クラウドサービス提供事業者へ個人情報を提供する際の留意点

【ご相談内容】

当社は、クラウドサービスを利用して顧客のデータベースを構築しています。
今般、某顧客より「私の了解を得ないで、個人情報をクラウドサービス提供事業者に提供することは問題ではないか」という問い合わせを受けました。
このような問い合わせを受けることは初めてであり、どのように回答すればよいのか苦慮しています。
クラウドサービス提供事業者へ個人情報を提供する場合の注意点などについて、教えてください。

【回答】

クラウドサービス提供事業者に個人データを提供していると評価される場合、某顧客が指摘する通り、事前に本人（顧客）の同意を取得する必要があります。
しかし、多くの場合は「委託」に該当するとして、第三者提供の問題をクリアーできるはずですし、そもそも第三者（クラウドサービス提供事業者）への提供と法的に評価されるのか検討する余地があります。
以下では、本人の同意を要する第三者提供に該当するのかを検討しつつ、該当する場合と該当しない場合とで注意するべき事項を解説します。
また、クラウドサービス提供事業者は外国事業者であったり、サーバが外国にあったりするといった、国外への個人データ提供問題も生じてきます。この点についても、合わせて解説を行います。

【解説】

1.クラウドサービスの利用と個人データの第三者提供・委託該当性

(1)判断基準

ユーザがクラウドサービスを利用するに際し、個人データをクラウドサービス内に保存等した場合、第三者（＝クラウドサービス提供事業者）に対して提供したと評価される場合、ユーザは本人（＝ユーザに対して個人情報を提供した者）より、個人情報保護法第27条第1項に基づく「同意」を得る必要が生じます。

【個人情報保護法第27条第1項】

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

ただ、例えば、本人より個人情報を取得した後に、ユーザが新たなクラウドサービスの利用を行う場合、本人より改めて同意を得る必要があるところ、これは煩雑にすぎます。
そこで、ユーザはクラウドサービス提供事業者に対し、個人データの委託を行っているに過ぎないと評価し、本人の同意を不要とできないかという考え方が登場します。

【個人情報保護法第27条第5項】

次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
①個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

ただ、この委託という考え方をとった場合、ユーザはクラウドサービス提供事業者に対して監督義務を負担することになるところ（個人情報保護法第25条）、非現実的で無理を強いるものと言わざるを得ません。

これらの問題意識を考慮してか、個人情報保護委員会は『「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（令和5年5月25日更新）』で、次のような見解を示しています。

【Q7-53に対する回答】

クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供（法第 27 条第１項）又は委託（法第 27 条第５項第１号）に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」（法第 27 条第５項第１号）にも該当せず、法第 25 条に基づきクラウドサービス事業者を監督する義務はありません。
（省略）
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。

第三者提供及び委託に該当しない場合、すなわち「個人データを取り扱わない」と評価されるためには、
①利用規約等の契約条項に個人データを取り扱わないことが定められていること
②現実の運用として適切なアクセス制御が行われていること
この2つの要件を充足すればよい、と個人情報保護委員会は述べています。
この点、①については、ユーザは利用規約等をしっかり確認すると共に、不明であれば事前にクラウドサービス提供事業者に対して問い合わせるなどして確認することが重要となります。②については、クラウドサービス内に保存されるデータ内容を自動的に暗号化する技術を導入するなどして、判別不能な状態に置くことなどが考えられますが、これについてもユーザはサービス提供事業者に事前確認したほうが無難です。

なお、上記①及び②の要件を充足したとしても、クラウドサービス提供事業者の使用状況からして、「個人データを取り扱わない」という評価にはならない場合もあり得ます。この点、『「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（令和5年5月25日更新）』は、保守業務に関するものですが、次のような見解を示しています。クラウドサービス提供事業者がデータをどこまで取り扱ってよいのか判断するにあたり、1つの参考基準になると考えられます。
【Q7-55に対する回答】

当該保守サービスを提供する事業者（以下本項において「保守サービス事業者」という。）がサービス内容の全部又は一部として情報システム内の個人データを取り扱うこととなっている場合には、個人データを提供したことになり、本人の同意を得るか、又は、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」（法第 27条第５項第１号）しているものとして、法第 25 条に基づき当該保守サービス事業者を監督する必要があります。
（例）
○個人データを用いて情報システムの不具合を再現させ検証する場合
○個人データをキーワードとして情報を抽出する場合
一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しません。
（例）
○システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
○保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得（閲覧するにとどまらず、これを記録・印刷等すること等をいう。）を防止するための措置が講じられている場合
○保守サービスの受付時等に個人データが保存されていることを知らされていない場合であって、保守サービス中に個人データが保存されていることが分かった場合であっても、個人データの取得を防止するための措置が講じられている場合
○不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
○不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人データを再現しないこと等が契約等で明確化されており、再現等を防止するための措置が講じられている場合
○個人データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合

