- 目次
1.クラウドを利用した個人情報の取扱いが「委託」に該当する?
2024年3月25日に、個人情報保護委員会はクラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)(以下「注意喚起」と記載)を公表しました。この注意喚起では、事業者がクラウドサービスを利用して個人データを取り扱うことが委託に該当する場合の具体的な内容や、クラウドサービス事業者を委託先として監督する場合の留意事項が示されました。
クラウドサービスで個人情報を含めた各種データを取り扱い、業務を実施することは幅広く行われています。一方、クラウドサービスでの個人情報の取扱いが委託に該当する場合、個人情報保護法で義務付けられた委託先の監督を実施する必要があります。しかし、その具体的な実施内容にはわかりにくい部分があります。
本項では、個人情報保護委員会が公表した注意喚起等を元に、NTT DATAが実施している対応を紹介します。
なお、個人情報保護法では「個人情報」と「個人データ」のそれぞれを定義しています。本稿の説明の対象は個人データとなるため、「個人データ」と表記します。
2.クラウドでの個人データの取扱いに対する個人情報保護法での整理
個人情報保護法では、個人データの取扱いを他の事業者に委託する場合、委託された個人データが安全かつ適切に取り扱われるよう、委託先に対して必要かつ適切な監督を行う義務を定めています(法第25条)。
また、クラウドサービスの利用が個人データの取扱いの委託に該当するかどうかについて、個人情報保護委員会は「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aで以下のように示しています。
A7-53
クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第27条第5項第1号)にも該当せず、法第25条に基づきクラウドサービス事業者を監督する義務はありません。
(※中略)
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
(以下略)
この回答に基づけば、クラウドサービスで保存や処理などの取扱いを行っている個人情報について、以下の2つが共に実施されている場合は、クラウドサービス事業者に個人データの取扱いを委託したことに該当せず、クラウドサービス事業者を監督する義務はない、ということになります。
- (1)クラウドサービス事業者との契約条項によって、クラウドサービス事業者がクラウドサービスに保存された個人データを取り扱わない旨が定められていること
- (2)クラウドサービスに保存した個人データに対し適切にアクセス制御を行うこと
逆に、上記の2つの両方またはいずれか一方が実施されていない場合は、クラウドサービス事業者が個人データを取り扱っていることとなり、クラウドサービス事業者を委託先として監督する義務が発生します。
以下に、クラウドサービスの利用が個人データの取扱いの委託に該当するかどうかの判定方法をまとめます。
2024年3月25日に個人情報保護委員会が公表した注意喚起では、2023年に発生した業務支援クラウドサービスに対する不正アクセスにおいて、対象のクラウドサービスの利用が個人情報の取扱いの委託に該当すると判断した理由を以下のとおり示しました。
- 利用規約において、クラウドサービス提供事業者が保守、運用上等必要であると判断した場合、データ等について、監視、分析、調査等必要な行為を行うことができること及びシステム上のデータについて、一定の場合を除き、許可なく使用し、又は第三者に開示してはならないこと等が規定され、クラウドサービス提供事業者が、特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていたこと。
- クラウドサービス提供事業者が保守用IDを保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと。
- クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと。
これらの内容は、クラウドサービス事業者がクラウドサービスに保存された個人データを取り扱っていることの具体例が個人情報保護委員会より示されたものとなります。
3.委託に該当する場合/該当しない場合のそれぞれで実施が必要な内容
委託先の監督について、個人情報保護委員会は個人情報の保護に関する法律についてのガイドライン(通則編)(以下、「ガイドライン(通則編)」と記載します)の「3-4-4委託先の監督(法第25条関係)」で、以下の3つについて必要かつ適切な措置を講じなければならない、としています。
- (1)適切な委託先の選定
委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第23条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「10((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。 - (2)委託契約の締結
