データサイエンスの分野において、クラウドサービスの利用増加に伴い、データの利用権や個人データの取り扱いが重要な課題となっています。
例えば、クラウドサービスとして提供されているSaaS(Software as a Service)を介して、我々は日頃様々なデータを送受信しています。その際に、自身の個人情報を送信する場合や業務の一環としてクライアントや自社社員の個人データをやり取りする場合もあります。そもそも個人データを本人に無断で送信してよいのか、そして個人データを受信する側はそのデータをどのように取り扱うのか、どのようなリスクが考えられるのかなどについて正しい知識を持つべきです。
この記事では、クラウドサービス事業者に個人データを提供する場合には、「本人の同意を得る必要があるのか」という話題を中心に、注意点を整理していきたいと思います。
近年のAI・データサイエンス技術の発展により、G検定においてもクラウドサービスと個人データ保護の関係性は頻出テーマとなっています。
参考文献として本記事では、個⼈情報保護委員会による「個⼈情報の保護に関する法律についてのガイドライン(通則編)」を「ガイドライン」と略記して記載します。
クラウドサービスとSaaS
ちなみに、「クラウドサービス」と「SaaS」はなぜかほぼ同じ意味で使用されることが多い気がしますが、同じではありません。一度用語の整理をしましょう。
簡単にいうと、SaaSはクラウドサービスの一種です。つまり、クラウドサービスはより広い意味を持っており、SaaS以外の種類のサービスもあります。
クラウドサービスとは、クラウドコンピューティングを用いて提供されるサービスのことです。インフラやソフトウェアなどのリソースを手元に用意しなくても、インターネットを経由して必要な時に必要な量だけ利用する仕組みです。このようなクラウド上で利用できるサービスには、データベース、サーバー、ストレージ、オフィス用ソフト、機械学習を用いたアプリケーションなど様々あります。
クラウドサービスには様々な形態があり、その1つがSaaS(Software as a Service)です。他にIaaS(Infrastructure as a Service) やPaaS(Platform as a Service) などがあります。SaaSとは、ソフトウェアやアプリケーションの機能を、 インターネット経由で提供するクラウドサービスです。
身近な例で言うと、DropboxなどのオンラインストレージやGmailなどのオフィス用ソフト、Zoomなどの会議ソフト、そしてChatGPTもSaaSです。身近なサービスになっているものが多くあります。これらはパソコンなどにインストールすることなく、インターネットに接続すればどこからでもアクセスできます。また、契約によってはチームなど複数のユーザー と同時利用ができて共同作業もできます。
クラウドサービス事業者に個人データを渡す
さて、本題に戻りましょう。
個人データをクラウドサービス事業者に提供する場合には、どのような措置を取らなければいけないのでしょうか。
シンプルに考えると、個人データを保有する企業がその個人データをクラウドサービス事業者に送信する際に、クラウドサービス事業者は個人データが属する「本人」から見て「第三者」です。そして、個人データを第三者に提供する場合、個人情報取扱事業者は原則としてあらかじめ本人の同意を得なければなりません (個人情報保護法の第 27 条第1項)。
しかし、事実として常に大量な個人データがクラウドに送られています。そのたびに本人の同意を得なければいけないのであれば、仕事や技術開発に遅延が生じることが想像できます。
そこで、実をいうと、クラウドサービス事業者の性質、提供するサービスの種類、利用者との契約の内容によっては、個人データを送信する場合に、本人の同意を不要とする例外なケースが存在します。多くの場合、それは個人データの処理の「委託」に該当するためです。「委託」は個人データの「提供」の行為の一種です。さらにいうと、個人データの外部への送信が「提供」にさえ該当しない場合があります。
個人データの「提供」と「第三者提供」などの違い、それぞれのケースに該当する法規制に関しては、以下の記事でまとめています。前提知識を必要とされる方はぜひ合わせてお読みください。
個人情報の提供と第三者提供の違いを解説|委託・共同利用のポイントも
クラウドに保管する場合は「個人データの提供」に該当するのか
次に「第三者企業のクラウドサービス上に個人情報を保管する場合はどうなるか」について考えてみましょう。データをサーバーに保管することは日頃よくやられていますよね……。
この場合、個人情報保護法上、国内のクラウドサービス事業者であれば、「第三者提供」に該当しない可能性が高いです。さらにいうと、サービスの性質によっては「提供」にも該当しないことがあります。
「提供」にさえ該当しないのはどんな場合かというと、以下の条件が満たされる場合です(参考:ガイドライン Q&A Q7-53)。
