PCやローカルサーバ等の社内環境で管理していたデータを外部ベンダーが提供するクラウド環境に移行する際、顧客や従業員の個人データの取扱いに不安を感じる企業が多く、当事務所にご相談をいただくこともあります。
ここでは主に個人情報保護法の観点から、個人データのクラウド環境への格納について概説します。
Contents
個人情報保護法27条1項の規定
個人情報保護法は、本人の同意を得ずに個人データを第三者に提供することは原則禁止しています。
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 (以下略)
個人情報保護法
しかし、個人データを社外のクラウドサービスが提供するストレージ上に格納することは一般的に行われています。通常、以下のいずれかの整理により「第三者提供」への該当を回避します。
整理1 - 委託(27条5項1号)
個人データの取扱いを第三者に委託する場合は、第三者提供にあたりません。
第二十七条 5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
個人情報保護法
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
クラウドサービス提供者に対してデータの取扱いを委託していると整理することで第三者提供に該当しない、すなわち個人情報保護法27条1項に抵触しないことになります。
しかし、この場合、委託先に対して必要かつ適切な監督を行うことが求められます。
第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報保護法
「必要かつ適切な監督」の程度については見解が分かれますが、概ね以下が必要とされています。
- 適切な委託先を選定すること
- 委託契約を締結すること
- 委託先における個人データ取扱状況を把握すること
整理2 - クラウドサービス提供者による取扱いがない場合(QA7-53)
27条5項1号の「委託」該当しない場合でも、クラウドサービス提供者による「取扱い」がなければ、第三者提供にはあたりません。これは個人情報保護委員会が公開している「個人情報の保護に関する法律についてのガイドライン」に関するQ&AのQ7-53で明確にされています。
クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
(中略)
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
多くの汎用クラウドサービスでは、ユーザ企業がクラウド環境に保存したデータにクラウドサービス提供者がアクセスしない旨を利用規約等で明示的に定めています。以下はAWSとGCPの例です。これらの規定により、AWSやGCPに顧客名簿等の個人データをアップロードすることは個人情報保護法における第三者提供に該当しないと考えられています。
お客様のコンテンツの所有権と管理権はお客様自身にあります。お客様のコンテンツが AWS のどのサービスによって処理され、保存され、ホストされるかはお客様自身が選択します。AWS では、お客様のコンテンツを確認することはできず、お客様のコンテンツにアクセスしたり、使用したりすることもできません。ただし、お客様が選択した AWS のサービスを提供するために必要な場合や、法律または拘束力のある法的な命令に従う必要がある場合を除きます。
日本のデータプライバシー (AWS)
お客様が個人情報を収集した本人とGoogle Cloudとの間には関係性がありません。お客様の同意がない限り、Google Cloudに保存された個人情報を取り扱うことはありません。
Google Cloud ホワイトペーパー
一方、従業員の個人情報を取り扱うHRサービスや顧客情報を取り扱うCRMサービスを提供するSaaSの場合、クラウドサービス提供者が個人データを取り扱うことが前提となっているため、本QAは適用されません。前掲の「委託」と整理するか、本人同意を事前に得る必要があります。
個人情報保護委員会による注意喚起(2024年3月)
2023年6月、社労士向けにクラウドサービスを提供する上場企業であるエムケイシステムのサーバーがランサムウェアによる不正アクセスを受け、社会保険/人事労務業務支援システム上で管理されていた個人データ(マイナンバーを含む)が暗号化され、漏えいなどのおそれが発生しました。社労士事務所や企業がアップロードした約7百万人分の個人データに漏洩のおそれが発生する、極めて影響範囲の大きい事案となりました。
事態を重く見た個人情報保護委員会は、2024年3月25日、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)」と題する書面を公表しました。ここでは、ガイドラインQ&A7-53の本件に対するあてはめを行い、エムケイシステムが個人データを「取り扱う」ものであったと認定しました。認定にあたって考慮した要素については以下のとおり言及しています。
株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について(個人情報保護委員会)
- 利用規約において、クラウドサービス提供事業者が保守、運用上等必要であると判断した場合、データ等について、監視、分析、調査等必要な行為を行うことができること及びシステム上のデータについて、一定の場合を除き、許可なく使用し、又は第三者に開示してはならないこと等が規定され、クラウドサービス提供事業者が、特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていたこと。
- クラウドサービス提供事業者が保守用 ID を保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと。
- クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと。
今後も同様のケースで、上記のような状況にある場合、ガイドラインQ&A7-53の要件該当性が否定される可能性があります。その場合、クラウドサービス提供事業者は個人情報取扱事業者として、安全管理措置(個人情報保護法23条)が要求されることとなります。
そしてその場合、クラウドサービス利用者も、「委託」に該当しなければ個人情報の第三者提供を行ったことになり、また「委託」に該当したとしても、委託先であるクラウドサービス事業提供者に対する法25条の監督義務を負うこととなります。クラウドサービス利用者としては、サービスの利用規約や契約書を熟読し、クラウドサービス事業提供者が個人データにアクセスすることを安易に認めない姿勢を徹底するとともに、アクセスを認める場合は自身が監督義務を負うことを認識する必要があります。
ロジットパートナーズ法律会計事務所のサービス
当事務所にはIT分野に強く、ITシステム導入支援やクラウド導入支援経験のある弁護士が在籍しています。クラウドサービスの利用規約や契約書に対する綿密な検討を通じて、個人情報保護法違反のリスクを評価し、適切な対応策を提案します。
また、個人情報保護法対応は法令・規制の理解や解釈だけでは不十分であり、適切な業務プロセスの構築や手順書の作成、日常業務における運用、教育・研修等を通じて初めて実効的なものになります。当事務所では公認会計士による内部統制プロセス構築支援も行っており、個人情報保護法対応を勘案した業務プロセスやIT業務処理統制の構築の支援が可能です。
お気軽にお問合せください。