見出し画像

【個人情報をクラウドに保存している事業者必見】クラウドサービスの利用に関して個人情報保護委員会が注意喚起

松田綜合法律事務所(Matsuda&Partners)

2024年4月1日
個人情報・プライバシー分野チーム
弁護士 森田岳人


個人情報保護委員会による注意喚起

個人情報保護委員会は、2024年3月25日、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に 該当する場合の留意点について(注意喚起)」と題する文書を公表しました(以下「本文書」といいます)。
クラウドサービスを利用する際の個人情報保護法上の留意点については、これまでも個人情報保護委員会のQ&Aで言及されてきましたが、その記載内容は必ずしも明確なものとは言えませんでした。

本文書は、具体的に発生した情報漏えい事件(後述)を受けて、クラウドサービスを利用する際の留意点を周知するものですが、これまでの個人情報保護委員会のQ&Aよりも詳細に記載されており、実務上も参考になると考えられますので、以下で解説いたします。

本文書の公表に至る経緯

エムケイ社における情報漏えい事件

本文書が公表されるに至ったきっかけは、2023年6月に発生した、株式会社エムケイシステム(以下「エムケイ社」といいます)における情報漏えい事件です(以下「本事件」といいます)。
エムケイ社は、社会保険/人事労務業務支援システム(以下「本件システム」といいます)を、社会保険労務士の事務所等のユーザに対し、SaaS環境においてサービス提供していたところ、2023年6月、エムケイ社のサーバが不正アクセスを受け、ランサムウェアにより、本件システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生しました。
漏えいした可能性のある件数は、総計で約749万件でした。

個人情報保護委員会「株式会社エムケイシステムに対する 個人情報の保護に関する法律に基づく行政上の対応について」より

本事件の特徴

本事件は、最近多発しているランサムウェアによる情報漏えい事件の一つですが、以下の点が特徴的です。

  • 大量の個人データ(最大約2242万人)を保管しているクラウドサービス提供事業者(エムケイ社)がランサムウェアの被害にあったこと

  • 本件システムを利用している者(多くは社労士事務所)は、エムケイ社に対して個人データを委託しているという認識が薄かったこと

  • 社労士事務所に依頼している事業者は、社労士事務所がエムケイ社に対して個人データを再委託しているという認識が薄かったこと

エムケイ社に対する指導等

個人情報保護委員会は、2024年3月25日、エムケイ社に対し、安全管理措置の不備が認められたとして、個人情報保護法に基づき指導(法147条)及び報告徴求(法146条1項)を行いました

本文書のポイント

本文書のポイントは3つです。

①クラウド例外

従前より、事業者が外部のクラウドサービスを利用する場合に、当該クラウドサービスを提供している者が個人データを取り扱わないことになっているのであれば、個人データの提供にはあたらない(=個人データの第三者提供や委託には該当しない)と解されていました(いわゆる「クラウド例外」。個人情報保護法ガイドラインQ&A7-53)。
また、当該クラウドサービス提供事業者が、「個人データを取り扱わないこととなっている場合」とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており適切にアクセス制御を行っている場合等と考えられています(同)。
ただ、上記判断基準はやや曖昧であり、実務上、クラウド例外の該当性について悩ましい事案が多いです。

そのような中、個人情報保護委員会は、本事件においてエムケイ社の保管する個人データについて、以下の考慮要素を示して、クラウド例外に当たらない(=委託にあたる)と判断しました。

利用規約において、クラウドサービス提供事業者が保守、運用上等必要であると判断した場合、データ等について、監視、分析、調査等必要な行為を行うことができること及びシステム上のデータについて、一定の場合を除き、許可なく使用し、又は第三者に開示してはならないこと等が規定され、クラウドサービス提供事業者が、特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていたこと。

クラウドサービス提供事業者が保守用IDを保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと。

クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと。

本文書1~2頁。太字は筆者

これらの内容自体は、従来の個人情報法保護委員会のQ&Aの範囲内であり、新しい解釈が示されたというわけではありません。
ただ、これまで、個人情報保護委員会が具体的事案においてクラウド例外の該当性について明確に言及したことはなく、本事件が初めてではないかと思われます。

②委託先の監督

個人情報保護法では、事業者が外部に個人データの取り扱いを委託するときには、必要かつ適切な監督を行わなければならないとされています(法25条)。
ただ、従来の個人情報保護委員会のガイドラインやQ&Aでは、クラウドサービス事業者に個人データの取り扱いを委託する際の具体的な留意事項について触れられていませんでした。
本文書では、事業者がクラウドサービス事業者に個人データの取り扱いを委託するときの留意点について、以下のように記載されています。

▷サービスの機能やサポート体制のみならず、サービスに付随するセキュリティ対策についても十分理解し、確認した上で、クラウドサービス提供事業者及びサービスを選択してください。

▷個人データの取扱いに関する、必要かつ適切な安全管理措置(個人データの取扱いに関する役割や責任の分担を含みます。)として合意した内容を、規約や契約等でできるだけ客観的に明確化してください(ガイドラインQ&A5-8参照)。

▷利用しているサービスに関し、セキュリティ対策を含めた安全管理措置の状況について、例えば、クラウドサービス提供事業者から定期的に報告を受ける等の方法により、確認してください

本文書2頁。太字は筆者

本文書は、クラウドサービス事業者に個人データの取り扱いを委託する際の具体的な留意事項について初めて触れたものであり、今後の実務において参考になると思われます。

③委託先がクラウドサービスを利用している場合の留意点

本文書では、事業者(委託元)が外部の事業者(委託先)に個人データの取り扱いを委託している場合に、その外部の事業者(委託先)がさらに外部のクラウドサービスを利用しているときの留意点が記載されています。

本事件では、事業者(委託者)が社会保険労務士事務所(委託先)に個人データの取り扱いを委託し、さらに社会保険労務士事務所がエムケイ社のクラウドサービスを利用し、エムケイ社(再委託先)に対して個人データの取り扱いを再委託していたわけですが、個人情報保護委員会は、事業者(委託者)が委託及び再委託していたという認識が薄かったことを問題視しました。

そこで、個人情報保護委員会は、本文書において、委託元は委託先事業者に対する監督の一内容として、委託先事業者が利用するクラウドサービスの安全性などを委託先事業者に確認することを促しています。
本文書では具体的な確認方法については記載されていませんが、委託元としては、個人データの取り扱いを委託する場合に、委託先事業者においてクラウドサービスを利用しているか否か、利用している場合はそのサービス名や安全性について報告させて確認するなどの対応が必要になると思われます。

弁護士 森田岳人(松田綜合法律事務所 パートナー)
2004年10月東京弁護士会登録。松田総合法律事務所入所。2016年4月より同事務所パートナー。2021年1月より名古屋大学未来社会創造機構 客員准教授。東京弁護士会AI研究部所属。
最近は、個人情報・プライバシー関連法務、AI・データ関連法務、自動運転・モビリティサービス関連法務に、IT関連法務に注力。
「個人情報保護委員会の動向」(共同執筆/ジュリスト 2023年10月号(No.1589) | 有斐閣)、「与信AIに法規制はなされるか ―差別・公平性の観点から―」(共同執筆/「金融法務事情」 2022年6月10日号)、「AIプロファイリングの法律問題──AI時代の個人情報・プライバシー」(共著/商事法務)ほか。


この記事が気に入ったらサポートをしてみませんか?