【เวอร์ชันล่าสุด】กฎหมายการป้องกันข้อมูลส่วนบุคคลคืออะไร? ความรู้พื้นฐานที่ควรรู้เบื้องต้นอธิบายได้อย่างเข้าใจง่าย
ในปัจจุบันนี้ ความสนใจทางสังคมเกี่ยวกับการจัดการข้อมูลส่วนบุคคลและความเป็นส่วนตัวมีมากขึ้น อย่างไรก็ตาม กฎหมายการปกป้องข้อมูลส่วนบุคคลและกฎหมายที่เกี่ยวข้องในญี่ปุ่นมีข้อกำหนดมากมายที่จำเป็นต้องทราบ และบ่อยครั้งที่ซับซ้อนจนไม่ง่ายที่จะจัดระเบียบ นอกจากนี้ กฎหมายการปกป้องข้อมูลส่วนบุคคลยังถูกแก้ไขอย่างบ่อยครั้งเพื่อตอบสนองต่อสถานการณ์สังคมที่เปลี่ยนแปลง ดังนั้น การติดตามข้อมูลล่าสุดทุกวันจึงเป็นสิ่งสำคัญ
บทความนี้จะอธิบายความรู้พื้นฐานเกี่ยวกับกฎหมายการปกป้องข้อมูลส่วนบุคคลฉบับปรับปรุงล่าสุดที่บังคับใช้ในปี 2022 ในญี่ปุ่นอย่างเข้าใจง่าย ซึ่งเป็นสิ่งที่ผู้ที่จัดการข้อมูลส่วนบุคคลควรทราบอย่างน้อยที่สุด (บทความนี้เขียนขึ้นโดยอ้างอิงกฎหมายและข้อมูล ณ เดือนมกราคม 2025)
ย่อหน้า
กฎหมาย: กฎหมายการปกป้องข้อมูลส่วนบุคคล
กฎระเบียบ: กฎระเบียบการปกป้องข้อมูลส่วนบุคคล
แนวทาง: คณะกรรมการการปกป้องข้อมูลส่วนบุคคล “แนวทางเกี่ยวกับกฎหมายการปกป้องข้อมูลส่วนบุคคล (ฉบับทั่วไป)[ja]” กันยายน 2022
วัตถุประสงค์และพื้นหลังการแก้ไขกฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่น
ในสังคมดิจิทัล ความสำคัญของการป้องกันความเสียหายที่เกิดจากการใช้ข้อมูลส่วนบุคคลอย่างไม่ถูกต้องนั้นเพิ่มขึ้นอย่างมาก และกฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่นได้รับการแก้ไขหลายครั้ง ที่นี่เราจะอธิบายเกี่ยวกับวัตถุประสงค์ของกฎหมายนี้และพื้นหลังของการแก้ไขเหล่านั้น
วัตถุประสงค์ของกฎหมายการปกป้องข้อมูลส่วนบุคคล
กฎหมายการปกป้องข้อมูลส่วนบุคคลคือกฎหมายที่กำหนดกฎเกณฑ์เกี่ยวกับการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสม
บริการที่ใช้ข้อมูลส่วนบุคคลและข้อมูลต่างๆ ได้กลายเป็นสิ่งที่เราคุ้นเคยในปัจจุบัน ในขณะที่ข้อมูลส่วนบุคคลถูกใช้เพื่อเพิ่มประสิทธิภาพและการดิจิทัลไลซ์ในองค์กร ก็มีเหตุการณ์รั่วไหลของข้อมูลส่วนบุคคลเพิ่มขึ้น และความเสี่ยงที่จะถูกใช้ในทางที่ผิดก็สูงขึ้น
วัตถุประสงค์ของกฎหมายการปกป้องข้อมูลส่วนบุคคลอย่างชัดเจนคือ “การพิจารณาถึงประโยชน์ของข้อมูลส่วนบุคคล” พร้อมกับ “การปกป้องสิทธิและผลประโยชน์ของบุคคล” (มาตรา 1) การเรียนรู้เกี่ยวกับกฎหมายนี้จำเป็นต้องมีมุมมองในการหาสมดุลระหว่างทั้งสองอย่างนี้
กฎหมายนี้มีจุดมุ่งหมายเพื่อพิจารณาถึงการขยายการใช้ข้อมูลส่วนบุคคลอย่างมากตามการพัฒนาของสังคมดิจิทัล โดยกำหนดหลักการพื้นฐานและนโยบายพื้นฐานของรัฐบาล รวมถึงมาตรการพื้นฐานอื่นๆ ที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล ทำให้ชัดเจนถึงหน้าที่ของรัฐและหน่วยงานท้องถิ่น และกำหนดหน้าที่ที่ควรปฏิบัติตามสำหรับผู้ประกอบการและหน่วยงานราชการที่จัดการข้อมูลส่วนบุคคล พร้อมทั้งการตั้งคณะกรรมการปกป้องข้อมูลส่วนบุคคล เพื่อให้การดำเนินงานของหน่วยงานราชการและธุรกิจเป็นไปอย่างเหมาะสมและราบรื่น และเพื่อให้การใช้ข้อมูลส่วนบุคคลอย่างเหมาะสมและมีประสิทธิผลนำไปสู่การสร้างอุตสาหกรรมใหม่ รวมถึงการมีสังคมเศรษฐกิจที่มีชีวิตชีวาและการมีชีวิตที่ร่ำรวยของประชาชน พร้อมทั้งการพิจารณาถึงประโยชน์ของข้อมูลส่วนบุคคลและการปกป้องสิทธิและผลประโยชน์ของบุคคล
อ้างอิงจาก: กฎหมายการปกป้องข้อมูลส่วนบุคคล มาตรา 1
