クラウド例外と個人情報保護委員会の注意喚起について

はじめに

2024年3月、いわゆる「クラウド例外」（ガイドライン（通則編）：Ｑ＆Ａ7-53）として知られるクラウドサービス事業者へのデータ提供について第３者提供または委託に該当するかどうかの判断基準が、個人情報保護委員会（以下、「委員会」）より注意喚起という形で公表されました。これは、昨年発生したクラウドサービス事業者でのランサムウェア攻撃によるデータ漏洩の件を受けて、クラウドサービスの利用に際しての注意を促すものです。

今回のブログでは、個人情報取扱事業者がクラウドを利用する場合に第三者提供または委託にあたるかどうかの判断基準について、関連する事案の概要と委員会が公表した注意喚起の中で言及されている判断基準に関する内容について紹介します。

ガイドラインＱ＆Ａ7-53について

本題に入る前に、まずは、個人情報取扱事業者がクラウドサービスを利用する場合に第三者提供または委託にあたるかどうかの判断基準をまとめたガイドライン（通則編）：Ｑ＆Ａ7-53に記載されたいわゆる「クラウド例外」の内容を見ていきます。

Ｑ７－53によると、個人データの処理を行う情報システムについてクラウドサービス契約のように外部委託先の事業者を活用している場合に、第三者提供にあたるかどうか、もし当たる場合、「本人の同意」を得る必要があるかどうか、また、個人データの取扱いの全部もまたは一部を委託しているものとみなし、委託元は監督の義務を負うのかどうかについて記載されています。

これに対する委員会の回答は、クラウドサービスの利用が、本人の同意が必要な第三者提供（法第 27 条第１項）又は委託（法第 27 条第５項第１ 号）に該当するかどうかの判断基準は、クラウドサービスに保存している電子データに個人データが含まれるかどうかではなく、クラウドサービス提供事業者がその個人データを取り扱うかどうかによって判断されるとしています。

もし、クラウドサービス事業者が個人情報を取り扱わないこととなっている場合、個人データの第三者提供にあたらないとし、クラウドサービスの利用に際して「本人の同意」を得る必要はなく、クラウドサービス事業者の監督の義務もないとしています。

（第三者に該当しない場合）

Ｑ７－53

個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」（法第 27 条第１項柱書）を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」（法第 27 条第５項第１号）しているものとして、法第 25条に基づきクラウドサービス事業者を監督する必要がありますか。

Ａ７－53

クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供（法第 27 条第１項）又は委託（法第 27 条第５項第１ 号）に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。

当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。

また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」（法第 27 条第５項第１号）にも該当せず、法第 25 条に基づきクラウドサービス事業者を監督する義務はありません。

当該クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合の個人情報取扱事業者の安全管理措置の考え方についてはＱ7－54 参照。

当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。

なお、法第 28 条との関係についてはＱ12－3参照。

引用：個人情報保護委員会、ガイドライン（通則編）：Ｑ＆Ａ7-53

発端となった事案

次に、今回のテーマである注意喚起の発端となった事案について、委員会がまとめた当該クラウドサービス提供事業者に対する個人情報の保護に関する法律に基づく行政上の対応に関する資料（以下、「行政上の対応に関する資料」）によると概要は以下のとおりです。

2023年6月、社会保険労務士に対してSaaS環境で社会保険/人事労務業務支援システムを提供している企業が、ランサムウェアによるサーバーへの不正アクセスを受け、システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生しました。

同システム上で管理されている個人データには、ユーザー（社労士）の顧客である企業や事業所等の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号及びマイナンバー等が含まれており、2023年6月6日以降、「行政上の対応に関する資料」作成時までに委員会が受領した漏えい等報告件数は、報告者ベースで3,067 件（本人数計7,496,080人）に及ぶとされています。

個人データの取扱いに該当すると委員会が判断した際の考慮事項

委員会は、このクラウドサービス事業者が個人データを取扱っていたかどうかの判断において、当該クラウドサービス提供事業者では、ガイドラインＱ＆Ａ7-５３によるクラウド例外の要件を満たしておらず、以下の事実により、個人データの取扱いを行っていたと判断しました。

• 利用規約において、同社は、ユーザの顧問先に係るデータを、一定の場合を除き、ユーザの許可なく使用し、又は第三者に開示してはならないという旨が規定されていたものの、当該クラウドサービス提供事業者は、当該利用規約に規定された特定の場合には、社労士等のユーザの顧問先に係る個人データを使用等できることとなっていた。
• クラウドサービス提供事業者側で個人データの取扱いを防止するための適切なアクセス制御等の措置が取られていなかった。
• 個人の氏名、生年月日、性別、住所及び電話番号など、大量の個人データを管理することが想定された性質のサービスであった。
• ユーザと授受確認書を取り交わした上で、実際にユーザの個人データを取り扱っていた実績が確認された。

上記の事実関係を考慮し、 個人情報委員会は「行政上の対応に関する資料」の中で、

「クラウドサービス提供事業者である当該クラウドサービス事業者がガイドラインＱ＆Ａ7-53 の「個人データを取り扱わないこととなっている場合」とはいえず、また、個人データの取扱いを防止するための適切なアクセス制御は行われていなかったことが認められる。」

という事実から、

「当該クラウドサービス提供事業者は個人情報取扱事業者としてユーザから個人データの取扱いの委託を受けて個人データを取り扱っていたといえる。」

としています。

保守サービスに関する補足事項

また、委員会は「行政上の対応に関する資料」の中で単純なハードウェア・ソフトウェア保守サービスのみを行う場合についても補足という形で触れています。

ガイドラインＱ＆Ａ7-55の単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しないこととされている点に触れ、「取扱いを防止するためのアクセス制御等の措置」が講じられているか否かが重要としています。