(2)第三者提供及び委託に該当しない場合

上記(1)で記載した判断基準に従い、第三者提供及び委託に該当しないと評価できる場合、ユーザは本人より同意を得る必要もなく、かつクラウドサービス提供事業者に対して監督義務を負う必要もありません。
しかし、ユーザが個人データを取り扱っているという事実に変わりはありません。
この結果、ユーザは自ら安全管理措置を講じる必要があります。この点については、『「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（令和5年5月25日更新）』でも明確に示されています。

【Q7-54に対する回答】

クラウドサービスの利用が、法第 27 条の「提供」に該当しない場合、法第 25 条に基づく委託先の監督義務は課されませんが（Ｑ７－53 参照）、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。

【個人情報保護法第23条】

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

なお、安全管理措置の具体的内容として、①組織的安全管理措置、②人的安全管理措置、③物理的安全管理措置、④技術的安全管理措置、に分類し実施することを求められるのが一般的ですが、詳しくは次の資料をご参照ください。

（参考）
個人情報の保護に関する法律についてのガイドライン（通則編）（個人情報保護委員会）
（※166頁以下の「10 （別添）講ずべき安全管理措置の内容」を参照）

(3)第三者提供又は委託に該当する場合

上記(1)で記載した判断基準に従い、クラウドサービス内での個人データの利用が第三者提供に該当すると評価される場合、ユーザは、個人情報保護法第27条第1項に基づき、本人の同意を得る必要があります。
もっとも、委託と評価される場合は、本人の同意を得る必要はありません。ただこの場合、ユーザは、個人情報保護法第25条に基づき、クラウドサービス提供事業者に対して監督義務を負うことになります。
監督義務の具体的内容としては、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取り扱い状況の把握、が一般的です。委託契約の内容については次の参考書式を、その他については上記(2)で引用した『個人情報の保護に関する法律についてのガイドライン（通則編）』を参照してください。

【参考書式】

第1条
1.　受領者は、個人データが、開示者が受領者に対する個人データの開示の都度有しまたは意図している開示の目的（以下「開示目的」という）のためにのみ開示されていることを認識し、理解する。
2.　受領者は、開示目的を履行するため以外には、個人データを、加工、利用、複写、複製してはならない。第2条
1.　受領者は開示者から書面によって明示的に許諾を得た場合以外には、いかなる理由のためであっても、開示目的の履行を第三者に委託してはならない。
2.　受領者は、前項の開示者の書面による許諾を得ることを希望する場合には、再委託先となるべき候補者の氏名、商号、住所及び所在地並びにこの候補者が情報の保護について十分な水準に達していることの資料を開示者に提出して、開示者の判断を求めなければならない。
3.　受領者は前項による開示者の許諾を得た場合であっても、本書上の義務を免れることはない。また受領者は、書面により、再委託先に少なくとも本書に規定するのと同等以上の義務を負わせなければならず、当該書面の写しを再委託後直ちに開示者に提出しなければならない。第3条
1.　受領者は、個人データについて、その安全を保持するため、少なくとも以下の安全管理措置を実施しなければならない。
①従業者（受領者の業務に従事する役員も含む。本契約において以下同じ。）の責任と権限を明確に定め、安全管理に対する規定や手順書を整備運用し、その実施状況を確認すること
②従業者と個人データの機密の保持に関する契約（従業者の退職後も個人データについての機密保持義務を負わせるものであることを要する。また開示者が契約様式を指定した場合にはこれを使用すること。）を締結し、個人データの安全な取扱のための教育・訓練を行うこと
③受領者が業務を行う場所すべてにおける入退館管理、盗難等の防止措置、個人データを取り扱う機器・装置等の物理的な保護を行うこと④個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視を行うこと
2.　受領者は前項の安全管理措置が実施されていることを自ら各月ごとに確認し、翌月×日までに、開示者に対し書面（開示者が様式を指定した場合にはこれを使用すること）によりその具体的内容を報告しなければならない。
3.　受領者は個人データを開示目的の履行のために必要となる最小限の従業者にのみ開示する。
4.　受領者は、開示者が要求したときには、前項の従業者の氏名の一覧及び当該従業者と締結した機密の保持に関する契約の写しを交付しなければならない。なおこの交付に際しては、受領者の責任において、従業者から個人情報の第三者提供にかかる同意を得る。
5.　受領者は、開示者が求めたときには、前項の従業者の中から、個人データの管理責任者を選任し、その氏名を受領者に通知しなければならない。選任の後の管理責任者について異動があったときも同様とする。
6.　受領者は、開示者から個人データを受領する都度、開示者に対し、受領の日時、受領した情報の表題、種別、媒体の別、受領した従業者または使者の氏名を記載した書面を押印の上で開示者に対して提出しなければならない。