อย่างไรก็ตาม กฎหมายการปกป้องข้อมูลส่วนบุคคลไม่ได้กำหนดกฎเกณฑ์ทั้งหมด แต่กฎเกณฑ์ที่ละเอียดยิ่งขึ้นนั้นถูกกำหนดโดยพระราชบัญญัติและกฎหมายย่อย
นอกจากนี้ คณะกรรมการปกป้องข้อมูลส่วนบุคคลยังกำหนดแนวทางและคำถามที่พบบ่อยที่เกี่ยวข้องกับการดำเนินงานของกฎหมายนี้ แม้ว่าเอกสารเหล่านี้จะไม่มีผลผูกพันทางกฎหมาย แต่ก็เป็นมาตรฐานที่ใช้ในทางปฏิบัติและถูกอ้างอิงโดยหลายองค์กร
อ้างอิง:คณะกรรมการปกป้องข้อมูลส่วนบุคคล|กฎหมายและแนวทาง[ja]
พื้นหลังการแก้ไข
กฎหมายการปกป้องข้อมูลส่วนบุคคลได้รับการบังคับใช้เป็นครั้งแรกในปี พ.ศ. 2548 (ค.ศ. 2005)
หลังจากนั้น ด้วยการพัฒนาของเทคโนโลยีสารสนเทศและการเป็นสังคมโลกาภิวัตน์ การใช้ประโยชน์จากข้อมูลส่วนบุคคลที่ไม่ได้คาดคิดไว้ในขณะที่กฎหมายถูกสร้างขึ้นได้เพิ่มขึ้น ด้วยเหตุนี้ กฎหมายการปกป้องข้อมูลส่วนบุคคลจึงได้รับการแก้ไขอย่างใหญ่หลวงในปี พ.ศ. 2558 (ค.ศ. 2015) และได้รับการแก้ไขอีกครั้งในปี พ.ศ. 2563 (ค.ศ. 2020)
นอกจากนี้ คณะกรรมการปกป้องข้อมูลส่วนบุคคลยังได้ดำเนินการตาม “แผนการแก้ไขระบบกฎหมายการปกป้องข้อมูลส่วนบุคคลทุก 3 ปี” และได้ดำเนินการตรวจสอบกฎหมายนี้ทุก 3 ปี
ตามแผนการแก้ไข มีการกล่าวถึงมุมมองเช่น “การปกป้องสิทธิและผลประโยชน์ของบุคคล” “การหาสมดุลระหว่างการปกป้องและการใช้ประโยชน์” “การปรับสอดคล้องกับกระแสระดับสากล” “การตอบสนองต่อการเปลี่ยนแปลงความเสี่ยงจากผู้ประกอบการต่างชาติ” และ “การตอบสนองต่อยุคของ AI และข้อมูลขนาดใหญ่”
ทั้งนี้ กฎหมายที่ได้รับการแก้ไขล่าสุดที่กำลังบังคับใช้ คือการแก้ไขในปี พ.ศ. 2563 (ค.ศ. 2020) ซึ่งได้รับการบังคับใช้ในเดือนเมษายน พ.ศ. 2565 (ค.ศ. 2022) แต่ตามแผนการตรวจสอบของคณะกรรมการปกป้องข้อมูลส่วนบุคคล อาจมีการพิจารณาแก้ไขกฎหมายอีกครั้งหลังจากผ่านไป 3 ปี ในปี พ.ศ. 2566 (ค.ศ. 2023) หรือ พ.ศ. 2567 (ค.ศ. 2024)
ด้านล่างนี้ เราจะอธิบายเกี่ยวกับคำจำกัดความและการจำแนกตามกฎหมายการปกป้องข้อมูลส่วนบุคคลตามการแก้ไขปี พ.ศ. 2563 และข้อกำหนดหลักๆ ที่เกี่ยวข้อง
คำจำกัดความและการจำแนกประเภทของข้อมูลส่วนบุคคลตามกฎหมายของญี่ปุ่น
ในการทำความเข้าใจกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น สิ่งแรกที่เราต้องเข้าใจคือคำศัพท์เฉพาะที่ใช้ในกฎหมาย ซึ่งมีความหมายและคำจำกัดความที่แตกต่างจากคำที่เราใช้ในชีวิตประจำวัน ดังนั้น การเข้าใจคำจำกัดความเหล่านี้จึงเป็นสิ่งสำคัญ
บทความนี้จะอธิบายคำศัพท์ต่อไปนี้:
- ข้อมูลส่วนบุคคล
- ข้อมูลบุคคล
- ข้อมูลบุคคลที่ถือครอง
อาจมีคำศัพท์ที่ดูเหมือนจะมีความหมายใกล้เคียงกัน แต่ในกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น คำเหล่านี้มีความแตกต่างที่ชัดเจน และมีกฎหมายที่กำหนดไว้แตกต่างกันตามคำจำกัดความของแต่ละคำ จำไว้ว่า ความรับผิดชอบในการจัดการข้อมูลจะเพิ่มขึ้นตามลำดับจาก “ข้อมูลส่วนบุคคล” → “ข้อมูลบุคคล” → “ข้อมูลบุคคลที่ถือครอง”
ข้อมูลส่วนบุคคลภายใต้กฎหมายญี่ปุ่น
ข้อมูลส่วนบุคคลในทางกฎหมายญี่ปุ่นหมายถึง “ข้อมูลที่เกี่ยวข้องกับบุคคลที่ยังมีชีวิตอยู่” ซึ่งสามารถ “ระบุตัวบุคคลนั้นได้” หรือ “มีรหัสประจำตัวบุคคล” ตามมาตรา 2 ข้อ 1 และข้อ 2 ของกฎหมายดังกล่าว
ข้อมูลของผู้ที่เสียชีวิตหรือตัวละครที่ไม่มีอยู่จริงไม่ถือว่าเป็น “ข้อมูลของบุคคลที่ยังมีชีวิตอยู่” และข้อมูลของนิติบุคคลหรือข้อมูลสถิติไม่ถือว่าเป็น “ข้อมูลที่เกี่ยวข้องกับบุคคล”
