個人情報保護法における「クラウド例外」とは?クラウドサービス提供事業者が受けた行政指導の実例をもとに解説
個人情報取扱事業者は、個人情報保護法によってその情報の扱いにさまざまな規制を受けています。私たちの個人情報はプライバシーと深く関わっており、身体的特徴や財産に関わる重要な情報も含まれるため、厳しいルールが定められているのは当然ともいえるでしょう。
しかし、この法律には一部例外も設けられています。そのひとつが「クラウド例外」と呼ばれるものです。
では、「クラウド例外」とは何なのでしょうか?本記事では、令和6年(2024年)に行政指導を受けたエムケイシステムの事例をもとに、「クラウド例外」の概要や、その適用条件についてわかりやすく解説していきます。
この記事の目次
個人データを第三者に提供する場合の原則と例外
まず、個人情報保護法において、個人データを第三者に提供する場合の原則と例外について確認しましょう。
個人データを第三者に提供する場合の個人情報保護法における原則
個人情報取扱事業者がクラウドサービスを利用する場合、「個人データの取扱いの全部又は一部を委託」しているものとして(個人情報保護法第 27条第5項第1号)、個人情報保護法第25条に基づきクラウドサービス提供事業者に対する必要かつ適切な監督を行わなければならないのが原則です。
クラウド例外とは
この例外がいわゆる「クラウド例外」です。
この場合の「クラウドサービス提供事業者」とは、主にストレージやサーバーなどのITインフラを提供し(IaaS/PaaS)、他社のデータをインターネット経由で預かり、保存・処理するサービスを提供する企業を指します。具体的には以下のような事業者が該当します。
- Amazon Web Services(AWS):アメリカのAmazonが提供。多くの日本企業が採用。
- Microsoft Azure:Microsoftによるクラウド基盤サービス。官公庁での導入事例も多数。
- Google Cloud Platform(GCP):Googleが提供。AI・ビッグデータ処理に強み。
クラウド例外とは、このようなクラウドサービス提供事業者のクラウドインフラ(IaaSやPaaS)上でシステムを開発し、それを顧客に提供するSaaS(Software as a Service)型の事業者が個人データを取り扱う際に問題となります。
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aにおいて、クラウドサービス提供事業者について7-53で次のように記載されています。
(第三者に該当しない場合)Q7-53 個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第27条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第27条第5項第1号)しているものとして、法第25条に基づきクラウドサービス事業者を監督する必要がありますか。
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A|個人情報保護委員会
A7-53 クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第27条第5項第1号)にも該当せず、法第25条に基づきクラウドサービス事業者を監督する義務はありません。当該クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合の個人情報取扱事業者の安全管理措置の考え方についてはQ7-54参照。当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。なお、法第28条との関係についてはQ12-3参照。
つまり、クラウドサービスの利用者がクラウドサービスを利用する場合、例外要件を満たせば、クラウドサービス事業者を監督する必要はありません。クラウド例外が認められるための要件である、『当該個人データを取り扱わないこととなっている場合』に該当するためには次の2要件が必要です。
- 契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められている
- 適切にアクセス制御を行っている
株式会社エムケイシステムに対する行政指導
令和6年(2024年)3月25日、個人情報保護委員会は株式会社エムケイシステムに対して個人情報の保護に関する法律第147条に基づく指導を行いました。約750万人にのぼる大規模な情報漏洩となった本件を契機に、個人情報保護委員会は「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)」が発表されています。
参考:個人情報保護委員会|クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について
個人情報保護法におけるクラウド例外について株式会社エムケイシステムに対する行政指導が行われた件について確認しましょう。
事案の概要
株式会社エムケイシステムは、中国のTencent Cloudのサーバーを利用して社会保険・人事労務業務支援システムを構築し、社労士の事務所等のユーザーに対しサービスを提供していました。
令和5年6月、サーバが不正アクセスを受け、管理されていた個人データ(社労士の顧客である企業や事業所等の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号及びマイナンバー等)の漏えい等のおそれが発生しました。
この3社の関係を、ガイドラインに当てはめると以下のようになります。
| ガイドライン上の立場 | 事業者 | 内容 |
