クラウドサービス利用時に注意する個人情報保護のルール

by privacy

昨今では、ビジネスを進める上で様々な企業や団体が提供するクラウドサービスを利用することが当たり前になっていると言えます。

ただ、このようなクラウドサービスに個人データを送信する場合は、それが「個人データの提供」に該当するのかどうかを十分に検討する必要があります。
それは、「個人データの提供」に該当する場合は、法が規定する第三者提供のルールに沿って対応することが求められる可能性があるためです。

様々なクラウドサービス

単にクラウドサービスといっても、様々な内容のものが存在します。

利用者が、自社の保管する個人情報・個人データを登録やアップロードすることによって、これらのデータをサーバに保存・保管するだけのようなサービスもありますし、登録・アップロードしたデータを元に統計情報やレポートを作成したり、請求書や納品書などの書類を出力してくれるようなサービスもあります。

このようなサービス内容の違いによって、関係する法のルールが変わってきます。

個人データの提供になる場合

そもそも「提供」とは、個人データなどを自己以外の者が利用できる状態に置くことをいうとされており、例えば個人データをUSBメモリに入れて他社に送付したりメール送信したような場合に限らず、特定の管理画面にアクセスしたり、APIを利用することで個人データを利用することができるような状態も「提供」に該当します(ガイドライン2-17)。

また、実際に第三者が個人データに対してアクセスした場合に限らず、アクセスできる状態であれば「提供」である点には注意が必要です。

ただし、クラウドサービスの場合、「提供」に該当する場合としない場合があります。

提供に該当しない場合というのは、クラウドサービスの提供事業者(クラウド事業者)が「個人データを取り扱わないことになっている場合」とされています(Q&A Q7-53)。

この「個人データを取り扱わないことになっている場合」とは、

  • 契約等によってクラウド事業者がサーバに保存された個人データを取り扱わない旨が定められている
  • 適切なアクセス制御が行われている

上記2点を満たす場合だと考えられており、この場合は個人データの提供に該当しないことになります。

逆に言えば、上記2点を満たさない場合は、クラウド事業者に対する個人データの提供に該当すると考えられることになります。

よって、先述の例に挙げた「登録・アップロードしたデータを元に統計情報やレポートを作成」するようなサービスの場合、クラウド事業者が個人データに対してアクセスしていると考えられますので、個人データの提供に該当するといえます。

注)個人データの提供ではない場合であっても、自社のデータ(個人データ)を他社(クラウド事業者)が保管しているという状況であり、自社のデータであることには変わり無いため、以下のような安全管理措置の一環としてクラウド事業者による保管に対する監督が求められます。
・物理的安全管理措置(個人データを取り扱う区域の管理や個人データの削除及び機器、電子媒体等の適切な廃棄など)
・技術的安全管理措置(アクセス制御や外部からの不正アクセス等の防止など)

第三者提供になる場合

先述の「個人データの提供」に該当する場合は、さらに2つの場合に分かれており、その1つが「第三者提供」です。

第三者提供に該当する場合は、法の規定(27条、29条)に従って、原則として以下の対応が必要です。

  • 予め本人の同意
  • 予め個人データの第三者提供を想定している場合は、利用目的において特定
  • 第三者提供にかかる記録の作成

また、クラウド事業者が外国の事業者である場合は、上記に加えて

  • 提供先の国における個人情報の保護に関する制度、クラウド事業者が講ずる個人情報の保護のための措置、その他本人に参考となるべき情報の提供
  • クラウド事業者による個人情報保護のための措置の継続的な実施を確保するために必要な措置
  • 上記措置に関する情報の本人への提供

これらの対処も必要になります(法28条、規則16〜18条)。

第三者提供ではない場合

「個人データの提供」であっても、以下のいずれかに該当する場合は第三者提供には該当しないため、先述のような対応は不要となります(法27条5項)。

  • 利用目的の鉄製に必要な範囲において個人データの取扱いの全部または一部の委託
  • 合併や事業承継など
  • 共同利用

ただし、委託に該当する場合は、委託先(=クラウド事業者)に対する監督責任が課せられます(法25条)。

便利なクラウドサービスだからといって、個人情報・個人データを安易に登録するのではなく、その登録が「個人データの提供」に該当するのか、する場合はそれが第三者提供に該当するのか、第三者提供に該当しなくても委託に該当するのかなどについて、利用する前にしっかり確認し、自社にとって必要な対策を十分に検討しましょう。

※「法」とは個人情報保護法を意味します
※「規則」とは個人情報保護委員会規則を意味します
※「ガイドライン」とは「個人情報の保護に関する法律についてのガイドライン」を意味します
※「Q&A」とは「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aを意味します