1 はじめに
令和2年・3年個人情報保護法改正に関連して、前回(第21回)はプライバシーポリシーについて説明したが、今回はクラウドサービス(以下では引用箇所を除き、「クラウド」という)について説明しよう。すでに「政府情報システムにおけるクラウドサービスの利用に係る基本方針」*1(2018年制定、2021年改訂)で政府情報システムについてクラウドの利用を第一候補としてその検討を行うものとする「クラウド・バイ・デフォルト原則」が打ち出されたほか、民間においてもクラウドの利用が広まっている。
クラウドの法律問題に関して、筆者(松尾)は2016年に『クラウド情報管理の法律実務』(弘文堂)を出版したところであるが、出版後の5年間で法令も実務も大きく変化した。そこで、以下では、個人情報保護法の法改正等の実務動向の変化も踏まえつつ、クラウドの利用が個人データの第三者提供になる場合とならない場合とに分け(2)、まずは国内クラウドの利用が第三者提供にならない場合の規律を(3)、次に、外国クラウドの利用が第三者提供にならない場合の規律を(4)、さらに、国内クラウドの利用が第三者提供になる場合の規律を(5)、最後に外国クラウドの利用が第三者提供になる場合の規律を(6)概観したい。条文番号の表記の方針は第21回と同様とし、個人情報保護委員会のガイドラインおよびQ&Aは、本連載公開日時点で公表済みのものを基準とする。
なお、本稿において「国内クラウド」はクラウドの提供事業者が日本に所在する場合を指し、「外国クラウド」はクラウドの提供事業者が外国に所在する場合を指す用語であり、サーバの所在地により区別するものではない。
2 クラウドの利用が第三者提供になる場合とならない場合
クラウドの利用が第三者提供になるか否かについては、2022年4月1日施行の「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下「Q&A」という)7-53*2が、「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならない」としていることが重要である。
「当該個人データを取り扱わないこととなっている場合」の意義について、同Q&A7-53は、「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます」としている。
よって、このような契約条項の定めやアクセス制御があり、「当該個人データを取り扱わないこととなっている場合」であれば、第三者提供とならないことになり、そうでなければ第三者提供になることになる。
3 国内クラウドの利用が第三者提供にならない場合の規律
国内クラウド事業者が「個人データを取り扱わないこととなっている場合」であれば、第三者提供(新27条)規制が適用されず、原則として本人の同意は不要である。
この場合、クラウドはあくまでも自分の会社のサーバ内で管理しているのと同様であるから、「自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要がある」(Q&A7-54)とされている。
つまり、第三者提供規制が適用されないからといって何ら法令上の規制がかからないのではなく、安全管理措置(新23条)を講じる義務を尽くさなければならないのである*3。同様に、新26条により報告対象となる個人データの漏えい等が発生したときには、クラウドを利用する事業者が報告義務を負い、クラウド事業者は報告義務を負わない(Q&A6-19)*4。
4 外国クラウドの利用が第三者提供にならない場合の規律
外国第三者提供についてもQ&Aは「当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(略)に該当しません」(Q&A12-4)としている。そのため、外国クラウド事業者が「個人データを取り扱わないこととなっている場合」であれば、やはり第三者提供規制はかからない。
このような場合、外国クラウドを利用する企業において上記3と同様に安全管理措置(新23条)を尽くすことになり、その一環としての外的環境の把握(ガイドライン通則編10−7)が必要となる。すなわち、「個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握したうえで、個人データの安全管理のために必要かつ適切な措置を講じなければならない。」(ガイドライン通則編10−7)という点に対応しなければならない。その観点から、Q&A10-25は「個人情報取扱事業者は、外国において個人データを取り扱うこととなるため、 当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。日本国内に所在するサーバに個人データが保存される場合においても同様です。」としている。外国の制度等については、個人情報保護委員会が日本企業が関係することが多い31の国や地域について、「年内(引用者注:2021年内)を目途に、調査対象とする国又は地域の個人情報の保護に関する制度と我が国の個人情報保護法との間の本質的な差異の把握に資する一定の情報を公表する予定」としている*5。ただし、この内容は「必要かつ適切な措置」の具体的内容までは含まないと想定され、その意味では、外国の制度について個人情報保護委員会の公表を参照しながらも、自社のリスクの特徴を踏まえた独自の「必要かつ適切な措置」の検討が必要であろう。
