第559号コラム:佐藤 慶浩 副会長(オフィス四々十六 代表)
題:「クラウド時代の情報管理:情報の管理者と処理者を区別することの重要性」

クラウドにおける情報管理について有益な示唆が、個人情報の保護で行なわれているので、それを紹介する。

日本では、個人情報保護法において個人情報を取り扱う者を、個人情報取扱事業者と定めている。海外では、個人情報を取り扱う者を管理者と処理者に分けている。具体的には、PII管理者(PII controller)とPII処理者(PII processor)と呼ばれるが、PIIとは、Personally Identifiable Information(PersonalではなくPersonallyであることに注意)の略で、直訳すると、個人として識別可能な情報となり、概ね日本の個人情報と同じである。ただし、PIIの定義は国ごとに表現が異なり、もちろん日本法の定義ともまったく同一ではないので、実際には差異があるが、本稿の内容と直接関係ないので、ここでは概ね同じものということに留めておく。

PII管理者とPII処理者の定義は、ISO/IEC 29100:2011 Privacy frameworkの対応JIS規格であるJIS X 9250:2017 プライバシーフレームワーク(プライバシー保護の枠組み及び原則)で、それぞれ以下のようにされている。

2.10 PII管理者(PII controller)

私的な目的でデータを使う個人を除く,PIIを処理するための目的及び手段を決定するプライバシー利害関係者。

注記 PII管理者は,PIIの処理を代行するよう他の者[例 PII処理者(2.12)]に指示することがある。この処理の責任は,依然としてPII管理者にある。

2.12 PII処理者(PII processor)

PII管理者に代わり,かつ,その指示に従ってPIIを処理するプライバシー利害関係者。

日本においては、PIIは個人情報に、PII管理者は個人情報取扱事業者に、PII処理者は個人情報取扱事業者からの委託先に、それぞれ概ね対応することになる。

PII管理者とPII処理者を区別することについては、たとえば、ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors という国際規格(対応するJIS規格は発行されていない)のタイトルにも含まれている。和訳すると、PII処理者としてパブリッククラウド内のPIIを保護するための実践の規範となる。

この規格は、ISMS(情報セキュリティマネジメントシステム)認証で使われているISO/IEC 27002をベースとしており、パブリッククラウドサービスプロバイダがPII処理者としてPIIを取り扱う場合の追加の事項(管理目的、管理策、実施の手引)を規定している。

たとえば、A社がセミナー開催にあたって受講者を募集する場合に、受講申込者の氏名や連絡先などの個人情報を取得する場合には、A社が個人情報の利用目的を決定するので、PII管理者となる。このとき、受講申し込みを受け付けるために、B社が運営するクラウドサービスを利用する場合には、B社はA社に代わって個人情報を取得し、A社の指示に従って受講申込者名簿などをA社がアクセスできるように処理するので、PII処理者となる。ISO/IEC 27018規格は、この場合に、B社がA社のために取得する個人情報の保護について規定するものとなる。仮に、B社が自社のためのセミナー開催をする場合は、それに関連する個人情報の取扱いについてB社は、PII処理者ではなくPII管理者となる。PII管理者として取り扱う個人情報の保護については、ISO/IEC 27018規格ではなく、ISO/IEC 29151 Code of practice for personally identifiable information protection(対応するJIS規格がないので和訳すると、PIIを保護するための実践の規範)で規定されている。

ISO/IEC 27018規格が単に「パブリッククラウド内のPIIを保護するため」ではなく、「PII処理者として、パブリッククラウド内のPIIを保護するため」としているのは、B社が取り扱う個人情報のうち、PII処理者として取り扱う個人情報に限定した規定だからである。

