社外のクラウドストレージへ個⼈情報をアップロードすることの可否と留意点

IT・情報セキュリティ

 当社では社外のクラウドサービスを利用しており、社員がクラウドストレージにデータをアップロードして管理していますが、顧客の個人情報を含んだファイルをアップロードすることを認めてもよいのでしょうか。個人データの取扱いの委託にあたるかを含めて教えてください。

 当該クラウドサービスの利用規約において、サービス提供事業者がユーザーのアップロードした個人データを取り扱わないこととされている場合には、委託には該当しないと理解されています。よって、当該クラウドでの個人データの管理自体が、自社の個人情報取扱規程等に基づいて求められる個人データに対する安全管理措置として必要かつ適切かが問われることになります。利用規約等においてサービス条件を確認してから、個人データのアップロードを認めるかを判断することが重要です。

解説

目次

  1. クラウドサービスにおける「委託」の判断基準
  2. 「委託」にあたらない場合に課せられる義務
  3. クラウドストレージから情報漏えいが生じた場合の責任

クラウドサービスにおける「委託」の判断基準

 クラウドサービスにおいて個人データをアップロードする行為が、個人データの取扱いの委託に該当するか否かは、クラウドサービスを提供する事業者において、アップロードされた「個人データを取り扱うこととなっているのかどうか」がポイントになります(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」(以下「Q&A」といいます)「Q5-33」)。

 具体的には、クラウドストレージとしてデータを保存するサービスにおいては、提供事業者がアップロードされた顧客のデータにアクセスすること自体が利用規約で制限されており、クラウドストレージにアップロードされた個人データを取り扱うことにはなっていない場合が多いと思われます。

 他方で、クラウドにて提供されるターゲットマーケティング目的での情報分析サービスや、名刺の画像情報をテキスト化してクラウドのストレージで保管するサービス等では、提供事業者において、アップロードされた顧客の属性情報等の個人データを分析したり、名刺画像から個人データをテキスト化し記録したりするため、個人データの取扱いを委託しているということになります。

 ここでは、サービス提供事業者が個人データを取り扱わないことになっている場合(委託にあたらない場合)を念頭に解説します。

「委託」にあたらない場合に課せられる義務

 サービス提供事業者において、個人データを取り扱わないことになっている場合、ユーザーである企業としては提供事業者を委託先として監督する義務は負いません(Q&A 「Q5-33」)。その際、社内における個人データの取扱いと同じ整理になるため、オンプレミス(自社設備内に設置された)サーバと同様に、必要かつ適切な安全管理措置を講じる義務があります(Q&A 「Q5-34」)。

「委託」にあたらない場合に課せられる義務

 具体的には、ユーザー企業に委託契約の締結や委託先における個人データ取扱状況の把握等の義務は課されませんが、自社の個人情報取扱規程に定める個人データの安全管理措置の基準に照らし、当該クラウドストレージやそれに至るまでの通信回線等に関して、漏えい等のリスクの観点から十分な安全性を有するものであると評価することが必要です。

 設例のような状況になった場合は、当該クラウドストレージについて、セキュリティレベル・サービスレベルやデータのバックアップ等の条件を利用規約等で確認してから、社員に個人データのアップロードを認めるかを判断することが重要です。

クラウドストレージから情報漏えいが生じた場合の責任

 クラウドストレージの提供事業者では個人データを取り扱わないことになっている場合において、当該クラウドストレージから、ユーザーである企業の社員がアップロードした顧客の個人データが漏えいした場合、ユーザー企業の安全管理措置が必要かつ適切であったか否かが問われることになります。

 仮にクラウドストレージ自体に脆弱性があった場合でも、個人情報保護法上の責任主体は、サービス提供事業者ではなくユーザー企業になります。したがって、ユーザー企業が自ら個人データの漏えい主体として、事実関係の調査や、影響を受けるおそれのある本人への連絡・事実関係の公表、個人情報保護委員会への報告等の対応を講じる義務を負います(「個人データの漏えい等の事案が発生した場合等の対応について(平成29年2月16日個人情報保護委員会告示第1号)」)。

 なお、民事上の問題として、クラウドストレージ自体に脆弱性があった場合には、ユーザー企業が上記のような個人情報保護法上の責任主体としての対応を講じたことによって被った損害を提供事業者に対して求償することになりますが、一般的なクラウドサービスの利用規約においては、損害賠償額の上限を一定期間の利用料金までとする旨の条項が定められていることが多く、実際には求償できないことが多い点に注意が必要です。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する