特集
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

個人情報のクラウド例外とは?クラウドサービス利用時の留意点

IT・情報セキュリティ 更新
越田 晃基弁護士 弁護士法人三宅法律事務所 岩田 憲二郎弁護士 弁護士法人三宅法律事務所 出沼 成真弁護士 弁護士法人三宅法律事務所

目次

  1. クラウド例外とは?
    1. 個人情報保護法における原則と例外
    2. クラウド例外の要件と効果
    3. クラウドサービス提供事業者による保守サービスへの適用
    4. 諸外国における取扱い
  2. エムケイ社のランサムウェア被害事案と個人情報保護委員会の判断
    1. 事案の概要
    2. エムケイ社における個人データの取扱い
    3. 個人情報保護委員会の判断
    4. エムケイ社の対応
  3. 人事労務管理システムの個人情報漏えい事案と個人情報保護委員会の判断
    1. 事案の概要
    2. 個人情報保護委員会の判断
  4. 利用事業者がクラウドサービスの検討段階で確認すべき事項
    1. クラウド例外適用・個人データの取扱いの委託のいずれに該当するか
    2. 適切なセキュリティ対策が講じられているか
  5. クラウド例外が適用できない場合に利用事業者に求められる対応(委託先の監督)
    1. 委託契約の締結
    2. 委託先における個人データ取扱状況の把握
  6. クラウド例外の展望
    1. 業界団体の要望
    2. 生成AIの利用における類推適用

 「クラウド例外」とは、いわゆるクラウドサービスについて、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人データの提供(個人情報保護法27条)に該当せず、また、利用企業は委託先の監督(同法25条)も不要とする考え方のことをいいます。


 クラウド例外は、個人情報保護法や関連する個人情報保護法のガイドラインには規定はなく、個人情報保護委員会の「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」における記載のみに過ぎないにもかかわらず、実務上広く利用されています。

 そのような状況において個人情報保護委員会は、令和6年中に、クラウドサービスに関連する重要な注意喚起を2件公表しました。1つ目は、社労士向け業務システムのランサムウェア被害事案に関して、クラウド例外の適用に関する厳格な解釈を明らかにしたものです。2つ目は、不正アクセスによる人事労務管理システムからの個人情報漏えい事案に関して、クラウド例外に言及することなく、個人データの取扱いの委託に該当することを前提として、クラウドサービスの提供者・利用者双方が留意すべき点を取りまとめたものです。

 個人情報保護委員会によるこのような公表は、多くのクラウドサービス利用事業者から深刻な問題として受け止められています。本記事では、これらの事案について紹介したうえで、クラウドサービス利用事業者に求められる対応について解説します。

クラウド例外とは?

個人情報保護法における原則と例外

 個人情報の保護に関する法律(以下、「法」または「個人情報保護法」といいます)において、個人情報取扱事業者は、個人データを第三者に提供する場合には、原則として、本人の事前の同意を得なくてはならないとされています(法27条1項)。個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいい(法16条2項)、民間事業者は基本的に該当します。

 この原則に対する例外はいくつかありますが、「個人データの取扱いの委託先」については、個人情報取扱事業者から見た場合、一体的な関係にあるため、「第三者」とはみなされず、本人の同意なく当該委託先に個人データを提供することが可能です(法27条5項1号)。ただし、この場合でも、個人情報取扱事業者は委託先の監督の義務を負います(法25条)。

原則
 個人情報取扱事業者は、個人データを第三者に提供する場合には本人の事前の同意を得なくてはならない

例外
 個人データの取扱いの委託先は第三者とはみなされず、本人の同意なく当該委託先に個人データを提供できる

クラウド例外の要件と効果

 クラウドサービス提供事業者は、利用企業である個人情報取扱事業者から見た場合、「個人データの取扱いの委託先」に該当するとも考えられます。しかしながら、「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(以下「ガイドラインQ&A」といいます)7−53においては、当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はないとされています。
 また、この場合は、個人データを提供したことにならないため、「個人データの取扱いの委託」(法27条5項1号)にも該当せず、法25条に基づきクラウドサービス事業者を監督する義務はないとされています。

 これらがいわゆる「クラウド例外」で、個人情報保護法には規定は設けられていません。

 この考え方はクラウドサービス提供事業者を「貸倉庫業者」のように捉える考え方です。当該クラウドサービス提供事業者が、「当該個人データを取り扱わないこととなっている場合」とは、当該事業者がサーバに保存された個人データを取り扱わない旨が契約条項によって定められており、適切にアクセス制御を行っている場合等が考えられるとされています。

 ただし、この場合でも、クラウドサービス利用事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります(ガイドラインQ&A7−54)。

クラウド例外とは?