日本の個人情報保護法では、委託先の安全管理措置(情報セキュリティ対策と同義)については、委託元が監督することになっているが、委託先が講じる対策を限定的には定めていない。しかし、上記の例のとおり、B社は、A社との関係においては委託先であるが、B社はもともと個人情報取扱事業者でもあるはずである。なぜなら、B社は、B社自身の利用目的で取り扱う個人情報をA社とは無関係に保有しているはずだからである。そのため、B社において安全管理措置の内容は、もとからあると想定することができる。その上で、A社はB社に対して善管義務を求める(B社自身の個人情報に対する安全管理措置を、A社から委託する個人情報にも準用させる)ことがあり得るが、ISMSの観点からすると、それはA社が管理すべき個人情報をB社のリスクマネジメントに委ねることになってしまう。これらの関係をPII管理者とPII処理者に分けた上で、PII処理者として為すべきことを規定することにより、A社のリスクマネジメントの下で、B社におけるA社の個人情報の保護を求めやすくなる。

上記の例を見ると、委託先が実施すべき事項を規定すれば、PII処理者としての規定が示されていることと同等の効果があるように思われるかもしれない。しかし、このことは実施すべき事項を怠ることに対して有効であるが、実施してはいけないこと又は実施することを予見できなかったことが実施されてしまうときに違いが出てくる。

たとえば、B社がA社のセミナー受講者に、B社のセミナー案内を配信してしまうということを考えてみる。この場合、A社がその禁止を業務委託契約で明記していればB社が契約に違反したことは明白である。それに加えて、PII処理者が、そのような違反をすることは、PIIを処理するための目的及び手段をB社が決定したことになり、B社は、直ちにPII管理者の立場になる。その結果、海外で利用目的について事前の同意を得ることになっていれば、B社はPII管理者としての義務を怠ったことになる。つまり、事業者はPII管理者の立場かPII処理者の立場かで遵守事項が明確に定められているために、PII処理者がPII管理者の立場のことをした場合には、直ちにPII管理者としての義務が発生する。

一方で、日本の場合には、委託によるものか否かという違いにしているため、上記のような違反は日本においても委託先は個人情報取扱事業者としての義務を負うことになるが、現状の日本法では、利用目的は通知だけで同意を求めておらず、さらに直接取得の場合の通知には公表を含んでいることから、仮に利用目的が公表されていれば、違法になるとは言い切れない。もちろん、そのようなことを契約で禁止していれば契約違反であるが、個人情報保護法違反になるとは限らないということである。

つまり、A社とB社の義務を日本では、委託の範囲とその条件は何であったかという2社間の関係性で整理するしかないが、海外では、事業者が個人情報をどの立場で取り扱うかによって明確に区別しているために、関係性とは独立しても各社の義務が定まる点が異なる。

以上では、個人情報を取り扱う立場としての、管理者と処理者を区別することが有益であることを紹介した。

さて、企業がクラウドサービスを利用するときに、個人情報に限らない機密情報を取り扱う場合に、同じことが言えるのではないだろうか。

つまり、クラウドサービスプロバイダに、機密情報を処理させるとき、そのプロバイダが自社の情報を保護することと、クラウドサービス利用者から預かっている情報を保護することを区別することが重要ではないだろうか。

現状で、クラウドサービスに関する対策をプロバイダと利用者に区別することは、個人情報保護において、委託先と委託元の関係性を整理していることになるが、PII管理者とPII処理者を区別する観点を欠いていると言える。この区別は、エンタープライズ・アーキテクチャの分野では、情報の所有者(Owner)と保管者(Custodian)を区別することに近い。

クラウド時代の情報管理については、委託の関係性だけではなく、情報の管理者と処理者という情報を取り扱う立場でも区別することが重要である。

委託の関係性だけでは、デジタル・フォレンジックにおいては、委託先のデータ改ざんは、委託元の監督責任の延長として解決することになり、現実的な解が見出しにくい。一方で、委託先における情報の管理者と処理者の立場を区別することにより、管理者に無断で処理者が行なうことについても整理をしやすくなり、そのために必要な保護策を設計しやすくなると考えている。

そのように設計すると、自明の保護策が導き出されるが、現状のどのクラウドセキュリティのガイドラインにもそのことが触れられていないことがわかる。この保護策は、デジタル・フォレンジックにおいても、処理者による改ざんのないことを担保するために必要なこととなる。

その保護策については・・・またの機会に紹介する。

【著作権は、佐藤氏に属します】