กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขของญี่ปุ่น | ณิชนันท์ คุปตานนท์
โลกในยุคปัจจุบันมีการแข่งขันทางการค้าสูง การเข้าถึงและครอบครองข้อมูลส่วนบุคคลจึงมีความสำคัญเพราะสามารถนำไปใช้ประโยชน์เพื่อให้เกิดความได้เปรียบเชิงธุรกิจได้
แต่ในขณะเดียวกัน การดำเนินการดังกล่าวโดยปราศจากการควบคุมย่อมก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลได้ ดังนั้นแล้ว การตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงมีความสำคัญยิ่ง
ประเทศไทยได้มีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ขึ้นมาโดยมีวัตถุประสงค์เพื่อสร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับมาตรฐานสากล เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ
เนื่องจากในปัจจุบันเราจะพบปัญหาการละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น โดยเฉพาะการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์ หรือเปิดเผยโดยมิชอบ หรือโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลอันส่งผลให้เกิดความเสียหายกับบุคคลจำนวนมาก
กฎหมายดังกล่าวจะมีกำหนดบังคับใช้ทั้งฉบับในวันที่ 1 มิถุนายน พ.ศ.2565 อันส่งผลให้ผู้ประกอบการต่างๆ รวมถึงหน่วยงานของรัฐต้องปรับตัวและเตรียมความพร้อมเพื่อปฏิบัติตามกฎหมายฉบับนี้
สำหรับผู้ประกอบการที่มีคู่ค้าเป็นชาวต่างชาติ นอกจากจะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยแล้ว ก็จำต้องศึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศคู่ค้าด้วย เพื่อจะได้ไม่เกิดกรณีการทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้นๆ
ประเทศญี่ปุ่นเป็นหนึ่งในประเทศที่เป็นคู่ค้าสำคัญของผู้ประกอบการไทย และเป็นหนึ่งในประเทศแรก ๆ ของเอเชียที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล
ญี่ปุ่นได้ตรากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (個人情報保護法 - Act on Protection of Personal Information - APPI) มาตั้งแต่ปี พ.ศ.2546 และมีผลบังคับใช้กับผู้ประกอบการทั้งหมด ที่เสนอขายสินค้าและบริการที่มีการดำเนินการกับข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในญี่ปุ่น
ไม่ว่าจะมีที่ตั้งอยู่ในญี่ปุ่นหรือไม่ก็ตาม และหลังจากที่ได้มีการบังคับใช้ ก็ได้มีการตรากฎระเบียบอื่น ๆ เพื่อให้สอดคล้องกับ APPI รวมถึงได้มีการเปลี่ยนแปลงแก้ไข APPI เพื่อให้ทันต่อสถานการณ์และการพัฒนาทางเทคโนโลยีที่เปลี่ยนแปลงไป จึงนับได้ว่า ญี่ปุ่นมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ก้าวหน้ามากที่สุดประเทศหนึ่ง
ล่าสุด สืบเนื่องมาจากการที่มีจำนวนอาชญากรรมทางไซเบอร์และคดีเหตุการละเมิดข้อมูลส่วนบุคคลเพิ่มมากขึ้น ญี่ปุ่นจึงได้ตรากฎหมาย APPI ฉบับแก้ไขในปี พ.ศ.2563 ซึ่งมีความเข้มงวดมากขึ้น และมีขอบเขตที่กว้างขึ้น เช่น กำหนดกฎเกณฑ์เกี่ยวกับการส่งข้อมูลที่ครอบคลุมมากขึ้น
โดยเฉพาะการส่งข้อมูลไปต่างประเทศ และการดำเนินการกรณีมีการละเมิดเกิดขึ้น ทั้งนี้ กฎหมายฉบับดังกล่าวกำหนดให้เริ่มมีผลบังคับใช้ทั้งฉบับเมื่อวันที่ 1 เมษายน พ.ศ.2565 ที่ผ่านมา
ประเด็นสำคัญที่มีการเปลี่ยนแปลงในกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขและเราควรให้ความสนใจนั้นมีมากมาย ในที่นี้จะได้กล่าวถึงเฉพาะประเด็นที่สำคัญ ดังนี้