要件
  • クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている
    ・契約条項によって、当該事業者がサーバに保存された個人データを取り扱わない旨が定められている
    ・当該事業者が適切にアクセス制御を行っている
効果
  • 個人データの第三者提供にならず、本人同意の取得は不要
  • クラウドサービス利用事業者は提供事業者を委託先として監督する義務がない
  • 自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要がある

ガイドラインQ&A
※下線・太字筆者

(第三者に該当しない場合)
Q7−53 個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第27条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第27条第5項第1号)しているものとして、法第25条に基づきクラウドサービス事業者を監督する必要がありますか

A7−53 クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
 当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません
 また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って…提供される場合」(法第27条第5項第1号)にも該当せず、法第25条に基づきクラウドサービス事業者を監督する義務はありません
 当該クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合の個人情報取扱事業者の安全管理措置の考え方についてはQ7−54参照。
 当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。(以下略)

(第三者に該当しない場合)
Q7−54 クラウドサービスの利用が、法第27条の「提供」に該当しない場合、クラウドサービスを利用する事業者は、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。

A7−54 クラウドサービスの利用が、法第27条の「提供」に該当しない場合、法第25条に基づく委託先の監督義務は課されませんが(Q7−53参照)、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります

クラウドサービス提供事業者による保守サービスへの適用

 ガイドラインQ&A7−55においては、「個人データを用いて情報システムの不具合を再現させ検証する場合」や「個人データをキーワードとして情報を抽出する場合」は、個人データの提供に該当し、本人の同意を得るか(法27条1項)、または、個人データの取扱いの委託(法27条5項1号)に該当するものとして、委託先の監督(法25条)が必要となるとしています。

 他方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しないとしています。具体例の1つとして、「保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合」が挙げられています。

ガイドラインQ&A
※下線筆者

(第三者に該当しない場合)
Q7−55 個人データを含む電子データを取り扱う情報システム(機器を含む。)の保守の全部又は一部に外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第27条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託することに伴って…提供」(法第27条第5項第1号)しているものとして、法第25条に基づき当該事業者を監督する必要がありますか。

A7−55 当該保守サービスを提供する事業者(以下本項において「保守サービス事業者」という。)がサービス内容の全部又は一部として情報システム内の個人データを取り扱うこととなっている場合には、個人データを提供したことになり、本人の同意を得るか、又は、「個人データの取扱いの全部又は一部を委託することに伴って…提供」(法第27条第5項第1号)しているものとして、法第25条に基づき当該保守サービス事業者を監督する必要があります。

(例)
◯個人データを用いて情報システムの不具合を再現させ検証する場合

◯個人データをキーワードとして情報を抽出する場合
一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しません。


(例)
◯システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合

保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合

◯保守サービスの受付時等に個人データが保存されていることを知らされていない場合であって、保守サービス中に個人データが保存されていることが分かった場合であっても、個人データの取得を防止するための措置が講じられている場合

◯不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合

◯不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人データを再現しないこと等が契約等で明確化されており、再現等を防止するための措置が講じられている場合

◯個人データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合

クラウド例外の適否

クラウド例外の適否

諸外国における取扱い

 諸外国では我が国のクラウド例外のような規定は見当たらず、クラウド提供事業者に対する規制が日本のように緩い国は他にありません。たとえばGDPRにおいては、クラウドサービス提供事業者も「処理者」(processor)とされ、個人情報保護法における「委託先」に近い取扱いとされています。

エムケイ社のランサムウェア被害事案と個人情報保護委員会の判断

 このようなクラウド例外の適否について、個人情報保護委員会が、個別事案について初めて具体的な判断を公表したのが、「株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について」および「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について」です。

 本事案は、社会保険/人事労務業務支援システムの「社労夢」を社会保険労務士事務所に対して提供する株式会社エムケイシステムのサーバーがランサムウェア被害を受け、個人データの漏えいのおそれが生じた事案ですが、個人情報保護委員会は、本事案についてはクラウド例外非適用とし、クラウド例外の適用に関する厳格な解釈を明らかにしました。この解釈はクラウドサービスを利用する事業者に大きな衝撃を与えました。

事案の概要

 株式会社エムケイシステム(以下「エムケイ社」といいます)は、社会保険/人事労務業務支援システム(以下「本件システム」といいます)を、社会保険労務士(以下「社労士」といいます)の事務所等のユーザ(以下「ユーザ」といいます)に対し、SaaS環境においてサービス提供していた(以下「本件サービス」といいます)ところ、令和5年6月、エムケイ社のサーバが不正アクセスを受け、ランサムウェアにより、本件システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生しました。

 本件システムは、主に社労士向けの業務システムであり、社会保険申請、給与計算および人事労務管理等の業務のために利用するものです。同システムで取り扱われていた個人データは、社労士の顧客である企業や事業所等(以下「クライアント」といいます)の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号およびマイナンバー等です。

 エムケイ社からの情報によると、事案の規模は以下のとおりであり、令和6年3月25日時点において、個人データの悪用などの二次被害は確認されていないということです。

本件システムの利用実績(令和5年4月1日時点)
社労士事務所:2,754事業所
管理事業所: 約57万事業所

本件システムで管理する本人数(令和5年6月5日時点)
最大約2,242万人

漏えい等報告(令和5年6月6日から令和6年3月8日までに個人情報保護委員会が受領したもの)
件数:報告者ベースで3,067件(本人数計749万6,080人)
内訳
社労士事務所等:2,459件(本人数計672万4,609人)
顧問先事業者:  404件(本人数計39万2,125人)
企業等:     204件(本人数計37万9,346人)

