูลด้วยวิธีที่สามารถทำได้ อย่างไรก็ตาม จากมุมมองของการเพิ่มความสะดวกสบายให้กับบุคคลเอง การตอบสนองตามความต้องการของบุคคลเองให้มากที่สุดเท่าที่จะทำได้ถือว่าเป็นสิ่งที่ควรทำ

ที่มา: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น ‘คำถามและคำตอบเกี่ยวกับแนวทางของกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล | A9-10’

การขยายขอบเขตข้อมูลส่วนบุคคลที่ถือครองและเป็นเป้าหมายของการเปิดเผย

ก่อนการแก้ไข, ข้อมูลส่วนบุคคลที่จัดเก็บระยะสั้นภายใน 6 เดือนไม่ถือว่าเป็น “ข้อมูลส่วนบุคคลที่ถือครอง” แต่ในกฎหมายที่ได้รับการแก้ไข, ข้อมูลส่วนบุคคลที่ถือครองจะไม่ขึ้นอยู่กับระยะเวลาที่จัดเก็บ

ดังนั้น, ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลและได้จัดระเบียบข้อมูลที่ไม่เป็นเป้าหมายของการร้องขอเนื่องจากการจัดเก็บระยะสั้นก่อนการแก้ไข, จำเป็นต้องทำการปรับปรุงการจัดการข้อมูล

การเพิ่มความเข้มงวดของกฎการยกเลิกการเลือก:การเพิ่มการแจ้งเตือน การประกาศ และรายการที่ต้องรายงาน

รายการที่ควรแจ้งเตือนและประกาศให้บุคคลที่เกี่ยวข้อง และรายการที่ต้องรายงานให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้เพิ่มเติมดังต่อไปนี้:

  • ชื่อและรายละเอียดของผู้ดำเนินธุรกิจที่จัดการข้อมูลส่วนบุคคลและมีการให้บริการแก่บุคคลที่สาม
  • วิธีการที่ข้อมูลส่วนบุคคลถูกให้บริการแก่บุคคลที่สาม

หากใช้ “วิธีการยกเลิกการเลือก” คุณสามารถแจ้งเตือนและประกาศล่วงหน้าว่า “ข้อมูลส่วนบุคคลจะถูกให้บริการแก่บุคคลที่สาม” และหากมีความประสงค์จากบุคคลที่เกี่ยวข้อง “การให้บริการแก่บุคคลที่สามจะถูกหยุด” จะไม่มีปัญหาใดๆ

ตามการแก้ไขกฎหมายครั้งนี้ หากคุณต้องการให้บริการข้อมูลส่วนบุคคลแก่บุคคลที่สามโดยใช้ “วิธีการยกเลิกการเลือก” คุณต้องรายงานให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลล่วงหน้า และหากคุณหยุดการให้บริการแก่บุคคลที่สาม คุณจะต้องรายงานการเปลี่ยนแปลงนี้

ดังนั้น ผู้ดำเนินธุรกิจที่ให้บริการข้อมูลส่วนบุคคลแก่บุคคลที่สามโดยใช้ “วิธีการยกเลิกการเลือก” จะต้องทำการแจ้งเตือนและประกาศในนโยบายความเป็นส่วนตัวของตน และอาจจำเป็นต้องทำการแก้ไขหรือปรับปรุง

การเพิ่มความเข้มงวดของการควบคุมการเลือกไม่ร่วม (Opt-out): การห้ามการเลือกไม่ร่วมสองชั้น

ข้อมูลส่วนบุคคลที่ไม่เป็นเป้าหมายของ “วิธีการเลือกไม่ร่วม (Opt-out)” นอกจาก “ข้อมูลส่วนบุคคลที่ต้องให้ความสนใจพิเศษ” ยังรวมถึง “ข้อมูลส่วนบุคคลที่ได้รับอย่างไม่เป็นธรรม” ซึ่งเป็นขอบเขตของการควบคุม และมีการกำหนดใหม่ว่า ข้อมูลส่วนบุคคลที่ได้รับผ่าน “วิธีการเลือกไม่ร่วม (Opt-out)” ไม่สามารถนำไปให้บริการอีกครั้งผ่าน “วิธีการเลือกไม่ร่วม (Opt-out)” ซึ่งเป็นการห้ามการเลือกไม่ร่วมสองชั้น

