กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
นายจุนอิชิ ซูกิตะ เจ้าหน้าที่ด้านกฎหมาย สมาคมการประกันภัยแห่งประเทศญี่ปุ่น ได้บรรยายกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ให้ผู้เขียนทราบ เมื่อครั้งได้ไปศึกษาเกี่ยวกับการคุ้มครองผู้บริโภคในประเทศญี่ปุ่นอีกครั้งหนึ่ง สรุปได้ดังนี้
ความจำเป็นในการตรากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ในอดีต คนญี่ปุ่นไม่ได้ให้ความสำคัญกับข้อมูลส่วนบุคคลเนื่องจากไม่มีกฎหมายและจิตสำนึกเกี่ยวกับเรื่องดังกล่าว และข้อมูลส่วนบุคคลส่วนใหญ่เป็นข้อมูลลูกค้าของบริษัทต่างๆ ซึ่งการทำสัญญาจะมีข้อกำหนดว่าข้อมูลที่ได้จากลูกค้านั้นต้องเก็บเป็นความลับ และมีการเก็บข้อมูลเป็นหนังสือเอกสาร อัตราความเสี่ยงในการรั่วไหลของข้อมูลส่วนบุคคลจึงมีน้อย
ปัจจุบันมีการนำระบบคอมพิวเตอร์และระบบเครือข่ายมาใช้ ซึ่งมีความเร็วในการค้นหาข้อมูล แต่มีความเสี่ยงในการรั่วไหลของข้อมูลฯ มากขึ้นเนื่องจากพนักงานของบริษัทนำข้อมูลออกไปให้แก่บุคคลภายนอก ความผิดพลาดในทางอิเล็กทรอนิกส์ และสหภาพยุโรปได้ออกข้อบังคับให้ประเทศสมาชิกออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลซึ่งข้อบังคับดังกล่าวได้ห้ามการโอนย้ายข้อมูลส่วนบุคคลไปยังประเทศที่สามที่ยังไม่มีระบบคุ้มครองข้อมูลส่วนบุคคลเพียงพอ เมื่อมีเหตุการณ์เหล่านี้เกิดขึ้น ประชาชนจึงเริ่มให้ความสนใจในความไม่ปลอดภัยทางสังคมสูงขึ้น และเรียกร้องให้มีการคุ้มครองข้อมูลส่วนบุคคลในเวลาต่อมา
ต่อมา เมื่อเดือนกันยายน ค.ศ. ๑๙๘๐ สมาคมบริหารงานในแนวทางการคุ้มครองความเป็นส่วนตัวและการเผยแพร่ข้อมูลส่วนบุคคลไปยังนานาประเทศได้ออกข้อบังคับ ๘ ประการ ได้แก่
๑. การทำให้ถูกต้องตามเป้าหมายในการรวบรวมข้อมูล
๒. การใช้งานตามวัตถุประสงค์
๓. การรวบรวมตามขั้นตอนของกฎหมาย
๔. การทำให้ข้อมูลถูกต้องสมบูรณ์และทันสมัย
๕. การคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล
๖. การเปิดเผยเป้าหมาย นโยบายในการรวบรวมข้อมูลส่วนบุคคล
๗. การมีส่วนร่วมของบุคคลเจ้าของข้อมูล
๘. การมีความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศญี่ปุ่น
แบ่งออกเป็น ๒ ส่วน ดังนี้
๑. อุดมคติพื้นฐานหน้าที่ของประเทศและรัฐบาลส่วนท้องถิ่นในการจัดทำนโยบายพื้นฐาน ซึ่งประกาศและบังคับใช้เมื่อวันที่ ๓๐ พฤษภาคม ค.ศ. ๒๐๐๓ ซึ่งคณะรัฐมนตรีเป็นผู้จัดทำนโยบายพื้นฐานเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล โดยมีองค์กรสาธารณะท้องถิ่นและศูนย์กิจการผู้บริโภคแห่งชาติของญี่ปุ่นเป็นผู้ประสานงานดำเนินการตามกฎหมาย
๒. หน้าที่ของผู้ประกอบการในการใช้ข้อมูลส่วนบุคคล ประกาศและบังคับใช้ในวันที่ ๑ เมษายน ค.ศ. ๒๐๐๕
หน้าที่ของผู้ประกอบธุรกิจในการใช้ข้อมูล
