Pマーク取得事業者がクラウドサービスを利用する場合、クラウドサービスは委託先に該当するのかと不安に感じている方もいるのではないでしょうか。クラウドサービスの普及によりデータの保存や管理が便利になった一方で、クラウドサービス側の管理体制やセキュリティ対策がどの程度しっかりしているのか気になるところです。
本記事では、Pマーク取得事業者のクラウドサービス利用時の注意点と情報漏えいを防ぐための対策について解説します。
1. 個人情報保護法におけるクラウド例外が適用されない場合の注意点
個人情報保護法におけるクラウド例外とは、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合に限り、個人情報取扱事業者がクラウドサービスを利用しても個人データの提供とならず、委託先の監督義務も不要とする考え方です。
クラウド例外は個人情報保護法やガイドラインで規定されているわけではありませんが、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aに記載されています。
|
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第27条第5項第1号)にも該当せず、法第25条に基づきクラウドサービス事業者を監督する義務はありません。
|
一方、クラウドサービス提供事業者が委託先と判断されるケースもあるため、クラウドサービスを利用する個人情報取扱事業者やPマーク取得事業者は、利用するクラウドサービスが委託先に該当するかを判断する必要があります。
また、クラウドサービス提供事業者がどのようなセキュリティ対策を講じているかやデータセンターの所在地、データの所有権・使用権についても確認し、必要に応じて契約内容を見直すことが重要です。
■外国のクラウドサービス利用時の注意点
外国のクラウドサービスの利用が個人データの「提供」に該当する場合、クラウドサービスを提供する事業者は委託先とみなされ、個人データの本人に対し、以下の情報を提供する必要があります。
- 当該外国における個人情報の保護に関する制度
- 当該第三者が講ずる個人情報の保護のための措置
- その他当該本人に参考となるべき情報
|
2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。 3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
|
また、外国にある第三者への提供を認める旨の本人の同意も必要です。ただし、以下に該当する場合は、外国にある第三者への提供について、本人の同意を得る必要はありません。
- 個人情報保護委員会が認定した国や地域に第三者がある場合
- 外国にある第三者が、個人情報保護委員会が定めた体制を整備している場合
|
個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
引用:個人情報保護法28条 |
2. Pマーク取得事業者の利用するクラウドサービスが委託先に該当するかの判断基準
Pマーク取得事業者がクラウドサービスを利用する際に注意すべき点は、クラウドサービスが委託先に該当するかどうかです。
Pマーク取得事業者が利用するクラウドサービスが委託先に該当するかは、個人データの「提供」に該当するかどうかによって決まります。
|
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
|
個人データの提供とは、個人データ等を「自己以外の者が利用可能な状態に置くこと」です。クラウドサービスを利用すると、データがクラウド事業者のサーバーに保存されるため、事業者にデータが提供されているとみなされる可能性があります。そのため、Pマークを取得している事業者は、クラウド事業者との契約内容をしっかり確認し、データがどのように取り扱われるかを把握することが重要です。
クラウドサービスの利用が個人データの提供とみなされるかどうかは、クラウドサービスを提供する事業者が「個人データを取り扱うこととなっている」かどうかが判断の基準とされています。
参考:「個人情報の保護に関する法律についてのガイドライン」に関するQ&A Q7-53
クラウドサービスを提供する事業者が以下の2点に該当する場合は、「クラウド事業者が当該個人データを取り扱わないこととなっている」と判断されます。
- 契約条項によって当該外部事業者がサーバーに保存された個人データを取り扱わない旨が定められている
- 適切にアクセス制御を行っている場合
■個人データの「提供」に該当しない場合の対応
個人データの「提供」に該当しない場合、クラウドサービスを提供する事業者は委託先とみなされないため、本人の同意を得る義務や委託先の監督義務は適用されません。
ただし、個人データの「提供」に該当しない場合においても、「自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要」があるとされています。
参考:「個人情報の保護に関する法律についてのガイドライン」に関するQ&A Q7-54
3. Pマーク取得事業者がクラウドサービスを利用する際のポイント
Pマーク取得事業者がクラウドサービスを利用する際のポイントは以下の5つです。
- 信頼性と実績を確認する
- 所在地を確認する
- セキュリティ対策を確認する
- データの所有権と使用権を確認する
