การใช้ประโยชน์จากข้อมูลที่ได้จากบริการ IoT และปัญหาทางกฎหมายที่เกี่ยวข้อง
ในช่วงปีที่ผ่านมา อุปกรณ์ IoT เช่นเครื่องใช้ไฟฟ้าสมาร์ทได้ถูกนำมาใช้ในครัวเรือนมากขึ้น แม้ว่าจะมีความสะดวกสบาย แต่เนื่องจากเชื่อมต่อกับอินเทอร์เน็ต จึงอาจกล่าวได้ว่ามีความเสี่ยงต่อการรั่วไหลของข้อมูล ในการเริ่มต้นธุรกิจ IoT ความปลอดภัยของเครื่องใช้ไฟฟ้าในชีวิตประจำวันเป็นสิ่งสำคัญ แต่การจัดการความปลอดภัยบนเครือข่ายที่สามารถต้านทานการโจมตีทางไซเบอร์ก็เป็นประเด็นสำคัญเช่นกัน
หากมองไปที่ภายในประเทศ ปัญหาการรั่วไหลของข้อมูลส่วนบุคคลก็กำลังเป็นเรื่องร้ายแรง โดย Tokyo Shoko Research ได้รายงานว่าในปี 2021 (รีวะ 3) มีเหตุการณ์การรั่วไหลและสูญหายของข้อมูลส่วนบุคคลของบริษัทที่จดทะเบียนในตลาดหลักทรัพย์เกิดขึ้นมากที่สุดถึง 137 กรณี ซึ่งมีผู้ได้รับผลกระทบถึง 5.74 ล้านคน
บทความนี้จะอธิบายเกี่ยวกับกฎหมายที่ควรทราบเพื่อการใช้ประโยชน์จากข้อมูลที่รวบรวมจากบริการ IoT อย่างปลอดภัย
กฎหมายที่เกี่ยวข้องกับธุรกิจ IoT
IoT หรือ “Internet of Things” เมื่อแปลตรงตัวคือ “อินเทอร์เน็ตของสิ่งของ” นั่นคือระบบหรือบริการที่ทำให้ชีวิตของเราสะดวกสบายยิ่งขึ้น โดยการเชื่อมต่อสิ่งของที่เราใช้งานเป็นประจำกับอินเทอร์เน็ต เพื่อการควบคุมจากระยะไกล การรู้จำอัตโนมัติ และการควบคุมอัตโนมัติ
ในด้านฮาร์ดแวร์ของเครื่องใช้ไฟฟ้า มีการกำหนดกฎระเบียบอย่างเข้มงวด เนื่องจากมีโอกาสที่จะส่งผลกระทบต่อร่างกายของผู้ใช้โดยตรง
ในทางกลับกัน ด้านซอฟต์แวร์ กฎหมายที่ควบคุมเครือข่ายการสื่อสาร เช่น กฎหมายการสื่อสารทางวิทยุและกฎหมายธุรกิจการสื่อสารทางไฟฟ้า กำหนดให้ต้องมีการลงทะเบียนและการแจ้งเพื่อดำเนินธุรกิจ
เกี่ยวกับกฎระเบียบทางกฎหมายของฮาร์ดแวร์และซอฟต์แวร์ใน IoT บทความนี้ได้ให้คำอธิบายอย่างละเอียด โปรดอ้างอิงร่วมด้วย
บทความที่เกี่ยวข้อง:การอธิบายกฎระเบียบที่ควรระวังในด้านฮาร์ดแวร์และซอฟต์แวร์ของธุรกิจ IoT[ja]
ในธุรกิจ IoT ที่เชื่อมต่ออุปกรณ์เดิมๆ กับอินเทอร์เน็ตและใช้ข้อมูลที่รวบรวมมา จึงไม่เพียงแต่กฎระเบียบทางฮาร์ดแวร์และซอฟต์แวร์เท่านั้น แต่ยังรวมถึงวิธีการจัดการข้อมูลที่สะสมไว้ ซึ่งก็เป็นปัญหาสำคัญที่จะต้องพิจารณาด้วย
ปัญหาทางกฎหมายเกี่ยวกับการใช้ประโยชน์จากข้อมูลที่ได้จาก IoT
