ข้อยกเว้น "คลาวด์" ในกฎหมายการปกป้องข้อมูลส่วนบุคคลคืออะไร? อธิบายตามตัวอย่างจริงของการแนะนําการบริหารจากหน่วยงานราชการที่ผู้ให้บริการคลาวด์ได้รับ

ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลในญี่ปุ่นต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลซึ่งมีการกำหนดข้อกำหนดที่หลากหลายสำหรับการจัดการข้อมูลเหล่านั้น ข้อมูลส่วนบุคคลของเรามีความเกี่ยวข้องอย่างลึกซึ้งกับความเป็นส่วนตัวและรวมถึงข้อมูลสำคัญเกี่ยวกับลักษณะทางกายภาพและทรัพย์สิน ดังนั้นการกำหนดกฎเกณฑ์ที่เข้มงวดจึงเป็นสิ่งที่สมเหตุสมผล
อย่างไรก็ตาม กฎหมายนี้ยังมีข้อยกเว้นบางประการ หนึ่งในนั้นคือสิ่งที่เรียกว่า “ข้อยกเว้นคลาวด์”
แล้ว “ข้อยกเว้นคลาวด์” นั้นคืออะไรกันแน่? ในบทความนี้ เราจะใช้กรณีของบริษัทเอ็มเคซิสเท็มที่ได้รับคำแนะนำจากหน่วยงานในปี ร.ศ. 6 (ค.ศ. 2024) เพื่ออธิบายอย่างชัดเจนเกี่ยวกับภาพรวมของ “ข้อยกเว้นคลาวด์” และเงื่อนไขในการใช้งานข้อยกเว้นนี้
หลักการและข้อยกเว้นในการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามภายใต้กฎหมายญี่ปุ่น

เรามาทำความเข้าใจกันก่อนเกี่ยวกับหลักการและข้อยกเว้นในการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นกันเถอะ
หลักการในการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น
เมื่อผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลใช้บริการคลาวด์ ตามหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น (มาตรา 27 ข้อ 5 ย่อหน้า 1) ถือว่า “มอบหมายการจัดการข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วน” และต้องดำเนินการควบคุมที่จำเป็นและเหมาะสมต่อผู้ให้บริการคลาวด์ ตามที่กำหนดไว้ในมาตรา 25 ของกฎหมายดังกล่าว
ความยกเว้นด้านคลาวด์คืออะไร
ความยกเว้นที่กล่าวถึงนี้คือ “ความยกเว้นด้านคลาวด์” ในกฎหมายญี่ปุ่น
ในกรณีนี้ “ผู้ให้บริการคลาวด์” หมายถึงบริษัทที่ให้บริการโครงสร้างพื้นฐานด้านไอที เช่น พื้นที่จัดเก็บข้อมูลและเซิร์ฟเวอร์ (IaaS/PaaS) และให้บริการจัดเก็บและประมวลผลข้อมูลของบริษัทอื่นผ่านอินเทอร์เน็ต บริษัทที่เกี่ยวข้องได้แก่:
- Amazon Web Services (AWS): บริการจาก Amazon ในสหรัฐอเมริกา มีบริษัทญี่ปุ่นจำนวนมากที่ใช้บริการนี้
- Microsoft Azure: บริการพื้นฐานคลาวด์จาก Microsoft มีหน่วยงานราชการในญี่ปุ่นที่นำไปใช้งานจำนวนมาก
- Google Cloud Platform (GCP): บริการจาก Google มีจุดแข็งในด้าน AI และการประมวลผลข้อมูลขนาดใหญ่
ความยกเว้นด้านคลาวด์เกี่ยวข้องเมื่อผู้ให้บริการแบบ SaaS (Software as a Service) ที่พัฒนาระบบบนโครงสร้างพื้นฐานคลาวด์ (IaaS หรือ PaaS) และนำเสนอให้กับลูกค้าต้องจัดการกับข้อมูลส่วนบุคคล
