Що таке 'виняток для хмарних сервісів' у законодавстві про захист персональних даних? Роз'яснення на основі реальних прикладів адміністративного керівництва, отриманого провайдерами хмарних сервісів

Суб’єкти, що займаються обробкою персональних даних, підпадають під різноманітні регуляції згідно з Законом про захист персональних даних у Японії. Наша персональна інформація тісно пов’язана з приватністю і включає важливі дані, пов’язані з фізичними характеристиками та майном, тому цілком логічно, що для її обробки встановлені суворі правила.

Однак, у цьому законі передбачені й деякі винятки. Один з таких винятків називається “клауд-винятком”.

То що ж таке “клауд-виняток”? У цій статті ми на прикладі компанії MK System, яка отримала адміністративні вказівки у році Рейва 6 (2024), детально розглянемо, що включає в себе “клауд-виняток” та які умови його застосування.

Принципи та винятки при передачі персональних даних третім особам в Японії

Спочатку давайте розглянемо принципи та винятки, які стосуються передачі персональних даних третім особам згідно з Законом про захист персональних даних в Японії.

Основні принципи Закону про захист персональних даних у Японії при передачі даних третім особам

Коли оператори персональних даних у Японії використовують хмарні сервіси, вони вважаються “доручаючими обробку всіх або частини персональних даних” (згідно з пунктом 1 підпункту 5 статті 27 Закону про захист персональних даних), і відповідно до статті 25 цього Закону, вони зобов’язані здійснювати необхідний та відповідний нагляд за провайдерами хмарних сервісів.

Що таке виняток для хмарних сервісів

Цей виняток відомий як “виняток для хмарних сервісів” у Японії.

Під “провайдерами хмарних сервісів” у цьому контексті маються на увазі компанії, які надають ІТ-інфраструктуру, таку як сховища даних чи сервери (IaaS/PaaS), зберігають та обробляють дані інших компаній через Інтернет. До таких провайдерів належать:

• Amazon Web Services (AWS): сервіс, який надає американська компанія Amazon, широко використовується японськими компаніями.
• Microsoft Azure: хмарний сервіс від Microsoft, який часто використовується урядовими установами.
• Google Cloud Platform (GCP): сервіс від Google, який має переваги в обробці AI та великих даних.

Виняток для хмарних сервісів стосується ситуацій, коли провайдери SaaS (Software as a Service), які розробляють системи на хмарній інфраструктурі (IaaS чи PaaS) та надають їх своїм клієнтам, обробляють персональні дані.

У відповідях на запитання щодо “Настанов щодо захисту персональних даних” від Комісії з захисту персональних даних зазначено наступне (пункт 7-53):

(У випадку, коли не вважається третьою стороною) Питання 7-53: Чи потрібно отримувати “згоду особи” (стаття 27, пункт 1) від власника персональних даних, коли оператор персональних даних використовує зовнішнього провайдера, як у випадку з хмарними сервісами, для системи обробки електронних даних, що містять персональні дані? Або чи вважається це “дорученням обробки персональних даних повністю або частково” (стаття 27, пункт 5, підпункт 1), і чи потрібно наглядати за провайдером хмарних сервісів відповідно до статті 25?

Відповідь 7-53: Хоча існує багато різних форм хмарних сервісів, питання про те, чи вважається використання хмарних сервісів передачею даних третій стороні, що вимагає згоди особи (стаття 27, пункт 1), або дорученням (стаття 27, пункт 5, підпункт 1), не залежить від того, чи містять збережені електронні дані персональні дані, а від того, чи обробляє провайдер хмарних сервісів персональні дані. Якщо провайдер хмарних сервісів не обробляє персональні дані, то оператор персональних даних не передає персональні дані, і тому не потрібно отримувати згоду особи. Крім того, у зазначеному випадку не вважається, що передано персональні дані, тому це не відповідає “дорученню обробки персональних даних повністю або частково… у випадку передачі” (стаття 27, пункт 5, підпункт 1), і немає обов’язку наглядати за провайдером хмарних сервісів відповідно до статті 25. Щодо заходів безпеки, які повинен вжити оператор персональних даних, коли провайдер хмарних сервісів не обробляє персональні дані, дивіться питання 7-54. Ситуація, коли провайдер хмарних сервісів не обробляє персональні дані, може виникнути, наприклад, коли умови контракту визначають, що зовнішній провайдер не має права обробляти персональні дані, збережені на сервері, і коли вжито належних заходів контролю доступу. Щодо взаємозв’язку зі статтею 28, дивіться питання 12-3.

