15 ปีญี่ปุ่น กฎหมายคุ้มครองข้อมูลส่วนบุคคล

15 ปีญี่ปุ่น กฎหมายคุ้มครองข้อมูลส่วนบุคคล

นับถอยหลังสู่การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ชวนมาดูสถิติที่น่าสนใจของญี่ปุ่น หลังใช้กฎหมายคุ้มครองข้อมูลฯ มากว่า 15 ปี

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำลังจะมีผลใช้บังคับอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน ที่จะถึงนี้ ซึ่งต้องยอมรับว่าภาคเอกชนนั้นมีความตื่นตัวและเตรียมความพร้อมกันอย่างเต็มที่ในการดำเนินการให้เป็นไปตามที่กฎหมายดังกล่าวกำหนด

การคุ้มครองข้อมูลส่วนบุคคลเป็นการคุ้มครองสิทธิของประชาชนที่รัฐบาลหลาย ๆ ประเทศให้ความสำคัญ เป็นแนวคิดที่มีมาหลายสิบปีแล้ว หลายประเทศเพื่อนบ้าน รวมทั้งเวียดนาม ก็กำลังเตรียมตัวเพื่อออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วยเช่นกัน

ในส่วนของประเทศญี่ปุ่น ได้มีการตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อบังคับใช้กับหน่วยงานรัฐ (Act on the Protection of Personal Information Held by Administrative Organs)  ตั้งแต่ในปี พ.ศ. 2531 และได้มีการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Act on the Protection of Personal Information) ในปี พ.ศ. 2546 ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบต่อทุกภาคส่วนในปี พ.ศ. 2548

จนถึงปัจจุบัน ประเทศญี่ปุ่นบังคับใช้กฎหมายมาแล้วกว่า 15 ปี และมีการแก้ไขกฎหมายหลายครั้งเพื่อให้ทันกับรูปแบบการใช้ข้อมูลส่วนบุคคลที่เปลี่ยนแปลงไปตามความก้าวหน้าของเทคโนโลยี เช่น ล่าสุดมีการแก้ไขเพิ่มความชัดเจนในเรื่องการแจ้งเจ้าของข้อมูลและคณะกรรมการข้อมูลส่วนบุคคลในกรณีที่มีการรั่วไหลของข้อมูล โดยมีเจ้าของข้อมูลที่ได้รับผลกระทบเกิน 1,000 คน การเพิ่มหน้าที่ของผู้ควบคุมข้อมูลในการส่งข้อมูลออกไปนอกประเทศญี่ปุ่น โดยเพิ่มเติมรายละเอียดที่ผู้เปิดเผยจะต้องแจ้งต่อเจ้าของข้อมูล

จากสถิติที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น (Personal Information Protection Commission) เผยแพร่บนเว็บไซต์นั้น มีข้อมูลที่น่าสนใจอยู่หลายประเด็น และบางประเด็นน่าจะเป็นประโยชน์กับผู้ประกอบการไทยที่กำลังเตรียมความพร้อมเพื่อรองรับการที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้อย่างเต็มรูปแบบในเดือนมิถุนายนนี้

1. เหตุการณ์กรณีการเกิดข้อมูลรั่วไหลและการร้องทุกข์เกี่ยวกับการละเมิดสิทธิข้อมูลส่วนบุคคลนั้นมีจำนวนลดลงอย่างเห็นได้ชัดหลังจากมีการบังคับใช้กฎหมาย และมีแนวโน้มจะลดลงต่อไปเรื่อย ๆ

จากสถิติของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น จำนวนของเหตุการณ์ข้อมูลรั่วไหลของผู้ประกอบการในประเทศญี่ปุ่นนั้นลดลงอย่างต่อเนื่อง จาก 1,556 เหตุการณ์ ในปี พ.ศ. 2548 ลดลงเหลือเพียง 263 เหตุการณ์ ในปี พ.ศ. 2559 และ ในช่วงเวลาเดียวกัน จำนวนการร้องทุกข์ต่อหน่วยงานปกครองส่วนท้องถิ่นและ ศูนย์ผู้บริโภคแห่งชาติของประเทศญี่ปุ่น (National Consumer Affairs Center of Japan) ก็มีแนวโน้มลดลงอย่างต่อเนื่องเช่นกันจาก 14,028 เรื่อง เหลือเพียง 4,382 เรื่อง

  1. เจ้าของข้อมูลที่ได้รับผลกระทบจากการรั่วไหลข้อมูลในแต่ละเหตุการณ์ กลับมีจำนวนเพิ่มขึ้น

ถึงแม้จำนวนเหตุการณ์การเกิดข้อมูลรั่วไหลในแต่ละปีจะลดลง แต่แนวโน้มที่น่าเป็นห่วงคือจำนวนเจ้าของข้อมูลที่ได้รับผลกระทบจากการเกิดการรั่วไหลของข้อมูลในแต่ละครั้งนั้นกลับมีจำนวนเพิ่มขึ้น โดยหากเปรียบเทียบสัดส่วนของเหตุการณ์ที่เกิดข้อมูลรั่วไหลในปี พ.ศ. 2548 กับปี พ.ศ. 2559 จะเห็นได้ว่าสัดส่วนของเหตุการณ์ที่มีจำนวนเจ้าของข้อมูลได้รับผลกระทบไม่เกิน 500 คนนั้นลดลงจากร้อย 71.6 เหลือร้อยละ 55.1 ในขณะที่เหตุการณ์ที่มีจำนวนเจ้าของข้อมูลได้รับผลกระทบตั้งแต่ 500 คน ขึ้นไปนั้นเพิ่มขึ้นอย่างต่อเนื่อง