“ข้อมูลที่สามารถระบุตัวบุคคลได้” นั้น ประกอบด้วยชื่อ, หมายเลขโทรศัพท์, ที่อยู่, วันเดือนปีเกิด, ภาพถ่ายหน้าตา เป็นต้น แต่ข้อมูลที่เชื่อมโยงกับบุคคลนั้นๆ จะถือเป็นข้อมูลส่วนบุคคลโดยรวม นั่นคือ ข้อมูลที่ไม่สามารถระบุตัวบุคคลได้เพียงอย่างเดียว (เช่น รหัสผู้ใช้หรือประวัติการซื้อ) จะกลายเป็นข้อมูลที่สามารถระบุตัวบุคคลได้ เมื่อมีการเชื่อมโยงกับชื่อหรือหมายเลขโทรศัพท์ เป็นต้น
นอกจากนี้ “รหัสประจำตัวบุคคล” ตามมาตรา 2 ข้อ 2 ของกฎหมาย โดยทั่วไปจะหมายถึงหมายเลขที่เป็นเอกลักษณ์ของสาธารณะ เช่น หมายเลขประจำตัวประชาชน, หมายเลขใบขับขี่, หมายเลขพาสปอร์ต, หมายเลขบัตรประกันสุขภาพ เป็นต้น รวมถึงข้อมูลที่แปลงมาจากข้อมูลชีวภาพของคน เช่น ลายนิ้วมือหรือ DNA
ยิ่งไปกว่านั้น ข้อกำหนดที่ว่าข้อมูลสามารถ “ระบุตัวบุคคลได้” นั้น รวมถึง “ข้อมูลที่สามารถเปรียบเทียบกับข้อมูลอื่นได้อย่างง่ายดาย และด้วยวิธีนี้สามารถระบุตัวบุคคลได้” (หรือที่เรียกว่า “ความสามารถในการเปรียบเทียบได้ง่าย”)
ตัวอย่างเช่น แม้ว่าฐานข้อมูลประวัติการเรียกดูจะมีรหัสผู้ใช้และข้อมูลการเรียกดู ผู้ที่เห็นข้อมูลนั้นอาจไม่สามารถระบุตัวบุคคลได้ แต่หากมีฐานข้อมูลการจัดการผู้ใช้ (ฐานข้อมูลอื่น) ที่มีรหัสผู้ใช้เดียวกันและมีข้อมูลเช่นชื่อและที่อยู่ การเปรียบเทียบรหัสผู้ใช้ที่เหมือนกันจะทำให้สามารถระบุตัวบุคคลได้ ดังนั้น ในกรณีนี้ ข้อมูลการเรียกดู แม้จะไม่สามารถระบุตัวบุคคลได้เมื่อยืนอยู่คนเดียว แต่ด้วย “ความสามารถในการเปรียบเทียบได้ง่าย” จะถูกรวมเข้าไปในข้อมูลส่วนบุคคลโดยรวม นั่นคือ ขึ้นอยู่กับวิธีการจัดการข้อมูลในองค์กร ข้อมูลบางอย่างอาจถือเป็น “ข้อมูลส่วนบุคคล” หรือไม่ก็ได้ จึงจำเป็นต้องให้ความสนใจ
มาตรา 2 ในกฎหมายนี้ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวข้องกับบุคคลที่ยังมีชีวิตอยู่ และตรงตามข้อใดข้อหนึ่งต่อไปนี้
1. ข้อมูลที่มีชื่อ, วันเดือนปีเกิด หรือรายละเอียดอื่นๆ (รวมถึงข้อความ, ภาพวาด หรือบันทึกแบบอิเล็กทรอนิกส์ ซึ่งหมายถึงบันทึกที่สร้างขึ้นโดยวิธีอิเล็กทรอนิกส์ วิธีแม่เหล็ก หรือวิธีอื่นที่ไม่สามารถรับรู้ได้ด้วยประสาทสัมผัส ในมาตราถัดไปข้อ 2 จะใช้คำนี้เช่นกัน ต่อไปนี้จะเรียกว่าเช่นเดียวกัน) ที่บันทึกหรือแสดงออกโดยเสียง, การเคลื่อนไหว หรือวิธีอื่นๆ (ไม่รวมถึงรหัสประจำตัวบุคคล) ที่สามารถระบุตัวบุคคลได้ (รวมถึงข้อมูลที่สามารถเปรียบเทียบกับข้อมูลอื่นได้อย่างง่ายดาย และด้วยวิธีนี้สามารถระบุตัวบุคคลได้)
2. ข้อมูลที่มีรหัสประจำตัวบุคคล
กฎหมายคุ้มครองข้อมูลส่วนบุคคล มาตรา 2 ข้อ 1 และข้อ 2
ข้อมูลส่วนบุคคล
การรวบรวมข้อมูลส่วนบุคคลเข้าสู่ฐานข้อมูลหรือทำให้ข้อมูลส่วนบุคคลสามารถค้นหาได้นั้น เรียกว่า “ฐานข้อมูลข้อมูลส่วนบุคคล” ตามมาตรา 16 ข้อ 1 ข้อย่อย 1 และข้อย่อย 2 ของกฎหมายญี่ปุ่น (Japanese Personal Information Protection Act)
ตัวอย่างเช่น ข้อมูลส่วนบุคคลที่เขียนไว้บนนามบัตรเพียงใบเดียวนั้นถือเป็น “ข้อมูลส่วนบุคคล” แต่หากเก็บข้อมูลจากนามบัตรหลายใบเข้าไว้ในไฟล์ที่มีดัชนีตามลำดับอักษรหรือใช้โปรแกรมเช่น Excel ในการสร้างฐานข้อมูล ทำให้สามารถค้นหาข้อมูลส่วนบุคคลที่เฉพาะเจาะจงได้อย่างมีระบบ ก็จะถือว่าเป็น “ฐานข้อมูลข้อมูลส่วนบุคคล” นั่นเอง