1) การแจ้งการละเมิดข้อมูลส่วนบุคคล
ผู้ประกอบการมีหน้าที่แจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (個人情報保護委員会 - Personal Information Protection Commission – PIPC) และ เจ้าของข้อมูลส่วนบุคคลเกี่ยวกับการละเมิดข้อมูลใดๆ ซึ่งมีความเสี่ยงที่จะก่อให้เกิดอันตรายต่อสิทธิและประโยชน์ของเจ้าของข้อมูล
ไม่ว่าจะเป็นการละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่อ่อนไหว การละเมิดข้อมูลซึ่งมีความเสี่ยงต่อความเสียหายทางทรัพย์สิน การละเมิดข้อมูลซึ่งน่าจะนำไปใช้ในทางที่ไม่เหมาะสม เช่น ภัยคุกคามทางไซเบอร์
2) ข้อกำหนดเกี่ยวกับการให้ข้อมูลกับบุคคลที่สาม
ก่อนหน้านี้ เจ้าของข้อมูลต้องได้รับการแจ้งเกี่ยวกับข้อกำหนดการให้ข้อมูลกับบุคคลที่สาม แต่สำหรับกฎหมายใหม่ ผู้ประกอบการต้องยืนยันว่าบุคคลที่สามผู้รับข้อมูลได้รับความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลก่อนที่จะให้ข้อมูลไป โดยต้องมีการระบุรายละเอียดเกี่ยวข้อมูลที่จะมีการให้ด้วย และต้องเก็บหลักฐานไว้เป็นเวลา 3 ปี
3) การส่งต่อข้อมูลไปยังต่างประเทศ
ก่อนที่จะมีการส่งต่อข้อมูลไปยังบุคคลที่สามซึ่งไม่ได้อยู่ในญี่ปุ่นนั้น ต้องมีการแจ้งให้เจ้าของข้อมูลทราบ โดยต้องมีการแจ้งข้อมูลทั้งในส่วนของชื่อของประเทศปลายทาง ระบบการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทาง และมาตรการคุ้มครองข้อมูลที่ผู้นำเข้าข้อมูลใช้
นอกจากนี้ ผู้ประกอบการที่จะส่งออกข้อมูล จะต้องดำเนินการตรวจสอบยืนยันสถานะของข้อมูลส่วนบุคคลและระบบที่ใช้ในการดำเนินการกับข้อมูลของผู้นำเข้าข้อมูล การประเมินมาตรการบรรเทาผลกระทบกรณีมีปัญหาใด ๆ เกิดขึ้น รวมไปถึงการประเมินมาตรการที่จะใช้เพื่อให้มั่นใจว่าจะมีการดำเนินการกับข้อมูลอย่างเหมาะสม
4) โทษ
ภายใต้ APPI ฉบับแก้ไขนั้น ได้มีการปรับแก้ไขเพิ่มเติมโทษให้รุนแรงมากขึ้นไม่น้อย เช่น กรณีฝ่าฝืนคำสั่งของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กฎหมายกำหนดโทษบุคคลผู้กระทำผิด จากเดิมโทษจำคุกสูงสุดไม่เกิน 6 เดือน หรือโทษปรับสูงสุดไม่เกินสามล้านเยน เป็นโทษจำคุกสูงสุดไม่เกิน 1 ปี
หรือโทษปรับสูงสุดไม่เกินหนึ่งล้านเยน และกำหนดโทษสำหรับนิติบุคคลจากเดิมโทษปรับสูงสุดไม่เกินสามล้านเยน เป็นโทษปรับสูงสุดไม่เกินหนึ่งร้อยล้านเยน (ประมาณยี่สิบเจ็ดล้านห้าแสนบาทไทย)
หรือ ในกรณีที่มีการส่งข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ก็มีการเปลี่ยนโทษปรับในส่วนของนิติบุคคลจากเดิมโทษปรับสูงสุดไม่เกินห้าล้านเยน เป็นโทษปรับสูงสุดไม่เกินหนึ่งร้อยล้านเยน
จะเห็นได้ว่า แนวกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ของญี่ปุ่น ได้กำหนดโทษที่หนักขึ้นกรณีมีการดำเนินการกับข้อมูลที่ไม่ถูกต้องตามกฎหมาย และสร้างกฎเกณฑ์ที่เข้มงวดมากขึ้นเพื่อให้องค์กรต่าง ๆ ซึ่งมีการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในญี่ปุ่นต้องปฏิบัติตาม
ดังนั้นแล้ว ผู้ประกอบการไทยที่ทำการค้ากับผู้ประกอบการในญี่ปุ่น จึงควรศึกษากฎหมายฉบับนี้ไว้ให้มากด้วย.
คอลัมน์ กฎหมาย 4.0
ผู้ช่วยศาสตราจารย์ณิชนันท์ คุปตานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์