ดังนั้น ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลจำเป็นต้องตรวจสอบว่าข้อมูลส่วนบุคคลที่จะให้บริการแก่บุคคลที่สามผ่าน “วิธีการเลือกไม่ร่วม (Opt-out)” ได้รับมาหรือได้รับผ่านวิธีใด และต้องดำเนินการตามกฎหมายที่ได้รับการแก้ไข

การใช้ข้อมูลขยายขึ้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไข

การใช้ข้อมูลขยายขึ้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไข

การตั้งขึ้นข้อมูลที่ถูกประมวลผลแบบชื่อเรียก

ตัวอย่างเช่น สำหรับการใช้งานทางสถิติ ข้อมูลส่วนบุคคลอาจถูกประมวลผลเป็น “ข้อมูลที่ถูกประมวลผลแบบไม่ระบุตัวตน” หรือ “ข้อมูลที่ถูกประมวลผลแบบชื่อเรียก”

ดังที่ได้กล่าวไว้แล้ว “ข้อมูลที่ถูกประมวลผลแบบไม่ระบุตัวตน” คือข้อมูลส่วนบุคคลที่ถูกประมวลผลให้ไม่สามารถระบุตัวตนของบุคคลโดยการเปรียบเทียบกับข้อมูลอื่น ๆ และมีกฎดังต่อไปนี้สำหรับข้อมูลที่ถูกประมวลผลแบบไม่ระบุตัวตน:

  • ไม่จำเป็นต้องได้รับความยินยอมจากบุคคลที่เกี่ยวข้องในการให้ข้อมูลแก่บุคคลที่สาม
  • การระบุตัวตนถูกห้าม
  • เมื่อสร้างข้อมูลที่ถูกประมวลผลแบบไม่ระบุตัวตน ต้องเปิดเผยรายการข้อมูลส่วนบุคคลที่รวมอยู่ในข้อมูลที่ถูกประมวลผลแบบไม่ระบุตัวตนนั้น

อย่างไรก็ตาม “ข้อมูลที่ถูกประมวลผลแบบชื่อเรียก” ที่ถูกตั้งขึ้นใหม่ในการแก้ไขครั้งนี้คือข้อมูลส่วนบุคคลที่ถูกประมวลผลให้สามารถระบุตัวตนของบุคคลโดยการเปรียบเทียบกับข้อมูลอื่น ๆ สำหรับข้อมูลที่ถูกประมวลผลแบบชื่อเรียก กฎดังต่อไปนี้ได้รับการกำหนด:

  • ไม่มีข้อจำกัดในการเปลี่ยนแปลงวัตถุประสงค์ในการใช้งาน แต่เมื่อมีการเปลี่ยนแปลง ต้องเปิดเผยวัตถุประสงค์ในการใช้งานหลังการเปลี่ยนแปลง
  • การระบุตัวตนและการติดต่อบุคคลที่เกี่ยวข้องถูกห้าม
  • ไม่มีหน้าที่ต้องตอบสนองต่อคำขอเปิดเผยหรือหยุดการใช้งานจากบุคคลที่เกี่ยวข้อง
  • ไม่มีหน้าที่ต้องรายงานหรือแจ้งเมื่อมีการรั่วไหล
  • การให้ข้อมูลแก่บุคคลที่สามถูกห้าม

อย่างไรก็ตาม ในกรณีที่ผู้รับข้อมูลเป็นผู้รับมอบหมาย ผู้รับธุรกิจ หรือผู้ใช้ร่วม (บริษัทในกลุ่ม การวิจัยร่วม ฯลฯ) สามารถให้ “ข้อมูลที่ถูกประมวลผลแบบชื่อเรียก”

สำหรับผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล ในกรณีที่มีการประมวลผลโดยใช้ “ข้อมูลที่ถูกประมวลผลแบบชื่อเรียก” อาจจำเป็นต้องแก้ไขนโยบายความเป็นส่วนตัวเพื่อระบุและเปิดเผยวัตถุประสงค์ในการใช้งานและความสัมพันธ์กับการให้ข้อมูลแก่บุคคลที่สาม