อุปกรณ์ IoT อาจเก็บและใช้ข้อมูลชีวิตของผู้ใช้งานได้โดยไม่ได้ตั้งใจ ซึ่งอาจนำไปสู่ความเสี่ยงที่ไม่คาดคิดได้
แม้ว่าผู้ใช้งานจะได้ยินยอมให้ใช้ข้อมูลส่วนบุคคลของตนเองเมื่อลงทะเบียนผู้ใช้ แต่เนื่องจากลักษณะของ IoT ที่เก็บข้อมูลพฤติกรรมการใช้งานทุกครั้ง จึงทำให้เกิดปัญหาต่อไปนี้
- การปกป้องข้อมูลส่วนบุคคล
- การปกป้องความเป็นส่วนตัว
- การรับมือกับการโจมตีทางไซเบอร์
ในที่นี้ เราจะอธิบายเกี่ยวกับปัญหาทางกฎหมายที่อาจเกิดขึ้นจากอุปกรณ์ IoT ดังกล่าว
IoT และข้อมูลส่วนบุคคล
ไม่ใช่ว่าข้อมูลทั้งหมดที่อุปกรณ์ IoT ได้รวบรวมมาจะถูกคุ้มครองเป็นข้อมูลส่วนบุคคลทั้งสิ้น ข้อมูลจะกลายเป็นข้อมูลส่วนบุคคลที่ต้องได้รับการคุ้มครองตามกฎหมายเมื่อมีการผูกข้อมูลการใช้ชีวิตกับข้อมูลการลงทะเบียนผู้ใช้จนสามารถระบุตัวบุคคลได้
ดังนั้น ผู้ประกอบการที่ให้บริการสมาร์ทโฮมโดยผูกข้อมูลการใช้ชีวิตกับข้อมูลผู้ใช้จะต้องรับผิดชอบตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคลข้อที่ 2 ข้อย่อยที่ 5[ja] ของญี่ปุ่น และมีหน้าที่ดังต่อไปนี้:
<หน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลข้อที่ 19 ถึงข้อที่ 26>
- หน้าที่ในการรักษาความถูกต้องของข้อมูลและหน้าที่ในการลบข้อมูล
- หน้าที่ในการจัดการความปลอดภัย
- หน้าที่ในการควบคุมพนักงาน
- หน้าที่ในการควบคุมผู้รับจ้าง
- การจำกัดการให้ข้อมูลแก่บุคคลที่สามและหน้าที่ในการเก็บบันทึกข้อมูล
ในการจัดการข้อมูลส่วนบุคคล จำเป็นต้องระบุวัตถุประสงค์การใช้ข้อมูลอย่างชัดเจน และต้องแจ้งหรือเปิดเผยวัตถุประสงค์นั้นแก่เจ้าของข้อมูล นอกจากนี้ เมื่อไม่จำเป็นต้องใช้ข้อมูลส่วนบุคคลแล้ว จะต้องดำเนินการกับข้อมูลนั้นโดยเร็ว และต้องใช้มาตรการอย่างระมัดระวังเพื่อป้องกันการรั่วไหลของข้อมูล รวมถึงต้องมีการควบคุมอย่างเข้มงวดกับพนักงานและผู้รับจ้าง
โดยทั่วไป การให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามจะถูกจำกัด อย่างไรก็ตาม เพื่อการปรับปรุงบริการ บางครั้งอาจจำเป็นต้องมีการให้ข้อมูลแก่บุคคลที่สาม ในกรณีเช่นนี้ จะต้องทำการประมวลผลข้อมูลให้เป็นข้อมูลที่ไม่สามารถนำกลับมาเชื่อมโยงกับข้อมูลส่วนบุคคลเดิมได้
นอกจากนี้ ในเดือนเมษายน 2022 (พ.ศ. 2565) ได้มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไข ซึ่งรวมถึงการเสริมสร้างการปกป้องสิทธิของบุคคล การเพิ่มความรับผิดชอบของผู้ประกอบการ และการกำหนดใหม่เกี่ยวกับการให้ข้อมูลแก่บุคคลที่สามสำหรับผู้ประกอบการต่างชาติ
