クラウド利用と個人情報保護法における「委託」（いわゆるクラウド例外について）

（吉井 Wrote）
１．クラウド例外について

昨年起こった社労士用サービス「社労夢」での個人データ（簡単に言うと個人情報を含むデータベースの中にある個人情報）の取扱いについて、昨日個人情報保護委員会が行政条の対応についてのプレスリリースを出しました（リンク先）。

これとあわせ、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について」（以下、単に「注意喚起」といいます。）を個人情報保護委員会はプレスリリースしています（リンク先）。

これは従前、クラウド例外と言われる取扱いについての説明を行ったものですが、これにより、ウェブサービス側、ユーザ側が受ける影響も大きいように思われますので、若干見ていきたいと思います。

まず、クラウド例外は、クラウドサービス提供事業者において個人データを取り扱わないこととなっている場合に、クラウドサービスでの個人データの利用が第三者提供にも委託にも当たらないとする個人情報保護委員会に置ける個人情報保護法の解釈・運用です（個人情報保護法Q&A　Q7-53参照）。

ここで、取り扱わないとはどういう場合かというと、(1)契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、(2)適切にアクセス制御を行っている場合等とされていました。

２．注意喚起について
今回の注意喚起では、まず、社労夢の案件に関し、(i)利用規約上、特定の場合に利用者の個人データを提供事業者が使用等できるようになっていた（上記(1)関係）、(ii)提供事業者が保守用IDを保有し、個人データにアクセス可能な状態にあり、技術的なアクセス制御等の措置が講じられていなかった（上記(2)関係）、(iii）提供事業者が利用者と確認書を取り交わしたうえで、実際に利用者の個人データを取り扱っていた（上記(2)関係）ことを理由に、本件がクラウド例外に当たらないことを述べています。

社労夢の案件での特殊性としては、(iii）が大きいように思われますが、(i)や(ii)については、多かれ少なかれいわゆるクラウドといわれるウェブサービスで行っていることが多いように思われますが、どの程度になれば取り扱うことになるのか、(iii）という本件特有の事情がどこまで考慮されているかが注意喚起では読み込むことができません。ついては、現状では、クラウドの利用に関しては、その大半が両方の可能性があることを念頭に対応せざるを得ないことになると思われます。

なお、注意喚起では、クラウド利用が委託に当たる場合に、委託先事業者に対する監督の一内容として当該クラウドサービスの安全性の確認を委託先に対して行う必要があることや、業務委託を受けている者がクラウドを利用した場合にそれが再委託となる可能性があり、その場合、委託元による法違反となり得ることなどが指摘されています。

３．報告書の影響について

委託にあたるか否かは、以下のような形で影響を与えます。
・クラウド事業者が外国にある場合に、ユーザが、個人データの本人に対して、提供に対する同意を得る必要があるかどうか（個人情報保護法28条1項）
・ユーザからクラウド事業者に対し、当該クラウドの安全性について確認等を行うことを要するか（注意喚起３項）
・受託者がクラウドを使っている場合に、委託者側で、受託者によるクラウド利用やクラウドの委託該当性、クラウドの安全性について確認する必要が生ずるかどうか
・ある事業での受託者がクラウドの利用を行っている場合に、委託者と受託者との契約上再委託が禁止されている場合に、業務委託契約上の契約違反となるかどうか
・ユーザとして、クラウドの利用を自身の安全管理措置の中で対応すべきか、委託先の監督の中で対応すべきか

ユーザからすると、クラウドが委託にあるか否かは、特に(2)の要件に関して判別が難しい場合が多く、両面をにらんでの対応を迫られることとなり、クラウドの利用を躊躇する動きにもつながりかねないことを危惧しております。個人情報保護委員会における対応が望まれるところです。