การควบคุมข้อมูลส่วนบุคคลที่เป็นข้อมูลที่เกี่ยวข้องกับบุคคลที่จุดที่ให้บริการ

ในจุดที่ให้บริการ แม้ว่าจะเป็น “ข้อมูลที่เกี่ยวข้องกับบุคคล” แต่ในกรณีที่ “คาดว่า” จะได้รับเป็น “ข้อมูลส่วนบุคคล” ที่จุดที่ได้รับบริการ จุดที่ได้รับบริการจำเป็นต้องยืนยันกับจุดที่ให้บริการว่าได้รับความยินยอมจากบุคคลที่เกี่ยวข้องแล้วหรือไม่

สำหรับผู้ให้บริการ DMP (Data Management Platform) หรือบริการที่คล้ายคลึงกัน มีการกำหนดข้อบังคับที่เหมือนกับการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สาม

ตัวอย่าง) ในกรณีที่ฟ้องผู้โพสต์ที่ไม่ระบุชื่อด้วยความผิดเกี่ยวกับการทำให้เสื่อมเสียชื่อเสียง ผู้ดูแลเว็บไซต์ที่เก็บ IP ที่อยู่จะให้ข้อมูลให้กับผู้ให้บริการการสื่อสารผ่านอินเทอร์เน็ต (บริษัท NTT, บริษัทโทรศัพท์มือถือ ฯลฯ) ผ่านการร้องขอเปิดเผยข้อมูลผู้ส่ง

การควบคุมข้อมูลส่วนบุคคลที่เป็นข้อมูลที่เกี่ยวข้องกับบุคคลที่จุดที่ให้บริการ

ข้อกำหนดเกี่ยวกับการเพิ่มมาตรการควบคุมและการใช้บังคับนอกพื้นที่

ในกรณีที่มีการให้ข้อมูลส่วนบุคคลกับบุคคลที่ 3 ตั้งอยู่ในต่างประเทศ ก่อนการแก้ไข จะต้องมี “ความยินยอมจากบุคคลนั้น” และผู้รับข้อมูลต้องเป็น “ผู้ประกอบการที่มีระบบที่สอดคล้องกับมาตรฐาน” และต้องเป็น “ประเทศที่มีระดับเทียบเท่ากับญี่ปุ่น” เช่น สหภาพยุโรปหรือสหราชอาณาจักร

ในกฎหมายที่ได้รับการแก้ไข มีการเพิ่มข้อกำหนดสองข้อในส่วนแรก โดยเฉพาะอย่างยิ่งในการ “รับความยินยอมจากบุคคลนั้น” จะต้องมีการเปิดเผยข้อมูลต่อไปนี้:

  • ชื่อประเทศที่ข้อมูลจะถูกโอนไป
  • ระบบการคุ้มครองข้อมูลส่วนบุคคลในประเทศนั้น
  • มาตรการที่ผู้รับข้อมูลจะดำเนินเพื่อคุ้มครองข้อมูลส่วนบุคคล
  • ข้อมูลอื่น ๆ ที่อาจเป็นประโยชน์สำหรับบุคคลนั้น

นอกจากนี้ ในการยืนยันว่าเป็น “ผู้ประกอบการที่มีระบบที่สอดคล้องกับมาตรฐาน” ผู้ส่งข้อมูลต้องดำเนิน “มาตรการที่จำเป็นสำหรับการคุ้มครองข้อมูลส่วนบุคคล” และต้องให้ข้อมูลเหล่านี้ตามคำขอของบุคคลนั้น

มาตรการที่จำเป็นที่ผู้ส่งข้อมูลต้องดำเนิน โดยเฉพาะอย่างยิ่ง คือ “ระบบการจัดการสถานะการจัดการที่เหมาะสมที่ผู้รับข้อมูล” และ “การตอบสนองเมื่อมีความเสี่ยงเกิดขึ้นในการจัดการที่เหมาะสมที่ผู้รับข้อมูล”

ระบบการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่เป็นที่รู้จักอย่าง GDPR (General Data Protection Regulation) หรือสหราชอาณาจักรและระบบ CBPR ของ APEC นอกจากนี้ยังมีระบบการคุ้มครองข้อมูลส่วนบุคคลที่เฉพาะเจาะจงของประเทศอื่น ๆ ดังนั้น ขึ้นอยู่กับสถานการณ์ธุรกิจ อาจจำเป็นต้องทราบและจัดการล่วงหน้า