ตามคำถามและคำตอบเกี่ยวกับ “แนวทางการปกป้องข้อมูลส่วนบุคคล” ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้มีการกล่าวถึงผู้ให้บริการคลาวด์ในข้อ 7-53 ดังนี้:
(ในกรณีที่ไม่ถือเป็นบุคคลที่สาม) คำถาม 7-53 หากผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลใช้ระบบสารสนเทศที่จัดการข้อมูลอิเล็กทรอนิกส์ซึ่งมีข้อมูลส่วนบุคคลผ่านสัญญาบริการคลาวด์กับผู้ประกอบการภายนอก จำเป็นต้องได้รับ “ความยินยอมจากบุคคลนั้น” (ตามมาตรา 27 ข้อ 1) หรือไม่ หรือถือว่า “มอบหมายการจัดการข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วน” (ตามมาตรา 27 ข้อ 5 หมายเลข 1) และจำเป็นต้องควบคุมผู้ให้บริการคลาวด์ตามมาตรา 25 หรือไม่
คำตอบ 7-53 แม้ว่าบริการคลาวด์จะมีหลายรูปแบบ แต่การใช้บริการคลาวด์ว่าจะถือเป็นการให้ข้อมูลกับบุคคลที่สามที่ต้องการความยินยอม (ตามมาตรา 27 ข้อ 1) หรือการมอบหมาย (ตามมาตรา 27 ข้อ 5 หมายเลข 1) หรือไม่นั้น ไม่ได้ขึ้นอยู่กับว่าข้อมูลอิเล็กทรอนิกส์ที่จัดเก็บมีข้อมูลส่วนบุคคลหรือไม่ แต่ขึ้นอยู่กับว่าผู้ให้บริการคลาวด์มีการจัดการข้อมูลส่วนบุคคลหรือไม่ หากผู้ให้บริการคลาวด์ไม่ได้จัดการข้อมูลส่วนบุคคล ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลจะไม่ถือว่าได้ให้ข้อมูลส่วนบุคคล และไม่จำเป็นต้องได้รับความยินยอมจากบุคคลนั้น นอกจากนี้ ในกรณีดังกล่าว จะไม่ถือว่าได้มอบหมายการจัดการข้อมูลส่วนบุคคล ดังนั้นจึงไม่ต้องควบคุมผู้ให้บริการคลาวด์ตามมาตรา 25 สำหรับมาตรการควบคุมความปลอดภัยของผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลในกรณีที่ผู้ให้บริการคลาวด์ไม่ได้จัดการข้อมูลส่วนบุคคล โปรดดูคำถาม 7-54 สำหรับกรณีที่ผู้ให้บริการคลาวด์ไม่ได้จัดการข้อมูลส่วนบุคคล อาจเกี่ยวข้องกับข้อกำหนดในสัญญาที่ระบุว่าผู้ประกอบการภายนอกไม่ได้จัดการข้อมูลส่วนบุคคลที่จัดเก็บในเซิร์ฟเวอร์ และมีการควบคุมการเข้าถึงอย่างเหมาะสม เป็นต้น สำหรับความสัมพันธ์กับมาตรา 28 โปรดดูคำถาม 12-3
คำถามและคำตอบเกี่ยวกับ “แนวทางการปกป้องข้อมูลส่วนบุคคล”[ja]|คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ดังนั้น หากผู้ใช้บริการคลาวด์สามารถตอบสนองตามเงื่อนไขของข้อยกเว้นได้ ก็ไม่จำเป็นต้องควบคุมผู้ให้บริการคลาวด์ ข้อกำหนดที่จำเป็นเพื่อให้เข้าข่าย “กรณีที่ไม่ได้จัดการข้อมูลส่วนบุคคล” มีดังนี้:
- ข้อกำหนดในสัญญาที่ระบุว่าผู้ประกอบการภายนอกไม่ได้จัดการข้อมูลส่วนบุคคลที่จัดเก็บในเซิร์ฟเวอร์
- มีการควบคุมการเข้าถึงอย่างเหมาะสม
การให้คำแนะนำด้านการบริหารจากหน่วยงานรัฐต่อบริษัท เอ็มเค ซิสเต็ม จำกัด
