M&P Legal Note 2017 No.2-1
クラウドサービスと改正個人情報保護法
2017年2月28日
松田綜合法律事務所
弁護士 森田岳人
第1 はじめに
近年、クラウドサービスといわれるサービスが社会全体に浸透し、企業個人を問わず、利用が広まっています。
また、パーソナルデータといわれる個人に関わる情報(住所、氏名、購買履歴、家族構成、年齢、移動履歴など)が、さまざまな事業者により幅広く取得され、利用されています。
さらに、このようなパーソナルデータを取り扱う事業者が、そのデータを自社内のサーバーやPCのハードディスク等に保管して利用するだけでなく、クラウドサービスを利用して、クラウド上でデータを保管したり、利用したりすることが増加しています。
そのような社会情勢の中、平成27年9月に個人情報保護法が改正され、平成29年5月30日に全面施行されることになりました(以下では全面施行後の個人情報保護法のことを「改正個人情報保護法」といいます)。
本稿では、改正個人情報保護法によって、クラウドサービスがどのように整理されるかを説明します。
第2 クラウドサービスの種類
一口にクラウドサービスといっても、多種多様なサービスがありますし、常に新しいサービスも生み出されていますが、以下の3つに分類するのが一般的です。
SaaS(Software as a Service):アプリケーションソフトウェアの機能をインターネット経由で提供するサービスを提供すること。一番身近なサービス。例えば、Gmail、Google Calender、Dropbox、OneDriveなどです。
PaaS(Platform as a Service):アプリケーションを稼動させるプラットフォーム機能をインターネット経由で提供するサービスを提供すること。例えばGoogle App Engine 、Windows Azureなどです。
IaaS(Infrastructure as a Service):サーバーのCPU、ストレージ等のインフラストラクチャをインターネット経由で提供するサービスを提供すること。例えばGoogle Compute Engine、Amazon Elastic Compute Cloudなどです。
第3 改正個人情報における整理
それでは、自社で個人データを取り扱っている個人情報取扱事業者が、その取り扱いにおいてクラウドサービスを利用する場合に、改正個人情報保護法ではどのように取り扱われるのかを見てみます。
1 「第三者提供」にあたらない場合
個人情報取扱事業者が、自社内にある個人データを、クラウドサービスを提供する事業者のサーバー等で保管する場合ですが、形式だけを見れば、個人データが自社以外の第三者の元に移転していますので、「第三者提供」にあたりそうです。個人データを「第三者提供」する場合には、原則として本人同意が必要となります(改正個人情報保護法23条1項)。
しかし、個人情報保護委員会は、クラウドサービス事業者が契約条項によってサーバー等に保管されている個人データを取り扱わないこととなっており、適切にアクセス制御を行なっている場合には、「第三者提供」にはあたらないと解釈しています(個人情報保護委員会Q&A[1] 32ページ)。つまり、個人情報取扱事業者が個人データを外部(第三者)の倉庫に厳重に保管する場合には、自社内に保管する場合と同列に見るということです。
この個人情報保護委員会の解釈は実務的に重要であり、この解釈のおかげで「第三者提供」とはならないクラウドサービスも多いでしょう。
ただし、留意点が2つあります。
まず、「第三者提供」とならないということは、個人情報取扱事業者が自社で個人データを管理しているということと同じです。
したがって、クラウドサービスを利用して個人データを保管する場合には、個人情報取扱事業者が自ら果たすべき安全管理措置の一環として、改正個人情報保護法の求める適切な安全管理措置(改正個人情報保護法20条、ガイドライン通則編別添「講ずべき安全管理措置の内容」)を講じる必要があります(個人情報保護委員会Q&A 33ページ)。
ただ、自らの安全管理措置の一環としての安全管理措置が、委託先の監督(改正個人情報保護法22条)と、具体的にどのように異なるのかについては、明確ではありません。例えば、個人情報取扱事業者がクラウドサービスを利用するときに、自らの安全管理措置の一環として、当該クラウドサービス事業者においてきちんと安全管理措置が取られているかどうかを確認しなければならないとすれば、「委託先の監督」(改正個人情報保護法22条)と実質的にはあまり変わりません。