Відповіді на запитання щодо “Настанов щодо захисту персональних даних”[ja]｜Комісія з захисту персональних даних

Отже, якщо користувач хмарних сервісів в Японії виконує вимоги винятку, то немає необхідності наглядати за провайдером хмарних сервісів. Для того, щоб відповідати вимогам “винятку для хмарних сервісів”, необхідно виконати наступні дві умови:

• Умови контракту мають чітко визначати, що зовнішній провайдер не має права обробляти персональні дані, збережені на сервері
• Мають бути вжиті належні заходи контролю доступу

Адміністративне керівництво щодо акціонерного товариства МК Система в Японії

25 березня Рейва 6 року (2024 рік за Григоріанським календарем), Комісія з охорони особистої інформації Японії надала керівництво акціонерному товариству МК Система на підставі статті 147 Закону про захист особистих даних. Цей інцидент, який призвів до витоку інформації приблизно 7,5 мільйонів осіб, спонукав Комісію з охорони особистої інформації до публікації “Уваги для провайдерів хмарних сервісів, які є суб’єктами обробки особистих даних згідно з Законом про захист особистих даних (попередження)”.

Джерело: Комісія з охорони особистої інформації | Уваги для провайдерів хмарних сервісів, які є суб’єктами обробки особистих даних згідно з Законом про захист особистих даних[ja]

Давайте розглянемо випадок адміністративного керівництва, наданого акціонерному товариству МК Система у зв’язку з винятком для хмарних сервісів згідно з Законом про захист особистих даних в Японії.

Огляд справи

Корпорація MK System, використовуючи сервери Tencent Cloud у Китаї, розробила систему підтримки соціального страхування та кадрових робіт і надавала послуги користувачам, таким як офіси соціальних страхових консультантів.

У червні 2023 року (Рейва 5), сервер зазнав несанкціонованого доступу, що призвело до ризику витоку керованих персональних даних (імен, дат народження, статі, адрес, номерів базової пенсії, номерів учасників страхування на випадок безробіття та Май Намбер (ідентифікаційний номер) співробітників компаній та підприємств, які є клієнтами соціальних страхових консультантів).

Якщо застосувати ці відносини між трьома сторонами до настанов, то вони виглядатимуть наступним чином:

Комісія з захисту персональних даних визначила, що в корпорації MK System були недоліки в технічних заходах безпеки управління.

Зміст адміністративного керівництва

Від Комісії з захисту персональних даних у Японії було здійснено адміністративне керівництво, яке включало інструкції згідно зі статтею 147 Закону про захист персональних даних та збір звітів відповідно до пункту 1 статті 146 цього ж закону.

Увага від Комісії з захисту персональних даних Японії

Комісія з захисту персональних даних Японії також опублікувала “Про ключові моменти, на які слід звернути увагу, коли провайдери хмарних сервісів відповідають за обробку персональних даних згідно з законом про захист персональних даних (попередження)[ja]“.

Це попередження спрямоване на користувачів хмарних сервісів, щоб вони визначили, чи відповідає використання хмарних сервісів делегуванню обробки персональних даних (згідно з пунктом 1 підпункту 5 статті 27 Закону про захист персональних даних), і якщо це так, то користувачі хмарних сервісів, які є обробниками персональних даних, повинні здійснювати необхідний та відповідний нагляд за суб’єктом, якому делеговано обробку.