๑. กำหนดเป้าหมายในการใช้งาน ห้ามใช้เกินขอบเขต ถ้าจำเป็นต้องได้รับอนุญาตจากเจ้าของข้อมูล ในขณะที่มีการรับข้อมูลส่วนบุคคล จะต้องมีการแจ้งหรือประกาศให้ทราบ และห้ามเผยแพร่ข้อมูลให้กับบุคคลที่สามโดยมิได้รับอนุญาต
๒. การรับข้อมูลอย่างถูกต้องและเหมาะสม ปลอดภัยและโปร่งใส รักษาเนื้อหาของข้อมูลให้ถูกต้องและทันสมัย กำหนดนโยบายที่จำเป็นในการควบคุมความปลอดภัย รวมถึงพนักงานหรือผู้ที่ได้รับมอบหมายด้วย ต้องให้เจ้าของข้อมูลทราบจุดประสงค์การใช้งาน
ขอบเขตการแจ้งข้อมูลให้บุคคลที่สาม
ผู้ประกอบการที่ใช้ข้อมูลส่วนบุคคล ถ้าต้องการแจ้งข้อมูลให้แก่บุคคลที่สามจะต้องได้รับความยินยอมเห็นชอบจากเจ้าของข้อมูลก่อน เว้นแต่
๑. กรณีที่อยู่ภายใต้กฎหมาย เช่น คนไข้เป็นโรคติดต่อ แพทย์ต้องแจ้งสถานีอนามัย ซึ่งกรณีนี้แพทย์ไม่จำเป็นต้องได้รับความยินยอมเห็นชอบจากคนไข้ เป็นต้น
๒. กรณีที่จำเป็นต้องรักษาชีวิตของบุคคล ร่างกายและทรัพย์สิน เช่น กรณีมีคนไข้ฉุกเฉิน แพทย์อาจเผยแพร่ข้อมูลให้แพทย์คนอื่นได้ เป็นต้น
๓. กรณีความร่วมมือจากรัฐ เช่น การตรวจสอบภาษี เป็นต้น
มาตรการรักษาความมีประสิทธิภาพตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
๑. การจัดการร้องเรียน
บุคคลร้องเรียนไปยังบริษัทที่ใช้ข้อมูลส่วนบุคคล แก้ไขปัญหาโดยตัวผู้ประกอบการที่ใช้ข้อมูลส่วนบุคคลหรือแก้ไขโดยกลุ่มองค์กรคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้
๒. การตรวจสอบจากรัฐมนตรีผู้รับผิดชอบ
รัฐมนตรีผู้รับผิดชอบจะให้คำแนะนำและรวบรวมข้อมูล ตักเตือน และออกคำสั่งแก่ผู้ประกอบการ การใช้ข้อมูลส่วนบุคคล หากมีการละเมิดจะต้องถูกลงโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินสามแสนเยน
บทบาทของกลุ่มองค์กรคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการรับรอง (เอกชน)
เพี่อสนับสนุนให้มีการส่งเสริมการจัดการอิสระโดยกลุ่มองค์กรเอกชนที่มีวัตถุประสงค์ในการคุ้มครองการใช้ข้อมูลส่วนบุคคลอย่างเหมาะสม
มาตรฐานการรับรองมีดังนี้
๑. มีการกำหนดวิธีการปฏิบัติหน้าที่ที่จำเป็นในการดำเนินหน้าที่อย่างถูกต้องและเป็นจริง
๒. มีมาตรฐานทางความรู้และความสามารถ รวมถึงทางด้านการบัญชีที่เพียงพอในการปฏิบัติงานอย่างเหมาะสมและเป็นจริง
๓. กรณีที่ปฏิบัติหน้าที่นอกเหนือจากที่ได้รับการอนุญาตจะต้องไม่ทำให้เกิดความไม่ถูกต้องในหน้าที่ที่ได้รับอนุญาตนั้น
สำหรับหน้าที่มีเนื้อหาดังนี้
๑. การจัดการการร้องเรียนเกี่ยวกับการใช้ข้อมูลส่วนบุคคลของผู้ประกอบการที่ใช้ข้อมูลส่วนบุคคล
๒. การเสนอข้อมูลเกี่ยวกับหัวข้อที่ให้การคุ้มครองการใช้ข้อมูลส่วนบุคคลอย่างเหมาะสม เช่น การจัดทำหรือการประกาศแผนงานการคุ้มครองข้อมูลส่วนบุคคล
๓. หน้าที่ที่จำเป็นเกี่ยวกับการคุ้มครองการใช้ข้อมูลส่วนบุคคลอย่างถูกต้องเหมาะสมของผู้ประกอบการที่ใช้ข้อมูลส่วนบุคคล