และข้อมูลส่วนบุคคลแต่ละรายที่เป็นส่วนประกอบของ “ฐานข้อมูลข้อมูลส่วนบุคคล” นั้นเรียกว่า “ข้อมูลส่วนบุคคล” ตามมาตรา 16 ข้อ 3 ของกฎหมายญี่ปุ่น (Japanese Personal Information Protection Act) ในกรณีที่เป็นข้อมูลส่วนบุคคล จะมีการควบคุมการให้ข้อมูลแก่บุคคลที่สาม รวมถึงมีหน้าที่ในการจัดการความปลอดภัยอย่างเข้มงวดมากขึ้นเมื่อเทียบกับ “ข้อมูลส่วนบุคคล” ทั่วไป (รายละเอียดจะกล่าวถึงในภายหลัง)
เหตุผลที่ต้องมีการควบคุมเช่นนี้ เนื่องจากเมื่อข้อมูลส่วนบุคคลถูกรวบรวมเข้าสู่ฐานข้อมูล จะมีความเสี่ยงที่ข้อมูลจะรั่วไหลออกไปเป็นจำนวนมาก และสามารถเชื่อมโยงกับวิธีอื่นๆ ได้ง่าย ซึ่งอาจนำไปสู่การละเมิดสิทธิของบุคคลนั้นได้
ข้อมูลส่วนบุคคลที่ถือครอง
ข้อมูลส่วนบุคคลที่ผู้ประกอบการจัดการอยู่ ซึ่งเมื่อถูกขอให้เปิดเผยจากบุคคลนั้นๆ ผู้ประกอบการมีสิทธิ์ในการเปิดเผยและอื่นๆ จะเรียกว่า “ข้อมูลส่วนบุคคลที่ถือครอง” ตามมาตรา 16 ข้อ 4 ของกฎหมาย (ในปีค.ศ. 2023)
โดยทั่วไป ข้อมูลที่เกี่ยวข้องนี้จะรวมถึงข้อมูลลูกค้าที่เก็บรวบรวมโดยตรงจากการดำเนินธุรกิจหรือข้อมูลของพนักงาน เป็นต้น ในขณะที่ข้อมูลที่ได้รับมอบหมายจากผู้อื่น เช่น ในกรณีของการจ้างงานภายนอก จะไม่ถือเป็นข้อมูลส่วนบุคคลที่ถือครอง เนื่องจากไม่มีสิทธิ์ในการเปิดเผยหรือดำเนินการอื่นๆ
หากเป็นข้อมูลส่วนบุคคลที่ถือครอง จะต้องดำเนินการตามข้อกำหนดที่กำหนดไว้ เช่น การเปิดเผยข้อมูลตามที่กำหนด, การตอบคำถามจากบุคคลนั้นๆ โดยไม่ล่าช้า, และการตอบสนองต่อคำขอในการเปิดเผย การแก้ไข หรือการลบข้อมูล เป็นต้น (รายละเอียดจะกล่าวถึงในภายหลัง)
ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น “ข้อมูลส่วนบุคคล” เป็นแนวคิดที่กว้างที่สุด และ “ข้อมูลส่วนบุคคล” และ “ข้อมูลส่วนบุคคลที่ถือครอง” มีคำจำกัดความที่แคบลง และมีการเพิ่มข้อกำหนดการควบคุมเข้ามา ด้วยเหตุนี้ การควบคุมที่ใช้กับแต่ละคำจำกัดความจึงแตกต่างกัน จำเป็นต้องให้ความสนใจอย่างมาก ลองตรวจสอบในภาพด้านล่างนี้ดู
กฎที่แตกต่างกันสำหรับการจำแนกข้อมูล
ตามแผนภูมิด้านล่างนี้ กฎหลักภายใต้กฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่นถูกกำหนดขึ้นเพื่อตอบสนองต่อการจำแนกประเภทของ ‘ข้อมูลส่วนบุคคล’ และ ‘ข้อมูลส่วนบุคคลที่ถือครอง’
อ้างอิงจาก: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 「หลักการพื้นฐานของกฎหมายการปกป้องข้อมูลส่วนบุคคล」หน้า 25
ด้านล่างนี้เราจะสรุปเกี่ยวกับ
- การระบุและแจ้งเจตนาการใช้ข้อมูลส่วนบุคคล
- มาตรการจัดการความปลอดภัยของข้อมูลส่วนบุคคล การจัดการผู้รับจ้าง
- การให้ข้อมูลส่วนบุคคลแก่บุคคลที่สาม และข้อยกเว้น
- การตอบสนองต่อคำขอเปิดเผยข้อมูลส่วนบุคคลที่ถือครอง
ในส่วนต่อไปนี้
การระบุและแจ้งวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล
ตามกฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่น หากได้รับข้อมูลส่วนบุคคล จำเป็นต้องระบุวัตถุประสงค์ในการใช้ข้อมูลให้ชัดเจนเท่าที่จะทำได้ (มาตรา 17 ข้อ 1) และไม่อาจจัดการข้อมูลส่วนบุคคลเกินกว่าขอบเขตที่จำเป็นสำหรับการบรรลุวัตถุประสงค์ที่ได้ระบุไว้ (มาตรา 18 ข้อ 1) นอกจากนี้ หากมีการเปลี่ยนแปลงวัตถุประสงค์ในการใช้ข้อมูล การเปลี่ยนแปลงดังกล่าวจะต้องไม่เกินขอบเขตที่สมเหตุสมผลและเกี่ยวข้องกับวัตถุประสงค์ก่อนหน้านั้น (มาตรา 17 ข้อ 2)