- セキュリティインシデントへの対応を確認する
それぞれのポイントについて詳しく解説します。
■信頼性と実績を確認する
Pマーク取得事業者がクラウドサービスを利用する場合、サービスを提供する事業者の信頼性と実績を確認することが欠かせません。なぜなら、信頼性の低いサービスを利用すると、個人情報の漏えいリスクが高まる可能性があるためです。
クラウドサービスを選定する際には、クラウドサービス提供者の業界での評価やレビューを確認したり、過去のセキュリティインシデントの有無を調査したりするようにしましょう。また、ISO27001やSOC2といった国際的な認証を取得しているかどうかも、信頼性を判断する重要な目安です。これらの認証は情報セキュリティの管理体制が整っていることを示すものであり、取得しているサービスは信頼性が高いと言えます。
さらに、クラウドサービスの提供者がどのような企業と取引を行っているかを確認することも重要です。大手企業や同業他社が利用している場合、そのサービスの信頼性が高いと判断できる材料になります。
■所在地を確認する
クラウドサービスを提供する事業者の所在地が日本国内である場合、個人情報保護法や関連する法律の適用範囲が明確であり、法的な不確実性を最小限に抑えることができます。
一方、国外のクラウドサービスを利用する場合、日本とその国の法律や規制が異なるため、データの取り扱いに関して予期せぬ問題が発生するかもしれません。例えば、データの保護レベルが日本と異なる場合や、特定のデータの移転に対する制約がある場合です。クラウドサービスを利用する際には、提供する事業者がどの国にあるのかを事前に確認するようにしましょう。
■セキュリティ対策を確認する
セキュリティ対策を確認することは、Pマーク取得事業者がクラウドサービスを利用する際には、セキュリティ対策を確認することが重要です。クラウドサービスを利用することでデータの管理が容易になり、業務の効率化が図れる一方、個人情報の漏えいリスクが増加する可能性があります。そのため、クラウドサービスを選定・利用する際には、データの暗号化やアクセス制御、バックアップ体制など、クラウドサービスを提供する事業者のセキュリティ対策を詳細に確認することが必要になるわけです。
さらに、クラウドサービス提供事業者がISO/IEC 27001などの国際的なセキュリティ認証を取得しているかも重要な指標となります。
■データの所有権と使用権を確認する
クラウドサービスではデータの保存や管理が外部のサーバーで行われるため、データの所有権や使用権を確認する必要があります。
クラウドサービスを選定する際には、契約書や利用規約を詳細に確認し、データの所有権がどのように定義されているかを確認することが重要です。一般的に、クラウドサービス提供者はデータの管理を行うものの、所有権はデータを提供した企業にあることが多いです。しかし、使用権については、サービス提供者がデータをどのように利用するかが明確にされているかを確認する必要があります。
さらに、データの使用権に関しては、第三者への提供や広告目的での利用が契約に含まれていないかを確認することが重要です。
■セキュリティインシデントへの対応を確認する
セキュリティインシデントとは、個人情報の漏えいや不正アクセスなど、セキュリティ上の脅威となる事象です。Pマーク取得事業者がクラウドサービスを利用する際には、セキュリティインシデントに対する対応策がしっかりと整備されているか、どのように情報が共有されるのか、また被害の拡大を防ぐための初動対応がどのように行われるかを確認する必要があります。
また、被害の範囲や影響の調査、再発防止策の策定など、セキュリティインシデント発生後のフォローアップについても確認しておきましょう。これらのプロセスが明確に定められているかどうかが、クラウドサービス提供事業者の信頼性を判断する基準となります。
【関連記事】
セキュリティインシデントとは?最近の有名な事例や発生する原因・種類、対策、対応方法を解説
4. クラウドサービス利用時の安全管理措置
クラウドサービスはデータの保存や処理を外部のサーバーで行うため、外部環境の影響を受けやすいという特性があります。そのため、事業者はクラウドサービス提供者のセキュリティポリシーやデータセンターの所在地などを事前に確認し、外的環境を把握した上で安全管理措置を講じることが重要です。
外的環境とは、クラウドサービスを提供する事業者のデータセンターの所在地やその国の法制度を指します。外的環境は、データの保護レベルや法的な義務に直接影響を与えるため、しっかりと確認する必要があります。たとえば、データセンターが海外にある場合、その国の法律が日本の個人情報保護法と異なることがあり、データの取り扱いに影響を及ぼす可能性があるわけです。
クラウドサービスを利用する際には、クラウドサービス提供事業者がどの国の法令に従っているかを確認し、必要に応じて事業者と契約書を取り交わす必要があります。
5. まとめ
今回は、Pマーク取得事業者のクラウドサービス利用時の注意点と情報漏えいを防ぐための対策について解説しました。
Pマーク取得事業者がクラウドサービスを利用する際には、個人情報が外部に流出するリスクを考慮したクラウドサービスの選定や管理が重要となります。本記事で解説したクラウドサービス利用時の注意点と情報漏えいを防ぐための対策を参考に、安全な情報管理の実現を目指しましょう。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