สำหรับข้อมูลที่สามารถเป็นตัวชี้วัดของ “ระบบการคุ้มครองข้อมูลส่วนบุคคล” ถ้าไม่มีหน้าที่หรือสิทธิ์ของผู้ประกอบการที่สอดคล้องกับ “8 หลักของ OECD (องค์การพัฒนาและความร่วมมือทางเศรษฐกิจ) คู่มือความเป็นส่วนตัว” หรือไม่มีสิทธิ์ของบุคคลนั้น จะต้องให้ข้อมูลเนื้อหานี้แก่บุคคลนั้น เนื่องจากเป็นสิ่งที่แสดงความแตกต่างที่สำคัญจาก “กฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น”

ในต่างประเทศ อาจมีระบบการคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดมากกว่าญี่ปุ่น ดังนั้นการสำรวจและทราบข้อมูลเป็นสิ่งที่สำคัญ สำหรับรายละเอียด โปรดดูข้อมูลเกี่ยวกับความสัมพันธ์ระหว่างประเทศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ในกฎหมายที่ได้รับการแก้ไข คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถทำให้ผู้ประกอบการต่างประเทศได้รับการรับรองโดยการปรับ การรายงานการเก็บข้อมูล การสั่งการ และการตรวจสอบที่เข้าไป ทำให้เกิดการทำงานที่เท่าเทียมกับผู้ประกอบการในประเทศ

เพื่อให้สามารถใช้อำนาจอย่างมีประสิทธิภาพต่อผู้ประกอบการในประเทศและต่างประเทศ และรับรองการดำเนินการที่เหมาะสม มีการระบุขั้นตอนเกี่ยวกับการส่ง (การส่งผ่านทางกงสุล การประกาศการส่ง ฯลฯ) จากความสัมพันธ์กับอำนาจของต่างประเทศ ไม่สามารถใช้อำนาจของรัฐบาลในพื้นที่ของประเทศอื่นได้ จนกว่าจะได้รับความยินยอมจากประเทศนั้น ดังนั้น มีนโยบายที่จะดำเนินการร่วมกับหน่วยงานต่างประเทศตามความจำเป็น (ไม่ต้องมีการตั้งตัวแทนตาม GDPR)

สรุป: การตระเตรียมตัวสำหรับการปรับปรุง ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น’ ควรปรึกษาทนายความ

ดังที่ได้กล่าวไปข้างต้นเกี่ยวกับจุดสำคัญใน ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น’ ที่ได้รับการปรับปรุงในปี 4 ของยุคเรวะ (ปี 2022) และการตอบสนองที่จำเป็นสำหรับผู้ประกอบการในการปฏิบัติงานจริง นอกจากจุดที่ได้รับการปรับปรุงที่เราได้กล่าวถึงแล้ว ยังมีหลายประเด็นที่ผู้ดำเนินการที่จัดการข้อมูลส่วนบุคคลควรจะต้องตอบสนอง

ทั่วโลกกำลังมีการควบคุมกฎหมายที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล โดยเฉพาะผู้ประกอบการที่ให้บริการบนอินเทอร์เน็ต ต้องพิจารณาว่าเว็บไซต์ของตนสามารถเข้าถึงได้จากทั่วโลก และจำเป็นต้องดำเนินการตอบสนองตามกฎหมายเหล่านี้

ผู้ประกอบการควรทบทวนระบบการจัดการข้อมูลส่วนบุคคลของตนเอง โดยไม่เพียงแค่จุดที่ได้รับการปรับปรุงใน ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น’ แต่ยังควรสังเกตการณ์ทิศทางของโลกด้วย หากคุณมีปัญหาในการตอบสนองต่อการปรับปรุง ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคลญี่ปุ่น’ เราขอแนะนำให้คุณปรึกษาทนายความ