※大部分は社労士事務所からの提出であり、顧問先事業者との連名報告の形での報告が多かった

エムケイ社における個人データの取扱い

 エムケイ社は、ユーザから本件システムの利用に関する調査・支援要請があった場合、両者の間で「個人情報授受確認書」(以下「授受確認書」といいます)を取り交わした後、個人データを取り扱っていました。なお、令和5年上半期における、授受確認書によるエムケイ社の個人データ取扱い実績は、合計20件でした。授受確認書には、「個人情報保護法を遵守し、下記目的達成の為に個人情報を授受します。」「媒体 お客様の委託データ」「授受の形態 保守用IDによるデータ調査」などの記載があります。

 ユーザの同意を得た利用規約においては、エムケイ社がサービスに関して保守運用上または技術上必要であると判断した場合、ユーザがサービスにおいて提供、伝送するデータ等について、監視、分析、調査等、必要な行為を行うことができる旨が規定されていました。また、本件利用規約において、エムケイ社は、ユーザの顧問先に係るデータを、一定の場合を除き、ユーザの許可なく使用し、または第三者に開示してはならないという旨が規定されており、エムケイ社は、当該利用規約に規定された特定の場合には、社労士等のユーザの顧問先に係る個人データを使用等できることとなっていました。

 エムケイ社は保守用IDを有し、それを利用して本件システム内の個人データにアクセス可能な状態であり、エムケイ社の取扱いを防止するための技術的なアクセス制御等の措置は講じられていませんでした

個人情報保護委員会の判断

 上記のエムケイ社の事案に対して、個人情報保護委員会は、クラウド例外は適用されないと解釈し、クラウドサービス提供事業者について技術的安全管理措置の不備があり、利用事業者について委託先の監督が不十分であったと述べました。

(1)エムケイ社ユーザはクラウド例外非適用

 個人情報保護委員会は、本行政指導事案において、クラウドサービス提供事業者であるエムケイ社が、ガイドラインQ&A7−53の「個人データを取り扱わないこととなっている場合」とはいえず、また、個人データの取扱いを防止するための適切なアクセス制御は行われていなかったことが認められ、エムケイ社は、個人情報取扱事業者としてユーザから個人データの取扱いの委託を受けて個人データを取り扱っていたといえるとしました。

 すなわち、エムケイ社のユーザにはクラウド例外の適用は認められず、個人データの取扱いの委託(法27条5項1号)に該当し、ユーザはエムケイ社に対して委託先の監督(法25条)が必要と判断しました。

 上記1-3で説明したとおり、「単純なハードウェア・ソフトウェア保守サービスのみを行う場合」の例として、「保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいいます)を防止するための措置が講じられている場合」等が挙げられているところ、「取扱いを防止するためのアクセス制御等の措置」が講じられているか否かが重要です。個人情報保護委員会は、エムケイ社が有する保守用IDについては、個人データの取得を防止するための技術的な措置は講じられていないことから、個人データの提供に該当し、委託に基づき個人データを取り扱っているものと認められると判断しました。

 個人情報保護委員会が公表した令和6年3月注意喚起においては、エムケイ社が個人情報取扱事業者に該当すると判断された考慮要素は以下のとおりとされています。

  • 利用規約において、クラウドサービス提供事業者が保守、運用上等必要であると判断した場合、データ等について、監視、分析、調査等必要な行為を行うことができること及びシステム上のデータについて、一定の場合を除き、許可なく使用し、又は第三者に開示してはならないこと等が規定され、クラウドサービス提供事業者が、特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていたこと。
  • クラウドサービス提供事業者が保守用IDを保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと。
  • クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと。

(2)エムケイ社の技術的安全管理措置の不備

 個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則編GL」といいます)において、個人情報取扱事業者は、技術的安全管理措置として以下の義務を負うとされています。

(別添)10-6(2) アクセス者の
識別と認証		 個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない
(別添)10-6(3) 外部からの不正
アクセス等の防止		 個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない

 本行政指導事案においては、この点について、以下のとおり指摘されています(下線筆者)。

 エムケイ社においては、ユーザのパスワードルールが脆弱であったこと、また、管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があった。また、ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていただけでなく、ログの保管、管理及び監視が適切に実施されておらず、不正アクセスを迅速に検知するには至らなかったことから、外部からの不正アクセス等の防止のための措置についても問題があった。

 この指摘は、クラウド例外の要件の1つである「適切なアクセス制御」としてどのようなものが必要となるかという点で参考になります。

(3)エムケイ社ユーザの委託先監督の不備

 本行政指導事案においては、エムケイ社のユーザ(社労士事務所等)にクラウド例外が適用されないことを前提として、委託先の監督(法25条)に関する通則編GL3-4-4を踏まえて委託先の監督をする必要があるとされています。

 もっとも、ユーザとしても本件サービスについて、クラウド例外を当然の前提としているだろうとの期待が多かったと推測されることから、個人情報保護委員会は「本件において、ユーザの多くは、エムケイ社に対する個人データの取扱いの委託を行っていたとの認識が薄く、委託先の監督が結果的に不十分となっていた可能性がある」と指摘しています。

エムケイ社の対応

 本行政指導の公表を受けて、エムケイ社は、令和6年3月26日に「当社に対する個人情報保護委員会からの指導等について」を、同月28日に「当社に対する個人情報保護委員会からの指導等について(第2報)」を公表しました。第2報においては、以下のとおり記載しています。

