クラウドサービスを使うと「第三者提供」になるのか?

by privacy

いまや、業種を問わず、業務にクラウドサービスを利用するのはごく普通の時代になっているといえます。

Google DriveやDropboxにデータを保存し、ChatworkやSlackで社内外と情報をやり取りし、AWSやAzureなどのクラウド基盤上で顧客情報を管理する、といった仕組みは、法人や個人事業主を問わず広く使われています。

しかし、その便利さの裏で、「クラウドサービスに顧客データを保存したら”第三者提供”に該当するのか?」といった疑問も湧き上がります。

確かに、形式上では第三者が提供しているサービスに対して個人情報(個人データ)を送信していますので、個人情報保護法を意識する企業が増える中で、クラウド利用の法的位置づけは気になるところです。

「第三者提供」の定義とは

まず前提として、「第三者提供」とは何を指すのでしょうか。
個人情報保護法上、「提供」とは、自己以外の者が個人データを利用可能な状態に置くことをいいます。(個人情報保護法ガイドラインより)
つまり、他者がそのデータを見たり使ったりできるようになったときに、「提供」が成立します。

では、クラウドサービスにデータをアップロードする行為はどうでしょうか?
先述のとおり、形式的にはクラウド事業者という「他者」にデータを渡しているようにも見えます。
しかし、実際には多くの場合、クラウド事業者がデータの中身を扱えない設計になっており、「他者が利用可能な状態に置いた」とは言えません。
このときに適用される考え方が、いわゆる「クラウド例外」と呼ばれるものです。

「クラウド例外」とは

クラウド例外とは、クラウドサービス事業者など外部の事業者に個人データを送信した場合でも、
その事業者が個人データを取り扱わない仕組みになっているときには、その送信行為は「提供」に該当しない、すなわち第三者提供にも委託にも当たらないと整理する考え方です。(個人情報保護委員会 FAQ A7-53より)

つまり「他者に個人データを送ってはいるが、その者がそれを利用できないなら“提供”とは言えない」というのがクラウド例外の本質です。

クラウド例外が認められる条件

では、クラウド例外が成立するためには必要な条件について詳しく考えてみます。

先述のFAQ では、「提供」に該当しない場合、つまり「個人データを取り扱わないこととなっている場合」に該当する場合として、次の2点が示されています。

契約や規約で、外部事業者が個人データを取り扱わない旨が定められていること

クラウド事業者が公表する利用規約などにおいて「データの内容にアクセスしない」「独自の目的で利用しない」など、 保管している個人データをクラウド事業者が扱わないことを明示されていることが必要です。

適切なアクセス制御が行われていること

単に規約や契約上の文言があるだけでなく、クラウド事業者が保管しているデータの中身を閲覧・復号できないよう、暗号化や権限管理などの技術的措置が実際に機能していなければなりません。

    これらの条件を満たしている場合、そのクラウド利用は「他者が利用可能な状態」に当たらず、
    結果として「提供」には該当しないと判断されます。

    これにより、「提供」を前提とする第三者提供や委託のルールの対象外となるのです。

    条件を満たさない場合は「提供」として扱われる

    一方で、これらの条件を満たしていない場合はどうでしょうか。
    例えば、クラウド事業者が分析や調査などの目的や、利用者に対するサポートの提供という目的により個人データにアクセスする場合や、サービス改善やAI学習などの目的でデータを利用することが利用規約などで明示されている場合には、それは「個人データを取り扱っている」とみなされます。

    このようなケースでは、「提供」には該当するため、「第三者提供」または「委託」であるとして、これらのルールに従う必要があります。
    具体的には、第三者提供であれば原則として本人の同意が必要となりますし、委託であれば委託先の監督が必要となります。

    利用者側の認識のズレも

    過去には、クラウド事業者側の利用規約に「個人データを扱う」旨が明記されていたサービスで、
    個人情報が漏えいする事故が起きた事例もあります。

    このとき、利用者側は単なるクラウド利用だと認識していたにもかかわらず、法律上は「個人データを取り扱う他者に提供していた」という構造でした。

    このように、クラウド提供者の実態や契約内容を正確に理解しないまま利用していると、知らぬ間に「委託」や「第三者提供」としての責任を負うおそれがあります。

    「クラウドだから安全」という思い込みは危険です。

    クラウドサービスを利用するときの確認ポイント

    クラウドサービスを使うときには、次の点を必ず事前に確認しておくことをお勧めします。

    • 契約書や利用規約に、「個人データを取り扱わない」と明記されているか
    • クラウド提供者が実際にデータへアクセスできない技術的仕組みになっているか
    • 再委託先の範囲や、海外サーバーの利用有無が明確になっているか
    • 将来的な機能追加(AI分析など)でデータ取扱が変化しないか

    これらを整理することで、自社のクラウド利用が”クラウド例外”に該当するのか、委託として扱うべきかを正しく判断できます。

    まとめ

    クラウド利用は当たり前の時代だからこそ、クラウド事業者への個人データ送信が「提供」に当たるかどうか確認することは必要不可欠であるといえます。

    また、担当者だけで判断するのではなく、専門家による視点を交えながら確認することも大切です。
    特に自社ではなくクラウド事業者側で漏えい事故が発生したような場合は、自身の顧客への説明なども求められますので、「知らなかった」では済みません。

    今一度、自社が利用しているクラウドサービスの契約条件などを確認してみてはいかがでしょうか。

    プライバシーポリシーの作成・確認 お気軽にご相談ください

    関連記事:

    個人情報とは何か? プライバシーポリシーがないとどうなる? 個人事業主でも知っておきたいプライバシーポリシーの作成方法 ECサイトのプライバシーポリシーに必要な内容とは?