他社のクラウドサービスを利用する契約の話になったとき、「個人情報が相手のクラウド上に入るけど、DPA締結したほうがいいんだっけ?」という話があった。

識者から「今回のケースはクラウド例外だから大丈夫」といった見解を頂けたが、恥ずかしながら当時はクラウド例外なるものを知らなかった。

知財関係とは少し話が逸れてしまうが、契約実務の上で大事な情報だと思うので、この記事で内容を残しておきたい。

クラウド例外とは

「クラウド例外」とは、契約書やプライバシーポリシーなどで個人情報の取り扱いに関する制限を一部緩和する目的で用いられる表現である。

特に、「本人の同意無しに個人情報を第三者に提供してはならない」などの原則の中で、クラウドサービスの利用を例外として明示的に許容する場合に使われる。

第三者提供とは

個人情報保護法の第27条第1項柱書では、第三者提供の制限として、以下のように規定されている。

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

つまり、第三者提供とは、「個人情報取扱事業者が、第三者(他の法人・個人)に個人情報を渡す行為」を指す。

第三者提供に該当する場合

この場合は、事前に本人の同意を得ることが求められる。

同意の取得にあたっては、個人情報の利用目的(例:「本サービスの実証実験のため」「本サービス利用に関する統計データ作成のため」)を具体的に特定し、本人に知ってもらう必要がある。

つまり、本人に内容を見てもらったうえで、納得して同意してもらうことが大事ということになる。

本人の同意を得る方法としては、個人情報保護法ガイドラインに記載の、以下のようなものが挙げられる。

【本人の同意を得ている事例】

事例1)本人からの同意する旨の口頭による意思表示

事例2)本人からの同意する旨の書面(電磁的記録を含む。)の受領

事例3)本人からの同意する旨のメールの受信

事例4)本人による同意する旨の確認欄へのチェック

事例5)本人による同意する旨のホームページ上のボタンのクリック

事例6)本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

さすがに口頭だと証拠が残らないので、実務上は他の手段を取ることになるだろう。

第三者提供に該当しない場合

以下の場合は、本人の同意が不要となるが、それでもいくつかの縛りはある。

委託(個人データの取扱いに関する業務の委託に伴う提供)

  • 「提供先において、提供元の利用目的でのみ利用しており、独自の利用目的では利用してない場合」を委託といい、この場合は本人同意が不要
  • 個人情報の利用は委託元の利用目的の範囲内に限られる
  • 委託元には委託先に対する監督義務が生じる

共同利用(特定の者との間で共同して利用される個人データを提供)

  • 共同利用者間(例:グループ会社間)における個人情報の提供について、本人の同意を得ることを不要とする制度
  • 個人情報の利用は共同利用の目的の範囲内でなければならない
  • 共同利用者に適用されるルール(共同利用する個人データの項目、共同利用者の範囲、利用目的など)、をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置く必要あり

クラウド例外の具体的背景と意味

上述したように、個人情報の第三者提供は中々面倒な規制があり、第三者提供とはならない委託等であっても、何かと煩雑な手続きがある。

一方、実務上はAWS、Google Cloud、Microsoft Azureなどのクラウドサービスを通じてデータを保存・処理することが一般的になっている。

このようなクラウドサービスを利用する場合、形式的には「クラウドサービス提供事業者に個人情報を渡す」ことになるが、これを逐一「第三者提供」や「委託」として扱うと、手続きや説明義務が煩雑になる。

そこで、いわゆるクラウドサービスについて、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人データの提供(個人情報保護法27条)に該当せず、また、利用企業は委託先の監督(同法25条)も不要とする考え方(クラウド例外)が適用される。

つまり、本人の同意を取る必要も無いし、クラウドサービス事業者を監督する義務も無い。

クラウド例外は、クラウドサービス事業者が実質的にデータにアクセスしない(アクセス制限・暗号化されている)ことが前提とされるケースが多い。

銀行で例えるなら、顧客に貸金庫を提供しているしているに過ぎず、銀行自体であっても貸金庫の中身にはアクセスしないような感じだろうか。

(最近、銀行員が貸金庫から金品を盗難した事件はあったが…)

「クラウド例外」は法令違反を回避しながら利便性を確保するための契約上の工夫といえる。

もちろん、対象のクラウドサービスが適切な情報セキュリティ対策を講じていることが前提なのは、言うまでもない。

関連記事