MONOLITH LAW OFFICE+81-3-6262-3248วันธรรมดา 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

ข้อยกเว้น "คลาวด์" ในกฎหมายการปกป้องข้อมูลส่วนบุคคลคืออะไร? อธิบายตามตัวอย่างจริงของการแนะนําการบริหารจากหน่วยงานราชการที่ผู้ให้บริการคลาวด์ได้รับ

IT

ข้อยกเว้น

ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลในญี่ปุ่นต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลซึ่งมีการกำหนดข้อกำหนดที่หลากหลายสำหรับการจัดการข้อมูลเหล่านั้น ข้อมูลส่วนบุคคลของเรามีความเกี่ยวข้องอย่างลึกซึ้งกับความเป็นส่วนตัวและรวมถึงข้อมูลสำคัญเกี่ยวกับลักษณะทางกายภาพและทรัพย์สิน ดังนั้นการกำหนดกฎเกณฑ์ที่เข้มงวดจึงเป็นสิ่งที่สมเหตุสมผล

อย่างไรก็ตาม กฎหมายนี้ยังมีข้อยกเว้นบางประการ หนึ่งในนั้นคือสิ่งที่เรียกว่า “ข้อยกเว้นคลาวด์”

แล้ว “ข้อยกเว้นคลาวด์” นั้นคืออะไรกันแน่? ในบทความนี้ เราจะใช้กรณีของบริษัทเอ็มเคซิสเท็มที่ได้รับคำแนะนำจากหน่วยงานในปี ร.ศ. 6 (ค.ศ. 2024) เพื่ออธิบายอย่างชัดเจนเกี่ยวกับภาพรวมของ “ข้อยกเว้นคลาวด์” และเงื่อนไขในการใช้งานข้อยกเว้นนี้

หลักการและข้อยกเว้นในการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามภายใต้กฎหมายญี่ปุ่น

หลักการและข้อยกเว้นในการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามภายใต้กฎหมายญี่ปุ่น

เรามาทำความเข้าใจกันก่อนเกี่ยวกับหลักการและข้อยกเว้นในการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นกันเถอะ

หลักการในการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น

เมื่อผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลใช้บริการคลาวด์ ตามหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น (มาตรา 27 ข้อ 5 ย่อหน้า 1) ถือว่า “มอบหมายการจัดการข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วน” และต้องดำเนินการควบคุมที่จำเป็นและเหมาะสมต่อผู้ให้บริการคลาวด์ ตามที่กำหนดไว้ในมาตรา 25 ของกฎหมายดังกล่าว

ความยกเว้นด้านคลาวด์คืออะไร

ความยกเว้นที่กล่าวถึงนี้คือ “ความยกเว้นด้านคลาวด์” ในกฎหมายญี่ปุ่น

ในกรณีนี้ “ผู้ให้บริการคลาวด์” หมายถึงบริษัทที่ให้บริการโครงสร้างพื้นฐานด้านไอที เช่น พื้นที่จัดเก็บข้อมูลและเซิร์ฟเวอร์ (IaaS/PaaS) และให้บริการจัดเก็บและประมวลผลข้อมูลของบริษัทอื่นผ่านอินเทอร์เน็ต บริษัทที่เกี่ยวข้องได้แก่:

  • Amazon Web Services (AWS): บริการจาก Amazon ในสหรัฐอเมริกา มีบริษัทญี่ปุ่นจำนวนมากที่ใช้บริการนี้
  • Microsoft Azure: บริการพื้นฐานคลาวด์จาก Microsoft มีหน่วยงานราชการในญี่ปุ่นที่นำไปใช้งานจำนวนมาก
  • Google Cloud Platform (GCP): บริการจาก Google มีจุดแข็งในด้าน AI และการประมวลผลข้อมูลขนาดใหญ่

ความยกเว้นด้านคลาวด์เกี่ยวข้องเมื่อผู้ให้บริการแบบ SaaS (Software as a Service) ที่พัฒนาระบบบนโครงสร้างพื้นฐานคลาวด์ (IaaS หรือ PaaS) และนำเสนอให้กับลูกค้าต้องจัดการกับข้อมูลส่วนบุคคล

