顧客情報をクラウドにアップロードすることに問題はありますか?
目次
クラウドサービスを利用するリスク
業務のためにクラウドサービスを利用すると、顧客情報や従業員情報などの自社の情報・データを外部の事業者に預けることになります。そのため、例えば当該事業者によるセキュリティ対策の不備による情報漏洩等、プライバシーや個人情報保護の観点から問題が生じるリスクがあります。
そこで、クラウドサービスを利用する際は、アカウント情報を自ら適切に管理するとともに、ISO/IEC 27001やプライバシーマーク等のセキュリティの認証を取得している等、セキュリティ対策を適切に講じている事業者を選定することが前提となります。
クラウドサービスの利用と個人情報保護法
個人情報を含むデータをクラウドサービスの事業者に預けるという点に関しては、特に個人情報保護法に留意する必要があります。
個人情報保護法上、第三者に個人データを提供する場合(「第三者提供」といいます。)、原則として本人の同意を取得しなければなりません(法27条1項)。また、個人データの取扱いを委託することに伴って当該個人データが提供される場合(「委託」といいます。)、本人の同意を取得する必要はありませんが、委託先の監督義務を負うことになります(法27条5項1号、25条)。
この点に関し、クラウドサービスの利用が「第三者提供」または「委託」に該当するかどうかは、預けるデータに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準になるとされています(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-53)。そして、個人データを取り扱わないこととなっている場合とは、「契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」が考えられるとされています(同Q&A7-53)。
(1)クラウドサービスの事業者が個人データを取り扱わないこととなっている場合
利用するクラウドサービスの内容にもよりますが、多くの場合、海外のクラウドサービス事業者は、個人データを取り扱わないと整理しています。関連する契約条項にその旨が定められているかどうかを確認した上で、当該事業者にこの点についてどのように整理しているかを聞いてみることがよいと思います。
個人データを取り扱わないこととなっている場合、個人データは事業者に提供されておらず、「第三者提供」または「委託」には該当しません。そのため本人の同意を取得する必要はありませんし、委託先の監督義務も負いません。
もっとも、クラウドサービスの利用者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があるとされています(同Q&A7-54)。
具体的には、クラウドサービスの利用者が海外で個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。この場合には、基本的に、クラウドサービス提供事業者が所在する外国の名称および個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で、講じた措置の内容を本人の知り得る状態に置く必要があるとされています(同Q&A10-25)。この関係で、事業者がクラウドサービスにおいて利用するサーバの場所も確認しておく必要があります。
(2)クラウドサービスの事業者が個人データを取り扱うこととなっている場合
海外のクラウドサービス事業者が個人データを取り扱うと整理している場合は、サービスの内容にもよりますが、「委託」に該当することになることが多いと考えられます。
「委託」に該当する場合、利用者は、委託先であるクラウドサービスの監督義務を負います(法27条5項1号、25条)。具体的には、委託する個人データの内容等を踏まえたリスクの大きさに応じて、委託先が講じるべき安全管理措置の内容、委託先における個人データの取扱状況を把握するための監査の内容等を盛り込んだ契約を締結することが一般的です。
また、上記(1)の場合と同様に、委託元であるクラウドサービスの利用者は、委託先であるクラウドサービス事業者を通じて海外で個人データを取り扱うことになります。そのため、当該事業者(および再委託先がある場合は当該再委託先)が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があるとされています(同Q&A10-24)。
さらに、委託先であるクラウドサービス事業者が「外国にある第三者」(法28条1項)に該当する場合には、原則として委託先が所在する外国の名称等を本人に情報提供した上で、本人の同意を取得する必要があります(法28条1・2項)。
ただし、現時点においては、委託先の事業者がEUまたは英国にある場合や、委託元・委託先間で適切な委託契約が締結されている場合等には、この規制は適用されないとされています。そのため、本人の同意を取得しなければならないという規制を回避するために、委託元・委託先間で適切な契約を締結することによって対応することが一般的です。
クラウドサービス事業者との契約の内容
EUの個人情報保護規則であるGDPRにおいては、以下のように、委託先となるクラウドサービス事業者との契約に定めるべき委託先の義務の内容が具体的に規定されています(GDPR28条3項)。
①委託元からの文書による指示に基づいてのみ個人データを取り扱うこと
②個人データを取り扱う個人に守秘義務を負わすこと
③適切なセキュリティ措置を講じること
④再委託する場合は委託元の承認を取ること
⑤本人からの権利行使があった場合は委託元を支援すること
⑥情報漏洩等が発生した場合は委託元に速やかに連絡すること
⑦サービス終了後は、個人データを消去又は委託元に返却してコピーを消去すること等
他方で、日本の個人情報保護法は、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」において一定の指針は示されているものの、契約に定めるべき具体的な内容は規定されていません。もっとも、基本的には、GDPRで求められているような内容を契約に盛り込んでおけば、上記(2)の場合であっても、特段の問題はないと考えられます。
また、上記(1)と(2)のいずれの場合であっても、契約の一般的な問題として、準拠法、裁判管轄、責任制限条項は確認しておく必要があります。
クラウドサービス事業者のサーバで情報漏洩等が発生し、損害賠償が問題となった場合、準拠法が日本法ではなく、裁判管轄が日本の裁判所ではない場合、大きなコストをかけて海外の裁判所で紛争を解決しなければならなくなる可能性があります。また、責任制限条項によりクラウドサービス事業者の責任が制限されている場合は、その内容に応じて損害賠償の請求が制限されることになりますので、この点にも注意しておかなければなりません。
まとめ
海外の事業者が提供するクラウドサービスを利用するに当たっては、セキュリティ対策を適切に講じている事業者を選定することが前提となります。その上で、当該事業者が個人データを取り扱うと整理しているかどうかをまずは確認し、当該事業者との契約の内容が適切なものであるかどうか、個人情報保護法の観点からチェックする必要があります。
※この記事は、2024年1月30日に作成されました。