ในวันที่ 25 มีนาคม พ.ศ. 2567 (2024 ปีคริสต์ศักราช) คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นได้ดำเนินการให้คำแนะนำตามมาตรา 147 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อบริษัท เอ็มเค ซิสเต็ม จำกัด หลังจากเกิดเหตุการณ์รั่วไหลของข้อมูลส่วนบุคคลในวงกว้างที่มีผู้ได้รับผลกระทบประมาณ 7.5 ล้านคน คณะกรรมการฯ ได้ประกาศ “คำเตือนเกี่ยวกับข้อควรระวังสำหรับผู้ให้บริการคลาวด์เซอร์วิสที่เข้าข่ายเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล”
เรามาทำความเข้าใจเกี่ยวกับการให้คำแนะนำด้านการบริหารจากหน่วยงานรัฐต่อบริษัท เอ็มเค ซิสเต็ม จำกัด ในกรณีของข้อยกเว้นเกี่ยวกับคลาวด์ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น
ภาพรวมของกรณี
บริษัท มิตซูบิชิ ซิสเต็ม จำกัด ได้พัฒนาระบบสนับสนุนการทำงานด้านประกันสังคมและบุคคล-แรงงานโดยใช้เซิร์ฟเวอร์ของ Tencent Cloud ในประเทศจีน และได้ให้บริการระบบนี้แก่ผู้ใช้งาน เช่น สำนักงานที่ปรึกษาด้านแรงงาน
ในเดือนมิถุนายน พ.ศ. 2570 (รีวะ 5), เซิร์ฟเวอร์ดังกล่าวได้รับการเข้าถึงอย่างไม่ชอบด้วยกฎหมาย ทำให้มีความเสี่ยงที่ข้อมูลส่วนบุคคลที่ถูกจัดการไว้ (เช่น ชื่อ, วันเดือนปีเกิด, เพศ, ที่อยู่, หมายเลขประกันสังคมพื้นฐาน, หมายเลขประกันการจ้างงาน และหมายเลข My Number ของพนักงานในบริษัทหรือสถานประกอบการที่เป็นลูกค้าของที่ปรึกษาด้านแรงงาน) อาจถูกเปิดเผย
เมื่อนำความสัมพันธ์ของทั้งสามบริษัทมาเทียบกับแนวทางปฏิบัติ จะเห็นได้ดังนี้
ตำแหน่งตามแนวทางปฏิบัติ | ผู้ประกอบการ | เนื้อหา |
ผู้ว่าจ้าง | ผู้ใช้งาน เช่น ที่ปรึกษาด้านแรงงาน (ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคล) | มีหน้าที่ในการจัดการข้อมูลส่วนบุคคลของลูกค้า (บริษัทหรือบุคคล) |
ผู้รับจ้าง | บริษัท มิตซูบิชิ ซิสเต็ม จำกัด | ให้บริการระบบบนคลาวด์เพื่อทดแทนและสนับสนุนงานของที่ปรึกษาด้านแรงงาน ดำเนินการตามคำสั่งของลูกค้าในการจัดการข้อมูลส่วนบุคคล |
ผู้รับจ้างต่อ | Tencent Cloud (ประเทศจีน) | มิตซูบิชิ ซิสเต็ม ได้มอบหมายให้ดูแลโครงสร้างพื้นฐานคลาวด์ อาจเข้าข่ายการให้ข้อมูลกับต่างประเทศ |
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นได้ตัดสินว่า มิตซูบิชิ ซิสเต็ม มีข้อบกพร่องในมาตรการจัดการความปลอดภัยทางเทคนิค
เนื้อหาของการแนะนำด้านการบริหารจากหน่วยงานราชการ
จากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น ได้มีการให้คำแนะนำตามมาตรา 147 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และการรายงานการเก็บข้อมูลตามมาตรา 146 ข้อ 1 ของกฎหมายเดียวกัน
คำเตือนจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นได้ประกาศ “คำเตือนเกี่ยวกับผู้ให้บริการคลาวด์ที่เข้าข่ายเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล[ja]“