- クラウドサービス事業者が「個人データ等を取り扱わない」という旨が契約の中で定められている場合(例:サーバに保存された個人データにアクセスしない)
- クラウドサービス事業者以外の者が無断でこの個人データにアクセスができないように措置を取っている場合
上記の2つが満たされている場合、クラウドサービス上にデータをただ保管するだけでは、クラウドサービス事業者にデータを「提供」はしていないことになります。
クラウドサービスを用いて処理する場合は「個人データの提供」に該当するのか
SaaS(クラウドサービスの一種)を利用して個人データの処理を行う場合、個人データをクラウドサービス事業者に送信する必要があります。
この場合、個人データのクラウドサービス事業者への送信は、個人データの「提供」に該当することになります。単に個人データを保管する場合と異なり、クラウドサービス事業者が、「当該個人データを取り扱わないこととなっている」場合には該当しないためです。
個人情報の保管と提供の違い、提供と第三者提供の違い に記述されているように、「提供」に該当しないためには、クラウドサービス事業者が「その個人情報に触れない、かつ他の事業者がその個人情報を利用可能ではないような措置をとっている」という条件を満たす必要があります。
クラウドサービスを用いて処理する場合は「個人データの第三者提供」に該当するのか
次に、「提供」のうち、より制約の厳しい「第三者提供」に該当するかどうかについて考えてみましょう。
これはクラウドサービス事業者が国内の事業者であるのか、それとも、国外の事業者であるのかによって答えが異なります。
国内のクラウドサービス事業者の場合
情報処理などの目的で個人データを「提供」する場合においても、国内のクラウドサービス事業者に個人データを送信する場合には、基本的には個人データの取扱いの「委託」に該当します。この場合はあらかじめ本人の同意を得る必要はありません。
以下にて引用する個人情報保護法27条5項は、第三者提供に該当しない例外規定を定めるものです。そのうち1号の内容が「委託」です。他に「事業継承」と「共同利用」があります。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
ただし、もちろん「委託」に伴う規制や義務を守らなければなりません。例えば、委託先による個人データの取り扱いは、個人情報取扱事業者の利用目的の達成に必要な範囲内に限定されます。また、クラウドサービス事業者に委託先の「従業者」に対する監督義務が課せられています。
「委託」に伴う監督義務についてより詳しくみていきましょう。ガイドラインの3-4-3 (個人情報保護法第25条)を引用すると..
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
国外のクラウドサービス事業者の場合
個人情報取扱事業者が個人データを国外のクラウドサービス事業者に提供する場合には、国内のクラウドサービス事業者に個人データを提供する場合とは異なり、 原則として、「外国にある第三者への提供」に対してあらかじめ本人の同意を得ることが必要です(個人情報保護法28条1項)。
個人データを外国にある第三者に提供する際の注意点と法規制に関してはこちらの記事に詳しく書かれています。
注意点としては、 一般的な「第三者提供」に対する本人の同意(個人情報保護法27条1項)が得られている場合でも、「外国にある第三者への提供」に対する本人の同意がなければ、その外国にある第三者に個人データを送信することはできません。
しかしながら、実際のところ「全て」の外国に所在する事業者に対して個人データを提供する際に本人の同意を得る必要があるわけではありません。
個人情報保護委員会による以下のガイドラインにおいて、 「外国にある第三者」の「外国」が定義されています。
個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
その定義によると、「外国」とは日本の域外にある国または地域を指しています。ただし、例外が存在し、日本国内と同等の水準にあると認められる個人情報の保護に関する制度を有している外国が例外とされています。具体的にはEU加盟国と英国です。これを満たす「外国」にある第三者への提供については、本人の同意を得ることなく提供することが可能です。
参考:「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)
いかがでしたか。
クラウドサービス事業者に個人データを送付する際には、その事業者の所在地、そしてその事業者が受領した個人データをどのように取り扱うのかなどによって、法規制が異なります。さらに理解を深めるためにはぜひ参考文献の「ガイドライン」及び関連記事の個人情報の保管と提供の違い、提供と第三者提供の違い と こちらの記事 をご参照ください。
