執筆:弁護士 森田 芳玄(AI・データ(個人情報等)チーム)
■はじめに
近年、ビジネスを進めるにあたり、クラウドサービスを利用することが避けられなくなっています。また、コミュニケーションツールについても、データの共有機能があるという意味ではクラウドサービスと同様です。この流れはリモートワークが進められる中でより一層増えてゆくものと思われます。そして、そのようなクラウドサービスでやり取りされる情報の中には、個人情報・個人データが含まれていることもあるかと思いますが、その場合の留意点はあるのでしょうか。今回はその点について解説したいと思います。
■問題意識
まず、前提として、個人データについては、原則として第三者に提供する場合には本人の同意が必要となります(個人情報保護法第23条)。例えば、ある企業が保有している個人データについて、別の企業に提供しようという場合には、その情報の主体である本人の同意が必要となります(委託する場合など、同意を得なくてもよい例外もあります。)。
クラウドサービスを利用するということは、それを利用する企業において取り扱うデータが当該クラウドサービス提供事業者の用意するサーバに保管されることになるため、情報が「第三者」(すなわちクラウドサービス提供事業者)に提供されているようにも見えます。もしそうだとすると、クラウドサービスを利用している企業はすべて、保有している個人データの本人から同意を得なければならないということになってしまいます。企業において取り扱っている情報の規模が大きくなればなるほど、該当する本人の人数も膨大な数になるため、その同意が必要ということになると事業の見直しを考えなければならなくなってしまいます。
■個人情報保護法の取扱い
上記の問題について、クラウドサービスを提供している事業者において個人データを取り扱うことになっていない場合には、当該サービスを利用することをもって、第三者に提供することにはならないこととされています。
すなわち、クラウドサービスで扱うことになるデータの中に個人データが含まれているか否かにかかわらず、当該クラウドサービス提供事業者が個人データを取り扱わないのであれば、そもそも個人データを「提供」したことには当たらず、本人の同意も不要、ということになります。
この点は、当該クラウドサービス提供事業者のサーバが外国にある場合でも同様であり、個人データを取り扱わないクラウドサービス提供事業者を利用する場合には、外国にある第三者への提供(個人情報保護法第24条)にも該当しないことになります。ただし、クラウドサービス提供事業者が外国にある第三者に該当するか否かについては、サーバの場所ではなく、当該提供事業者の法人格として登記された所在地を基準に判断することになります。
それでは、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合というのがどのような場合を指すのかが問題となります。この点については、当該クラウドサービスに関する契約条項や利用規約・約款などにより、当該クラウドサービス提供事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御(サーバに保存されている情報に原則としてアクセスできないようにされている仕組み)を行っている場合などが考えられます。
したがって、クラウドサービスを利用するにあたっては、事前に当該クラウドサービスの利用契約や利用規約等を精査し、個人データが取り扱わないこととされているか確認することが必要となります。また契約や規約だけでは判断できない場合には、場合によっては当該サービス提供事業者に直接確認することも必要になるかと思われます。
一方で、外国の第三者への提供とはならなくとも、クラウドサービスを利用する事業者が外国に設置されたサーバーに個人データを保存することは、当該外国において個人データを取り扱うことにはなります。そのため、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる必要があります。また、個人情報保護法上、保有個人データの安全管理について講じた措置を本人の知り得る状態に置く必要がありますので、第三者提供に該当するかどうかとは別に、この安全管理措置及び保有個人データに関する対応は必要になりますのでご注意下さい。
