本稿は、平成29（2017）年3月31日付けで公表しております「海外クラウドサービス利用時の注意」の内容について、令和4（2022）年7月末日時点の最新法令等に基づきアップデートしたものになります。

1.   クラウドサービスとは

現在、「クラウドサービス」として、様々な内容のサービスが提供されています。便宜上、総務省の定義を借用すると、クラウドサービスとは、クラウドコンピューティング（主に仮想化技術を利用し、インターネット上のネットワーク、サーバ、ストレージ、アプリケーション、サービスなどを共有化して、サービス提供事業者が、利用者に容易に利用可能とするモデルのこと）の形態で提供されるサービス、といえます[i]。

クラウドサービスは、以下の3種類に大別できます[ii]。

①SaaS（Software as a Service）
インターネット経由での、電子メール、グループウェア、顧客管理、財務会計などのソフトウェア機能の提供を行うサービス。
以前は、ASP（Application Service Provider）などと呼ばれていた。

②PaaS（Platform as a Service）
インターネット経由での、仮想化されたアプリケーションサーバやデータベースなどアプリケーション実行用のプラットフォーム機能の提供を行うサービス。

③IaaS（Infrastructure as a Service）
インターネット経由で、デスクトップ仮想化や共有ディスクなど、ハードウェアやインフラ機能の提供を行うサービス。
HaaS（Hardware as a Service）と呼ばれることもある。

ビジネスにおいてもプライベートにおいても、今や身近な「クラウドサービス」ですが、「クラウド（cloud）」の語源が「利用者から見て、インターネットの先にある自分が利用しているコンピュータの形態が実際にどうなっているのか見えづらいことを、図で雲のかたまりのように表現したこと」[iii]にあると言われているように[iv]、実態が掴み難い側面もあり、個人情報保護法の解釈・適用においても論点としてしばしば浮上します。

特に、Ｂ２Ｂクラウドサービス提供事業者である皆様におかれましては、顧客（自社サービスを利用する事業者）との関係においても、また、自社サービスを提供する第三者との関係においても、自社サービスの提供にあたって自社ないしクラウドサービスが個人情報保護法上どのように整理され、どのような義務を負うのか、悩むこともあるかもしれません。

2.   個人情報保護法におけるクラウドサービスの利用の位置付け

(1)　自ら果たすべき安全管理措置の一環か、委託か、それとも本人の同意が必要な第三者提供か

この論点については、個人情報保護委員会が、Ｑ＆Ａにおいて従前から考え方を示しています（Ｑ7-53[v]及びＱ7-54[vi]参照）。

すなわち、クラウドサービスを利用する事業者（利用事業者）が、クラウドサービス提供事業者が提供するクラウドに自らが取得し保有する個人データをアップロードするなどして、クラウドサービスを利用した場合において、当該利用行為が、利用事業者からクラウドサービス提供事業者に対する個人データの「提供」に該当するのか、それとも、自ら果たすべき安全管理措置の一環であるのかについては、

• クラウドサービスの利用が、本人の同意が必要な第三者提供（法第27条第１項）又は委託（法第27条第５項第１号）に該当するか否かは、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているか否かが判断基準

であって、

• 当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられる

と示されています。

すなわち、単に契約条項で取り扱わないことを合意するだけでは足りず、クラウドサービス提供事業者が物理的、技術的にもクラウド上に利用事業者がアップした個人データにアクセスできない状態でないと「個人データを取り扱わないこととなっている場合」には該当しません。

「適切にアクセス制御を行っている場合等」についても、様々な考え方があり、例えば、「データ内容を適正に暗号化するなどして判読不能にする必要があるという趣旨であろう」[vii]と厳格に捉える考え方もあります。

では、逆に、「個人データを取り扱う」場合の境界線はどこにあるのでしょうか。

この点については、クラウドサービスではありませんが、個人データを含む電子データを取り扱う情報システムの保守のために外部サービスを利用した場合について解説したＱ7-55[viii]が参考になります。