โดยเหตุการณ์ที่มีจำนวนเจ้าของข้อมูลได้รับผลกระทบตั้งแต่ 500 คนถึง 5,000 คน นั้นเพิ่มจากร้อยละ 14.1 เป็นร้อยละ 20.2 เหตูการณ์ที่มีจำนวนเจ้าของข้อมูลได้รับผลกระทบตั้งแต่ 5,000 คน ถึง 50,000 คน เพิ่มจากร้อยละ 10.7 เป็นร้อยละ 14.8 และเหตุการณ์ที่มีจำนวนเจ้าของข้อมูลได้รับผลกระทบเกินกว่า 50,000 คน นั้นเพิ่มขึ้นถึงเกือบสี่เท่าจากร้อยละ 2.4 เป็นร้อยละ 8.4

2.ข้อมูลที่รั่วไหลเกินกว่าร้อยละ 90 เป็นข้อมูลของลูกค้า

จากสถิติใน ปี พ.ศ. 2558 – 2559 ข้อมูลที่รั่วไหลประมาณร้อยละ 95 มีข้อมูลของลูกค้ารวมอยู่ด้วย ในขณะที่การรั่วไหลที่มีข้อมูลของพนักงานรวมอยู่ด้วยมีเพียงร้อยละ 4-8

3.ร้อยละ 70 ของการรั่วไหลของข้อมูลเกิดจากพนักงานซึ่งมีสาเหตุมาจากความประมาทเลินเล่อเป็นส่วนใหญ่

จากสถิติ ปี พ.ศ. 2558 – 2559 เหตุการณ์กรณีข้อมูลรั่วไหลส่วนใหญ่เกิดจากพนักงาน ประมาณร้อยละ 70 โดยสาเหตุหลักนั้นมาจากความประมาทเลินเล่อของพนักงาน ส่วนกรณีที่เหลือนั้นเกิดจากบุคคลที่สามประมาณร้อยละ 20 แต่สาเหตุในกรณีนี้ส่วนใหญ่จะเกิดจากเจตนาของบุคคลที่สามมิใช่ประมาทเลินเล่อ

4.รูปแบบของข้อมูลที่รั่วไหลส่วนใหญ่เป็นข้อมูลในรูปแบบอิเล็กทรอนิกส์และข้อมูลส่วนใหญ่นั้นไม่ได้มีมาตรการรักษาความปลอดภัยของข้อมูล

จากสถิติ ปี พ.ศ. 2559 ประมาณร้อยละ 64 ของข้อมูลที่รั่วไหลเป็นข้อมูลในรูปแบบอิเล็กทรอนิกส์ และอีกข้อสังเกตที่น่าสนใจคือประมาณ ร้อยละ 67 ของข้อมูลที่รั่วไหลทุกประเภทนั้น เป็นข้อมูลที่ไม่ได้มีมาตรการรักษาความปลอดภัย เช่น การใส่รหัสเพื่อเก็บรักษาข้อมูลนั้นแต่อย่างใด

5.หัวข้อหลัก ๆ ที่ถูกร้องทุกข์ภายใต้กฎหมายนี้ส่วนใหญ่เกี่ยวกับการได้ข้อมูลมาโดยไม่ถูกต้องและข้อมูลรั่วไหลหรือสูญหาย

จากสถิติ ปี พ.ศ. 2558 – 2559 หัวข้อหลักที่มีการร้องทุกข์มากที่สุด คือ เรื่องการได้มาซึ่งข้อมูลโดยไม่ถูกต้องซึ่งอยู่ที่ร้อยละ 40 โดยประมาณ รองลงมา คือ เรื่องข้อมูลรั่วไหลหรือข้อมูลหายซึ่งอยู่ที่ประมาณร้อยละ 25 และการเปิดเผยข้อมูลต่อบุคคลที่สามโดยไม่ได้รับความยินยอมซึ่งอยู่ที่ประมาณร้อยละ 21 และการใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้ประมาณร้อยละ 10

6.ประเภทกลุ่มธุรกิจที่ถูกร้องทุกข์ว่าละเมิดกฎหมายนี้มากที่สุดคือธุรกิจกลุ่มโทรคมนาคม

จากสถิติ ปี พ.ศ. 2558 – 2559 ประเภทกลุ่มธุรกิจที่ถูกร้องทุกข์ว่าละเมิดกฎหมายนี้มากที่สุด คือ ธุรกิจโทรคมนาคมเป็นจำนวนถึงร้อยละ 22 กลุ่มธุรกิจอื่น ๆ ที่ถูกร้องทุกข์มาก เช่น ธุรกิจการเงินอยู่ราวร้อยละ 6 ธุรกิจการแพทย์และรักษาพยาบาลราวร้อยละ 2

จากสถิติข้างต้นมีความน่าสนใจให้พิจารณาในแง่ของผู้ประกอบการว่า เหตุการณ์การเกิดข้อมูลรั่วไหลและการร้องทุกข์เกี่ยวกับการละเมิดสิทธิข้อมูลส่วนบุคคลนั้นโดยส่วนใหญ่นั้นสามารถป้องกันได้หากผู้ประกอบการมีมาตรการในการเก็บรักษาข้อมูลส่วนบุคคลอย่างรัดกุมและดำเนินการตามมาตรการที่กฎหมายกำหนด ซึ่งก็จะสามารถป้องกันผู้ประกอบการจากความรับผิดทางแพ่งและความรับผิดทางอาญาภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อันอาจเกิดขึ้นได้.