- 2021年5月31日 16:45
従来オンプレミスで企業独自にサーバを稼働させてきた事業者であっても、最近の通信技術の向上、高度なセキュリティ技術の導入、膨張する記録量の増加に伴うストレージの管理等に対応するため、サーバをクラウドに変えるといった事例は大手企業でなくても増えてきています。
この場合、個人情報保護法の視点からは以下のことに注意をする必要があるでしょう。
個人情報の保護法の視点からクラウドの選定をとらえた場合、クラウドの利用が個人情報の提供にあたるのか、委託にあたるのかといった視点が一点あります。
もう一点は、クラウドが国内にあるのか、海外にあるのかといった視点があります。
提供か委託かは、クラウド利用契約によります。
【個人情報の提供か委託かによる違い】
クラウドサービスの利用が、本人の同意が必要な第三者提供又は委託に該当しているかどうかは、クラウドサービスを提供する事業者において個人データを取扱うことになっているのかどうかが判断基準となります。保存データについて利用規約上等でクラウド事業者がこれを取り扱わない旨が定められており、適切にアクセス制御がなされている場合には、「提供」には当たらないことになります。
もっとも、その場合は「個人データ」の委託先への提供に伴い、利用者は委託先に対して必要かつ適切な監督を行う義務が課されます。
規約上、クラウド事業者が一部でも扱う部分があれば、提供となり、提供を受けた本人の第三者提供の同意が必要となります。
基本は、クラウド利用契約によるので、クラウドを選定する際には、この点を考慮に入れて選定することが必須となります。
【クラウドの所在の違い】
次に、クラウドの所在が、国内なのか、海外にあるのかといった視点です。
改正個人情報保護法によって新たに追加された法第24条では、「外国にある第三者への提供の制限」を定めています。これを、「越境移転制限」と呼ぶこともあります。
ここでいう「提供」には、国内であれば本人の同意が不要な、委託に伴う提供や、合併等の企業結合に伴う提供も含まれます。通常の第三者提供ももちろん含まれます。
例えば、外国に所在する子会社に出向の前提として従業員の個人データを提供する場合や、海外のクラウド事業者が提供するSaaSを利用する場合、コールセンター業務を海外の事業者に委託する場合などに適用されます。
【外国にある第三者への提供時の同意】
どのような場合に外国にある第三者に個人データの提供が行えるのでしょうか。まず、「本人の同意」を得ることが挙げられます。原則として外国の法令が適用される第三者に提供することにはリスクも伴いますので、そのことについて説明することが重要です。「どの国に所在する第三者に提供するのか」を示した上で、本人の同意を取る必要があるでしょう。
以上の点を考慮しても、クラウド利用はますます経営にとって有益なものとなるでしょう。
【他山の石と思わない】
今年の4月に突然公表されたLINEの問題は、決して他人ごとではなく、通常の事業者でも知らず知らずのうちに、同じような状況に陥らないとは限りません。
クラウドの導入にあたっては、利用規約をよく確認し、費用面だけでなく、すべての契約内容についてSLA等のサービス規約を確認し、個人情報保護法違反とならないよう選定時に注意を図ることが肝要でしょう。
- Older: 本店移転のご案内