海外クラウドサービス利用時の注意 | IT法務.COM｜システム・ソフトウェア・ネットビジネスに関するご相談なら弁護士法人内田・鮫島法律事務所

本稿は、2017年3月時点での法令・ガイドライン等の内容に基づき執筆したものです。現行の法令・ガイドラインに沿った取扱いについては、別記事「クラウドサービスの利用と改正個人情報保護法～外的環境の把握、漏えい時の報告義務等～」をご参照ください。

個人情報保護の観点から，海外クラウドサービスを利用する際の注意点を教えてください。: 海外クラウドサービスを利用するにあたっては，たとえば，米国のクラウドサービスによって個人データを保存・利用することを当該個人データの本人から認めてもらうなど，そのような日本法の適用を受けない者への個人データの提供を認める旨の本人同意を得なければなりません（個人情報保護法（以下「法」といいます。）第24条）。ただし，海外クラウドサービス企業が，個人情報保護委員会の基準に適合する場合には，日本国内のクラウドサービス企業と同じ取扱いが認められます。
そこで，海外クラウドサービスを利用する際は，個人情報保護委員会の基準への適合性，同意取得の例外事由の有無を確認し，本人同意の取得が求められる場合には同意取得の方法を検討することが求められます。

最近では，外国企業が運営するクラウドサービスを，日本にいながら利用することも珍しくありません。このようなクラウドサービスを使って個人情報を取り扱うにあたっては，以下のことに注意すると良いでしょう。

（１）海外クラウドサービスの利用と個人情報保護法

海外クラウドサービスの利用は，個人情報取扱事業者が自ら保有する個人情報（個人データ(※1)）の取扱いの全部又は一部を第三者に行わせることとなるため，個人データの第三者提供に関する諸規定（法23条から26条まで）に則った取扱いが求められる場合があります。

クラウドサービスに限らず，企業は，業務委託に伴って，取得した個人データを，必要に応じて他企業に対して取扱いを委託することがあります。このとき，個人データの第三者提供には原則本人の同意が必要である（法23条1項）ところ，委託先へ個人情報が渡されるとしても同一事業者における取扱いであるとして，本人の同意を得る必要はありません（法23条5項1号）。クラウドサービスの利用は，契約上サービス事業者が中身を取り扱わないとしているものであれば格別，基本的には個人情報の取扱いの委託に当たります。クラウドサービスの事業主体が日本企業であれば，上記のとおり，個人情報の提供にあたっては，本人の同意は不要です。

他方で，外国企業が運営するクラウドサービスを使って個人データを保管する場合，日本法の適用を受けない者（「外国にある第三者」）に個人情報の取扱いを委託することとして，そのような者へ個人データを提供することを認める旨，本人から同意を得なければなりません（法24条）。

（２）海外クラウドサービスを利用する際の注意点

海外クラウドサービス企業等，海外の企業に個人情報取扱を含む業務委託を行う場合には，法24条の「外国にある第三者」に該当するか否かをまずは確認することが良いでしょう。海外の企業であっても，これに該当しない場合には，日本企業と同様の対応によって委託を行うことが認められ，個人情報の取扱いの全部又は一部の委託として本人の同意なく個人データを提供することができます（法23条５項１号(※2)）。

具体的には，当該委託先の外国企業において，①契約やグローバルプライバシーポリシー等の適切かつ合理的な方法により，法第４章第１節の規定の趣旨に沿った措置の実施が確保されていること，または②APEC越境プライバシールール（CBPR）の認証を得ていること等個人情報取扱いに係る国際的な枠組みに基づく認定を受けていることとされています（個人情報保護委員会規則11条）。②CBPRが比較的新しい仕組みであること等から，①を検討することが多くなることが予想されます。

①に該当するためには，例えば委託契約によって，法と同等水準の保護が可能となる措置の実施を確保することとなります。委託における個人情報の利用目的の特定（法15条１項），委託先からの第三者提供の禁止等（法23条１項）といった法の規定と同等の規定を契約上設ける必要があります（利用目的の通知は委託元で行うなど，実質的に措置が確保されていればよいとされます）。今後は，外国企業との契約，規約（既存のものを含む）において，このような規定が設けられているかどうかを精査しなければなりません。

（３）個人情報取扱を含む業務委託契約

実務上，主体が国内・海外のいずれにあるかに関わらず，個別に委託先と業務委託契約を締結する場合には，委託の目的として個人情報（個人データ）利用目的を特定し，この範囲内でのみ取扱いを許容すると定める等，個人情報保護という観点を持ちつつ規定を設けていることが考えられますが，まずは，ガイドラインに沿って契約内容の見直しが求められます。また，定型的かつ多数の者との契約を企図して約款を用いる場合には，契約によって細かな対応をなすことが困難です。委託形態に応じて本人同意を得るなど，対応しなければならないことに注意が求められます。

※1: 個人データとは，個人情報データベース等（特定の個人情報を検索できるよう体系的に構成した情報の集合物）を構成する個人情報（法2条4項、6項）をいいます。

※2: ただし，個人情報取扱事業者の特定した利用目的の範囲内であることが要件となります（法23条５項１号）。また，委託先の監督義務を負うこととなりますので，適宜個人データの取扱い状況を確認するなどの適切な対応が必要です（法22条）。

（弁護士　永里佐和子　H29.3.31）