การแก้ไขนี้ทำให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นให้ความสำคัญกับ 5 ประเด็นต่อไปนี้:
- การปกป้องสิทธิและผลประโยชน์ของบุคคล
- การหาสมดุลระหว่างการปกป้องและการใช้ข้อมูล
- การประสานกับกระแสระหว่างประเทศ
- การตอบสนองต่อการเปลี่ยนแปลงความเสี่ยงจากผู้ประกอบการต่างชาติ
- การปรับตัวเข้ากับยุค AI และ Big Data
อ้างอิง:จุดตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไข[ja]
IoT กับสิทธิ์ในความเป็นส่วนตัว
แม้ข้อมูลการใช้ชีวิตที่ถูกเก็บรวบรวมจะไม่ถือเป็นข้อมูลส่วนบุคคล แต่ข้อมูลเหล่านี้สามารถนำไปสู่การทราบพฤติกรรมของบุคคลนั้นได้ ดังนั้นจึงจำเป็นต้องจัดการข้อมูลเหล่านี้อย่างระมัดระวัง ตัวอย่างเช่น ข้อมูลเกี่ยวกับช่วงเวลาที่ใช้ไฟฟ้าหรือก๊าซ หากข้อมูลเหล่านี้รั่วไหลออกไป อาจถูกนำไปใช้ในการกระทำอาชญากรรม เช่น การงัดแงะบ้านที่ว่างเปล่าได้
ในทางกลับกัน เพื่อเพิ่มคุณภาพของบริการสมาร์ทโฮม จำเป็นต้องทราบและใช้ประโยชน์จากข้อมูลพฤติกรรมของบุคคล การใช้ข้อมูลส่วนบุคคลเพื่อการพัฒนาบริการ โดยยังคงรักษาความเป็นส่วนตัวนั้น จำเป็นต้องให้ความสำคัญกับการปกป้องข้อมูลส่วนบุคคล แม้ในกรณีที่ข้อมูลไม่ถือเป็นข้อมูลส่วนบุคคลก็ตาม การดำเนินการตามกฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่นอาจเป็นสิ่งที่ควรทำ
IoT และความปลอดภัยทางไซเบอร์
ธุรกิจ IoT มีลักษณะที่ต้องการการเก็บรวบรวม จัดการ และใช้งานข้อมูลที่อาจกระทบต่อข้อมูลส่วนบุคคลและสิทธิ์ในความเป็นส่วนตัวเพื่อให้ธุรกิจดำเนินไปและพัฒนาขึ้น ข้อมูลเหล่านี้ถูกเก็บรวบรวมและจัดการผ่านอินเทอร์เน็ต ดังนั้น การมีมาตรการความปลอดภัยทางไซเบอร์สำหรับอุปกรณ์ที่เชื่อมต่อกับเครือข่ายจึงเป็นสิ่งที่ขาดไม่ได้
ในส่วนต่อไปนี้ เราจะอธิบายถึงมาตรการความปลอดภัยทางไซเบอร์ที่ควรดำเนินการล่วงหน้า และความรับผิดชอบที่ควรแบกรับในกรณีที่เกิดการถูกโจมตีทางไซเบอร์จริงๆ
ความรับผิดของผู้ผลิตอุปกรณ์: กฎหมายความรับผิดต่อสินค้า (Japanese Product Liability Law)
หากอุปกรณ์ IoT ถูกโจมตีด้วยการโจมตีทางไซเบอร์ ผู้ผลิตอุปกรณ์นั้นอาจต้องเผชิญกับการเรียกร้องค่าเสียหายตามกฎหมายความรับผิดต่อสินค้า (Japanese Product Liability Law) ได้