当該クラウドサービス事業者は、保守用のIDを保有し、クラウドサービス利用者の個人データにアクセス可能な状態であったが、個人データの取得を防止するための技術的な措置は講じられていなかったことから、個人データの提供に該当し、委託に基づき個人データを取り扱っているものと認められるとしています。 

クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について（注意喚起） 

この事案を踏まえ、委員会は、注意喚起に関する資料を公表しています。

ここでは、同資料の「１　クラウドサービスを利用して個人データを取り扱う場合の留意点」については、上記で紹介した事案に関する行政対応の考慮事項を改めてまとめた内容となっているため、ここでは割愛し、資料の「２ クラウドサービス利用者による、委託先（クラウドサービス提供事業者）の監督に関する留意点」と「３ 個人データの取扱いの委託先がクラウドサービスを利用している場合の留意点 」について見ていこうと思います。

２. クラウドサービス利用者による、委託先（クラウドサービス提供事業者）の監督に関する留意点 

ガイドライン（通則編）（以下「ガイドライン」という。）３－４－４において、個人情報取扱事業者は、個人データの取扱いを委託するに当たって、法第23条に基づき自らが講ずべき安全管理措置と同等の措置が委託先において講じられるよう監督を行うものと定められています。

特にクラウドサービス提供事業者に個人データの取扱いを委託する場合の考慮点は以下をあげています。

•   サービスの機能やサポート体制のみならず、サービスに付随するセキュリティ対策についても十分理解し、確認した上で、クラウドサービス提供事業者及びサービスを選択する
• 個人データの取扱いに関する、必要かつ適切な安全管理措置（個人データの取扱いに関する役割や責任の分担を含みます。）として合意した内容を、規約や契約等でできるだけ客観的に明確化する（ガイドラインＱ＆Ａ５－８によると「当該措置の内容に関する委託元・委託先間の合意内容を客観的に明確化できる手段（法的効果が発生するもの）であれば、書式の類型は問わない」）。
• 利用しているサービスに関し、セキュリティ対策を含めた安全管理措置の状況について、例えば、クラウドサービス提供事業者から定期的に報告を受ける等の方法により、確認する

３. 個人データの取扱いの委託先がクラウドサービスを利用している場合の留意点 

また、注意喚起に関する資料では、従業者等の個人データを取り扱う個人情報取扱事業者が、個人データの取扱いを外部の事業者に委託している場合に、委託先の事業者が、別のクラウドサービス提供事業者が提供するアプリケーションを利用して、委託された個人データを取り扱っているケースについても取り上げています。（最近海外記事等のベンダー管理でみかける「Fourth Party」（再委託先）のケースです。）

委託元である個人情報取扱事業者は、委託先事業者に対する監督の一内容として、当該クラウドサービスの安全性などを委託先事業者に確認すべき点を挙げるとともに、委託先事業者のクラウドサービスの利用によって、当該委託先事業者からクラウドサービス提供事業者に対する「再委託」となっている場合があることについても念頭におき、法第23条が求める個人データの安全管理のために必要かつ適切な措置及び法第25条が求める委託先に対する必要かつ適切な監督を行うことを留意するように促しています。

ガイドライン３－４－４でも、委託先の事業者が、別の事業者へ再委託するケースの場合における「委託元」の責任に触れ、「委託元が委託先について『必要かつ適切な監督』を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する」ものとされています。

（３）委託先における個人データ取扱状況の把握

委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。

また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい（※4）。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。

【委託を受けた者に対して必要かつ適切な監督を行っていない事例】

事例1）個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合

事例2）個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合

事例3）再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合

事例4）契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合

• （※1）「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力（本人からの取得を含む。）、編集、分析、出力等の処理を行うことを委託すること等が想定される。
• （※2）委託元が法第23条が求める水準を超える高い水準の安全管理措置を講じている場合に、委託先に対してもこれと同等の措置を求める趣旨ではなく、法律上は、委託先は、法第23条が求める水準の安全管理措置を講じれば足りると解される。
• （※3）委託先の選定や委託先における個人データ取扱状況の把握に当たっては、取扱いを委託する個人データの内容や規模に応じて適切な方法をとる必要があるが、例えば、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法（口頭による確認を含む。）により確認することが考えられる。
• （※4）委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する。

引用：個人情報保護委員会、個人情報の保護に関する法律についてのガイドライン（通則編）、3-4-4 委託先の監督（法第25条関係）（３）委託先における個人データ取扱状況の把握

さいごに

クラウドサービス事業者、または委託先がクラウドサービス事業者のサービスを利用している場合に、個人情報について適切な保護措置が取られているかどうかについては、個人情報を委託する側である企業の監督責任が求められます。

企業の規模が大きくなるにつれて、委託先の数は増え、それらに対して個人情報が適切に保護されて取り扱われていることを監視及び管理するための業務とそれを実施する担当者の負担も増加します。

このような課題を解決するには、プライバシー業務を効率化し、自動化するための専用ソリューションが不可欠です。

OneTrust 製品を導入すれば、企業全体で個人情報を委託している委託先事業者の業務とそれに関連する個人情報の取扱いおよび組織面、技術面での保護措置について定期的に監査（個人情報の取扱いに関するアセスメント）するための仕組みを構築し、業務プロセスを効率化することが可能です。

OneTrustを使用した委託先管理のための仕組みや事例について興味のある方は、弊社までご相談ください。