【個人情報をクラウドに保存している事業者必見】クラウドサービスの利用に関して個人情報保護委員会が注意喚起
2024年4月1日
個人情報・プライバシー分野チーム
弁護士 森田岳人
個人情報保護委員会による注意喚起
個人情報保護委員会は、2024年3月25日、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に 該当する場合の留意点について(注意喚起)」と題する文書を公表しました(以下「本文書」といいます)。
クラウドサービスを利用する際の個人情報保護法上の留意点については、これまでも個人情報保護委員会のQ&Aで言及されてきましたが、その記載内容は必ずしも明確なものとは言えませんでした。
本文書は、具体的に発生した情報漏えい事件(後述)を受けて、クラウドサービスを利用する際の留意点を周知するものですが、これまでの個人情報保護委員会のQ&Aよりも詳細に記載されており、実務上も参考になると考えられますので、以下で解説いたします。
本文書の公表に至る経緯
エムケイ社における情報漏えい事件
本文書が公表されるに至ったきっかけは、2023年6月に発生した、株式会社エムケイシステム(以下「エムケイ社」といいます)における情報漏えい事件です(以下「本事件」といいます)。
エムケイ社は、社会保険/人事労務業務支援システム(以下「本件システム」といいます)を、社会保険労務士の事務所等のユーザに対し、SaaS環境においてサービス提供していたところ、2023年6月、エムケイ社のサーバが不正アクセスを受け、ランサムウェアにより、本件システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生しました。
漏えいした可能性のある件数は、総計で約749万件でした。
本事件の特徴
本事件は、最近多発しているランサムウェアによる情報漏えい事件の一つですが、以下の点が特徴的です。
大量の個人データ(最大約2242万人)を保管しているクラウドサービス提供事業者(エムケイ社)がランサムウェアの被害にあったこと
本件システムを利用している者(多くは社労士事務所)は、エムケイ社に対して個人データを委託しているという認識が薄かったこと
社労士事務所に依頼している事業者は、社労士事務所がエムケイ社に対して個人データを再委託しているという認識が薄かったこと
エムケイ社に対する指導等
個人情報保護委員会は、2024年3月25日、エムケイ社に対し、安全管理措置の不備が認められたとして、個人情報保護法に基づき指導(法147条)及び報告徴求(法146条1項)を行いました。
本文書のポイント
本文書のポイントは3つです。
①クラウド例外
従前より、事業者が外部のクラウドサービスを利用する場合に、当該クラウドサービスを提供している者が個人データを取り扱わないことになっているのであれば、個人データの提供にはあたらない(=個人データの第三者提供や委託には該当しない)と解されていました(いわゆる「クラウド例外」。個人情報保護法ガイドラインQ&A7-53)。
また、当該クラウドサービス提供事業者が、「個人データを取り扱わないこととなっている場合」とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等と考えられています(同)。
ただ、上記判断基準はやや曖昧であり、実務上、クラウド例外の該当性について悩ましい事案が多いです。
そのような中、個人情報保護委員会は、本事件においてエムケイ社の保管する個人データについて、以下の考慮要素を示して、クラウド例外に当たらない(=委託にあたる)と判断しました。
これらの内容自体は、従来の個人情報法保護委員会のQ&Aの範囲内であり、新しい解釈が示されたというわけではありません。
ただ、これまで、個人情報保護委員会が具体的事案においてクラウド例外の該当性について明確に言及したことはなく、本事件が初めてではないかと思われます。
②委託先の監督
個人情報保護法では、事業者が外部に個人データの取り扱いを委託するときには、必要かつ適切な監督を行わなければならないとされています(法25条)。
ただ、従来の個人情報保護委員会のガイドラインやQ&Aでは、クラウドサービス事業者に個人データの取り扱いを委託する際の具体的な留意事項について触れられていませんでした。
本文書では、事業者がクラウドサービス事業者に個人データの取り扱いを委託するときの留意点について、以下のように記載されています。
本文書は、クラウドサービス事業者に個人データの取り扱いを委託する際の具体的な留意事項について初めて触れたものであり、今後の実務において参考になると思われます。
③委託先がクラウドサービスを利用している場合の留意点
本文書では、事業者(委託元)が外部の事業者(委託先)に個人データの取り扱いを委託している場合に、その外部の事業者(委託先)がさらに外部のクラウドサービスを利用しているときの留意点が記載されています。
本事件では、事業者(委託者)が社会保険労務士事務所(委託先)に個人データの取り扱いを委託し、さらに社会保険労務士事務所がエムケイ社のクラウドサービスを利用し、エムケイ社(再委託先)に対して個人データの取り扱いを再委託していたわけですが、個人情報保護委員会は、事業者(委託者)が委託及び再委託していたという認識が薄かったことを問題視しました。
そこで、個人情報保護委員会は、本文書において、委託元は委託先事業者に対する監督の一内容として、委託先事業者が利用するクラウドサービスの安全性などを委託先事業者に確認することを促しています。
本文書では具体的な確認方法については記載されていませんが、委託元としては、個人データの取り扱いを委託する場合に、委託先事業者においてクラウドサービスを利用しているか否か、利用している場合はそのサービス名や安全性について報告させて確認するなどの対応が必要になると思われます。
弁護士 森田岳人(松田綜合法律事務所 パートナー)
2004年10月東京弁護士会登録。松田総合法律事務所入所。2016年4月より同事務所パートナー。2021年1月より名古屋大学未来社会創造機構 客員准教授。東京弁護士会AI研究部所属。
最近は、個人情報・プライバシー関連法務、AI・データ関連法務、自動運転・モビリティサービス関連法務に、IT関連法務に注力。
「個人情報保護委員会の動向」(共同執筆/ジュリスト 2023年10月号(No.1589) | 有斐閣)、「与信AIに法規制はなされるか ―差別・公平性の観点から―」(共同執筆/「金融法務事情」 2022年6月10日号)、「AIプロファイリングの法律問題──AI時代の個人情報・プライバシー」(共著/商事法務)ほか。
この記事が気に入ったらサポートをしてみませんか?