第三者が提供するサーバに個人データを保存することは個人データの第三者提供または委託に該当するか
【注10の論稿に触れ、一部記載を修正しました(2020年8月)】
企業がビジネスを行う際、自社の保有する個人データ(個人情報保護法2条6項)を、外部の事業者が提供するサーバ(クラウドサーバ等)に保存することがあります。
この場合、外部の事業者のサーバへの保存は、個人情報保護法上、どのように扱われるのでしょうか。考え方としては、①第三者提供(法23条)に該当する、②個人データの取扱いの委託(法23条5項1号)に該当する、③第三者提供や委託には該当しない(自社の保有するサーバに保存するのと同様に扱う)、というものがあります。
①の第三者提供に該当すると考えると、本人の同意を得る必要があります(法23条)。個人情報(法2条1項)の取得以前から外部の事業者のサーバに保存することを決めていれば、個人情報の取得時に同意を得ることもできますが、個人情報を取得した後に、外部の事業者のサーバに保存することを決めた場合は、オプトアウトの手続きを経ない限り(法23条2項)、本人ひとりひとりから同意を得る必要があります。これは結構な手間と費用がかかります(注1)。
②の委託に該当すると考えると、本人の同意を得る必要はありませんが(法23条5項柱書)、委託先の監督義務を負うことになります(法22条)。また、委託に関する規定は、原則として外国にある第三者に個人データを提供する場合には適用されないため(法24条2文)、AWS(Amazon Web Services)のように、外国企業の提供するサーバに保存する場合は、個人データの第三者提供と同様に、本人の同意を得る必要が出てきます(法24条1文)。
③の第三者提供にも委託にも該当しないと考えられれば、安全管理措置(法20条)を講じる必要はあるものの(注1ガイドライン(通則編)Q&A5-34)、本人の同意を得る必要も、委託先の監督義務もないので、企業の負担は非常に軽いものになります。
では、どのように解釈すれば良いのでしょうか。
まず、個人情報保護委員会の見解を確認してみましょう。マイナンバー法に関するものですが、「「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び 「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&A」(注2)には、以下のような記載があります。
【Q3-12】
「特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。」
【A3-12】
「当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。」
また、個人情報保護法に関する「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」(注3)もマイナンバー法に関する上記Q&Aと同様の趣旨の見解を示しています。
【Q5-33】
「個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第 23 条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第 23 条第5項第1号)しているものとして、法第 22 条に基づきクラウドサービス事業者を監督する必要がありますか。」
【A5-33】
「クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第 23 条第1項)又は委託(法第 23 条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第 23 条第5項第1号)にも該当せず、法第 22 条に基づきクラウドサービス事業者を監督する義務はありません。当該クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合の個人情報取扱事業者の安全管理措置の考え方についてはQ5-34 参照。当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。なお、法第 24 条との関係についてはQ9-5参照。」
上記Q&Aの趣旨を理解するのは容易ではありませんが(注4)、いずれにせよ、個人情報保護委員会では、クラウドサービスを利用して個人データを保存する場合について、(1)クラウドサービス提供事業者が、当該個人データを取り扱う場合は、個人データの「提供」があるため、第三者提供または委託に該当する(通常は、クラウドサービス提供事業者に個人データの保存という取り扱いを委託しているとして「委託」に該当すると思われます)が、(2)クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合、すなわち、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等は、そもそも個人データの「提供」がないため、第三者提供や委託に該当しない、と整理しているようです。
クラウドサービスを利用する場合の多くは、サービス提供者の用意する利用約款に同意する必要があり、利用約款に対する交渉の余地はほぼないところ、上記(2)のような契約条項が利用約款に入っていない場合がほとんどでしょうから(注5)、上記Q&Aを形式的に当てはめると、ほぼすべてのクラウドサービスの利用は委託に該当することになります(注6)。
しかしながら、クラウドサーバを個人データの保存のために利用する場合、その実質は、個人データの含まれる書類を保管するため倉庫や金庫を借りることと同じであることから、倉庫や金庫の貸主が個人データの提供を受けていないと理解されているのと同様に、クラウドサービス提供事業者もまた、原則として個人データの提供を受けていないと理解するのが実態に沿っているように思われます(注7)。もちろん、倉庫や金庫の貸主はそこに保管された個人データの含まれる書類を利用できないのに対し(例えば、倉庫の貸主が借主に無断で倉庫に入れば建造物侵入の罪に問われます)、クラウドサービス提供事業者は、自己のサーバに保存された個人データを自由に利用し得るため、両者を完全に同一視することはできないと思います。それでも、契約上、当該クラウドサービス提供事業者が、サーバに保存された個人データを当該クラウドサービス提供目的以外の目的(注8)で利用しないことが明確(例えば、利用約款には個人データを取り扱わないことが明示的に定められていなくとも、クラウドサービス提供目的以外の目的で利用すれば契約違反となることが明らかな場合)であり、そのような目的外利用を防ぐ措置(注9)を講じていることが確認できれば、実質的に上記(2)に該当するとして、個人データの提供はないと整理してよいのではないでしょうか。