เกณฑ์การเกิดความรับผิดตามกฎหมายความรับผิดต่อสินค้ามีดังนี้
- มีข้อบกพร่องในสินค้า
- ข้อบกพร่องนั้นได้ทำให้เกิดการละเมิดต่อชีวิต ร่างกาย หรือทรัพย์สินของบุคคลอื่น
- เกิดความเสียหายขึ้น
ข้อ 1 ที่กล่าวถึง ‘ข้อบกพร่อง’ หมายถึง สภาพที่ขาดความปลอดภัยที่ควรจะมี ซึ่งสามารถแบ่งออกเป็นข้อบกพร่องทางการผลิต การออกแบบ และข้อบกพร่องในการให้คำแนะนำหรือการเตือน
การที่ผู้ผลิตจะต้องรับผิดชอบจากการถูกโจมตีทางไซเบอร์จริงหรือไม่นั้น จะต้องพิจารณาจากสถานการณ์ดังต่อไปนี้
- สินค้าที่ส่งมอบในขณะนั้นได้ตอบสนองมาตรฐานทางเทคนิคที่คาดหวังไว้หรือไม่
- สินค้านั้นเป็นไปตามแนวทางและมาตรฐานที่กำหนดไว้ล่าสุดหรือไม่
ผู้ผลิตอุปกรณ์สามารถหลีกเลี่ยงความรับผิดได้หากสามารถพิสูจน์ได้ว่าไม่สามารถตระหนักถึงข้อบกพร่องที่เกิดขึ้นได้ อย่างไรก็ตาม จำเป็นต้องพิสูจน์ว่าแม้จะใช้มาตรฐานเทคนิคสูงสุดในขณะนั้น ข้อบกพร่องก็ยังไม่สามารถตรวจพบได้ ซึ่งหมายความว่าโอกาสที่จะได้รับการยอมรับในความเป็นจริงนั้นมีน้อย
ความรับผิดของผู้ดูแลระบบเครือข่าย: กฎหมายแพ่งญี่ปุ่น
หากเครือข่ายถูกโจมตีทางไซเบอร์และเกิดการรั่วไหลของข้อมูล อาจเกิดความรับผิดชอบในการชดใช้ค่าเสียหายตามกฎหมายแพ่งญี่ปุ่น ไม่ใช่ตามกฎหมายความรับผิดของผู้ผลิต ด้วยเหตุผลต่อไปนี้:
- การละเมิดสัญญาระหว่างผู้ดูแลระบบเครือข่ายกับผู้ใช้งาน
- การไม่ปฏิบัติตามหน้าที่ในการจัดการมาตรการความปลอดภัยของผู้ดูแลระบบเครือข่าย ทำให้เกิดการไม่ปฏิบัติตามหน้าที่
- ความรับผิดจากการกระทำที่ผิดกฎหมายของผู้ดูแลระบบเครือข่าย โดยประมาท (มาตรา 709 ของกฎหมายแพ่งญี่ปุ่น)
ไม่ว่าจะด้วยเหตุผลใดก็ตาม ประเด็นที่ถกเถียงกันคือ “ผู้ดูแลระบบเครือข่ายมีความประมาทในการไม่ดำเนินการตามมาตรการความปลอดภัยที่ควรจะทำหรือไม่”.
และ “มาตรการความปลอดภัยที่ควรจะทำ” ไม่เพียงแต่ต้องเป็นมาตรการที่สอดคล้องกับมาตรฐานในขณะทำสัญญาเท่านั้น แต่ยังรวมถึงมาตรการที่สอดคล้องกับแนวทางที่เผยแพร่ในขณะที่เกิดการโจมตีทางไซเบอร์ด้วย ซึ่งมีตัวอย่างคดีที่ชี้ให้เห็นถึงเรื่องนี้ (คำพิพากษาศาลแขวงโตเกียว วันที่ 23 มกราคม พ.ศ. 2557 (2014)).
ดังนั้น ผู้ดูแลระบบเครือข่ายจำเป็นต้องติดตามข้อมูลการอัปเดตของแนวทางสำคัญอย่างต่อเนื่อง และอัปเดตซอฟต์แวร์ตามความจำเป็น.