| 委託元 | 社労士等の利用者(個人情報取扱事業者) | 顧客(企業や個人)の個人データを扱う立場 |
| 委託先 | 株式会社エムケイシステム | クラウド上で社労士業務を代替・支援するシステムを提供。顧客の指示に基づき個人データを処理する立場 |
| 再委託先 | Tencent Cloud(中国) | エムケイシステムがクラウドインフラを委託。外国への提供に該当する可能性 |
個人情報保護委員会は、エムケイシステムの技術的安全管理措置に不備があったと判断を下しました。
行政指導の内容
個人情報保護委員会からは、個人情報保護法第147条の規定による指導と個人情報保護法第146条第1項の規定による報告徴収という内容の行政指導が行われました。
個人情報保護委員会の注意喚起
併せて個人情報保護委員会から『クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)』が発表されました。
この注意喚起は主にクラウドサービスを利用する側に対して、クラウドサービスの利用が、個人データの取扱いの委託(個人情報法第27条第5項第1号)に該当するかどうかを判断し、委託に該当する場合には、クラウドサービス利用者である個人情報取扱事業者は、委託先に対する必要かつ適切な監督を行わなければならないとしています。
エムケイシステムについては、次の3点からクラウド例外が認められず、個人情報取扱事業者であるとされており、個人データを取り扱っているので適切な監督が必要であるとしています。
クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)|個人情報保護委員会
- 利用規約において、クラウドサービス提供事業者が保守、運用上等必要であると判断した場合、データ等について、監視、分析、調査等必要な行為を行うことができること及びシステム上のデータについて、一定の場合を除き、許可なく使用し、又は第三者に開示してはならないこと等が規定され、クラウドサービス提供事業者が、特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていたこと。
- クラウドサービス提供事業者が保守用IDを保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと。
- クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと。
クラウドサービス提供事業者の注意点
ここまで解説した法的問題と行政指導・注意喚起を踏まえて、クラウドサービス提供事業者(前述の事例であればエムケイシステムを指します)が注意すべきことはどのようなものでしょうか。
クラウド例外の要件を満たしているかもう一度再点検を行う
まず、自社が提供しているサービスがクラウド例外の要件を満たしているかもう一度再点検を行いましょう。
今回の個人情報保護委員会からの注意喚起を受けて、クラウドサービスを利用している事業者は、当該クラウドサービス提供事業者がクラウド例外を満たしているかの精査を行うことが考えられます。
そのため、クラウドサービス提供事業者側も、きちんとクラウド例外の要件を満たしているかを再点検するようにしましょう。
クラウド例外を満たしてない場合委託先の監督に対応しなければならない
クラウド例外の要件を満たしていない場合、クラウドサービス利用者(この場合はエムケイシステムの提供するサービスを利用していた社労士事務所や企業)からの監督に対応しなければなりません。
クラウドサービス利用者からの監督としては、個人情報の保護に関する法律についてのガイドライン(通則編)3-4-4委託先の監督(法第25条関係)に記載されている次のことが行われます。
- 適切な委託先の選定:委託先の安全管理措置が法第23条及び本ガイドラインで委託元に求められるものと同等であることを確認する必要
- 委託契約の締結:委託された個人データの取扱状況を委託元が合理的に把握することを盛り込んだ契約にすることが望ましいとされる
- 委託先における個人データ取扱状況の把握:定期的に監査によって適切に評価する
委託先の安全管理措置が不適切である場合には、契約が打ち切られる可能性があるほか、必要な安全管理措置をとる、定期的な監査に応じるなどの対応を迫られる可能性があります。
まとめ:クラウドサービス上の個人情報保護については弁護士に相談を
本記事では、クラウドサービス提供事業者がクラウド例外を満たさなかったときのリスクについて、2025年3月に公表された個人情報保護委員会からの行政指導をもとに解説しました。
本件の情報漏洩をきっかけとして、個人情報保護員会からクラウドサービス利用者に対して注意喚起が行われました。その内容はクラウドサービス利用者のみならず、クラウドサービス提供会社にも自社の提供しているサービスの見直し、発生しうる負担に注意が必要なものです。
この行政指導を踏まえて、自社にどのようなリスクがあるのか、どのような対応が必要となるのかについて不安がある場合には、弁護士へ相談することをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。IT企業の多くがAWSなどのクラウドを利用して事業を展開するようになった昨今、個人情報の漏洩は事業を運営するうえで、欠かすことはできないリスクマネジメントの一つです。万が一個人情報が漏洩してしまった場合、企業活動に致命的な影響を及ぼす場合もあります。当社は情報漏洩防止や対応策について専門的な知見を有しています。下記記事にて詳細を記載しております。
モノリス法律事務所の取扱分野:個人情報保護法関連法務
カテゴリー: IT・ベンチャーの企業法務