คำเตือนนี้มุ่งเน้นไปที่ผู้ใช้บริการคลาวด์ในการตัดสินใจว่าการใช้บริการคลาวด์นั้นเข้าข่ายการมอบหมายการจัดการข้อมูลส่วนบุคคลหรือไม่ (ตามมาตรา 27 ข้อ 5 หมวด 1 ของกฎหมายการคุ้มครองข้อมูลส่วนบุคคล) และหากเข้าข่ายการมอบหมาย ผู้ให้บริการคลาวด์ที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องดำเนินการกำกับดูแลที่จำเป็นและเหมาะสมต่อผู้รับมอบหมาย
สำหรับระบบ MK System นั้น มีการระบุว่าไม่ได้รับการยกเว้นจากกฎหมายคลาวด์ใน 3 ประการต่อไปนี้ และเนื่องจากมีการจัดการข้อมูลส่วนบุคคล จึงจำเป็นต้องมีการกำกับดูแลที่เหมาะสม:
คำเตือนเกี่ยวกับผู้ให้บริการคลาวด์ที่เข้าข่ายเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล|คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล[ja]
- ในข้อกำหนดการใช้งาน ได้ระบุว่าผู้ให้บริการคลาวด์สามารถดำเนินการตรวจสอบ วิเคราะห์ และสืบสวนข้อมูลที่จำเป็นเมื่อถือว่าจำเป็นตามการบำรุงรักษาและการดำเนินงาน และยกเว้นในกรณีที่กำหนดไว้ ไม่อนุญาตให้ใช้ข้อมูลหรือเปิดเผยให้กับบุคคลที่สามโดยไม่ได้รับอนุญาต ซึ่งหมายความว่าผู้ให้บริการคลาวด์สามารถใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการในกรณีที่เฉพาะเจาะจงได้
- ผู้ให้บริการคลาวด์มีการเก็บรักษา ID สำหรับการบำรุงรักษาและสามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการได้ โดยไม่มีมาตรการควบคุมการเข้าถึงทางเทคนิคเพื่อป้องกันการจัดการข้อมูล
- มีการจัดการข้อมูลส่วนบุคคลของผู้ใช้บริการจริงๆ หลังจากที่ได้ทำการยืนยันและแลกเปลี่ยนเอกสารยืนยันกับผู้ให้บริการคลาวด์
ข้อควรระวังสำหรับผู้ให้บริการคลาวด์ในญี่ปุ่น

จากปัญหาทางกฎหมายและการแนะนำจากหน่วยงานรัฐที่ได้กล่าวมาแล้วนี้ ผู้ให้บริการคลาวด์ (ในกรณีตัวอย่างที่กล่าวถึงก่อนหน้านี้คือบริษัทเอ็มเคซิสเต็ม) ควรให้ความสนใจกับเรื่องใดบ้าง
ตรวจสอบอีกครั้งว่าได้ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์หรือไม่
ก่อนอื่น ควรตรวจสอบอีกครั้งว่าบริการที่คุณให้นั้นตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์หรือไม่
หลังจากการเตือนจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้ใช้บริการคลาวด์อาจพิจารณาตรวจสอบว่าผู้ให้บริการคลาวด์นั้นได้ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์หรือไม่
ดังนั้น ผู้ให้บริการคลาวด์ควรตรวจสอบอีกครั้งว่าได้ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์อย่างถูกต้องหรือไม่
หากไม่ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์ จะต้องรับมือกับการดูแลจากผู้ว่าจ้าง
หากไม่ตอบสนองต่อข้อกำหนดของการยกเว้นคลาวด์ จะต้องรับมือกับการดูแลจากผู้ใช้บริการคลาวด์ (ในกรณีนี้คือสำนักงานที่ปรึกษาแรงงานและบริษัทที่ใช้บริการของเอ็มเคซิสเต็ม)
