ICTで経営課題の解決に役立つコラムを掲載

2022年12月13日掲載

知っておくべき個人情報保護法のルールを解説

クラウドサーバーで個人情報を管理する場合、個人情報保護法のルールを遵守する必要があります。

個人情報保護法は頻繁に改正されるため、法改正の動向にもキャッチアップしなければなりません。企業経営者・担当者は、クラウド上での個人情報管理に関する最新のルールを理解しておきましょう。

今回は、最新の法改正の内容を踏まえて、クラウド上で個人情報を管理する企業が注意すべきポイントを解説します。

クラウド上での管理時に注意すべき個人情報保護法のルール

個人情報保護法では、個人データ（＝データベース上で管理される個人情報）を取り扱う事業者に対して、さまざまな義務が課されています。
特に、クラウド上で個人データを取り扱う際に注意すべき個人情報保護法のルールは、以下の3つです。

（1）個人データの第三者提供

（2）個人データ処理の委託先の監督

（3）個人データの安全管理措置

個人データの第三者提供

事業者が個人データを第三者へ提供する際には、原則として本人の同意を得なければなりません（個人情報保護法27条1項）。

クラウド上で個人データを管理する場合、クラウドサービス事業者に対する第三者提供に当たるのか否か、当たるとすれば第三者提供が認められるのかどうかが、順次問題になります。

個人データ処理の委託先の監督

事業者が個人データの取り扱いを外部委託する際には、安全管理の観点から、委託先に対して必要かつ適切な監督を行わなければなりません（個人情報保護法25条）。

クラウド上で利用できる機能等を通じて、アップロードされた個人データをクラウドサービス事業者の側で取り扱う（処理する）ことになっている場合には、クラウドサービス事業者に対する監督を行う必要が生じます。

個人データの安全管理措置

事業者は、取り扱う個人データの漏えい・滅失・毀損の防止その他の安全管理のために、必要かつ適切な措置を講じることが義務付けられています（個人情報保護法23条）。

個人データの取り扱いをクラウドサービス事業者に委託する場合は、クラウドサービス事業者の側で安全管理措置を講じ、委託元はそれを監督すればこと足ります。
これに対して、個人データの取り扱いをクラウドサービス事業者に委託しない場合は、自ら安全管理措置を講じなければなりません。

第三者提供に関するルールを遵守するためのポイント

クラウド上で個人データを管理する際、第三者提供のルールに関してチェックすべきなのは、以下の2点です。

（1）クラウド上へのアップロードが第三者提供に当たるか否か

（2）第三者提供に当たる場合、本人の同意は必要か否か

クラウド上へのアップロードが第三者提供に当たるか否か

クラウドサービス事業者が個人データを取り扱わない場合、クラウド上に個人データをアップロードする行為は、第三者提供に当たりません（個人情報保護法ガイドラインQ&AQ7-53※1）。この場合、クラウド上へのアップロードについて、本人の同意は不要です。

たとえば、利用契約においてクラウドサービス事業者が個人データを取り扱わない旨が明記されており、適切にアクセス制御を行っている場合には、個人データの第三者提供に当たらないと解されています。

これに対して、クラウドサービス事業者の側でアップロードされた個人データを取り扱う場合、クラウド上に個人データをアップロードする行為は第三者提供に当たります。

第三者提供に当たる場合、本人の同意は必要か否か

クラウド上に個人データをアップロードする行為が第三者提供に当たる場合は、本人の同意を取得する必要があるか否かが問題となります。

個人情報保護法27条1項の条文上は、第三者提供について本人の同意を必要とするのが原則です。ただし、個人データの取り扱いを外部委託する場合には、以下のとおり広く例外が認められています。

（1）クラウドサービス事業者が国内事業者の場合

利用目的の達成に必要な範囲内に限り、本人の同意なく個人データの第三者提供（取り扱いの委託）を行うことができます（同法27条5項1号）。

（2）クラウドサービス事業者が外国事業者の場合

クラウドサービス事業者が以下の（a）または（b）に該当すれば、本人の同意なく個人データの第三者提供（取り扱いの委託）を行うことができます（同法28条1項）。

（a）以下のいずれかの国籍を有する場合

アイスランド
アイルランド
イタリア
英国
エストニア
オーストリア
オランダ
キプロス
ギリシャ
クロアチア
スウェーデン
スペイン
スロバキア
チェコ
デンマーク
ドイツ
ノルウェー
ハンガリー
フィンランド
フランス
ブルガリア
ベルギー
ポーランド
ポルトガル
マルタ
ラトビア
リトアニア
リヒテンシュタイン
ルーマニア
ルクセンブルク

（b）以下のいずれかの体制を整備している場合（個人情報保護法施行規則16条）

個人データの取り扱いについて、適切かつ合理的な方法により、個人情報保護法に定める事業者の義務の趣旨に沿った措置の実施が確保されている
個人情報の取り扱いについて、国際的な枠組に基づく認定を受けている

基本的には、国内の事業者によるクラウドサービスを利用する限り、クラウド上で個人データを管理することにつき、本人の同意を得るべき場面は少ないと考えられます。
しかし念のため、本人から個人情報を取得する際に、クラウド上で管理することがあり得る旨を示して、書面による同意を得ておくのが安全でしょう。

委託先の監督に関するルールを遵守するためのポイント

クラウドサービス事業者が個人データを取り扱う場合は、クラウドサービス事業者に対する監督の問題が生じます。具体的には、以下の3つの対応を通じて、クラウドサービス事業者において適切な安全管理措置が講じられるように監督しなければなりません（個人情報保護法ガイドライン 3-4-4※2）

（1）適切な委託先の選定
委託業務の内容に沿って、個人情報保護法・ガイドライン所定の安全管理措置が確実に実施されるクラウドサービス事業者を選定する必要があります。

（2）委託契約の締結
クラウドサービス事業者において講ずべき安全管理措置の内容を、クラウドサービスの利用契約等において明記することが求められます。

（3）委託先における個人データ取扱状況の把握
定期的な監査等によって、クラウドサービス事業者における個人データの取扱状況を把握・評価することが求められます。

安全管理措置に関するルールを遵守するためのポイント

クラウドサービス事業者が個人データを取り扱わない場合、個人データを管理するのは、クラウド上に個人データをアップした事業者自身です。この場合、事業者自ら個人データの安全管理措置を講ずる必要があります。

事業者が講ずべき安全管理措置の内容は、個人情報保護法ガイドライン「10（別添）講ずべき安全管理措置の内容」※3を参考に、事業の規模・性質等に照らした漏えいリスクを踏まえて適切に検討しなければなりません。

クラウドサーバーで個人情報を管理する企業経営者・担当者は、個人情報管理に関する最新のルールを理解し、適切に管理することが必要です。

参考資料一覧（ページ数は、参考文献内の表記に準じています）