นอกจากนี้ จำเป็นต้องแจ้งหรือเปิดเผยวัตถุประสงค์ที่ได้ระบุไว้ต่อบุคคลที่เกี่ยวข้อง (มาตรา 21 ข้อ 1) แม้ว่ากฎหมายการปกป้องข้อมูลส่วนบุคคลจะไม่ได้ระบุวิธีการแจ้งหรือเปิดเผยโดยเฉพาะ แต่การเปิดเผยผ่าน ‘นโยบายความเป็นส่วนตัว’ หรือ ‘นโยบายการปกป้องข้อมูลส่วนบุคคล’ เป็นวิธีที่ทั่วไป
ตามแนวทางของคณะกรรมการการปกป้องข้อมูลส่วนบุคคล ได้มีการกำหนดไว้ดังนี้
วัตถุประสงค์ในการใช้ข้อมูลควรระบุอย่างเฉพาะเจาะจง ไม่ใช่เพียงแค่ระบุในรูปแบบที่คลุมเครือหรือทั่วไป แต่ควรระบุให้ชัดเจนถึงการใช้งานข้อมูลส่วนบุคคลในธุรกิจใด และเพื่อวัตถุประสงค์ใด ซึ่งควรเป็นสิ่งที่บุคคลที่เกี่ยวข้องสามารถคาดการณ์ได้อย่างสมเหตุสมผล
คณะกรรมการการปกป้องข้อมูลส่วนบุคคล ‘แนวทางทั่วไป[ja]‘3-1-1
แนวทางดังกล่าวยังได้ยกตัวอย่างถึงการระบุวัตถุประสงค์ในการใช้ข้อมูลที่เฉพาะเจาะจงไว้ด้วย
【ตัวอย่างการระบุวัตถุประสงค์ในการใช้ข้อมูลอย่างเฉพาะเจาะจง】
ตัวอย่าง) เมื่อผู้ประกอบการได้รับข้อมูลเช่น ชื่อ ที่อยู่ อีเมล ฯลฯ จากบุคคลในการขายสินค้า และได้ระบุวัตถุประสงค์ในการใช้ข้อมูลว่า ‘เพื่อการจัดส่งสินค้าในธุรกิจ ○○ บริการหลังการขายที่เกี่ยวข้อง และการแจ้งข่าวสารเกี่ยวกับสินค้าหรือบริการใหม่’
【ตัวอย่างการไม่ได้ระบุวัตถุประสงค์ในการใช้ข้อมูลอย่างเฉพาะเจาะจง】
ตัวอย่าง1) ‘เพื่อการดำเนินกิจกรรมทางธุรกิจ’
ตัวอย่าง2) ‘เพื่อการดำเนินกิจกรรมทางการตลาด’
นั่นคือ จำเป็นต้องระบุวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลอย่างชัดเจน เพื่อให้บุคคลที่เกี่ยวข้องสามารถเข้าใจได้
นอกจากนี้ หากได้รับข้อมูลส่วนบุคคลที่บันทึกไว้โดยตรงบนเอกสาร (รวมถึงบันทึกทางอิเล็กทรอนิกส์) จำเป็นต้องแจ้งวัตถุประสงค์ในการใช้ข้อมูลให้แก่บุคคลนั้นล่วงหน้า (มาตรา 21 ข้อ 2)
การจัดการมาตรการความปลอดภัยของข้อมูลส่วนบุคคลและการควบคุมผู้รับจ้าง
ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลจะต้องดำเนินมาตรการที่จำเป็นและเหมาะสมเพื่อป้องกันการรั่วไหล การสูญหาย หรือการทำลายข้อมูลส่วนบุคคล ตามที่กำหนดไว้ในมาตรา 23 ของกฎหมายญี่ปุ่น
นอกจากนี้ มาตรการความปลอดภัยที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลที่ถือครองจะต้องอยู่ในสถานะที่ “สามารถทราบได้โดยเจ้าของข้อมูล” ซึ่งรวมถึงการตอบสนองต่อคำขอโดยไม่ล่าช้า ตามที่กำหนดไว้ในมาตรา 32 ข้อ 1 หมวด 4 และมาตรา 10 ข้อ 1 ของกฎหมายบังคับใช้การปกป้องข้อมูลส่วนบุคคลของญี่ปุ่น
ตัวอย่างของมาตรการความปลอดภัยที่ควรดำเนินการมีระบุไว้ในแนวทางปฏิบัติ[ja]ดังต่อไปนี้:
10-1 การกำหนดนโยบายพื้นฐาน
10-2 การจัดระเบียบกฎเกณฑ์ที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล
10-3 มาตรการความปลอดภัยทางการจัดการแบบองค์กร
10-4 มาตรการความปลอดภัยทางบุคคล
10-5 มาตรการความปลอดภัยทางกายภาพ
10-6 มาตรการความปลอดภัยทางเทคนิค
10-7 การทำความเข้าใจสภาพแวดล้อมภายนอก
อ้างอิงจาก: คณะกรรมการการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่น ‘แนวทางปฏิบัติทั่วไป’ 10
อย่างไรก็ตาม มาตรการความปลอดภัยไม่ได้หมายความว่าทุกผู้ประกอบการจะต้องดำเนินการตามมาตรฐานเดียวกันทั้งหมด ตัวอย่างเช่น บริษัทขนาดใหญ่ที่ดำเนินธุรกิจที่เกี่ยวข้องกับ IT ในระดับใหญ่และจัดการข้อมูลส่วนบุคคลหลายล้านหรือหลายสิบล้านราย จะมีระดับของมาตรการที่ต้องการแตกต่างจากบริษัทขนาดกลางและขนาดเล็กที่จัดการข้อมูลส่วนบุคคลจำนวนจำกัด มาตรการความปลอดภัยควรพิจารณาจากปัจจัยต่างๆ เช่น ขนาดและลักษณะของธุรกิจ ลักษณะและปริมาณข้อมูลส่วนบุคคลที่จัดการ และความเสี่ยงที่คาดการณ์ได้ เพื่อให้มีเนื้อหาที่เหมาะสม
