執筆:弁護士 阿久津 透( AI・データ(個人情報等)チーム )
1.はじめに
日々の業務の中で、当たり前に使っているクラウドサービスですが、この利用にあたっては、個人情報保護法上で注意すべき点があることはご存知でしょうか。
気づかないうちに第三者提供の違反になっている、監督義務(25条)を果たしていない状況になっているという事態を避けるためには、個人情報保護法の規定やガイドラインの正確な理解が必要です。
この記事では、個人情報保護委員会から公表された、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)」の内容を踏まえて、企業がクラウドサービスを利用する場合に注意すべき点について整理します。
2.クラウドサービスの利用と第三者提供
多くの人が知っているように、個人データの第三者提供は原則として本人の同意を得なければできません。
この「提供」とは、自己以外の者が利用可能な状態に置くことをいうとされています。物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データを利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たるというのがガイドライン(通則編)の解釈になります(通則編2-17)。
では、自社が取得した個人データをクラウドサービス上で保管することは、「提供」にあたるのでしょうか。
ポイントは先ほどのガイドラインの解釈のなかの「個人データを利用できる状態にあれば(利用する権限が与えられていれば)」という点です。つまりクラウドサービスの運営事業者に利用権限が与えられていなければよい、ということになります。
このことはQAでも以下のとおり明確にされています。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
(Q7-53)
3.委託に伴う提供との関係
個人データの第三者提供の規制には重要な例外があり、その1つが「委託に伴う提供」です。
27条第5項
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
① 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
この規定を簡単に説明すると、委託に伴って提供する場合には、提供先は「第三者」に該当しないため、本人の同意はいらないということを規定しています。
この委託に伴う提供の場合には、同意はいらないものの、委託先で適切に取り扱われているかどうかチェックする必要があるため、25条で「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」といった監督義務が設けられています。
ここで押さえておきたいのが、先ほどの「提供」の解釈です。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを「提供」したことにはならないため、委託に伴う「提供」でもないということになります。
そもそも個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(第27条第5項第1号)にも該当せず、 25条に基づきクラウドサービス事業者を監督する義務もありません(QA7-53)。
4.「取り扱わないこととなっている」とは
ここまでみてわかるように、クラウドサービスを利用する場合には、クラウドサービスの提供事業者が、個人データを取り扱わないこととなっているかどうかが重要ポイントになります。
この「取り扱わないこととなっている」がどういう状態を指すのかついては、これまでQAの「契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。」という記載が参照されていました。
個人情報保護員会は令和6年3月25日に「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)」という資料を公表し、より具体的な場面をイメージできるようになりました。
この注意喚起は、クラウドサービス提供事業者が提供する業務システムが不正アクセス被害を受け、クラウド環境で管理されていた多数のクラウドサービス利用者の顧客の従業員の個人データが暗号化され、漏えい等のおそれが生じた事案をきっかけになされたものです。
この事案において、個人情報保護委員会は、当該クラウドサービス提供事業者が、クラウドサービス利用者から個人データの取り扱いの委託を受けて個人データを取り扱うものであると判断しました。
その判断要素として以下の3つが示されています。
○ 利用規約において、クラウドサービス提供事業者が保守、運用上等必要であると判断した場合、データ等について、監視、分析、調査等必要な行為を行うことができること及びシステム上のデータについて、一定の場合を除き、許可なく使用し、又は第三者に開示してはならないこと等が規定され、クラウドサービス提供事業者が、特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていたこと。
○ クラウドサービス提供事業者が保守用 ID を保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと。
○ クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと。
クラウドサービス利用者の視点に置き換えると、利用している又は利用を検討しているクラウドサービスの利用規約やセキュリティ対策が上記のようなものであった場合には、当該クラウドサービスの利用が第三者への「提供」にあたることになり、本人の同意を得た上で行うか、委託に伴う提供として整理したうえで監督義務を果たさなければならない、ということになります。
5.まとめ
この注意喚起は、クラウドサービスを提供する事業者にとっても、クラウドサービスを利用する事業者にとっても重要な内容になっています。
自社で利用しているクラウドサービスの再確認をする際には、ガイドラインやQ&Aとあわせて、この注意喚起についても確認してみてください。
