クラウドサービスを利用した個人情報の管理は個人情報保護法上問題はあるのか

 新たにテレワーク(リモートワーク)を導入しようとする事業者や、新型コロナウイルスの感染拡大を受けて急いでテレワークを導入したものの、導入について十分な検討をする時間がなかった事業者向けに、テレワークに伴って生じうる人事評価・労務・法務・情報セキュリティに関する問題点を簡単に記載致します。今回は、テレワーク導入にあたって、クラウドサービスを利用した個人情報の管理は個人情報保護法上問題はあるのかについてご紹介致します。

 

クラウドサービスを利用した情報管理


オフィス勤務では、紙の書類をファイル化してロッカー等に保管して、必要に応じて業務に利用するケースも少なくありません。しかし、紙ベースの情報は、物理的制約からオフィスへ出社しないと利用ができず、また複数人で同時に閲覧することが困難です。また、自社においてデジタルデータの保管・共有が可能な情報管理システムを構築している場合には、テレワークに移行したとしても業務情報へのアクセスに起因する不便は少ないものと思われますが、そのようなシステムを構築していない企業においては紙ベースの情報にアクセスするために出社を余儀なくされる可能性もあります。

こうした紙ベースの情報に起因する業務情報へのアクセスの不便はデジタルデータを保管して各従業員がアクセス可能とすることによって業務情報へのアクセスによる障壁を取り除き、リモートワーク移行へのハードルを下げることが出来ます。

但し、出社のクラウドサービスを導入するに当たっては顧客情報、従業員情報などの個人情報をクラウド上に移転することについて、個人情報保護法上の問題が生じないかを検討する必要があります。

 

クラウドサービスとは


 クラウドサービスとは、サービス提供者が利用者に対して、インターネットなどのネットワーク経由でコンピュータの機能を提供するサービスのことを言います。CRM(顧客管理システム)のようにアプリケーションソフトウェアまでネットワーク経由で提供するものから、ハードウェア環境を提供してミドルウェアやOSの開発環境の設定、アプリケーションソフトウェアの開発などは利用者側で対応する場合まで幅広い種類があります。

クラウドサービスを利用して顧客情報、従業員情報などの個人情報を保管・共有する場合、外形的には、クラウドサービスの利用者である企業が管理していた個人情報が第三者であるクラウドサービス提供者に移転しているように見えます。そのため、個人情報保護法上、個人情報の対象となる本人の「同意」が必要な第三者提供に当たらないかや、サービスを利用する企業においてクラウドサービス提供者への監督責任を負わないかなどが問題となります。

 

クラウドサービスにおける個人情報保護法上の留意点


 クラウドサービスの位置づけ

個人情報保護委員会が公開している「QA」では、クラウドサービスについて

「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者はこじんじょうほうを提供したことにはならないため、『本人の同意』を得る必要はありません」

「また、上述の場合は、個人データを提供したことにならないため、『個人データの取り扱いの全部又は一部を委託することに伴って・・・提供される場合』(法第23条第5項第1号)にも該当せず、法第22条に基づきクラウドサービス事業者を監督する義務はありません」

「当該クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます」とされています(「QA」5-33)。

したがって、クラウドサービスにおける規約などの契約条項において個人データを取り扱わない旨の定めがあり、また適切にアクセス制御が行われている場合には本人同意は不要と考えられます。もっとも、上記のような条項が定められたクラウドサービスも少なく、また規約の変更自体も事実上困難と思われます。その場合、委託先として構成できないかを検討することも考えられます

委託先としての構成の検討

個人情報保護法では「委託」に伴って個人データが提供される場合には本人の同意を要しないものと定めています。(同法第23条5項1号)。ここでいう「委託」には、委任契約、請負契約といった契約の形態・種類に問わず、個人情報取扱事業者が他の者に個人データの取扱いの全部又は一部を行うよう依頼する恵沢の一切が含まれますが、委託先の事業者が委託された業務以外の目的で移転された情報を扱うような場合には個人情報保護法上の「委託」には当たらず本人の同意を要するとされています(「QA」5-26-2)。

したがって、「委託」したものとして本人同意を要しないと整理する場合には、利用しようとするクラウドサービスの規約などを確認した上で「委託」として整理可能かを検討する必要があります。

なお、委託先の事業者が海外事業者であり、サーバの所在地が日本国外である場合等には、個人情報保護法上、本人の同意が必要となる場合がありますので注意が必要です(同法第24条)。

 

まとめ


 上記までにご紹介致しました通り、テレワークを実施については情報セキュリティについて頭を抱える方も多いのではないでしょうか。企業はテレワークの情報セキュリティへの対応が必要となります。テレワークの推進には、個人情報の管理についても気つける必要があります。業務の情報セキュリティなどに気を付けた上でテレワークを推進していきましょう。

テレワーク 情報セキュリティ
最新情報をチェック!