 該当のNews Releaseの中で、「個人情報授受確認書」を取り交わした後、保守用IDを利用しての個人情報データ取り扱い実績は令和5年上半期で合計20件と報告されています。これは当社がお客様から個人データをお預かりし、保守用IDで調査等を行った件数になります。
 また、当社の保守用IDについては、作業中に個人データが閲覧可能となる場合であっても、個人データの取得を防止するための技術的な措置(閲覧するにとどまらず、これを記録・印刷等を防止する機能)が講じられていないため、個人情報取扱事業者としてお客様から個人データの取り扱いの委託を受けて個人データを取り扱ったとされています。
 当社は今後の対応を検討するため、当面の間、お客様の個人データをお預かりして保守用IDを使って調査等を行う業務を停止いたします。

 エムケイ社としては、個人情報保護委員会から、本件サービスについて、クラウド例外が適用されず、個人データの取扱いの委託(法27条1項5号)として、ユーザによる委託先の監督(法25条)が必要となると指摘されたにもかかわらず、保守用IDによる調査業務を停止することにより、今後もクラウド例外の適用を前提としていく方針であることが見て取れます。中小の社労士事務所等のユーザが、エムケイ社を個人データ委託先として監督していくことは非現実的であり、やむを得ない応急措置であると思われます。

 なお、その後、エムケイ社は、令和6年7月18日に「【重要】個人情報保護委員会の定例委員会で当社の再発防止策についての報告がされた件について」を公表し、<当社の今後の対応>において、以下のように記載し、今後の個人データの取扱いについての対応は検討中であるとしています。

<当社の今後の対応>
  • 個人情報保護委員会からのご指摘にもあります通り、引き続き策定した再発防止策を確実に継続実施していきます。
  • 個人データの取扱いについて、当社の今後の対応は検討中です。個人情報保護委員会からご指摘を受けた保守用IDを使った作業についてはサービスを停止、保守用IDも完全削除しております。

 これに対して、本行政指導事案および令和6年3月注意喚起において指摘された利用規約において、保守、運用上等必要であると判断した場合に、エムケイ社が個人データを使用等できることが規定されていたことについては、上記のエムケイ社公表資料では触れられていません。

 また、エムケイ社に対する個人情報保護委員会の行政上の対応を受けて、牧野総合法律事務所弁護士法人が社労士事務所、社労士等の弁護団を組成し、エムケイ社に対して損害賠償請求を求める民事調停の申立てを検討しています 1。これに対して、エムケイ社は同弁護士らが民事調停の申立てを行ったとしても、損害賠償請求に応じることはないとのプレスリリースを公表しています 2

人事労務管理システムの個人情報漏えい事案と個人情報保護委員会の判断

 さらに個人情報保護委員会は、令和6年12月17日、エムケイ社における事案とは異なる事案をもとに、「人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について(注意喚起)」(以下「令和6年12月注意喚起」といいます)を公表しました。

 同注意喚起において、個人情報保護委員会は、いわゆるクラウドサービスの利用について、クラウド例外には言及すらもせず、クラウドサービス利用事業者はクラウドサービス提供事業者に対して個人データの取扱いを委託していると解したうえで、委託先(クラウドサービス提供事業者)・委託元(クラウドサービス利用事業者)双方の留意点を取りまとめています。

事案の概要

 令和6年12月注意喚起には企業名の表示はありませんが、事案は以下のとおりであるとされています(脚注省略、下線筆者)。

(1)概要
 A社は、クラウド上で提供される、人事労務管理を行うためのシステム(以下「本件システム」という。)を開発・運用し、顧客である企業や店舗(以下「顧客企業等」という。)にサービスを提供していました。あるとき、本件システムに保管されていた顧客企業等が取り扱う個人データ(以下、「本件個人データ」という。)について、外部の者がダウンロードしたことにより「漏えい」が生じました。

(2)本件システムで管理されていた個人データ
 本件システムは、顧客企業等が、クラウド環境で従業者の人事労務管理を行うためのシステムであり、本件システムで保管されていた個人データには、多数の顧客企業等の従業者の氏名、生年月日、住所等に加え、雇用契約書、運転免許証、住民票、健康診断書、銀行口座の情報を示すキャッシュカードの券面、マイナンバーカード等の画像が含まれていました。

(3)A社における個人データの取扱い(委託)
 顧客企業等は、本件個人データを、本件システムの利用を通じて本件システム内に保管し、管理していました。そして、A社は、本件システムのサービス提供に伴い、顧客企業等から本件個人データの取扱いの委託を受けていました
 つまり、顧客企業等が本件個人データの取扱いについての委託元であり、A社が委託先という関係にありました。

(4)漏えい発覚の経緯
 A社がサービス提供を開始してから数年後、その頃にA社の親会社となった会社が、本件システムに関するセキュリティ調査を行いました。
 その結果、A社における本件システムの開発時に、本件システム上で取り扱われる本件個人データを保存するためのクラウドストレージサーバ(以下「本件サーバ」という。)内のバケットの設定(公開・非公開)に関する問題点及びファイルリストの設定(公開・非公開)に関するミスが存在し、サービス提供開始時から、特定の操作を行うことで、本件サーバに外部からアクセスが可能な状態となっていたことが判明しました。
 また、その後の調査の結果、外部の者が本件サーバにアクセスし、その時点で本件サーバに保管されていた個人データ全てについて、ダウンロードされた痕跡があることが発覚し、漏えいが生じたことが判明しました。