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。 - (3)委託先における個人データ取扱状況の把握
委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。
また、2024年3月25日に個人情報保護委員会が公表した注意喚起では、クラウドサービスの利用が個人情報の取扱いの委託に該当する場合に、事業者がクラウドサービス事業者を委託先として監督する際の留意事項を以下のとおり示しています。
- サービスの機能やサポート体制のみならず、サービスに付随するセキュリティ対策についても十分理解し、確認した上で、クラウドサービス提供事業者及びサービスを選択してください。
- 個人データの取扱いに関する、必要かつ適切な安全管理措置(個人データの取扱いに関する役割や責任の分担を含みます。)として合意した内容を、規約や契約等でできるだけ客観的に明確化してください(ガイドラインQ&A5-8参照)。
- 利用しているサービスに関し、セキュリティ対策を含めた安全管理措置の状況について、例えば、クラウドサービス提供事業者から定期的に報告を受ける等の方法により、確認してください。
これらの内容から、クラウドサービスでの個人情報の取扱いが委託に該当する場合に、事業者は以下の対応を行う必要があると言えます。
- 利用するクラウドサービスが、個人情報保護委員会のガイドライン通則編に掲載されている安全管理措置を実施していることを、クラウドサービスの利用規約及び運用状況等の報告書等の確認、ならびにクラウド事業者に質問することにより確認する。
- 利用するクラウドサービスが必要かつ適切な安全管理措置を実施することについて、クラウドサービスの利用規約又は個別の契約に記載して、クラウドサービス事業者と契約する。
- クラウドサービスでの安全管理措置の実施状況について、クラウドサービス事業者から運用状況等の報告書等を定期的に受領し、確認する。
一方、クラウドサービスの利用が個人データの取扱いの委託に該当しない場合に、事業者はどのような義務を負うのでしょうか。この点について、個人情報保護委員会は「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aで以下のように示しています。
A7-54
クラウドサービスの利用が、法第27条の「提供」に該当しない場合、法第25条に基づく委託先の監督義務は課されませんが(Q7-53参照)、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。
これは、クラウドサービス事業者を委託先として監督する義務は課されないものの、事業者に課されている安全管理措置の一環として、必要かつ適切な安全管理措置が実施されているクラウドサービスを選定・利用し、またクラウドサービスでの安全管理措置の実施状況を確認する必要がある、と言えます。
よって、クラウドサービスの利用が個人データの取扱いの委託に該当しない場合であっても、クラウドサービスが実施する安全管理措置の確認、安全管理措置の実施に関するクラウド事業者との契約締結、及び安全管理措置の実施状況の確認という対応が必要になると考えます。
4.NTT DATAでの実施例
前項では、クラウドサービスで個人情報を取り扱う場合に、事業者はクラウドサービスで実施している安全管理措置の内容を確認し、またクラウドサービス事業者との契約で安全管理措置の実施を定める必要があると説明しました。
一方、クラウドサービスによっては一部の安全管理措置について実施状況を確認できない場合がある、という課題があります。
NTT DATAでは、各社のクラウドサービスを利用して個人情報を取り扱う場合は、委託に該当する場合と該当しない場合の双方とも以下の対応を行い、上記の課題に対処しています。
- チェックシートを使用して、クラウドサービスでの安全管理措置の実施状況を確認し評価します。
- クラウドサービスの利用規約を確認し、クラウドサービスが実施する安全管理措置の定めを確認します。
- 利用規約に記載されていない安全管理措置をクラウドサービスで実施することをクラウド事業者と交渉し、合意した内容を個別の覚書で締結します。
- クラウドサービスの運用状況等の報告書等を定期的に確認し、安全管理措置の実施状況を確認します。
クラウドサービスで安全管理措置ができるだけ網羅的に実施されることを交渉し、合意した内容を覚書にて締結することで、NTT DATAはリスクを適切に管理してクラウドサービスで個人情報を取り扱うようにしています。
5.まとめ
本稿では、クラウドサービスを利用して個人情報を取り扱うことが個人情報保護法での委託に該当する場合があること、また委託先の監督又は自らの安全管理措置の一環としてクラウドサービスでの安全管理措置の実施について必要な対応を説明しました。
クラウドサービスの利用者の立場としては、クラウドサービスが実施する安全管理措置の決定や実施状況の確認が十分に行えない制約はあるものの、クラウドサービス事業者と安全管理措置の実施を交渉し合意することにより、クラウドサービスで取り扱う個人情報を安全かつ適切に管理できるものと考えます。
今後も様々な形態のクラウドサービスが提供されることが見込まれるため、NTT DATAは引き続き動向を把握し、対応の改善に努めてまいります。