クラウドサービスに個人情報を預けるときの留意点は?

本稿では、企業がSaas型クラウドサービスとして提供される人事情報システム(Human Resource System)を導入する場合に留意すべき点を、個人情報保護法の観点から私の考えを紹介します。

クラウド型のHRシステムを利用するということは、従業員の個人情報をクラウドサービス事業者が管理するサーバに預けることになります。このテーマについて何か解説した書籍をさがしましたが、数が少なくピッタリしたものは見つかりませんでした。このテーマを検討するには、個人情報保護法とITについての知識が必要です。そういう専門家がまず少ないということが分かりました。

個人情報保護法からみたクラウドサービス利用

個人情報保護法では、個人情報の利用形態としては自社内の業務で利用するのが基本です。第三者との関係では、第三者提供、共同利用、委託、の三種類があります。

それでは、個人データをクラウドサービスに預けることは、どの利用形態に該当するのでしょうか?

クラウド事業者は、個人データを預かりますが、預かった個人データを使って何か業務をするわけではありませんので第三者提供と共同利用には該当しなさそうです。

委託はどうでしょうか?

個人情報保護委員会のサイトに、次のようなQAが掲載されていました。

Q5-33 個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第23条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第23条第5項第1号)しているものとして、法第22条に基づきクラウドサービス事業者を監督する必要がありますか。

A5-33クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第23条第1項)又は委託(法第23条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。

ところで、クラウドサービス提供事業者の利用規約を読むと、ほとんどの事業者は、

「クラウドで預かっている個人データについては、責任を持ちません。」という類の文言が記載されています。個人データを預かっていること自体に言及していない利用規約もあります。

ですから、A5-33によれば第三者提供でも、共同利用でも、委託でもないということになりそうです。

その場合は、QA5-34に書いてありました。

Q5-34クラウドサービスの利用が、法第23条の「提供」に該当しない場合、クラウドサービスを利用する事業者は、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。

A5-34 クラウドサービスの利用が、法第23条の「提供」に該当しない場合、法第22条に基づく委託先の監督義務は課されませんが(Q5-33参照)、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。

A5-34によれば、クラウドサービスに預けた個人データの安全管理措置義務は、クラウドサービスの利用企業側にあることになります。つまり、クラウドの利用は、社内システムを使う場合と同様に、利用企業側が責任をもって安全管理措置義務を果たしなさいということです。

とは言っても、提供事業者にはサービスを継続して提供する責任があるので、データを含めてシステム全体の定期バックアップをとるのが普通です。バックアップとは、データ(個人データを含む)を複製して別の場所に保存することです。クラウドに預けたデータやバックアップファイルから個人情報が漏洩する可能性はありますが、一般的な利用規約ではそのあたりのことが担保されていません。

結論

クラウドサービス事業者側が、預かった個人データの漏洩に対して何の責任も表明していない利用規約では、そのクラウドサービスを安心して利用することはできません。

そこで、私が関与したクラウドサービス導入案件では、クラウドサービス事業者と非開示契約を結ぶことにしました。方法としては二つあります。

  • 既存の利用規約かサービス仕様書に、非開示条項を追加してもらう。
  • 非開示条項の追加が難しい場合は、覚書形式で非開示契約を締結する。

非開示契約というのは、いわゆるNDA(Non-Disclosure Agreement、非開示契約)です。利用企業がクラウドサービスに預けた個人データは、第三者に開示・漏洩しないという主旨の契約です。

非開示条項を追加することにより、個人情報保護法的には体裁が整ったと思いますが、次の課題は、「クラウド事業者が非開示条項を遵守するに必要十分の情報セキュリティを確保する実力があるか?」ということです。この課題については、別の投稿で考えてみます。

追記

私は、個人情報を取り扱うクラウドサービス(人事情報システム、旅費精算システム等)では、クラウド事業者に対してNDAの追加を求めてきました。理由を説明すれば応じてくれるクラウド事業者がある一方で、頑なに拒否するクラウド事業者もありました。NDAを拒否する事業者には、お引き取りをお願いしました。

クラウド事業者はもちろん、IT事業者には(たとえ契約書に明記していなくとも)専門事業者としての「善管注意義務」というものがあります。クラウド事業者が、利用企業から預かった個人データを流出させないというのは、私は当然のことと考えています。

こういう場合は念のため、NDAを拒否するのなら、御社は「個人データを流出させるかもしれない」あるいは「個人データを守るようなセキュリティ対策はとっていない」ということですね。と念押しすることにしています。