กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขของญี่ปุ่น | ณิชนันท์ คุปตานนท์

กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขของญี่ปุ่น | ณิชนันท์ คุปตานนท์

โลกในยุคปัจจุบันมีการแข่งขันทางการค้าสูง การเข้าถึงและครอบครองข้อมูลส่วนบุคคลจึงมีความสำคัญเพราะสามารถนำไปใช้ประโยชน์เพื่อให้เกิดความได้เปรียบเชิงธุรกิจได้

แต่ในขณะเดียวกัน การดำเนินการดังกล่าวโดยปราศจากการควบคุมย่อมก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลได้ ดังนั้นแล้ว การตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงมีความสำคัญยิ่ง

ประเทศไทยได้มีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ขึ้นมาโดยมีวัตถุประสงค์เพื่อสร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับมาตรฐานสากล  เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ
 

 เนื่องจากในปัจจุบันเราจะพบปัญหาการละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น โดยเฉพาะการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์ หรือเปิดเผยโดยมิชอบ หรือโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลอันส่งผลให้เกิดความเสียหายกับบุคคลจำนวนมาก   

กฎหมายดังกล่าวจะมีกำหนดบังคับใช้ทั้งฉบับในวันที่ 1 มิถุนายน พ.ศ.2565   อันส่งผลให้ผู้ประกอบการต่างๆ รวมถึงหน่วยงานของรัฐต้องปรับตัวและเตรียมความพร้อมเพื่อปฏิบัติตามกฎหมายฉบับนี้

สำหรับผู้ประกอบการที่มีคู่ค้าเป็นชาวต่างชาติ นอกจากจะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยแล้ว ก็จำต้องศึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศคู่ค้าด้วย เพื่อจะได้ไม่เกิดกรณีการทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้นๆ 

ประเทศญี่ปุ่นเป็นหนึ่งในประเทศที่เป็นคู่ค้าสำคัญของผู้ประกอบการไทย และเป็นหนึ่งในประเทศแรก ๆ ของเอเชียที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล 

ญี่ปุ่นได้ตรากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (個人情報保護法 - Act on Protection of Personal Information - APPI) มาตั้งแต่ปี พ.ศ.2546   และมีผลบังคับใช้กับผู้ประกอบการทั้งหมด ที่เสนอขายสินค้าและบริการที่มีการดำเนินการกับข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในญี่ปุ่น  

ไม่ว่าจะมีที่ตั้งอยู่ในญี่ปุ่นหรือไม่ก็ตาม และหลังจากที่ได้มีการบังคับใช้ ก็ได้มีการตรากฎระเบียบอื่น ๆ เพื่อให้สอดคล้องกับ APPI รวมถึงได้มีการเปลี่ยนแปลงแก้ไข APPI เพื่อให้ทันต่อสถานการณ์และการพัฒนาทางเทคโนโลยีที่เปลี่ยนแปลงไป จึงนับได้ว่า ญี่ปุ่นมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ก้าวหน้ามากที่สุดประเทศหนึ่ง

ล่าสุด สืบเนื่องมาจากการที่มีจำนวนอาชญากรรมทางไซเบอร์และคดีเหตุการละเมิดข้อมูลส่วนบุคคลเพิ่มมากขึ้น ญี่ปุ่นจึงได้ตรากฎหมาย APPI ฉบับแก้ไขในปี พ.ศ.2563 ซึ่งมีความเข้มงวดมากขึ้น และมีขอบเขตที่กว้างขึ้น เช่น กำหนดกฎเกณฑ์เกี่ยวกับการส่งข้อมูลที่ครอบคลุมมากขึ้น 

กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขของญี่ปุ่น | ณิชนันท์ คุปตานนท์

โดยเฉพาะการส่งข้อมูลไปต่างประเทศ และการดำเนินการกรณีมีการละเมิดเกิดขึ้น ทั้งนี้ กฎหมายฉบับดังกล่าวกำหนดให้เริ่มมีผลบังคับใช้ทั้งฉบับเมื่อวันที่ 1 เมษายน พ.ศ.2565 ที่ผ่านมา 

ประเด็นสำคัญที่มีการเปลี่ยนแปลงในกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขและเราควรให้ความสนใจนั้นมีมากมาย ในที่นี้จะได้กล่าวถึงเฉพาะประเด็นที่สำคัญ ดังนี้

1) การแจ้งการละเมิดข้อมูลส่วนบุคคล 
ผู้ประกอบการมีหน้าที่แจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (個人情報保護委員会 - Personal Information Protection Commission – PIPC)  และ เจ้าของข้อมูลส่วนบุคคลเกี่ยวกับการละเมิดข้อมูลใดๆ ซึ่งมีความเสี่ยงที่จะก่อให้เกิดอันตรายต่อสิทธิและประโยชน์ของเจ้าของข้อมูล 