 令和6年12月注意喚起における事案の詳細、とりわけ上記事案におけるクラウドサービスにつきクラウド例外を適用せず個人データの取扱いの「委託」に該当するとされた根拠は詳らかにされていませんが、クラウド環境を利用したサービスであるのに、クラウド例外に関する言及が一切なく、個人データの取扱いの委託に該当することが所与の前提とされている点は注目に値するものと考えられます。

個人情報保護委員会の判断

(1)委託先(クラウドサービス提供事業者)における留意点

 個人情報保護委員会は、上記事案を念頭に置きながら、委託先たるクラウドサービス提供事業者につき、次の注意喚起を公表しています(令和6年12月注意喚起)(脚注省略、下線筆者)。

 本事案のように、漏えい等をした場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを、クラウド環境を利用したシステム上で顧客のために大量に取り扱うサービスを開発・提供する場合には、特にアクセス制御の点や不正アクセス等を防止するための措置について、開発段階から注意して設計し、ユーザーの利便性に偏らない安全なシステムを構築し、サービス提供をすることが重要です
 人事労務管理のためのクラウドサービスを提供する事業者におかれては、取り扱う個人データの性質及び量に応じて、近年における不正アクセスの動向にも注意しつつ、必要な安全管理措置を講じていただき、安全なサービスの開発・提供に努めていただくようお願いします。
 なお、クラウドサービスの提供に際しては、当該クラウドサービスを提供する事業者において、あらかじめ作成した定型的な利用規約等について合意することで、当該クラウドサービスの利用に係る契約を締結する場合も多いと思います。クラウドサービスを提供する事業者におかれては、あらかじめ、必要かつ適切な安全管理措置等に係る記載を盛り込んだ利用規約等の整備に努めていただくようお願いいたします

 上記内容は、主にクラウドサービスを開発・提供する事業者に向けた注意喚起であるものの、その視点はクラウドサービスを利用する事業者にとっても参考になるのではないかと思われます。
 なお、利用しようとするクラウドサービスが、クラウド例外の適用があるものであったとしても、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要がある(ガイドラインQ&A7−54)ことから、セキュリティ対策の一環として「不正アクセス等を防止するための措置」を確認することは有益であると考えられます。

(2)委託元(クラウドサービス利用事業者)における留意点

 個人情報保護委員会は、上記事案を念頭に置きながら、委託元たるクラウドサービス利用事業者につき、次の注意喚起を公表しています(令和6年12月注意喚起)(脚注省略。下線は筆者らによるものです。)。

 本件システムのようなクラウドサービスを利用して、漏えい等をした場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを含む大量の従業者等の個人データを継続的に管理していく場合には、そのようなリスクに応じた措置を講ずる必要があります。
 本事案では、(中略)利用規約以外に個人情報保護法のガイドライン等の記述に従って別途覚書等を作成し、委託先に対して個人データに係る安全管理措置を義務付けるチェックシートなどを用いたりするなどして委託先における個人データの取扱い状況を把握する等の措置を講じている個人情報取扱事業者も認められました
 委託元となる個人情報取扱事業者におかれましては、委託する個人データの性質及び量に応じて、委託元として、必要かつ適切な委託先の監督を行っていただくようお願いします。

 上記のとおり、クラウドサービスの利用が個人データの取扱いの委託に該当する場合には、利用規約等において必要かつ適切な安全管理措置等に係る記載が盛り込まれているかを確認し、仮に不足がある場合には、利用規約以外に個人情報保護法のガイドライン等の記述に従って別途覚書等を作成することが重要です。また、委託先の監督として、委託先に対して個人データに係る安全管理措置を義務付けるチェックシートなどを用いたりするなどして、委託先における個人データの取扱い状況を把握する等の措置を講じることも重要です。

利用事業者がクラウドサービスの検討段階で確認すべき事項

 個人情報保護委員会によるこれらの解釈を踏まえると、クラウドサービスの検討段階で利用事業者が確認すべき事項は以下のとおりです。

クラウド例外適用・個人データの取扱いの委託のいずれに該当するか
  • クラウドサービス提供事業者の利用規約等において、個人データを一切取り扱わないことが明記されているか? それとも保守サービス等における取扱いが想定されているか?
  • 利用規約に個人データを取り扱わないと記載されていても、それと矛盾するような個人データの取扱いに関する覚書や確認書(特に保守サービスに関するもの)の締結を求められていないか?
  • クラウドサービスの保守の場合であっても、「単純な保守」といえるように、個人データの取得を防止するための技術的な措置(閲覧にとどまらず記録・印刷等までを防止する機能)を講じているか?
適切なセキュリティ対策が講じられているか

  • クラウドサービスのセキュリティ対策について十分理解しているか? 3

※クラウドサービスの利用が個人データの取扱いの委託に該当する場合
  • 利用規約に個人データの取扱いに関する必要かつ適切な安全管理措置に関する記載があるか?
  • 利用規約に委託された個人データの取扱状況を委託元が合理的に把握することに関する記載があるか?