ตามคำถามและคำตอบเกี่ยวกับ “แนวทางการปกป้องข้อมูลส่วนบุคคล” ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้มีการกล่าวถึงผู้ให้บริการคลาวด์ในข้อ 7-53 ดังนี้:

(ในกรณีที่ไม่ถือเป็นบุคคลที่สาม) คำถาม 7-53 หากผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลใช้ระบบสารสนเทศที่จัดการข้อมูลอิเล็กทรอนิกส์ซึ่งมีข้อมูลส่วนบุคคลผ่านสัญญาบริการคลาวด์กับผู้ประกอบการภายนอก จำเป็นต้องได้รับ “ความยินยอมจากบุคคลนั้น” (ตามมาตรา 27 ข้อ 1) หรือไม่ หรือถือว่า “มอบหมายการจัดการข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วน” (ตามมาตรา 27 ข้อ 5 หมายเลข 1) และจำเป็นต้องควบคุมผู้ให้บริการคลาวด์ตามมาตรา 25 หรือไม่

คำตอบ 7-53 แม้ว่าบริการคลาวด์จะมีหลายรูปแบบ แต่การใช้บริการคลาวด์ว่าจะถือเป็นการให้ข้อมูลกับบุคคลที่สามที่ต้องการความยินยอม (ตามมาตรา 27 ข้อ 1) หรือการมอบหมาย (ตามมาตรา 27 ข้อ 5 หมายเลข 1) หรือไม่นั้น ไม่ได้ขึ้นอยู่กับว่าข้อมูลอิเล็กทรอนิกส์ที่จัดเก็บมีข้อมูลส่วนบุคคลหรือไม่ แต่ขึ้นอยู่กับว่าผู้ให้บริการคลาวด์มีการจัดการข้อมูลส่วนบุคคลหรือไม่ หากผู้ให้บริการคลาวด์ไม่ได้จัดการข้อมูลส่วนบุคคล ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลจะไม่ถือว่าได้ให้ข้อมูลส่วนบุคคล และไม่จำเป็นต้องได้รับความยินยอมจากบุคคลนั้น นอกจากนี้ ในกรณีดังกล่าว จะไม่ถือว่าได้มอบหมายการจัดการข้อมูลส่วนบุคคล ดังนั้นจึงไม่ต้องควบคุมผู้ให้บริการคลาวด์ตามมาตรา 25 สำหรับมาตรการควบคุมความปลอดภัยของผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลในกรณีที่ผู้ให้บริการคลาวด์ไม่ได้จัดการข้อมูลส่วนบุคคล โปรดดูคำถาม 7-54 สำหรับกรณีที่ผู้ให้บริการคลาวด์ไม่ได้จัดการข้อมูลส่วนบุคคล อาจเกี่ยวข้องกับข้อกำหนดในสัญญาที่ระบุว่าผู้ประกอบการภายนอกไม่ได้จัดการข้อมูลส่วนบุคคลที่จัดเก็บในเซิร์ฟเวอร์ และมีการควบคุมการเข้าถึงอย่างเหมาะสม เป็นต้น สำหรับความสัมพันธ์กับมาตรา 28 โปรดดูคำถาม 12-3

คำถามและคำตอบเกี่ยวกับ “แนวทางการปกป้องข้อมูลส่วนบุคคล”[ja]|คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ดังนั้น หากผู้ใช้บริการคลาวด์สามารถตอบสนองตามเงื่อนไขของข้อยกเว้นได้ ก็ไม่จำเป็นต้องควบคุมผู้ให้บริการคลาวด์ ข้อกำหนดที่จำเป็นเพื่อให้เข้าข่าย “กรณีที่ไม่ได้จัดการข้อมูลส่วนบุคคล” มีดังนี้:

  • ข้อกำหนดในสัญญาที่ระบุว่าผู้ประกอบการภายนอกไม่ได้จัดการข้อมูลส่วนบุคคลที่จัดเก็บในเซิร์ฟเวอร์
  • มีการควบคุมการเข้าถึงอย่างเหมาะสม