การดูแลจากผู้ใช้บริการคลาวด์อาจรวมถึงการดำเนินการตามที่ระบุไว้ในข้อกำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (ตามหลักเกณฑ์ทั่วไป) 3-4-4 การดูแลจากผู้ว่าจ้าง (เกี่ยวข้องกับมาตรา 25 ของกฎหมาย) ดังนี้
- การเลือกผู้รับจ้างที่เหมาะสม: ต้องยืนยันว่ามาตรการจัดการความปลอดภัยของผู้รับจ้างนั้นเทียบเท่ากับที่กฎหมายมาตรา 23 และหลักเกณฑ์นี้กำหนดไว้สำหรับผู้ว่าจ้าง
- การทำสัญญาจ้าง: ควรทำสัญญาที่รวมข้อกำหนดที่ทำให้ผู้ว่าจ้างสามารถเข้าใจสถานการณ์การจัดการข้อมูลส่วนบุคคลที่ได้รับมอบหมายได้อย่างเหมาะสม
- การเข้าใจสถานการณ์การจัดการข้อมูลส่วนบุคคลของผู้รับจ้าง: ควรประเมินอย่างเหมาะสมโดยการตรวจสอบอย่างสม่ำเสมอ
หากมาตรการจัดการความปลอดภัยของผู้รับจ้างไม่เหมาะสม อาจมีโอกาสที่สัญญาจะถูกยกเลิก นอกจากนี้ อาจถูกบังคับให้ดำเนินการตามมาตรการจัดการความปลอดภัยที่จำเป็นและตอบสนองต่อการตรวจสอบอย่างสม่ำเสมอ
สรุป: ควรปรึกษาทนายความเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลบนบริการคลาวด์
บทความนี้ได้ทำการอธิบายถึงความเสี่ยงที่ผู้ให้บริการคลาวด์อาจเผชิญหากไม่สามารถตอบสนองต่อข้อยกเว้นของคลาวด์ได้ โดยอ้างอิงจากการแนะนำด้านการบริหารจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่เผยแพร่ในเดือนมีนาคม 2025 (พ.ศ. 2568) ของญี่ปุ่น
เหตุการณ์รั่วไหลของข้อมูลส่วนบุคคลนี้ได้กลายเป็นจุดเริ่มต้นให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นเตือนผู้ใช้บริการคลาวด์ ข้อควรระวังนี้ไม่เพียงแต่สำคัญสำหรับผู้ใช้บริการเท่านั้น แต่ยังรวมถึงบริษัทที่ให้บริการคลาวด์ด้วย ที่จำเป็นต้องทบทวนบริการที่พวกเขาให้ไว้ และต้องระมัดระวังต่อภาระที่อาจเกิดขึ้น
ด้วยการพิจารณาคำแนะนำด้านการบริหารนี้ หากคุณมีความกังวลเกี่ยวกับความเสี่ยงที่องค์กรของคุณอาจเผชิญหรือมาตรการที่จำเป็นต้องดำเนินการ ขอแนะนำให้ปรึกษากับทนายความเพื่อขอคำแนะนำ
แนะนำมาตรการของเรา
สำนักงานกฎหมายมอนอลิธเป็นสำนักงานที่มีประสบการณ์อันเข้มข้นทั้งในด้านไอที โดยเฉพาะกฎหมายอินเทอร์เน็ตและกฎหมายทั่วไป ในยุคที่บริษัทไอทีมากมายเริ่มใช้คลาวด์เซอร์วิส เช่น AWS เพื่อขยายธุรกิจ การรั่วไหลของข้อมูลส่วนบุคคลจึงกลายเป็นหนึ่งในการจัดการความเสี่ยงที่ไม่สามารถมองข้ามได้ หากข้อมูลส่วนบุคคลรั่วไหล อาจส่งผลกระทบร้ายแรงต่อการดำเนินงานของบริษัท สำนักงานเรามีความเชี่ยวชาญเฉพาะทางในการป้องกันและรับมือกับการรั่วไหลของข้อมูล รายละเอียดเพิ่มเติมได้ระบุไว้ในบทความด้านล่างนี้
สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลภายใต้กฎหมายญี่ปุ่น[ja]
Category: IT
Tag: ITTerms of Use