ต่อจากความเดิมในบทความที่แล้ว…

ถ้าจะขยับการมองกฎหมายเชิงเปรียบเทียบไประดับภูมิภาคเอเชีย
ผมจะนึกถึงประเทศญี่ปุ่นเป็นอันดับแรกครับ

สาเหตุแรก คือ ประเทศญี่ปุ่นมีระบอบการปกครองใกล้เคียงประเทศไทย 
คือมีระบอบการปกครองแบบประชาธิปไตย
อันมีพระมหากษัตรย์เป็นพระประมุข 

สาเหตุประการที่สอง คือ ญี่ปุ่นเป็นชาติที่มีการลงทุนในประเทศไทยมากเป็นอันดับ 1 
ด้วยตัวเลขการลงทุนมากถึง 32,148 ล้านบาท ในปี 2566 คิดเป็น 25.20% ของยอดลงทุนทั้งหมดในปีนั้น*

ประสบการณ์ส่วนตัวที่ให้คำปรึกษาบริษัทญี่ปุ่นมากกว่า +20 จากหลายภาคส่วนธุรกิจอุตสาหกรรม ผมสังเกตว่าธุรกิจสัญชาติญี่ปุ่นทั้งน้อยใหญ่ในประเทศไทย มักจะปฏิบัติตาม (Comply) กับกฎหมายท้องถิ่นอย่างเคร่งครัด ไม่ว่าจะเป็น ธุรกิจยานยนต์ส่วนบุคคล ธุรกิจอิเล็กทรอนิกส์ ธุรกิจกำจัดขยะอุตสาหกรรม ธุรกิจผลิตกล้องถายรูป ธุรกิจร้านค้าปลีกแว่นตา หรือ ธุรกิจการท่องเที่ยว (ทั้ง in bound and out bound tour)

สิ่งนี้สะท้อนอะไร?  

สะท้อนได้สองมุมครับ
มุมแรกสะท้อนว่าคนญี่ปุ่นเป็นคนที่เคารพกฎหมาย (Law-abiding citizen)
มุมที่สองสะท้อนว่าการบังคับใช้กฎหมายของเขา “มีประสิทธิภาพ”

APPI ของญี่ปุ่น 

กฎหมายการคุ้มครองข้อมูลส่วนบุคคล (The Act on the Protection of Personal Information:  APPI) ของญี่ปุ่น แม้ว่าจะประกาศใช้ครั้งแรกในปีตั้งแต่ ปี 2003 (สมัยที่ GDPR ยังเป็น Directive 95/46/EC) แต่ได้รับการชำระแก้ไขให้ทันสมัยในปี 2022

ความน่าสนใจของกฎหมายญี่ปุ่นในความคิดของผมคือ เขาบังคับเหมือนไม่บังคับ
เป็นการบังคับใช้ในระดับ “แข็งแรงแต่ยืดหยุ่น” (Soft-Robust Level)
หมายความว่าอย่างไร?  

“แข็งแรงแต่ยืดหยุ่น” 

หน่วยงาน PPC (Personal Information Protection Commission) ของญี่ปุ่น เขาเน้น
1.ความร่วมมือที่ขับเคลื่อนด้วย “ฉันทามติทางวัฒนธรรม” 
มากกว่าการบังคับใช้แบบเข้มข้น หรือ เข้มงวดเหมือนฝรั่ง

พูดง่ายๆ คือ เน้นการประสานงาน มากกว่าการใช้บทลงโทษแบบลงดาบ
เน้นใช้คำแนะนำ คู่มือ แนวปฏิบัติ และอบรมแก่ภาคธุรกิจ รวมถึงคำตักเตือนเป็นเครื่องมือหลักก่อนการลงโทษเสมอ

ระบบการกำกับดูแลมักอาศัย “แรงกดดันทางสังคม” (Social Pressure)
และความรับผิดชอบขององค์กรต่อชื่อเสียง 
เช่น public naming & shaming ที่เป็นเครื่องมือควบคุมทางสังคม 

ดั่งกรณี บริษัท Rakuten Card จำกัด
ที่ PPC ออก “คำเตือน” เรื่องการเก็บข้อมูลลูกค้าโดยไม่ได้แจ้งวัตถุประสงค์ที่ชัดเจน
ไม่ใช้ค่าปรับทันที แต่ให้เวลาแก้ไข + เผยแพร่ต่อสาธารณะ
ผลคือชื่อเสียงบริษัทสะเทือน ผู้บริโภคตั้งคำถาม — “คำเตือน” กลับแรงกว่า “ค่าปรับ”

หรือ กรณี บริษัท Yahoo Japan ที่ถูกเตือนการเปิดเผยการใช้ข้อมูลที่ไม่ดี (ไม่มีค่าปรับหนัก)

มุมนี้คล้ายๆ ไทย คือบริบทวัฒนธรรมที่ให้ความสำคัญ
กับคำว่า “เสียหน้า” มากกว่าการ “เสียค่าปรับ”

2.มี “โทน” การบังคับใช้ที่ผ่อนคลายกว่า
ไม่ได้มอง  ข้อมูลส่วนบุคคล = สิทธิพื้นฐาน
แต่มอง ข้อมูลส่วนบุคคล = ความไว้วางใจ ที่ต้องดูแล

ในขณะที่ บทลงโทษปรับสูงสุด  100 ล้านเยน (ประมาณ 700,000 เหรียญสหรัฐ)
และบทลงโทษทางการเงินจะถูกหยิบมาใช้เป็น ทางเลือกสุดท้าย (Last Resort) เท่านั้น 
และมักใช้เฉพาะกรณีที่บริษัทจงใจฝ่าฝืนชัดเจน หรือเพิกเฉยต่อคำแนะนำ

ความน่าสนใจของโมเดลญี่ปุ่นคือแม้ว่าจะไม่รุนแรง (Aggressive) เท่า GDPR หรือแม้กระทั่งสิงค์โปร์ แต่ญี่ปุ่นกลับได้รับการบรรจุให้อยู่ในประเทศที่ได้รับการตัดสินใจเรื่องความเพียงพอ (Adequacy decision countries) เป็นเพียง 1 ใน 2 ประเทศที่ EU รับรอง

บทความหน้าเรามาว่ากันต่อใน สองประเทศที่เหลือครับ

*จากตัวเลข กรมพัฒนาธุรกิจการค้าตรวจสอบข้อมูล DBD DataWarehouse+