นอกเหนือจากข้างต้น ผู้ประกอบการยังมีหน้าที่ที่จะต้องควบคุมและดูแลพนักงานและผู้รับจ้างอย่างเหมาะสม เพื่อให้มั่นใจว่ามีการจัดการความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ตามที่กำหนดไว้ในมาตรา 24 และ 25 ของกฎหมายญี่ปุ่น
การให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามและข้อยกเว้น
เมื่อมีการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามในญี่ปุ่น ตามหลักการแล้วจำเป็นต้องได้รับความยินยอมจากบุคคลนั้นๆ ก่อน (ตามมาตรา 27 ข้อ 1)
ขึ้นอยู่กับกรณีเฉพาะ แต่เช่น หากได้รับความยินยอมอย่างเหมาะสมจากบุคคลนั้นๆ ผ่านเงื่อนไขการใช้บริการ ข้อตกลง หรือนโยบายความเป็นส่วนตัวที่ระบุถึงการให้ข้อมูลแก่บุคคลที่สาม ก็สามารถกล่าวได้ว่าได้รับความยินยอมในการให้ข้อมูลแก่บุคคลที่สาม
อย่างไรก็ตาม ในบางกรณีที่มีเหตุผลทางราชการ อาจมีข้อยกเว้นที่ไม่จำเป็นต้องได้รับความยินยอมจากบุคคลนั้นๆ เมื่อมีการให้ข้อมูลแก่บุคคลที่สาม (ตามมาตรา 27 ข้อ 1 แต่ละข้อ)
มาตรา 27 ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลจะต้องไม่มอบข้อมูลส่วนบุคคลให้แก่บุคคลที่สาม โดยไม่ได้รับความยินยอมจากบุคคลนั้นล่วงหน้า ยกเว้นในกรณีต่อไปนี้
หนึ่ง กรณีที่มีข้อบังคับตามกฎหมาย
สอง กรณีที่จำเป็นเพื่อการปกป้องชีวิต ร่างกาย หรือทรัพย์สินของบุคคล และเมื่อการได้รับความยินยอมจากบุคคลนั้นเป็นไปได้ยาก
สาม กรณีที่มีความจำเป็นเฉพาะเพื่อการส่งเสริมสุขภาพสาธารณะหรือการเลี้ยงดูเด็กให้เติบโตอย่างสมบูรณ์ และเมื่อการได้รับความยินยอมจากบุคคลนั้นเป็นไปได้ยาก
สี่ กรณีที่มีความจำเป็นต้องร่วมมือกับหน่วยงานของรัฐหรือองค์กรปกครองส่วนท้องถิ่น หรือผู้ที่ได้รับมอบหมายจากพวกเขาในการดำเนินงานตามที่กฎหมายกำหนด และเมื่อการได้รับความยินยอมจากบุคคลนั้นอาจก่อให้เกิดอุปสรรคต่อการดำเนินงานดังกล่าว
ห้าถึงเจ็ด (ข้อความบางส่วนถูกละไว้)
อ้างอิง: มาตรา 27 ของกฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่น
นอกจากนี้ ด้านล่างนี้จะกล่าวถึงกรณีที่มีการมอบข้อมูลส่วนบุคคลให้แก่บุคคลที่สามที่อยู่ในต่างประเทศ
โดยหลักแล้ว การมอบข้อมูลส่วนบุคคลให้แก่บุคคลที่สามที่อยู่ในต่างประเทศ (รวมถึงการมอบหมายหรือการใช้ร่วมกัน) นอกเหนือจากข้อกำหนดเกี่ยวกับการมอบข้อมูลส่วนบุคคลให้แก่บุคคลที่สามที่กล่าวไว้ข้างต้น ยังต้องได้รับความยินยอมสำหรับการมอบข้อมูลให้แก่ “บุคคลที่สามที่อยู่ในต่างประเทศ” อีกด้วย (ตามมาตรา 28 ของกฎหมาย) นอกจากนี้ ก่อนที่จะได้รับความยินยอม จำเป็นต้องมีการให้ข้อมูลต่อไปนี้ (ตามข้อ 17 มาตรา 2 ของกฎระเบียบ)
หนึ่ง ชื่อของประเทศนั้น
สอง ข้อมูลเกี่ยวกับระบบการปกป้องข้อมูลส่วนบุคคลในประเทศนั้นที่ได้มาอย่างเหมาะสมและมีเหตุผล
สาม ข้อมูลเกี่ยวกับมาตรการที่บุคคลที่สามดังกล่าวดำเนินการเพื่อการปกป้องข้อมูลส่วนบุคคล
วิธีการบันทึกข้อมูลอย่างละเอียดสามารถอ้างอิงได้จากแนวทางการปฏิบัติตามกฎหมายการปกป้องข้อมูลส่วนบุคคล (ส่วนที่เกี่ยวข้องกับการมอบข้อมูลให้แก่บุคคลที่สามในต่างประเทศ)[ja] ข้อ 5-2 ซึ่งกำหนดโดยคณะกรรมการการปกป้องข้อมูลส่วนบุคคล
อย่างไรก็ตาม มีข้อยกเว้น 2 ประการสำหรับข้อกำหนดดังกล่าว
