第825号コラム:小向 太郎 理事(中央大学 国際情報学部 教授)
題:「個人情報保護法のいわゆる「クラウド例外」について」
最近、個人情報保護の分野で、「クラウド例外」ということばを聞くようになった。クラウド例外とは、個人情報保護委員会が公表しているQ&Aの、次の記述のことである。
「(個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合に)当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならない(「個人情報保護委員会『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」A-53)」
これが問題になるのは、次のような懸念があるからである。
①個人データの第三者提供には、原則として本人の同意が必要である(第27条第1項)
②クラウドサービス上に個人データを保存することが第三者提供になるのなら、本人の同意を取らなくてはならない
③クラウドサービス提供者が、個人データ取扱いの委託先に当たるのであれば上記の第三者に該当しない(第27条第5条第1号)が、提供者には委託先の監督が義務付けられる(第25条)
④外国にある委託先への提供は、上記の第三者から除外されず、原則として本人の同意等が必要である(第28条)
業務においてクラウドサービスを利用する際に、あらためて本人の同意を取るのは大変である。そして、クラウドサービス事業者は、外国の事業者だったり、サーバが外国にあったり、そもそもどこにサーバがあるのかわからなかったりする。したがって、この例外に該当するかどうかは、結構切実な問題なのである。
そこで、クラウド例外に当たるかどうかの判断基準である、「取り扱い」とは何なのかが問題となる。
実は、個人情報保護法には、「取り扱い」に関する定義がない。個人情報取扱事業者が、「個人情報データベースを事業の用に供している者」と定義されているので、事業の用に供することが取り扱いに当たるのであろう。そして、「輸送業者、倉庫業者、書店のように、内容に関することなく、単に輸送、保管、販売のみを行うものも、事業の用に供しているとはいえない(宇賀克也『新・個人情報保護法の逐条解説』(有斐閣、2021年)176頁)と考えられている。単に情報を保管しているだけのクラウドサービスはこれと同等であると考えれば、取り扱いには当たらないことになる。
個人情報保護委員会「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)」(令和6年3月25日)では、個人データを取り扱わないこととなっていると判断される場合として、「契約条項によって当該クラウドサービス提供事業者がサーバに保存された個人データを取り扱わない旨が定められており、 適切にアクセス制御を行っている場合等」があげられている。そして、具体的な事案について、「クラウドサービス事業者が、当該個人データを使用等できる」「保守用IDを保有して個人データにアクセス可能である」「実際に個人データを取り扱っていた」ことを理由に、クラウド例外には当たらないとしている(個人情報保護委員会「株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく」行政上の対応について」(令和6年3月25日))。契約内容にもよるが、SaaSのようなサービスだと、クラウド例外が認められない場合も多そうである。
クラウド例外に該当しないとすると、クラウドサービス提供事業者は、一般的に個人データ取扱いの委託先になる場合が多いであろう。委託先事業者が国内の事業者でありサーバも国内にあるのなら、第三者提供にはならない(本人の同意は不要)。ただし、提供元の事業者には、委託先の監督義務が課せられる。また、委託先事業者も個人情報取扱事業者となるため、安全管理措置義務等が課せられる。上記の株式会社エムケイシステムの事例でも、そのような判断が示されている。
クラウドサービス提供者が外国の事業者だったりサーバが外国にあったりする場合には、原則として本人の同意が必要となる。ただし、その第三者が、わが国と同等水準の個人情報保護の制度を有していると認められている国にある場合と,個人情報取扱事業者が行わなければならない措置を講じることができる体制(委員会が基準を策定)を整備している場合には、第三者提供が許容される。いずれの場合にも、外国への提供を行う事業者には、移転先事業者における個人情報の取扱いについて、本人に情報提供等を行わなければならない。
なお、そもそもクラウド例外に該当する場合でも、外国にあるサーバに個人データを保存する場合には、事業者自身が外国で個人データを取扱うことになるため、安全管理措置として、「外的環境の把握」が求められる。具体的には、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない(個人情報保護委員会「個人情報の保護に関するガイドライン(通則編)」10-7)。さらに、「保有個人データの安全管理について講じた措置を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く」ことも求められる(Q&A12-3)。少なくとも、データがどの国にあるのかは、把握しなければならないということになる。
以上のような個人情報保護委員会の考え方を、できるだけ簡単に整理すると、おそらく下記のようになる。
① クラウドサービス事業者に個人データの取り扱いなし(クラウド例外)
①-1 事業者とサーバが国内
→ユーザ企業自身のサーバと同じ
①-2. 事業者かサーバが国外
→ユーザ企業自身のサーバと同じだが、「外的環境の把握」が必要
② クラウドサービス事業者に個人データの取り扱いあり
②-1. 事業者とサーバが国内
→委託先への提供(本人の同意等は不要、委託先の監督義務)
②-2. 事業者かサーバが国外
→外国事業者への提供(本人の同意か十分な保護の認定等が必要、本人への情報提供等の義務)
かなり複雑で、普段から個人情報保護法と深く関わっている人でも、ちょっと油断すると混乱してしまうのではないだろうか。このように複雑な仕組みになっているのは、日本の個人情報保護法では、第三者提供を特別扱いしているからである。
日本の制度は、いわゆる内部利用(個人情報を収集した事業者自身による取扱)に厳しい制限を設けない一方で、第三者提供と利用目的の変更については原則として本人の同意を求めている。ただし、委託先への提供について本人の同意を求めるのは酷なので、この第三者から除外している。そして、2015年の法改正で越境移転規制を導入する際には、外国にある委託先を規制の対象外とすると十分な規制と認められない恐れがあるため、委託先も含めて第三者とすることにしたのであろう。そうすると、単なるストレージサービスも外国にあれば第三者提供ということになってしまう。そこで、クラウド例外のような解釈が出てきたのだと考えられる。これに対して、例えばEUのGDPRでは、第三者提供に限らず個人データの処理全般に適法化根拠等を求めて、管理者と処理者がそれぞれの責任を負うという考え方を採用しているため、こういった複雑な問題とはならない。
最後に、デジタル・フォレンジックとの関係についても簡単に触れておこう。クラウド例外が認められるかどうかの判断では、データへのアクセス制御やアクセスの有無が重視されている。これらの検証においては、アクセス管理とその記録の保全が重要であり、デジタル・フォレンジック技術の適切な活用が求められるであろう。
以上
【著作権は、小向氏に属します】