การแนะนำมาตรการจากสำนักงานทนายความของเรา

สำนักงานทนายความ Monolith เป็นสำนักงานที่มีความเชี่ยวชาญสูงในด้าน IT และกฎหมาย โดยเฉพาะอย่างยิ่งในด้านอินเทอร์เน็ตและกฎหมาย ในปัจจุบัน การรั่วไหลของข้อมูลส่วนบุคคลกำลังกลายเป็นปัญหาที่ใหญ่ หากข้อมูลส่วนบุคคลรั่วไหล อาจส่งผลกระทบร้ายแรงต่อกิจกรรมทางธุรกิจ สำนักงานของเรามีความรู้เชี่ยวชาญเฉพาะทางเกี่ยวกับการป้องกันและการตอบสนองต่อการรั่วไหลของข้อมูล รายละเอียดเพิ่มเติมได้ระบุไว้ในบทความด้านล่างนี้

สาขาที่สำนักงานทนายความ Monolith จัดการ: กฎหมายที่เกี่ยวข้องกับการป้องกันข้อมูลส่วนบุคคลของญี่ปุ่น

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

คืออะไรคำสั่งส่งผู้อำนวยการในสัญญาการลงทุน

คืออะไรคำสั่งส่งผู้อำนวยการในสัญญาการลงทุน

General Corporate

ทนายความอธิบายตัวอย่างของกรณีที่มีการทะเลาะเบาะแว้งเรื่องการละเมิดสิทธิ์ในการออกแบบ

ทนายความอธิบายตัวอย่างของกรณีที่มีการทะเลาะเบาะแว้งเรื่องการละเมิดสิทธิ์ในการออกแบบ

General Corporate

มาตรการในกรณีที่เกิดการก่อกวนบน SNS คืออะไร? การไล่ออกจากงานหรือการเรียกร้องค่าเสียหายเป็นไปได้หรือไม่

มาตรการในกรณีที่เกิดการก่อกวนบน SNS คืออะไร? การไล่ออกจากงานหรือการเรียกร้องค่าเสียหายเป็นไปได้ห.

General Corporate

ความผิดทางกฎหมายของผู้ดำเนินการห้างสรรพสินค้าออนไลน์จากการละเมิดสิทธิ์ในเครื่องหมายการค้าโดยผู้เช่าพื้นที่

ความผิดทางกฎหมายของผู้ดำเนินการห้างสรรพสินค้าออนไลน์จากการละเมิดสิทธิ์ในเครื่องหมายการค้าโดยผู้เ.

General Corporate

ที่อยู่และชื่อจริงจะได้รับอนุญาตไปจนถึงไหน? เกี่ยวกับขอบเขตของการรายงานและการละเมิดความเป็นส่วนตัว

ที่อยู่และชื่อจริงจะได้รับอนุญาตไปจนถึงไหน? เกี่ยวกับขอบเขตของการรายงานและการละเมิดความเป็นส่วนต.

General Corporate

คือการเปิดเผยข้อมูลที่องค์กรควรดำเนินการเมื่อเกิดการรั่วไหลของข้อมูล

คือการเปิดเผยข้อมูลที่องค์กรควรดำเนินการเมื่อเกิดการรั่วไหลของข้อมูล

General Corporate

ความแตกต่างและการจำแนกของการส่งคนทำงานไปยังสถานที่อื่น, การส่งเสริม, การแต่งตั้งที่เป็นธรรม, การรับเหมา, การปลอมแปลงการรับเหมา, และการจัดหาแรงงาน

ความแตกต่างและการจำแนกของการส่งคนทำงานไปยังสถานที่อื่น, การส่งเสริม, การแต่งตั้งที่เป็นธรรม, การ.

General Corporate

ข้อกำหนดเรื่องสิทธิ์การลากลงในสัญญาการลงทุนของบริษัทสตาร์ทอัพ

ข้อกำหนดเรื่องสิทธิ์การลากลงในสัญญาการลงทุนของบริษัทสตาร์ทอัพ

General Corporate

การเพิ่มขึ้นของการทําธุรกรรมข้ามประเทศ: กฎหมายที่ใช้บังคับกับสัญญาสากลที่จําเป็นสําหรับการทําธุรกรรมระหว่างประเทศและความแตกต่างจากสัญญาภายในประเทศ

การเพิ่มขึ้นของการทําธุรกรรมข้ามประเทศ: กฎหมายที่ใช้บังคับกับสัญญาสากลที่จําเป็นสําหรับการทําธุร.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Recent Articles

Weekly Popular Articles

กลับไปด้านบน