当社はクラウドサービスの形態で人事評価サービスを提供しています。ユーザ企業が当社のサービスを利用すると当社が管理するサーバにユーザ企業の従業員情報が記録されるのですが,当社はユーザ企業から従業員に関する個人情報の提供を受けたことになるのでしょうか?

貴社においてユーザ企業が記録した従業員情報を取り扱わない場合,貴社はユーザ企業から個人情報の提供を受けたことにはなりません。
他方,貴社においてユーザ企業が記録した個人情報を利用して統計データの作成等を行う場合,貴社はユーザ企業から個人情報の提供を受けたことになりますので,第三者提供に関する然るべき措置を講じることが必要になります。

1 はじめに

クラウドサービスの提供にあたっては,クラウドサービス事業者が管理するサーバにユーザ企業が取得した個人データ(以下,便宜上「個人情報」といいます。)が記録されることが少なくありません。この場合,クラウドサービス事業者はユーザ企業から個人情報の提供を受けたことになるのでしょうか?
以下,個人情報保護委員会の見解(※1)を紹介しつつ説明します。

2 個人情報は提供されていないと考えられる場合

個人情報保護委員会によれば,クラウドサービス事業者がサーバに記録された個人情報を取り扱わないこととなっている場合,ユーザ企業からクラウドサービス事業者への個人情報の提供は無いものと扱われます。よって,この場合には第三者提供に関する「同意」は不要です。
クラウドサービス事業者が個人情報を「取り扱わない」場合とは,契約条項によってクラウドサービス事業者がサーバに保存された個人情報を取り扱わない旨が定められており,適切にアクセス制御を行っている場合等が考えられます。

3 個人情報が提供されていると考えられる場合

上記と異なり,たとえば,クラウドサービス事業者が各ユーザ企業から取得したデータを分析してコンサルティングサービスを提供することを考えている場合はどうでしょうか。
この場合,クラウドサービス事業者が個人情報を取り扱うことになるため,ユーザ企業からクラウドサービス事業者に個人情報が提供されていることになります。よって,ユーザ企業はクラウドサービス事業者に対して適法に個人情報を提供するための措置(e.g.本人からの同意の取得等)を講じなければなりません。

4 実務上の留意点

ユーザ企業からクラウドサービス事業者に個人情報が提供されていると考えられる場合,クラウドサービス事業者としては,ユーザ企業に「個人情報の提供に関する同意を得て下さい。」と求めるのみでは足りないでしょう。
このような対応だけで後はユーザ企業に任せるというのではユーザ企業にとって「使い難い」サービスになってしまいますし,さらには違法な個人情報の提供を誘発するサービスを運営しているとして法的な責任を問われる可能性も否定できません。
クラウドサービス事業者としては,自社が提供するサービスにおいて個人情報の提供がなされているのか否かを見極めたうえで,適法なサービスとなるよう然るべき仕様のサービスとする必要があります。

(※1)「『個人情報の保護に関する法律についてのガイドライン』及び 『個人データの漏えい等の事案が発生した場合等の対応について』 に関するQ&A」の5-33

2019年10月16日