なお、このようにクラウドサービスの利用が第三者提供や委託に該当しないと整理した場合でも、クラウドサービスを利用する事業者は、法20条の安全管理措置義務を負うことから、クラウドサービス提供事業者の選定は適切に行う必要がありますので注意が必要です(注7個人情報保護法相談標準ハンドブック486、487頁)。
以上は私見に過ぎませんが、影島広泰弁護士の論稿(注10)でも、「クラウドサービスの利用は委託に当たるか。」という問いに対し、「多くのケースでは、委託には当たらない。」と答えており、その解説の中で、上記Q&Aの5-33に触れた後、「多くのクラウドサービス(IaaS、PaaS、ストレージサービス等)では、提供したデータの中に個人データが含まれていたとしても、クラウド事業者はそれを取り扱わないことになっている。このようなサービスである場合には、第三者提供にも委託にも当たらないことになる。」と答えており、私見と同一と思われます。また、「委託に当たらないクラウドの場合、どのような規制が及ぶか。」という問いに対しても、「自社で管理しているものとして、安全管理措置を講じる義務が生じる。」と答えており、この点も私見と同様と思われます。
<参考文献>
(注1)同意を得る際は、「同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、 本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。」(個人情報保護法ガイドライン(通則編)3-4-1)とされています。具体的には、個人データが提供される第三者は誰なのか、提供される個人データの内容はどのようなものか、提供を受けた第三者がどのような利用を行うことになるのか等を示すべきとされています(宇賀克也「個人情報保護法の逐条解説」(第6版)(有斐閣・2018年)(165頁)。もっとも、提供先の氏名・名称を示す義務まではないとされています(注3Q&A5-9)。
*個人情報保護法ガイドライン(通則編)
(注2)https://www.ppc.go.jp/files/pdf/180928_guidelineqa.pdf
(注3)https://www.ppc.go.jp/files/pdf/1906_APPI_QA.pdf
(注4)松尾剛行「クラウド情報管理の法律実務」(弘文堂・2016年)161頁は、マイナンバー法に関するA3-12について「この趣旨は理解が容易ではないものの、委託(個人情報保護法23条5項1号)というのは契約である以上、当事者がその合意によって、明示的に個人情報の取扱いをその委託の範囲から取り除けば、「個人番号〔をその内容に含む電子データ〕の取扱い」が委託されているとはいえなくなるという趣旨と理解される。」と述べています。
(注5)関原秀行「ストーリーとQ&Aで学ぶ改正個人情報保護法」(日本加除出版・2017年)226頁も、「QA5-33に記載の第三者提供に該当しないための要件を充足することは多くのケースでは困難ではないかと考えます」と述べています。
(注6)日置巴美=板倉陽一郎「個人情報保護法のしくみ」(商事法務・2017年)157頁は、個人情報保護委員会は、クラウドサービスの利用は原則として委託に該当するという立場に立っていると解説しています。そのうえで、このような立場を前提とすると、外国のクラウドサービス提供事業者のサービスを受ける場合には、法24条の例外要件(同等性認定、基準適合体制、本人の外国提供同意)を満たすとともに(法24条2文によりオプトアウト手続きは使用できない)、法25条の記録義務を果たすための機能(ログ管理等)の確認が必要であるが、それらは困難であることから、「事実上は当該クラウド事業者のクラウドサーバの利用が不可能であるということもあり得る」と指摘しています(同158頁)。
(注7)個人情報保護編集委員会編「個人情報保護法相談標準ハンドブック」(日本法令・2017年)では、「クラウドサービス提供会社の従業者が、顧客事業者からサーバにアップロードされた個人データを見て処理を行う場合は、個人データ取扱いの委託となるので、法22条の問題となりますが、ただ単に、データの保存場所としてのクラウドサービス利用である場合は、法22条の適用対象外であると考えます。というのも、データ保存場所としてのクラウドサービス利用の場合、クラウドサービス提供会社は、サーバという場所のみを提供するだけであり、直接個人情報を取り扱っておらず、一方において、顧客事業者自身が、個人情報を直接取り扱っているといえるからです。これは、金庫などを貸しているのと同じです。クラウドサービス提供会社は、情報を保存する場所だけを貸し、その場所に保存されている情報に関知しないのです。」と解説されています(同484、485頁)。
(注8)例えば、保守作業のため一時的に個人データを閲覧する程度であれば、クラウドサービス提供目的の範囲内ですが、サーバに保存された個人データを記録、印刷する行為は、目的の範囲外になるという趣旨です。これは、個人情報保護法に関するQ&A5-35が、情報システムの保守を外部の事業者に委託している場合に関し、個人データの提供に当たらない例として、「保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合」を挙げていることを参考にしています。
(注9)例えば、権限のない者が個人データにアクセスしたら、アラートが出たり、ログが残るようなシステムの構築など。
(注10)影島広泰「個人情報の取扱いに関する実務FAQ改正法対応を契機として」ビジネスロージャーナル2017年7月号(No112)35頁以下