見出し画像

個人情報保護委員会が「クラウド例外」の解釈を示した事例(㈱エムケイシステムに対する指導等)

Tech Law LAB|弁護士

2024年3月25日、個人情報保護委員会は、㈱エムケイシステムに対し、個人情報保護法に基づく指導等を行いました。
この事例は、いわゆる「クラウド例外」が問題になったものであり、個人情報保護委員会が具体的な判断を示した最初の事例と思われますので、ご紹介します。
公表資料:https://www.ppc.go.jp/files/pdf/240325_houdou.pdf

1.事案の概要

事案の概要は以下のとおりです。

エムケイ社は、社会保険/人事労務業務支援システム(以下「本件システム」という。) を、社会保険労務士(以下「社労士」という。)の事務所等のユーザ(以下「ユーザ」と いう。)に対し、SaaS 環境においてサービス提供していたところ、令和5年6月、エムケイ社のサーバが不正アクセスを受け、ランサムウェアにより、本件システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生した。本件システムは、主に社労士向けの業務システムであり、社会保険申請、給与計算及び人事労務管理等の業務のために利用するものである。同システムで取り扱われていた個人データは、社労士の顧客である企業や事業所等(以下「クライアント」という。)の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号及びマイナンバー等である。エムケイ社の報告によれば、現時点において、個人データの悪用などの二次被害は確認されていない。

個人情報保護委員会の前記公表資料より引用

2.クラウド例外と個人情報保護委員会の判断

そもそも「クラウド例外」とは、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-53で言及されている、クラウドサービス上にデータを保管等する場合において、個人データの第三者提供にも委託にもならない例外のことです。
同Q&Aでは、「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合」、すなわち「契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」には、第三者提供にも委託にもならないとされています。
実務上、この例外を使って法の適用関係を整理することはよくあったものの、そもそも、「契約条項の規定」かつ「アクセス制御」が要件なのか、どちらか一方でよいのか、また「アクセス制御を行っている場合等」の「等」にはどのような形態であれば含まれるのか等、不明な点が多くありました。

本件では、結論として「クラウド例外」該当性が否定されているのですが、その理由付けとして、以下のようなところに言及されています。

  1. エムケイ社の利用規約には、エムケイ社がサービスに関して保守運用上又は技術 上必要であると判断した場合、ユーザがサービスにおいて提供、伝送するデータ等 について、監視、分析、調査等、必要な行為を行うことができる旨が規定されていた。また、本件利用規約において、エムケイ社は、ユーザの顧問先に係るデータを、一定の場合を除き、ユーザの許可なく使用し、又は第三者に開示してはならないという旨が規定されており、エムケイ社は、当該利用規約に規定された特定の場合には、社労士等のユーザの顧問先に係る個人データを使用等できることとなっていた。

  2. エムケイ社は保守用IDを有しており、それを利用して本件システム内の個人データにアクセス可能な状態であり、エムケイ社の取り扱いを防止するための技術的なアクセス制御等の措置は講じられていなかった。

  3. 本件では、エムケイ社が、ユーザと授受確認書を取り交わした上で、実際にユー ザの個人データを取り扱っていた実績がある。

3.検討

(1)「契約条項の規定」と「アクセス制御」の各要件の関係

個人情報保護委員会の理由付けを見る限り、「契約条項の規定」も「アクセス制御」も満たしていなかったと判断されたように読めます。
よって、各要件が&なのかorなのかは、依然明確にはなっていないように思われます。
なお、「契約条項の規定」に関しては、利用規約で原則不使用、ただ例外的に一定の場合(保守等を指すと思われます)には使用等できる、という割とよく見る規定ぶりのようです。「一定の場合」というのが広すぎた又は不明確だった、あるいは「監視、分析、調査等、必要な行為」という可能な行為の幅が広すぎた、ということかもしれませんが、いずれにせよ、クラウドサービス事業者は、利用規約の規定ぶりをよく検討しないと、今後大企業等からは利用してもらえない可能性があります。

(2)「アクセス制御」について

クラウドサービス事業者側の視点でみると、保守等の目的で、ユーザーの管理領域内に、サービス提供事業者がアクセスする場面というのは一定程度あり得るように思われ、これまで「アクセス制御がなされていなかった」と判断されると、サービス運営に支障を来たすおそれがあります。
この点について、個人情報保護委員会は、「ガイドラインQ&A7-55 では、「単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当」しないこととされている。ここでは、例として、「保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合」等が挙げられており、「取扱いを防止するためのアクセス制御等の措置」が講じられているか否かが重要である。」と述べています。
この見解に鑑みると、クラウドサービス事業者は、保守等でユーザーの管理領域内にアクセスする場合であっても、保守等の作業中に内部の個人データが取得されないよう、社内規定やシステム上の対策をしておく必要がありそうです。

(3)クラウド例外の要件を満たさなかった場合の法的整理

クラウド例外を満たさなかった場合どうなるかというのは、これまであまり議論されていなかったように思いますが、本件では、エムケイ社は委託に基づき個人データを取り扱っているとされました。
確かに、利用規約上保守等についてもサービス内容に含まれており、かつ同意による第三者提供等他の整理もできないと思われる以上、委託に基づく提供と整理するのが自然なように思います。

ただ、この整理による場合、エムケイ社のクライアントは、委託先への監督義務が生じるということになり、委託先での漏洩等も自社での漏洩として報告義務が生じることになります。
本件の場合、個人情報保護委員会も、クライアントはエムケイ社に個人情報の取扱いを委託しているという認識が薄かったとして、具体的な処分等は(少なくとも現時点では)行っていませんが、クライアントへのデータ管理体制の説明を始めとして、サービス提供事業者とクライアントとの間で個人データの取扱いに関する認識整理をしておく必要性を感じさせる事案です。





この記事が気に入ったらサポートをしてみませんか?