(「クラウド例外」とは?)
中教審の令和答申以来、学校でのクラウドサービスの利用が進んでいますが、クラウドサービス上に個人データを保管するのは「第三者提供」に当たるのではないか・・、という疑問を持たれたことはないでしょうか。
結論から言うと、クラウドサービス提供事業者がサーバに保存された個人データを取り扱わない場合には、個人データを「提供」したことにはならない、というQAが個人情報保護委員会から示されており、これがいわゆる「クラウド例外」と呼ばれています。
A7-53
クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
・・・・
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
クラウドサービスを利用するために、本人の同意を取り直すのは大変ですので、この「クラウド例外」はとても重要ですが、条文上で書かれているものではなく、QA等で解釈として示されています。
(個人情報の「取り扱い」)
クラウドサービス事業者が、個人データを取り扱わない場合は、個人データを提供したことにならない、という考え方ですが、個人情報保護法には、「取り扱い」についての定義がありません。ですので、QAにある「契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合」と示されていることなどを踏まえて判断することになります。
(逐条解説などを見ると、倉庫業者が単に保管のみを行うだけで、内容には関わっていない、ということと同様に、個人データを取り扱わないクラウドサービス事業者を捉えるという考え方のようです。)
いずれにしても、クラウドサービスの利用が「クラウド例外」に該当する場合は、個人データの「提供」には当たらず、自分のサーバ等に保管している場合と同じという扱いになります。
基本的には、民間事業者(個人情報取扱事業者)に関するQAで示されているものですが、「個人情報の取り扱いの委託」などを判断する際にも参考になる考え方と思います。
(ポイント)
・個人データを取り扱わないこととされているクラウドサービスの利用は、個人データの「提供」には該当しない。
・個人情報保護法で「取り扱い」に関する定義はなく、QAや通知で考え方が示されている。
(参考)