 クラウドサービス提供事業者のサービスは定型化され、利用規約も、変更を求めることが困難な約款として定められている場合が多いです。新たにクラウドサービスを採用することを検討している事業者においては、利用規約をよく確認したうえでサービスを選別すべきです。

 なお、既にクラウドサービスを採用している場合においても、基本的に、上記と同じ事項を確認すべきです。仮に、クラウドサービス提供事業者が、利用規約に①個人データの取扱いをする旨の規定をしている場合や②個人データの取扱いに関する覚書や確認書を締結している場合には、クラウド例外を適用するために個人データの取扱いをしない旨の覚書を別途締結し、または、クラウドサービス提供事業者を、個人データの取扱いに係る委託先に該当すると整理したうえで、必要かつ適切な委託先の監督を行うべきです。

 クラウドサービス提供事業者が応じてくれない場合には、別の会社のクラウドサービスへの移行についても検討すべきでしょう。

クラウド例外適用・個人データの取扱いの委託のいずれに該当するか

 たとえば、エムケイ社の事案においてクラウド例外が適用されない場合、社労士事務所がエムケイ社に対して委託先の監督(法25条)の義務を負うだけでなく、ユーザである社労士事務所を利用するクライアント企業もエムケイ社を再委託先として監督しなければなりません。そのため、クラウドサービスを利用するにあたっては、クラウド例外を適用することができるのか、それとも個人データの取扱いの委託に該当するのかについて、確認することが重要です。

 クラウド例外の要件の1つである「個人データを取り扱わないこととなっている場合」に関し、エムケイ社の事案では、利用規約の文言にかかわらず、ユーザとの間で授受確認書を取り交わした後でなければ個人データを取り扱わない運用としていたことがうかがわれます。それにもかかわらず、個人情報保護委員会は、エムケイ社のユーザにクラウド例外の適用を認めませんでした。
 このことは、クラウドサービス提供事業者が、クラウドサービスの利用契約と基本となる利用規約とは別途、具体的な保守業務のために書面を取り交わしていたとしても、クラウド例外の適用が認められないことを意味しているものと考えられます。
 したがって、仮に特定の場面に限定した使用等であったとしても、利用規約において個人データを使用等できることとされている場合には、クラウド例外の適用が認められず、個人データの取扱いの委託に該当するおそれがあると考えられます。

 本行政指導事案・令和6年3月注意喚起における個人情報保護委員会の解釈は、利用規約において個人データの利用可能性が示唆されていたエムケイ社の事案について、クラウド例外の非適用を述べたものです。
 つまり、利用規約には一切個人データを取り扱わない旨明記されている場合であって、必要の都度個別に保守契約を締結し、当該保守契約のみに基づき、単純な保守を超えた保守をする個人データの利用が生じる場合(個人情報保護法上は個人データの取扱いの委託に該当する)にクラウド例外が認められるか否かを述べたものではありません。この場合のクラウド例外の適用可能性は、引き続き解釈に委ねられることになると考えられます。

 もっとも、別途、個人データの取扱いの委託に当たる保守契約を締結すれば、クラウド例外の「単純な保守」という限定を避けることができるとすることには躊躇を覚えるところであり、個人情報保護委員会がQ&Aやガイドライン等で解釈を示すのを待って対応するほうが安全であると考えられます。

 なお、「個人データの取扱い」の「取扱い」は広く、「取得」、「利用」、「保存」、「提供」、「削除・廃棄」の各段階を含むものと考えられます(通則編GL(別添)10−2参照)。すなわち、「削除・廃棄」も「個人データの取扱い」に該当し、クラウドサービス提供事業者が利用者の要請に応じて、クラウド内の個人データを削除した場合にも、「個人データの取扱い」をしていたものとして、「個人データの取扱いの委託」とされる可能性があります。この場合、たとえば、自動的に個人データを削除するような機能を実装すれば「個人データの取扱いの委託」とはみられないといえるかが問題となります。

通則編GL

(別添)10−2(個人データの取扱いに係る規律の整備)
 取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規程を策定することが考えられる。なお、具体的に定める事項については、以降に記述する組織的安全管理措置、人的安全管理措置及び物理的安全管理措置の内容並びに情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)は技術的安全管理措置の内容を織り込むことが重要である。

適切なセキュリティ対策が講じられているか

 クラウドサービス提供事業者に対して、セキュリティ対策の取組状況を確認することは、当該クラウドサービスの利用にクラウド例外の適用があるか、個人データの取扱いの委託に該当するかを問わず行うべきであると考えられます。

 また、クラウドサービス提供事業者において、技術的安全管理措置(特に、本行政指導事案で指摘されている「アクセス者の識別と認証」(通則編GL(別添)10−6(2))、「外部からの不正アクセス等の防止」(通則編GL(別添)10−6(3))が講じられているかを確認できればなおよいです。

 なお、クラウドサービスの利用にあたり、クラウド例外の適用を検討している場合には、その適否に関する判断要素の1つである「適切なアクセス制御」が講じられていることについては、個人データの漏えいを引き起こした本行政指導事案に鑑み、確認を行うべきであると考えられます。

 もっとも、クラウドサービス提供事業者との力関係からすれば、詳細については確認できない場合が多いでしょう。エムケイ社の場合も、ホームページ上においては、「個人情報漏洩対策」について「24時間365日、世界トップクラスのセキュリティー専門家チームがクラウドサーバーを監視、サーバーでの暗号化、移動、保管を含め、万全の体制でデータを管理しています。」4 と記載されていました。