หากบุคคลที่สามที่จะมอบข้อมูลให้นั้นอยู่ในประเทศที่คณะกรรมการการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่นยอมรับว่ามีระบบการปกป้องข้อมูลส่วนบุคคลที่เทียบเท่ากับญี่ปุ่น (ระบบที่เข้ากันได้กับมาตรฐาน ณ เดือนพฤศจิกายน 2023 ได้แก่ ประเทศสมาชิก EEA และสหราชอาณาจักร) ในกรณีนี้ บุคคลที่สามดังกล่าวจะไม่ถือว่าเป็น “ต่างประเทศ” และจะได้รับการปฏิบัติเหมือนกับการมอบข้อมูลให้แก่บุคคลที่สามในประเทศ
ต่อไปนี้คือกรณีที่มีการมอบข้อมูลข้ามพรมแดนโดยอาศัยระบบที่เข้ากันได้กับมาตรฐานดังกล่าว นั่นคือ ① “การดำเนินการมาตรการที่เหมาะสมอย่างต่อเนื่องเพื่อการรับรองการดำเนินการ” และ ② การให้ข้อมูลเกี่ยวกับ “มาตรการที่จำเป็น” ตามคำขอของบุคคลนั้น ในกรณีนี้ ไม่จำเป็นต้องได้รับความยินยอม (ตามมาตรา 28 ข้อ 1 และข้อ 3 ของกฎหมาย)
ข้อ ① ดังกล่าวได้รับการกำหนดไว้ในข้อ 18 มาตรา 1 ของกฎระเบียบ
มาตรา 18 ตามข้อกำหนดของมาตรา 28 ย่อหน้าที่ 3 (รวมถึงกรณีที่ใช้โดยการอ่านและปรับใช้ตามมาตรา 31 ย่อหน้าที่ 2) มาตรการที่จำเป็นเพื่อรับประกันการดำเนินการอย่างต่อเนื่องของมาตรการที่เหมาะสมโดยบุคคลที่สามในต่างประเทศจะต้องเป็นมาตรการตามที่ระบุไว้ดังต่อไปนี้
หนึ่ง ตรวจสอบสถานะการดำเนินการของมาตรการที่เหมาะสมโดยบุคคลที่สามและการมีอยู่และเนื้อหาของระบบในต่างประเทศที่อาจมีผลกระทบต่อการดำเนินการของมาตรการดังกล่าว โดยวิธีที่เหมาะสมและมีเหตุผลอย่างสม่ำเสมอ
สอง ในกรณีที่การดำเนินการของมาตรการที่เหมาะสมโดยบุคคลที่สามมีอุปสรรค จะต้องดำเนินการที่จำเป็นและเหมาะสม และเมื่อการดำเนินการอย่างต่อเนื่องของมาตรการดังกล่าวกลายเป็นเรื่องยาก จะต้องหยุดการส่งมอบข้อมูลส่วนบุคคล (ในกรณีที่ใช้โดยการอ่านและปรับใช้ตามมาตรา 31 ย่อหน้าที่ 2 จะหมายถึงข้อมูลที่เกี่ยวข้องกับบุคคล) ไปยังบุคคลที่สามดังกล่าว
อ้างอิง: มาตรา 18 ย่อหน้าที่ 1 ของกฎบัตรการปกป้องข้อมูลส่วนบุคคลภายใต้กฎหมายญี่ปุ่น
ตามแนวทางปฏิบัติ การตรวจสอบอย่างสม่ำเสมอที่กล่าวถึงในข้อหนึ่ง หมายถึงการตรวจสอบอย่างน้อยปีละครั้งหรือมากกว่านั้น
นอกจากนี้ ไม่จำเป็นต้องแจ้งล่วงหน้าหรือดำเนินการใดๆ กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อยืนยันว่ามีระบบที่จำเป็นเตรียมพร้อมไว้แล้ว
สำหรับข้อสองที่กล่าวมาข้างต้น ได้มีการกำหนดรายละเอียดไว้อย่างชัดเจนในมาตรา 18 ย่อหน้าที่ 3 ของกฎหมายญี่ปุ่น
3 ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลตามมาตรา 28 ข้อ 3 ของกฎหมาย จะต้องให้ข้อมูลแก่บุคคลนั้นโดยไม่ล่าช้าเมื่อได้รับคำขอตามข้อกำหนดดังกล่าว โดยมีรายการดังต่อไปนี้ อย่างไรก็ตาม หากการให้ข้อมูลนั้นอาจส่งผลกระทบอย่างมากต่อการดำเนินงานที่เหมาะสมของผู้ประกอบการดังกล่าว ผู้ประกอบการมีสิทธิ์ที่จะไม่ให้ข้อมูลทั้งหมดหรือบางส่วน
หนึ่ง วิธีการจัดตั้งระบบตามมาตรา 28 ข้อ 1 ของกฎหมายโดยบุคคลที่สาม
สอง สรุปของมาตรการที่เหมาะสมที่บุคคลที่สามดำเนินการ
สาม ความถี่และวิธีการของการตรวจสอบตามข้อ 1 ข้อหมายหมายหนึ่ง
สี่ ชื่อของประเทศต่างประเทศนั้น
ห้า การมีหรือไม่มีระบบของประเทศต่างประเทศที่อาจส่งผลกระทบต่อการดำเนินมาตรการที่เหมาะสมของบุคคลที่สาม และสรุปของระบบดังกล่าว
หก การมีหรือไม่มีอุปสรรคในการดำเนินมาตรการที่เหมาะสมของบุคคลที่สาม และสรุปของอุปสรรคดังกล่าว
เจ็ด สรุปของมาตรการที่ผู้ประกอบการด้านข้อมูลส่วนบุคคลดำเนินการตามข้อ 2 ข้อหมายหมายหนึ่งเกี่ยวกับอุปสรรคที่กล่าวถึงในข้อก่อนหน้า