第4条
1.　開示者は受領者における個人データの取り扱い状況を監査することができる。
2.　受領者は前項の監査のために開示者が受領者の事業所への立ち入り、書類の閲覧、書類の写しの交付又は従業者への質問を希望した場合には、これに協力しなければならない。

第5条
1.　受領者が個人データを漏洩し又は開示目的を超え若しくは開示目的と異なる目的で個人データを加工、利用、複写、複製した場合（以下「漏洩等」という）には、直ちに、その旨を開示者に報告しなければならない。
2.　漏洩等の場合、受領者は開示者が要求するすべての事項について直ちに調査を行い、開示者に報告しなければならない。また開示者の指示に従い、漏洩を防止し、開示目的外での利用を停止する措置をとらなければならない。
3.　漏洩等の場合、受領者は、開示者が指定する方法、時期及び内容で、漏洩等にかかる事実を公表しなければならない。
4.　前各項にかかわらず、受領者はその責めによらずに個人データが漏洩していることを覚知した場合でも、受領者は遅滞なく開示者に報告しなければならない。

2.海外サーバ（クラウドサービス）を利用する場合の注意点

(1)海外に個人データを提供する場合の原則的対応

日本国内で提供されている多くのクラウドサービスは、海外サーバを利用しているようです。このような状況下でユーザが個人データをクラウドサービス内に保存等した場合、実態として、ユーザはクラウドサービス提供事業者を通じ、海外に個人データを送信したことになります。
そして、この個人データの送信が海外への「提供」と法的に評価される場合、ユーザは個人情報保護法第28条に定める対応が必要となります。ポイントは次の3点です。

①本人からの同意
上記1.で記載した個人情報保護法第27条に基づく本人からの同意とは別に、海外に個人データを提供するに際し、改めて本人の同意を得なければならないことが1つ目のポイントです。

【個人情報保護法第28条第1項】

個人情報取扱事業者は、外国（本邦の域外にある国又は地域をいう。以下この条及び第31条第1項第2号において同じ。）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。）にある第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置（第三項において「相当措置」という。）を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。）に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

②参考情報の提供
個人データを外国に提供する場合、ユーザは別途本人から同意を得る必要があること、前記①の通りです。
ところで、同意を求められる本人としても、外国に個人データを送信されることで何が起こるのか分からないことには判断が付きません。そこで、ユーザは本人に対し、個人情報保護法第28条第2項では参考情報を提供するよう義務付けたこと、これは2点目のポイントとなります。

【個人情報保護法第28条第2項】

個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

参考情報の具体的内容については、個人情報保護護委員会規則第17条第2項に定められており、当該外国の名称、適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報、当該第三者が講ずる個人情報の保護のための措置に関する情報の3項目となります。
各項目に関する細かな留意事項は、次の資料をご参照ください。

（参考）
個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）（個人情報保護委員会）

③提供後の継続的な監督等の措置義務
個人データが海外に提供された場合、国民感情として、国内事業者よりも海外事業者への不信感が強く、利用方法等に不安を覚えるという実態があります。
そこで、個人情報保護法第28条第3項では、ユーザに対し、個人データ提供後においても継続的に海外事業者の監督を行うこと、本人より問い合わせを受けた場合は回答することを義務付けました。これが3つの目ポイントとなります。

【個人情報保護法第28条第3項】

個人情報取扱事業者は、個人データを外国にある第三者（第 1 項に規定する体制を整備している者に限る。）に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

個人情報保護委員会規則第18条の内容及び留意事項については、上記で引用した「個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）（個人情報保護委員会）」を参照してください。

(2)個人情報保護法第28条が適用されない場面

上記(1)で記載した通り、海外サーバを通じて提供されるクラウドサービスを利用した場合、ユーザは、個人情報保護法第28条に基づき本人から同意を得ることはもちろん、様々な義務を負担することになります。ただ、現場実務として、これらの事項を実践するとなるとあまりに煩雑であり、クラウドサービス自体が成立しない恐れさえあります。
そこで、個人情報保護法第28条の適用除外となるパターンがいくつか設けられています。