さらに、このような外的環境の把握が安全管理措置の一環として行われる以上、これを「保有個人データの安全管理のために講じた措置」(新32条1項4号、新政令10条1号)として本人の知り得る状態に置く必要がある。この措置として、Q&A10-25は「クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。」としている。実際には、「個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施しております」(通則編3−8−1参照)程度でも記載としては可能とは思われるが、その前提として本当に、当該外国の個人情報保護制度を把握した上で必要かつ適切な措置を講じているかは、なお問題となる*6。
5 国内クラウドの利用が第三者提供になる場合の規律
国内クラウドに対する個人データの提供が第三者提供になれば、新27条に基づく本人同意が原則として必要となる。ただし、当該提供について委託の形式を採用することができるのであれば、本人同意は不要である(新27条5項1号)。
もっとも、クラウドでは一般に委託形式の想定している委託先に対する監督(新25条)が困難であり、だからこそ上記2の「当該個人データを取り扱わないこととなっている場合」には第三者提供にならないという個人情報保護委員会の見解が示されるに至っている、という経緯を踏まえると、第三者提供である前提で本人同意を不要とするロジックを組むことは実務上困難がありそうである。
6 外国クラウドの利用が第三者提供になる場合の規律
Q&A12-3は個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合には原則として外国第三者提供としたうえで、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(新28条1項)に該当しないとしている。
この点については、Q&A12-4が「当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱っている場合には、サーバが国内にある場合であっても、外国にある第三者への提供(略)に該当します。ただし、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを日本国内で取り扱っており、日本国内で個人情報データベース等を事業の用に供していると認められる場合には、外国にある第三者への提供(略)に該当しません(ガイドライン(外国ある第三者への提供編)2-2参照)。」としている。
これをまとめたのが下の表である(サーバに保存された個人データを取り扱う場合が前提であり、そうでない場合には、上記2のとおり、すべて外国第三者提供にならない)。
サーバ\事業者 |
日本事業者 |
外国事業者 |
|
日本サーバ |
外国第三者提供にならない |
原則外国第三者提供になるが、日本国内で個人情報データベース等を事業の用に供していると認められる場合には外国第三者提供にならない(Q&A12-4) |
|
外国サーバ |
通常外国第三者提供にならない*7 |
通常外国第三者提供になる |
これを前提に、新27条の第三者提供の規律に加え、新28条の外国第三者提供の規律を遵守する必要がある。
実務的な新28条の外国第三者提供の規律の遵守方法は第21回を参照していただきたいが、上記5と同様にクラウドである以上は委託の形式を採用することができる可能性が高くないこと、および、改正法のもとでは委託+相当措置であっても、相当措置の継続的な実施を確保するために必要な措置に関する情報提供(新28条3項)等、従来よりも重い規制がかかっていることに留意が必要である。
*1:https://cio.go.jp/sites/default/files/uploads/documents/cloud_policy_20210330.pdf
*2:2022年3月31日までのガイドラインにおける「Q&A5−33」である。
*3:なお、そのような安全管理措置につき、プライバシーポリシー上に「保有個人データの安全管理のために講じた措置」を記載するかその他本人に遅滞なくこれを回答しなければならないことについては、第21回のとおりである。
*4:これに対し、委託の場合、原則として委託元と委託先の双方が報告義務を負う(ガイドライン通則編3-5-3-2)。
*5:https://www.ppc.go.jp/files/pdf/210917_pp_offshore_kouhyou_sywkqc.pdf
*6:通則編3−8−1(*8)は「外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。」と記載している。そのため、外国の正式名称の特定は必ずしも必要ないが、この点に関してQ&A10-25は「個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る状態に置く必要があります。②本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられます。」としているのが参考になる。また、「保有個人データを取り扱っている外国の制度」に関する周知措置に関しては「望ましい」との記載であり(通則編3−8−1(*8))、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはない(通則編1−1)とされている。今後、実務においてどの程度、外国制度の内容を記載していくべきかについては、議論が必要であろう。
*7:Q&A12-3は自社(個人情報取扱事業者自ら)が外国に設置し、自ら管理・運営するサーバに個人データを保存することが、外国にある第三者への提供(新28条1項)に該当しないとするだけだが、国内の第三者が外国に設置し、国内の第三者が管理・運営するサーバでも同様のはずである。