การให้คำแนะนำด้านการบริหารจากหน่วยงานรัฐต่อบริษัท เอ็มเค ซิสเต็ม จำกัด

ในวันที่ 25 มีนาคม พ.ศ. 2567 (2024 ปีคริสต์ศักราช) คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นได้ดำเนินการให้คำแนะนำตามมาตรา 147 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อบริษัท เอ็มเค ซิสเต็ม จำกัด หลังจากเกิดเหตุการณ์รั่วไหลของข้อมูลส่วนบุคคลในวงกว้างที่มีผู้ได้รับผลกระทบประมาณ 7.5 ล้านคน คณะกรรมการฯ ได้ประกาศ “คำเตือนเกี่ยวกับข้อควรระวังสำหรับผู้ให้บริการคลาวด์เซอร์วิสที่เข้าข่ายเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล”

อ้างอิง:คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล|คำเตือนเกี่ยวกับข้อควรระวังสำหรับผู้ให้บริการคลาวด์เซอร์วิสที่เข้าข่ายเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล[ja]

เรามาทำความเข้าใจเกี่ยวกับการให้คำแนะนำด้านการบริหารจากหน่วยงานรัฐต่อบริษัท เอ็มเค ซิสเต็ม จำกัด ในกรณีของข้อยกเว้นเกี่ยวกับคลาวด์ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น

ภาพรวมของกรณี

บริษัท มิตซูบิชิ ซิสเต็ม จำกัด ได้พัฒนาระบบสนับสนุนการทำงานด้านประกันสังคมและบุคคล-แรงงานโดยใช้เซิร์ฟเวอร์ของ Tencent Cloud ในประเทศจีน และได้ให้บริการระบบนี้แก่ผู้ใช้งาน เช่น สำนักงานที่ปรึกษาด้านแรงงาน

ในเดือนมิถุนายน พ.ศ. 2570 (รีวะ 5), เซิร์ฟเวอร์ดังกล่าวได้รับการเข้าถึงอย่างไม่ชอบด้วยกฎหมาย ทำให้มีความเสี่ยงที่ข้อมูลส่วนบุคคลที่ถูกจัดการไว้ (เช่น ชื่อ, วันเดือนปีเกิด, เพศ, ที่อยู่, หมายเลขประกันสังคมพื้นฐาน, หมายเลขประกันการจ้างงาน และหมายเลข My Number ของพนักงานในบริษัทหรือสถานประกอบการที่เป็นลูกค้าของที่ปรึกษาด้านแรงงาน) อาจถูกเปิดเผย

เมื่อนำความสัมพันธ์ของทั้งสามบริษัทมาเทียบกับแนวทางปฏิบัติ จะเห็นได้ดังนี้

ตำแหน่งตามแนวทางปฏิบัติผู้ประกอบการเนื้อหา
ผู้ว่าจ้างผู้ใช้งาน เช่น ที่ปรึกษาด้านแรงงาน (ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล)มีหน้าที่ในการจัดการข้อมูลส่วนบุคคลของลูกค้า (บริษัทหรือบุคคล)
ผู้รับจ้างบริษัท มิตซูบิชิ ซิสเต็ม จำกัดให้บริการระบบบนคลาวด์เพื่อทดแทนและสนับสนุนงานของที่ปรึกษาด้านแรงงาน ดำเนินการตามคำสั่งของลูกค้าในการจัดการข้อมูลส่วนบุคคล
ผู้รับจ้างต่อTencent Cloud (ประเทศจีน)มิตซูบิชิ ซิสเต็ม ได้มอบหมายให้ดูแลโครงสร้างพื้นฐานคลาวด์ อาจเข้าข่ายการให้ข้อมูลกับต่างประเทศ

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นได้ตัดสินว่า มิตซูบิชิ ซิสเต็ม มีข้อบกพร่องในมาตรการจัดการความปลอดภัยทางเทคนิค

เนื้อหาของการแนะนำด้านการบริหารจากหน่วยงานราชการ

จากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น ได้มีการให้คำแนะนำตามมาตรา 147 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และการรายงานการเก็บข้อมูลตามมาตรา 146 ข้อ 1 ของกฎหมายเดียวกัน

คำเตือนจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นได้ประกาศ “คำเตือนเกี่ยวกับผู้ให้บริการคลาวด์ที่เข้าข่ายเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล[ja]

คำเตือนนี้มุ่งเน้นไปที่ผู้ใช้บริการคลาวด์ในการตัดสินใจว่าการใช้บริการคลาวด์นั้นเข้าข่ายการมอบหมายการจัดการข้อมูลส่วนบุคคลหรือไม่ (ตามมาตรา 27 ข้อ 5 หมวด 1 ของกฎหมายการคุ้มครองข้อมูลส่วนบุคคล) และหากเข้าข่ายการมอบหมาย ผู้ให้บริการคลาวด์ที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องดำเนินการกำกับดูแลที่จำเป็นและเหมาะสมต่อผู้รับมอบหมาย

สำหรับระบบ MK System นั้น มีการระบุว่าไม่ได้รับการยกเว้นจากกฎหมายคลาวด์ใน 3 ประการต่อไปนี้ และเนื่องจากมีการจัดการข้อมูลส่วนบุคคล จึงจำเป็นต้องมีการกำกับดูแลที่เหมาะสม:

  • ในข้อกำหนดการใช้งาน ได้ระบุว่าผู้ให้บริการคลาวด์สามารถดำเนินการตรวจสอบ วิเคราะห์ และสืบสวนข้อมูลที่จำเป็นเมื่อถือว่าจำเป็นตามการบำรุงรักษาและการดำเนินงาน และยกเว้นในกรณีที่กำหนดไว้ ไม่อนุญาตให้ใช้ข้อมูลหรือเปิดเผยให้กับบุคคลที่สามโดยไม่ได้รับอนุญาต ซึ่งหมายความว่าผู้ให้บริการคลาวด์สามารถใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการในกรณีที่เฉพาะเจาะจงได้
  • ผู้ให้บริการคลาวด์มีการเก็บรักษา ID สำหรับการบำรุงรักษาและสามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการได้ โดยไม่มีมาตรการควบคุมการเข้าถึงทางเทคนิคเพื่อป้องกันการจัดการข้อมูล
  • มีการจัดการข้อมูลส่วนบุคคลของผู้ใช้บริการจริงๆ หลังจากที่ได้ทำการยืนยันและแลกเปลี่ยนเอกสารยืนยันกับผู้ให้บริการคลาวด์
คำเตือนเกี่ยวกับผู้ให้บริการคลาวด์ที่เข้าข่ายเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล|คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล[ja]

ข้อควรระวังสำหรับผู้ให้บริการคลาวด์ในญี่ปุ่น

ข้อควรระวังสำหรับผู้ให้บริการคลาวด์ในญี่ปุ่น

จากปัญหาทางกฎหมายและการแนะนำจากหน่วยงานรัฐที่ได้กล่าวมาแล้วนี้ ผู้ให้บริการคลาวด์ (ในกรณีตัวอย่างที่กล่าวถึงก่อนหน้านี้คือบริษัทเอ็มเคซิสเต็ม) ควรให้ความสนใจกับเรื่องใดบ้าง

ตรวจสอบอีกครั้งว่าได้ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์หรือไม่

ก่อนอื่น ควรตรวจสอบอีกครั้งว่าบริการที่คุณให้นั้นตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์หรือไม่

หลังจากการเตือนจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้ใช้บริการคลาวด์อาจพิจารณาตรวจสอบว่าผู้ให้บริการคลาวด์นั้นได้ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์หรือไม่

ดังนั้น ผู้ให้บริการคลาวด์ควรตรวจสอบอีกครั้งว่าได้ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์อย่างถูกต้องหรือไม่

หากไม่ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์ จะต้องรับมือกับการดูแลจากผู้ว่าจ้าง

หากไม่ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์ จะต้องรับมือกับการดูแลจากผู้ใช้บริการคลาวด์ (ในกรณีนี้คือสำนักงานที่ปรึกษาแรงงานและบริษัทที่ใช้บริการของเอ็มเคซิสเต็ม)