①そもそも「提供」、「委託」に該当するのか
個人データを送信するとはいえ、法的に「提供」「委託」に該当するかは別問題です。
この判断基準ですが、実は上記1.(1)で触れた内容と同じもので判断することになります。その点を明確にしたものとして、『「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（令和5年5月25日更新）』では、次のような見解を公表しています。

【Q12-3に対する回答】

個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供（法第 28 条第１項）に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます（Ｑ7-53 参照）。

ところで、「提供」、「委託」に該当しない場合、ユーザは、安全管理措置の一環として「外的環境の把握」を行う必要があります。
この点、『「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（令和5年5月25日更新）』では、次のように記述しています。

【Q10-25に対する回答】

外国にある第三者の提供するクラウドサービスを利用する場合において、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人データの第三者への「提供」には該当しませんが、個人情報取扱事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります（Ｑ7-53、Ｑ7-54、Ｑ12-3参照）。
この場合、個人情報取扱事業者は、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。日本国内に所在するサーバに個人データが保存される場合においても同様です。
かかる場合には、「保有個人データの安全管理のために講じた措置」として、クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。他方、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る状態に置く必要があります。②本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられます。

(3)サーバの設置場所はどこか

外国の事業者がクラウドサービスを提供している場合であっても、個人データが日本国内のサーバに保存され、当該事業者が日本国内でのみ利用している場合は、個人情報保護法第28条が適用されないと考えられています（なお、この場合、個人情報保護法第27条が適用されることには注意を要します）。
この点、『「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（令和5年5月25日更新）』では、次のように述べています。

【Q12-4に対する回答】

当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱っている場合には、サーバが国内にある場合であっても、外国にある第三者への提供（法第 28 条第１項）に該当します。ただし、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを日本国内で取り扱っており、日本国内で個
人情報データベース等を事業の用に供していると認められる場合には、外国にある第三者への提供（法第 28 条第１項）に該当しません（ガイドライン（外国にある第三者への提供編）2-2参照）。

(4)「外国」に該当するか

これは個人情報保護法に定める「外国」の定義に由来するものですが、個人情報保護法第28条第1項では、「外国」の内、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く」と定めています。
そして、本記事執筆時点では、EUを構成する国々と英国が上記除外に該当すると定められています。
したがって、サーバがこれらの国にある場合、個人情報保護法上の「外国」に該当しないことから、ユーザは個人情報保護法第28条に基づく負担を免れることになります。

(5)「第三者」に該当するか

これも個人情報保護法に定める、外国にある「第三者」の定義に由来するものですが、個人情報保護法第28条第1項では、外国にある「第三者」の内、「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置（第三項において「相当措置」という。）を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く」と定めています。
どのような者が該当するのかについては、上記(1)②で引用した「個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）（個人情報保護委員会）」を参照してください。

3.当事務所でサポートできること

現在の事業活動において、クラウドサービスを利用することは当たり前のような風潮がありますが、個人情報保護法による一連の規制についてはあまり知られていないように感じます。
ただ、「法の不知は許さず」という法格言があるように、本人からの問合わせ対応に不備があった場合や情報漏洩事故が発生した場合、ユーザは、“情報管理体制があまい”、“コンプライアンス意識の欠如”などと世間からは非難されると共に、行政からは制裁を受けることになります。こうした非難や制裁は、ときによって事業者の存在そのものを揺るがしかねない事態にもなり得ることから、平時の今こそ早急に弁護士等の専門家と相談し、問題が無いかチェックして欲しいところです。

また、本記事はユーザ視点で作成しましたが、クラウドサービス提供事業者においても、これらの知識をフル活用することで、ユーザに余計な義務と負担を与えないサービスの構築を行い、同業他社との差別化を図ることができます。したがって、クラウドサービス提供事業者においても、今一度、弁護士等の専門家と相談し、サービス利用にあたっての注意点を確かめてほしいところです。

当事務所では、クラウドサービス提供事業者及びユーザの双方と取引を行っており、上記で記載したような問題点を含め、様々な事例に接することで知見とノウハウを蓄積しています。
クラウドサービスと個人情報との関係で気になることがございましたら、是非当事務所にご相談ください。

＜203年9月執筆＞
※上記記載事項は弁護士湯原伸一の個人的見解をまとめたものです。今後の社会事情の変動や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。