ไม่ว่าจะเป็นการละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่อ่อนไหว การละเมิดข้อมูลซึ่งมีความเสี่ยงต่อความเสียหายทางทรัพย์สิน การละเมิดข้อมูลซึ่งน่าจะนำไปใช้ในทางที่ไม่เหมาะสม เช่น ภัยคุกคามทางไซเบอร์ 

2) ข้อกำหนดเกี่ยวกับการให้ข้อมูลกับบุคคลที่สาม
ก่อนหน้านี้ เจ้าของข้อมูลต้องได้รับการแจ้งเกี่ยวกับข้อกำหนดการให้ข้อมูลกับบุคคลที่สาม แต่สำหรับกฎหมายใหม่ ผู้ประกอบการต้องยืนยันว่าบุคคลที่สามผู้รับข้อมูลได้รับความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลก่อนที่จะให้ข้อมูลไป โดยต้องมีการระบุรายละเอียดเกี่ยวข้อมูลที่จะมีการให้ด้วย และต้องเก็บหลักฐานไว้เป็นเวลา 3 ปี

กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขของญี่ปุ่น | ณิชนันท์ คุปตานนท์

3) การส่งต่อข้อมูลไปยังต่างประเทศ
ก่อนที่จะมีการส่งต่อข้อมูลไปยังบุคคลที่สามซึ่งไม่ได้อยู่ในญี่ปุ่นนั้น ต้องมีการแจ้งให้เจ้าของข้อมูลทราบ โดยต้องมีการแจ้งข้อมูลทั้งในส่วนของชื่อของประเทศปลายทาง ระบบการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทาง และมาตรการคุ้มครองข้อมูลที่ผู้นำเข้าข้อมูลใช้  

นอกจากนี้ ผู้ประกอบการที่จะส่งออกข้อมูล จะต้องดำเนินการตรวจสอบยืนยันสถานะของข้อมูลส่วนบุคคลและระบบที่ใช้ในการดำเนินการกับข้อมูลของผู้นำเข้าข้อมูล การประเมินมาตรการบรรเทาผลกระทบกรณีมีปัญหาใด ๆ เกิดขึ้น รวมไปถึงการประเมินมาตรการที่จะใช้เพื่อให้มั่นใจว่าจะมีการดำเนินการกับข้อมูลอย่างเหมาะสม 

4) โทษ
ภายใต้ APPI ฉบับแก้ไขนั้น ได้มีการปรับแก้ไขเพิ่มเติมโทษให้รุนแรงมากขึ้นไม่น้อย เช่น กรณีฝ่าฝืนคำสั่งของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล  กฎหมายกำหนดโทษบุคคลผู้กระทำผิด จากเดิมโทษจำคุกสูงสุดไม่เกิน 6 เดือน หรือโทษปรับสูงสุดไม่เกินสามล้านเยน เป็นโทษจำคุกสูงสุดไม่เกิน 1 ปี 

หรือโทษปรับสูงสุดไม่เกินหนึ่งล้านเยน และกำหนดโทษสำหรับนิติบุคคลจากเดิมโทษปรับสูงสุดไม่เกินสามล้านเยน เป็นโทษปรับสูงสุดไม่เกินหนึ่งร้อยล้านเยน (ประมาณยี่สิบเจ็ดล้านห้าแสนบาทไทย)  

หรือ ในกรณีที่มีการส่งข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ก็มีการเปลี่ยนโทษปรับในส่วนของนิติบุคคลจากเดิมโทษปรับสูงสุดไม่เกินห้าล้านเยน เป็นโทษปรับสูงสุดไม่เกินหนึ่งร้อยล้านเยน 

จะเห็นได้ว่า แนวกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ของญี่ปุ่น ได้กำหนดโทษที่หนักขึ้นกรณีมีการดำเนินการกับข้อมูลที่ไม่ถูกต้องตามกฎหมาย และสร้างกฎเกณฑ์ที่เข้มงวดมากขึ้นเพื่อให้องค์กรต่าง ๆ ซึ่งมีการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในญี่ปุ่นต้องปฏิบัติตาม

 ดังนั้นแล้ว ผู้ประกอบการไทยที่ทำการค้ากับผู้ประกอบการในญี่ปุ่น จึงควรศึกษากฎหมายฉบับนี้ไว้ให้มากด้วย.
คอลัมน์ กฎหมาย 4.0
ผู้ช่วยศาสตราจารย์ณิชนันท์ คุปตานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์