<แนวทางความปลอดภัยของข้อมูลปัจจุบัน>
- แนวทางความปลอดภัย IoT รุ่น 1.0[ja] | กระทรวงเศรษฐกิจ, การค้า และอุตสาหกรรมญี่ปุ่น
- กรอบการทำงานทั่วไปเกี่ยวกับความปลอดภัยสำหรับระบบ IoT ที่ปลอดภัย[ja] | NISC ญี่ปุ่น
- คู่มือการออกแบบความปลอดภัยสำหรับการพัฒนา IoT[ja] | IPA ญี่ปุ่น
บทความที่เกี่ยวข้อง: ความเสียหายจากการโจมตีทางไซเบอร์ ความรับผิดชอบในการชดใช้ค่าเสียหายของผู้จัดจำหน่ายระบบคืออะไร? อธิบายตัวอย่างการเขียนในสัญญา[ja]
สรุป: ธุรกิจ IoT ต้องการความเข้าใจทางกฎหมายที่เชี่ยวชาญ
ธุรกิจ IoT มีลักษณะที่พัฒนาไปโดยการรวบรวมและใช้ประโยชน์จากข้อมูลส่วนบุคคลและข้อมูลความเป็นส่วนตัวของผู้ใช้ผ่านอินเทอร์เน็ต
ด้วยเหตุนี้ ผู้ประกอบการจึงต้องรับผิดชอบไม่เพียงแต่ในฐานะผู้ผลิตเครื่องใช้ไฟฟ้า แต่ยังต้องติดตามอัปเดตกฎหมายการปกป้องข้อมูลส่วนบุคคลและแนวทางการรักษาความปลอดภัยข้อมูลในฐานะผู้จัดการข้อมูลส่วนบุคคล
หากเกิดอุบัติเหตุจากผลิตภัณฑ์ อาจส่งผลกระทบต่อร่างกายของผู้ใช้งาน และหากมีการรั่วไหลของข้อมูล ก็อาจทำให้เกิดความเสียหายต่อบุคคลจำนวนมากที่ไม่สามารถระบุได้
เมื่อเริ่มต้นธุรกิจ IoT การปรึกษากับทนายความที่มีความรู้เชี่ยวชาญกว้างขวางตั้งแต่กฎหมายความรับผิดของผู้ผลิตไปจนถึงกฎหมายการปกป้องข้อมูลส่วนบุคคลและแนวทางความปลอดภัยข้อมูลล่าสุดนั้นมีความสำคัญอย่างยิ่ง
การแนะนำมาตรการของทางสำนักงานเรา
สำนักงานกฎหมายมอนอลิธเป็นสำนักงานกฎหมายที่มีประสบการณ์อันเข้มข้นในด้าน IT โดยเฉพาะอย่างยิ่งกฎหมายเกี่ยวกับอินเทอร์เน็ต ในปีที่ผ่านมา ธุรกิจ IoT ได้รับความสนใจอย่างมาก และความจำเป็นในการตรวจสอบทางกฎหมายก็เพิ่มขึ้นเรื่อยๆ สำนักงานเราจึงได้ให้บริการโซลูชันสำหรับธุรกิจ IoT
สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมายบริษัทสำหรับ IT และธุรกิจสตาร์ทอัพ[ja]
Related Articles
สเต็มมาเป็นการแสดงผลที่ไม่เป็นธรรมหรือไม่? การเคลื่อนไหวเพื่อเพิ่มการควบคุมและการอธิบายเกี่ยวกับ.
General Corporate
ความลับในความสำเร็จของการซื้อกิจการ ที่ได้รับการเรียนรู้จากกรณีการผสมผสานธุรกิจที่ล้มเหลวคืออะไร.
General Corporate
กฎหมายความปลอดภัยของผู้บริโภคและโฆษณาพันธมิตร ~ อธิบายตัวอย่างที่เป็นการโกหกและการโอ้อวด~
General Corporate