การดูแลจากผู้ใช้บริการคลาวด์อาจรวมถึงการดำเนินการตามที่ระบุไว้ในข้อกำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (ตามหลักเกณฑ์ทั่วไป) 3-4-4 การดูแลจากผู้ว่าจ้าง (เกี่ยวข้องกับมาตรา 25 ของกฎหมาย) ดังนี้

  • การเลือกผู้รับจ้างที่เหมาะสม: ต้องยืนยันว่ามาตรการจัดการความปลอดภัยของผู้รับจ้างนั้นเทียบเท่ากับที่กฎหมายมาตรา 23 และหลักเกณฑ์นี้กำหนดไว้สำหรับผู้ว่าจ้าง
  • การทำสัญญาจ้าง: ควรทำสัญญาที่รวมข้อกำหนดที่ทำให้ผู้ว่าจ้างสามารถเข้าใจสถานการณ์การจัดการข้อมูลส่วนบุคคลที่ได้รับมอบหมายได้อย่างเหมาะสม
  • การเข้าใจสถานการณ์การจัดการข้อมูลส่วนบุคคลของผู้รับจ้าง: ควรประเมินอย่างเหมาะสมโดยการตรวจสอบอย่างสม่ำเสมอ

หากมาตรการจัดการความปลอดภัยของผู้รับจ้างไม่เหมาะสม อาจมีโอกาสที่สัญญาจะถูกยกเลิก นอกจากนี้ อาจถูกบังคับให้ดำเนินการตามมาตรการจัดการความปลอดภัยที่จำเป็นและตอบสนองต่อการตรวจสอบอย่างสม่ำเสมอ

สรุป: ควรปรึกษาทนายความเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลบนบริการคลาวด์

บทความนี้ได้ทำการอธิบายถึงความเสี่ยงที่ผู้ให้บริการคลาวด์อาจเผชิญหากไม่สามารถตอบสนองต่อข้อยกเว้นของคลาวด์ได้ โดยอ้างอิงจากการแนะนำด้านการบริหารจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่เผยแพร่ในเดือนมีนาคม 2025 (พ.ศ. 2568) ของญี่ปุ่น

เหตุการณ์รั่วไหลของข้อมูลส่วนบุคคลนี้ได้กลายเป็นจุดเริ่มต้นให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นเตือนผู้ใช้บริการคลาวด์ ข้อควรระวังนี้ไม่เพียงแต่สำคัญสำหรับผู้ใช้บริการเท่านั้น แต่ยังรวมถึงบริษัทที่ให้บริการคลาวด์ด้วย ที่จำเป็นต้องทบทวนบริการที่พวกเขาให้ไว้ และต้องระมัดระวังต่อภาระที่อาจเกิดขึ้น

ด้วยการพิจารณาคำแนะนำด้านการบริหารนี้ หากคุณมีความกังวลเกี่ยวกับความเสี่ยงที่องค์กรของคุณอาจเผชิญหรือมาตรการที่จำเป็นต้องดำเนินการ ขอแนะนำให้ปรึกษากับทนายความเพื่อขอคำแนะนำ

แนะนำมาตรการของเรา

สำนักงานกฎหมายมอนอลิธเป็นสำนักงานที่มีประสบการณ์อันเข้มข้นทั้งในด้านไอที โดยเฉพาะกฎหมายอินเทอร์เน็ตและกฎหมายทั่วไป ในยุคที่บริษัทไอทีมากมายเริ่มใช้คลาวด์เซอร์วิส เช่น AWS เพื่อขยายธุรกิจ การรั่วไหลของข้อมูลส่วนบุคคลจึงกลายเป็นหนึ่งในการจัดการความเสี่ยงที่ไม่สามารถมองข้ามได้ หากข้อมูลส่วนบุคคลรั่วไหล อาจส่งผลกระทบร้ายแรงต่อการดำเนินงานของบริษัท สำนักงานเรามีความเชี่ยวชาญเฉพาะทางในการป้องกันและรับมือกับการรั่วไหลของข้อมูล รายละเอียดเพิ่มเติมได้ระบุไว้ในบทความด้านล่างนี้

สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลภายใต้กฎหมายญี่ปุ่น[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

กลับไปด้านบน