Щодо системи MK, вона не відповідає виняткам для хмарних сервісів і вважається обробником персональних даних, тому необхідно забезпечити відповідний нагляд за обробкою персональних даних з урахуванням наступних трьох пунктів:

• Згідно з умовами користування, провайдер хмарних сервісів може здійснювати необхідні дії, такі як моніторинг, аналіз та розслідування даних, якщо вважає це необхідним для технічного обслуговування та експлуатації, а також не має права використовувати дані в системі без дозволу або розкривати їх третім особам, за винятком певних випадків.
• Провайдер хмарних сервісів має ідентифікатор для технічного обслуговування, який дозволяє доступ до персональних даних користувачів хмарних сервісів, і не було вжито технічних заходів контролю доступу для запобігання обробці.
• Після укладення угоди з користувачем хмарного сервісу, провайдер фактично обробляв персональні дані користувача.

Про ключові моменти, на які слід звернути увагу, коли провайдери хмарних сервісів відповідають за обробку персональних даних згідно з законом про захист персональних даних (попередження) | Комісія з захисту персональних даних Японії[ja]

Увага постачальників хмарних послуг в Японії

Враховуючи правові питання та адміністративні настанови, на що повинні звернути увагу постачальники хмарних послуг (як, наприклад, MK System у згаданому випадку)?

Перевірте, чи відповідає ваша послуга вимогам хмарного винятку

Перш за все, перевірте, чи відповідає послуга, яку ви надаєте, вимогам хмарного винятку.

Після зауважень від Комісії з охорони особистих даних, постачальники, які використовують хмарні сервіси, можуть переглянути, чи відповідає постачальник хмарних послуг вимогам хмарного винятку.

Тому постачальники хмарних послуг також повинні перевірити, чи їхні послуги відповідають вимогам хмарного винятку.

Якщо ви не відповідаєте вимогам хмарного винятку, вам доведеться відповідати на нагляд замовника

Якщо ви не відповідаєте вимогам хмарного винятку, вам доведеться відповідати на нагляд з боку користувачів хмарних послуг (у цьому випадку, офісів соціального страхування та компаній, які використовують послуги MK System).

Нагляд з боку користувачів хмарних послуг включає наступні дії, зазначені в розділі 3-4-4 “Нагляд за підрядником” (стосується статті 25) Загальних правил щодо захисту особистих даних:

• Правильний вибір підрядника: необхідно переконатися, що заходи безпеки підрядника відповідають тим, які вимагаються від замовника згідно зі статтею 23 та цими правилами.
• Укладення договору підряду: бажано укласти договір, який дозволяє замовнику розумно контролювати обробку даних, що були йому доручені.
• Контроль за обробкою особистих даних у підрядника: регулярно проводити аудит для належної оцінки.

Якщо заходи безпеки підрядника недостатні, можливе розірвання договору, а також можуть вимагатися необхідні заходи безпеки та відповідь на регулярні аудити.

Висновок: Консультуйтеся з адвокатом щодо захисту персональних даних у хмарних сервісах

У цій статті ми розглянули ризики для провайдерів хмарних сервісів, які не відповідають виняткам хмарних сервісів, на основі адміністративних вказівок від Комісії з захисту персональних даних Японії (2025 рік, березень).

Інцидент з витоком інформації став приводом для того, щоб Комісія з захисту персональних даних Японії звернула увагу користувачів хмарних сервісів. Зміст цього попередження стосується не тільки користувачів хмарних сервісів, але й компаній, які надають ці сервіси, оскільки вони повинні переглянути сервіси, які вони надають, та бути уважними до можливих зобов’язань.

Враховуючи ці адміністративні вказівки, якщо у вас є занепокоєння щодо ризиків для вашої компанії та необхідності відповідних заходів, ми рекомендуємо звернутися за консультацією до адвоката.

Заходи, що пропонує наша юридична фірма

Юридична фірма “Моноліт” є фірмою з багатим досвідом у сфері ІТ, зокрема інтернету, та права. У сучасному світі, де багато ІТ-компаній розгортають свою діяльність за допомогою хмарних сервісів, таких як AWS, управління ризиками витоку особистих даних стає невід’ємною частиною ведення бізнесу. У випадку витоку особистих даних, це може мати катастрофічні наслідки для діяльності компанії. Наша фірма має спеціалізовані знання щодо запобігання та реагування на витоки інформації. Детальніше про це читайте у наведеній нижче статті.

Сфери діяльності юридичної фірми “Моноліт”: Правові аспекти захисту особистої інформації в Японії[ja]