留意点の2つ目は、「第三者提供」にあたらないためには、クラウドサービス事業者が契約条項によってサーバー等に保管されている個人データを取り扱わないこととなっており、適切にアクセス制御を行なっていることが必要ですが、具体的にどのような場合に「個人データを取り扱わない」「適切にアクセス制御を行なっている」と評価できるのかについて、明確ではないという点です。
実務上の対応としては、「クラウドサービスは第三者提供にあたらない」と安易に考えず、契約条項や利用規約等をよく確認し、慎重に判断する必要があるでしょう。
2 「第三者提供」にあたる場合
(1)クラウドサービス事業者が国内事業者である場合
個人情報取扱事業者が、自社の有する個人データをクラウドサービス事業者(国内事業者)に移転させる場合、上記1に該当しないのであれば、「第三者提供」として原則同意が必要となります(改正個人情報保護法23条1項)。
ただし、利用目的の達成のために必要な範囲であれば、同意がなくても個人データの取り扱いの全部又は一部を委託することが可能です(以下「業務委託による例外規定」といいます。改正個人情報保護法23条5項1号)。
実務上は、この例外規定に該当する場合も多いでしょう。
なお、この場合、個人情報取扱事業者には委託先に対する監督義務が生じます(改正個人情報保護法22条)。監督義務の具体的な内容としては、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握と整理されています(個人情報保護委員会 ガイドライン通則編42ページ)。
(2)クラウドサービス事業者が外国事業者である場合
ところで、個人情報取扱事業者が自社の有する個人データをクラウドサービス事業者に移転させる際、当該クラウドサービス事業者が外国の事業者である場合には、今回の改正によって注意が必要となります。
まず、クラウドサービス事業者が外国の事業者であっても、上記1に該当する場合には、そもそも「第三者提供」ではありませんので、国内の事業者と特に違いはなく、上記1で述べたことがあてはまります。
問題は、クラウドサービス事業者への個人データの移転が「第三者提供」に該当する場合です。
今回の改正によって、新しく外国への個人データの移転に規制が設けられ(改正個人情報保護法24条)、外国の事業者に対して「第三者提供」をする場合には、業務委託による例外規定(改正個人情報保護法23条5項1号)が使えなくなりました。
この業務委託による例外規定は、これまで実務において多用されてきましたので、外国事業者に対して、この手段が使えなくなることは、実務に大きな影響を与えるでしょう。
ただ、個人データを提供する先が外国事業者であったとしても、「個人情報保護委員会規則で定める基準に適合する体制を整備している者」であれば、国内事業者と同様に、業務委託による例外規定を使用することが可能です(改正個人情報保護法24条)。
したがって、外国事業者がこの基準に適合する体制を有しているかどうかが、重要になります。
ここでいう「個人情報保護委員会規則で定める基準」とは以下の2つのうち、いずれかを満たすことです(改正個人情報保護法施行規則11条。個人情報保護委員会 ガイドライン外国第三者提供編6ページ)。
- 適切かつ合理的な方法により、改正個人情報保護法第4条第1節の規定の趣旨に添った措置の実施が確保されていること。例えば、外国事業者との契約において、外国事業者による個人情報の利用目的を定めたり、安全管理措置を講ずることを定めたりすることです。
- 外国事業者が、個人情報の取扱に係る国際的な枠組みに基づく認定を受けていること。具体的には、外国事業者が、アジア太平洋経済協力(APEC)の越境プライバシールール(CBPR)システムの認証を取得していることです。
外国の事業者への第三者提供については、改正個人情報保護法上は条文が1つしかありませんが、その内容や解釈が複雑になっています。
したがって、外国の事業者への第三者提供が問題となったときには、事実関係(提供先、提供する情報、提供先との契約関係等)をよく確認した上で、個人情報保護委員会のガイドライン外国第三者提供編を参照しながら、個人情報保護法上許容される第三者提供なのか否かを、慎重に確認する必要があるでしょう。
[1]個人情報保護委員会Q&A http://www.ppc.go.jp/files/pdf/kojouhouQA.pdf
この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。
弁護士 森田岳人
morita@jmatsuda-law.com
松田綜合法律事務所
〒100-0004
東京都千代田区大手町二丁目1番1号 大手町野村ビル10階
電話:03-3272-0101 FAX:03-3272-0102
この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく具体的な法律アドバイスなしに行為されないようご留意下さい。