2024年3月25日、個人情報保護委員会は、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について」を発表しました。 

これは同日に委員会が発表した行政上の対応にともない実施されたものです。 

実務上、第三者が提供するクラウドサービスを利用して個人情報を取り扱う場合は、「提供に該当しない」と整理するか、「業務委託に伴う提供」と整理することが多いのではないかと思われます。 

今回の注意喚起には、その判断基準として考慮すべき内容が含まれています。 

クラウドの利用が委託に当たるかの判断基準

「提供に該当しない」と整理するか、「業務委託に伴う提供」と整理するかの判断基準としては、個人情報の保護に関する法律についてのガイドライン（通則編）（以下GL）や「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（以下 Q&A ）における、以下のような内容が特に参照されているのではないでしょうか。 

〇　「提供」とは、個人データ等を「自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる」（GL2-17「提供」） 

〇　「クラウド事業者が当該個人データを取り扱わないこととなっている場合」とは、「契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられる」（Q&A  Q7-53） 

なお、「提供に該当しない」場合は、「自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要」があります（Q&A  Q7-54）。 

「業務委託に伴う提供」の場合は、「委託先の監督」として「適切な委託先の選定、委託契約の締結、委託先における個人データ取扱状況の把握」が求められます（GL3-4-4 委託先の監督）。 

場合分けのイメージ図 

今回の事案で委託であると判断された考慮要素 

今回の行政対応の対象となる事案について、委員会が「委託」に該当すると判断しましたが、その事例を踏まえ、委託と判断した考慮要素が示されています。 

〇　利用規約において、クラウドサービス提供事業者が保守、運用上等必要であると判断した場合、データ等について、監視、分析、調査等必要な行為を行うことができること及びシステム上のデータについて、一定の場合を除き、許可なく使用し、又は第三者に開示してはならないこと等が規定され、クラウドサービス提供事業者が、特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていたこと。

〇　クラウドサービス提供事業者が保守用IDを保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと。 

〇　クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと。 

判断基準について具体的な考慮要素が提示されたため、今後はこれも念頭に判断する必要があると言えます。 

クラウド選定等の参考となる第三者認証マーク 

先述の通り、「提供に該当しない」場合は、「自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要」があります。「業務委託に伴う提供」の場合は、「委託先の監督」として「適切な委託先の選定等」が求められます。

実務的な対応としては、安全管理措置に関するチェックシート等を用意しておき、それをクラウド提供事業者に記入してもらい、内容を確認するといった対応や、個人情報保護に関する第三者認証の取得の有無を確認するといった対応が一般的かと思われます。 

当機構ではWEBサイト/アプリ向けの第三者認証マーク「TRUSTe（トラストイー）」を認証付与しております。ご興味をお持ちいただけましたらぜひお気軽にお問い合わせください。