クラウド例外が適用できない場合に利用事業者に求められる対応(委託先の監督)

 クラウド例外が適用できず、個人データの取扱いの委託であると解されるおそれがある場合には、クラウドサービス利用事業者としては、クラウドサービス提供事業者を個人データの取扱いに係る委託先に該当するものと整理したうえで、次のように必要かつ適切な措置を講じて、委託先の監督を行うことが考えられます。

委託契約の締結

 委託先と締結する委託契約に、当該個人データの取扱いに関する必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましいとされています(通則GL3−4−4(2))。

 令和6年12月注意喚起においては、クラウドサービス提供事業者の提示する利用規約の内容を確認し、仮に上記「委託元、委託先双方が同意した内容」や「委託先における委託された個人データの取扱状況を委託元が合理的に把握すること」に関する規定がない場合には、利用規約以外に個人情報保護法のガイドライン等の記述に従って別途覚書等を作成することの重要性が示唆されています。

委託先における個人データ取扱状況の把握

 クラウド例外の適用がある場合には、自らが果たすべき安全管理措置の一環として、自社においてクラウドサービスにおける個人データの取扱い状況を確認することで足りると考えられます。反面、個人データの取扱いの委託に該当する場合には、委託先における委託された個人データの取扱状況を把握するために、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査したうえで、委託の内容等の見直しを検討することを含め、適切に評価することが望ましいとされています(通則GL3−4−4(3))。この「委託先における個人データ取扱状況の把握」こそが、クラウド例外の適用がある場合との比較において、大きな違いであると考えられます。

 具体的には、チェックシートへの記入依頼等、委託先たるクラウドサービス提供事業者に対して一定の対応を依頼することになると考えられます。令和6年12月注意喚起においても、委託先に対して個人データに係る安全管理措置を義務付けるチェックシートなどを用いたりするなどして、委託先における個人データの取扱い状況を把握する等の措置を講じることの重要性が示唆されています。

 もっとも、委託先であるクラウドサービス提供事業者がいわゆるビッグテックであるなどの場合には、こうした対応に応じてもらえないこともままあります。

 こうした問題意識は、個人情報保護委員会が令和6年10月16日に決定した「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」(以下「充実に向けた視点」といいます)にもあらわれており、「(参考4)現行制度の基本的前提に係る再検討にあたっての視点の例」のうち、「4 個人データの取扱い態様の多様化の下における、データの適正な取扱いに係る義務を負うべき者の在り方」②は、次の視点を提示しています。

 現在は、本人に対し責任を負う個人情報取扱事業者が、従業員や委託先の監督を通じて、安全確保等の義務を果たすこととなっているが、データ処理の担い手や、安全管理等の措置を講ずる権能の帰属実態を踏まえこの規律の整理は妥当か。

 「充実に向けた視点」に関し行われた事務局ヒアリングにおいても、「委託先が委託元よりも強い立場にあるクラウド事業者の場合、委託元が適切に委託先を監督するのは非常に困難。こういった委託先である場合が多く、大量の情報を扱い、漏えいが生じると複数の委託元が責任を問われることが容易に想定される事業者には、一定の規律を課すべき」とした意見が取りまとめられています 5

 クラウドサービスの利用が個人データの取扱いの委託に該当する場合における、クラウドサービス利用事業者の目下の対応としては、以下のような方法が現実的ではないかと考えられます 6

  • まずは(“ダメ元” であっても)チェックシート等を利用して委託先たるクラウドサービス提供事業者における個人データ取扱状況の把握に努める
  • 提供事業者がこうした対応に応じなかった場合には、利用規約等の記載を参考にしつつ、委託先における個人データの取扱状況の把握に努めるとともに、その旨を記録にとどめておく

クラウド例外の展望

 クラウド例外の考え方は実務上定着しているため、追加の条件等を付するなどの厳格化は困難ではないかと思われます。
 もっとも、個人情報保護委員会は、本行政指導事案・令和6年3月注意喚起のとおり、個人データを取り扱う可能性があればクラウド例外の適用はなく、個人データの取扱いの委託(法27条5項1号)に該当するとしたり、令和6年12月注意喚起のとおり、クラウド環境を利用したサービスであっても個人データの取扱いの委託に該当することを所与の前提としたりしているなど、クラウド例外の適用範囲が従前の実務が想定していたよりも狭いことを示しています。こうした個人情報保護委員会の動向に照らせば、クラウド例外の提供を前提としてクラウドサービスを利用する場合には、これまで以上に慎重な検討が要求されるでしょう

業界団体の要望

 これまでに述べた個人情報保護委員会の動向とは裏腹に、クラウド例外に対する産業界からの期待は大きく、個人情報保護委員会が令和6年2月21日に公表した「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目」(委員長預かりで会議後に修正した資料)(令和6年2月21日 個人情報保護委員会事務局)においても、業界団体から以下のような意見が寄せられています。

  • 一般社団法人電子情報技術産業協会(JEITA)「個人情報保護法の3年ごと見直しに関する意見」(令和5年12月21日)
    • 「個人データを取り扱わないこととなっている場合に該当する(させる)ための標準的な契約条項の記載例や、適切なアクセス制御例を具体的にガイドライン等で示すことの検討をお願いします。」
  • 一般社団法人日本経済団体連合会(経団連)デジタルエコノミー推進委員会データ法制WG「個人情報保護法の3年ごと見直しに対する意見」(令和6年1月31日)
     「いわゆる「クラウド例外」については、現在のQ&Aのアプローチに基づいて実務に定着し有効に機能しているところ、追加の条件等の付加には慎重を期し実務上の混乱なきよう進めるべき」