อ้างอิง: มาตรา 18 ข้อ 3 ของกฎหมายการบังคับใช้การปกป้องข้อมูลส่วนบุคคลของญี่ปุ่น
ในกรณีที่ทำการโอนข้อมูลข้ามพรมแดนโดยอาศัยระบบการปฏิบัติตามมาตรฐานเป็นพื้นฐาน จำเป็นต้องให้ข้อมูลแก่บุคคลนั้นหลังจากการดำเนินการ (ตามคำขอ) อย่างเหมาะสม
การตอบสนองต่อคำขอเปิดเผยข้อมูลส่วนบุคคลที่ถือครอง
มาตรา 33 ของกฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่นกำหนดให้ผู้ใช้สามารถขอเปิดเผยข้อมูลส่วนบุคคลที่ถือครองซึ่งสามารถระบุตัวตนของตนได้จากผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลนั้นๆ
ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลจะต้องจัดให้มีขั้นตอนและค่าธรรมเนียมที่เกี่ยวข้องกับการขอเปิดเผยข้อมูลในสภาพที่ผู้เป็นเจ้าของข้อมูลสามารถทราบได้ (รวมถึงการตอบสนองต่อคำขอโดยไม่ล่าช้า) ตามมาตรา 32 ข้อ 1 ของกฎหมาย
นั่นคือ ผู้ประกอบการสามารถกำหนดขั้นตอนที่เฉพาะเจาะจงสำหรับวิธีการขอเปิดเผยข้อมูล ได้แก่ ที่อยู่สำหรับยื่นคำขอ, แบบฟอร์มคำขอ, วิธีการยืนยันตัวตนของผู้ขอ, จำนวนค่าธรรมเนียมและวิธีการเรียกเก็บค่าธรรมเนียม เป็นต้น และผู้ขอจะต้องปฏิบัติตามขั้นตอนเหล่านี้เมื่อต้องการขอเปิดเผยข้อมูล
ตัวอย่างเช่น การระบุหมายเลขโทรศัพท์, ที่อยู่อีเมล, หรือที่อยู่ในนโยบายความเป็นส่วนตัวของผู้ประกอบการ สามารถทำให้ผู้ประกอบการรับเฉพาะคำขอเปิดเผยข้อมูลทางโทรศัพท์, อีเมล, หรือทางไปรษณีย์ได้
นอกจากการขอเปิดเผยข้อมูลแล้ว ผู้ใช้ยังสามารถขอให้มีการแก้ไข, เพิ่มเติมหรือลบข้อมูล (การแก้ไขเป็นต้น) ตามมาตรา 34 และขอให้หยุดการใช้งานหรือลบข้อมูล (การหยุดใช้เป็นต้น) ตามมาตรา 35 ของกฎหมายด้วย
สรุป: ควรปรึกษาผู้เชี่ยวชาญเกี่ยวกับการจัดการข้อมูลส่วนบุคคล
บทความนี้ได้กล่าวถึงความรู้พื้นฐานที่ควรทราบเกี่ยวกับกฎหมายการปกป้องข้อมูลส่วนบุคคลภายใต้กฎหมายญี่ปุ่นที่คุณควรทราบไว้ นอกเหนือจากสิ่งที่ได้กล่าวถึงในบทความแล้ว แต่ละบริษัทยังมีสถานการณ์การจัดการข้อมูลที่เฉพาะเจาะจง ดังนั้นจึงจำเป็นต้องอ้างอิงกฎหมายและแนวทางปฏิบัติที่เกี่ยวข้องเพื่อพิจารณาการดำเนินการที่เหมาะสม
กฎหมายการปกป้องข้อมูลส่วนบุคคลในญี่ปุ่นเป็นกฎหมายที่กำหนดให้ผู้ประกอบการที่จัดการข้อมูลส่วนบุคคลต้องดำเนินการอย่างเหมาะสมและใช้มาตรการที่จำเป็นและเหมาะสมเพื่อการจัดการความปลอดภัย ซึ่งเป็นกฎหมายที่สำคัญและหลีกเลี่ยงไม่ได้สำหรับบริษัททุกแห่ง
หากคุณมีความกังวลเกี่ยวกับการจัดการข้อมูลส่วนบุคคลหรือมาตรการที่บริษัทของคุณควรดำเนินการ เราขอแนะนำให้คุณปรึกษากับทนายความ
บทความที่เกี่ยวข้อง: จุดสำคัญของการแก้ไขกฎหมายการปกป้องข้อมูลส่วนบุคคลในปี รีวะ 6 (2024) คืออะไร? การเปลี่ยนแปลงที่ควรทราบและแนวทางการตอบสนองที่ควรรู้[ja]
แนะนำมาตรการของเรา
สำนักงานกฎหมายมอนอลิธเป็นสำนักงานกฎหมายที่มีความเชี่ยวชาญสูงทั้งในด้านไอที โดยเฉพาะอินเทอร์เน็ตและกฎหมาย ในปัจจุบัน ข้อมูลส่วนบุคคลและความเป็นส่วนตัวได้กลายเป็นประเด็นที่สังคมให้ความสนใจอย่างมาก ตัวอย่างเช่น หากข้อมูลส่วนบุคคลที่บริษัทเก็บรักษาไว้ถูกเปิดเผยออกไป อาจส่งผลกระทบร้ายแรงต่อกิจกรรมของบริษัทได้ สำนักงานของเรามีความรู้เชี่ยวชาญเฉพาะทางในการตอบสนองต่อกฎหมายการปกป้องข้อมูลส่วนบุคคลของญี่ปุ่น รายละเอียดเพิ่มเติมได้ระบุไว้ในบทความด้านล่างนี้
สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล[ja]