生成AIの利用における類推適用

 また、いわゆる生成AIの利用について、個人情報保護員会による令和5年6月2日付「生成AIサービスの利用に関する注意喚起等」(1)②は、以下の注意喚起を公表しています。

 個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。

 かかる注意喚起につき、クラウド例外の考え方を類推して、AI事業者が、プロンプト入力された個人データを当該プロンプトに対する応答結果の出力以外の目的で取り扱うことがなく、機械学習に利用しないことが担保されていれば、プロンプト入力に伴う個人データの送信は「提供」に該当せず、提供規制との関係で問題が生じないとしているように読める旨指摘する見解もあります 7

 なお、個人情報保護委員会による令和6年6月27日付「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」3(1)では、「生成AIなどの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、既存の例外規定では対応が困難と考えられるものがある」とされています。

 したがって、目下の対応としては、個人データを含むプロンプトを、あらかじめ本人の同意を得ることなく生成AIサービスに入力する場合には、その目的や必要性等について慎重な検討を要すると考えられます。また、仮にそうしたプロンプトを入力するとしても、個人の権利利益の保護の観点から、最低限、当該個人データを機械学習に利用しないことについては、十分な確認を要するものと考えられます。

  1. エムケイシステムトラブル弁護団 代表 弁護士 牧野二郎「個人情報保護委員会の行政処分についての弁護団声明」(2024年3月26日) ↩︎

  2. 株式会社エムケイシステム「【お知らせ】牧野総合法律事務所弁護士法人に対する「通知書(令和6年5月15日付)」の送付について」 ↩︎

  3. この点は、クラウド例外の適否に関わりなく確認すべきであると考えられます。令和6年3月注意喚起においても、クラウドサービス提供事業者が個人データの取扱いの委託先に該当する場合にも、クラウドサービスのセキュリティ対策について十分理解しておく必要があることが留意点として挙げられています。 ↩︎

  4. 株式会社エムケイシステム「社労夢が選ばれる理由」(令和6年7月1日最終閲覧) ↩︎

  5. 第310回個人情報保護委員会資料1-2「事務局ヒアリングにおける主な御意見」4頁 ↩︎

  6. 第310回個人情報保護委員会参考資料1-2「事務局ヒアリングの各参加者提出資料」のうち、板倉陽一郎「『個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点』へのコメント」10頁も参照。 ↩︎

  7. 小川智史「実務問答個人情報保護法(第1回)クラウド例外」NBL1250号4頁。ただし、同論文においても、個人情報保護委員会による注意喚起の趣旨が必ずしも明らかでないことを前提としている点に留意を要します。 ↩︎

この続きを読む
渡邉 雅之弁護士

弁護士法人三宅法律事務所

  • コーポレート・M&A
  • IT・情報セキュリティ
  • 人事労務
  • 危機管理・内部統制
  • ファイナンス
  • 国際取引・海外進出
  • 訴訟・争訟
  • 不動産
  • 資源・エネルギー
  • ベンチャー
1995年東京大学法学部卒業。2001年弁護士登録。主な取扱分野は、個人情報保護法、金融規制法、マネロン・テロ資金供与、民暴対策など。著作『個人情報保護法Q&A 令和5年施行対応』(第一法規、2023)、「クラウド例外とは? 行政指導事案・注意喚起にみるクラウドサービス利用時の留意点」ビジネスガイド2024年7月号、「「個人データの第三者提供」に関する「クラウド例外」をめぐる留意点」労務事情2024年6月1日号(1493号)、『テーマ別 金融パーソンのための規制とコンプラ対応』(共著)(中央経済社、2023)ほか。
越田 晃基弁護士

弁護士法人三宅法律事務所

2015年早稲田大学法学部卒業。2017年弁護士登録。2020年〜2021年金融機関に出向。主な取扱分野は、個人情報保護法、金融規制法など。著作「集中連載 金融機関のデータガバナンス体制のポイント」銀行法務21 907号~909号・911号、『令和2年改正個人情報保護法の実務対応』(共著)(新日本法規出版、2021)、『テーマ別 金融パーソンのための規制とコンプラ対応』(共著)(中央経済社、2023)など。
岩田 憲二郎弁護士

弁護士法人三宅法律事務所

2016年明治大学法学部卒業。2019年弁護士登録。2022年〜2023年金融機関に出向。主な取扱分野は、訴訟、個人情報保護法、金融規制法など。著作「生成AIを巡る法的規制動向」(共著)銀行実務2024年2月号、『テーマ別 金融パーソンのための規制とコンプラ対応』(共著)(中央経済社、2023)。
出沼 成真弁護士

弁護士法人三宅法律事務所

2017年中央大学法学部卒業。2020年弁護士登録。主な取扱分野は、個人情報保護法、金融規制法など。著作『テーマ別 金融パーソンのための規制とコンプラ対応』(共著)(中央経済社、2023)。

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
渡邉 雅之弁護士 越田 晃基弁護士 岩田 憲二郎弁護士 出沼 成真弁護士