• 保守サービス事業者が個人データを取り扱うこととなっている場合の例
  • 個人データをキーワードとして情報を抽出する場合
  • 個人データを用いて情報システムの不具合を再現させ検証する場合
• 保守サービス事業者が個人データを取り扱わないこととなっている場合の例
  • 保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得（閲覧するにとどまらず、これを記録・印刷等すること等をいう。）を防止するための措置が講じられている場合　等々

これらからわかることは、「閲覧」までであれば、個人データを取り扱わないと言えるが、「閲覧」ではなく、「取得」をしてしまうと個人データを取り扱っていると言えるということです。
また、「取得」には、上記のとおり、「記録」、「印刷」が含まれるほか、ファイルのダウンロードも含まれると解されている（「個人情報」に関するＱ4-4[ix]参照）ため、利用事業者がクラウドに上げた個人データを含むファイルをクラウドサービス提供事業者がダウンロードし得る場合には、当該クラウドサービス提供事業者は個人データを取り扱っている、ということになります。

以上について、例えてまとめるならば、貸金庫や配送業のように、中身に関知しないクラウドサービスを提供しているＢ２Ｂクラウドサービスであれば、「個人データを取り扱わない」クラウドサービスですが、利用事業者がアップした個人データについて、分析や解析をするといったサービスを提供しているＢ２Ｂクラウドサービスであれば、「個人データを取り扱う」クラウドサービスに該当することになります。

(2)　クラウドサービスの利用と利用規約

Ｂ２Ｂクラウドサービスの提供事業者である皆様としては、自社においてＢ２Ｂクラウドサービスを提供するために利用しているクラウドサービス（第三者が提供するクラウドサービス）があるのであれば（自社が、自社サービスの提供にあたって、クラウドサービスを提供する第三者との間で利用事業者の立場に立つのであれば）、当該第三者とクラウドサービスの利用に関する契約を締結する前に、当該第三者（クラウドサービス提供事業者）が公表・提供する利用規約の内容を確認し、当該第三者が「個人データを取り扱う」のか、それとも「個人データを取り扱わない」のか、いずれのサービス内容となっているのかを検証する作業が必要です。

仮に、当該第三者の利用規約の内容を読んでも判断しかねる場合には、当該第三者に対し尋ねてみるという方法も考えられます。（当該第三者のクラウドサービスが我が国で普及していれば）ほかの多くの日本顧客から同様の質問をされているはずですので、相応の回答が返ってくるでしょう。

つまり、このような確認作業をして自社のサービスの法的位置づけを整理し理解することによって、自社の顧客からの同様の質問に対しても、自社において的確に回答できるようにしておくことが求められているとも言えます。

加えて、例えば、自社の利用規約に自社のＢ２Ｂクラウドサービスは顧客の個人データを取り扱っていない旨を明記しているのであれば、顧客が自社クラウドサービス上にアップした個人データの取得を防止するための物理的措置または技術的措置が講じられているか否か、すなわち、自らが利用規約で表明している契約内容と提供しているサービス実態とが合致しているか否かの確認も必要です。

では、次に、Ｂ２Ｂクラウドサービス提供事業者としての自社が、あるいは自社が利用するクラウドサービスを提供する第三者が、「個人データを取り扱う」タイプなのか、それとも、「個人データを取り扱わない」タイプなのかについて整理、確認ができたとして、それぞれのタイプ別にどのような義務等を果たせばよいのかについて、概観してみましょう。

3.   クラウドサービス提供事業者が利用事業者の個人データを取り扱わないこととなっている場合

(1)　概要

利用事業者は、個人データをクラウドサービス提供事業者に対して「提供」したことにはならないため、利用事業者が当該クラウドサービスの利用にあたって「本人の同意」を得る必要はありません。

また、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」（法第27条第5項第1号）にも該当せず、法第25条に基づきクラウドサービス事業者を監督する義務もないことになります。

他方で、利用事業者は、当該クラウドサービスを利用するにあたり、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。

次項以下で具体的に見ていきましょう。

(2)　当該クラウドサービス提供事業者のサーバが外国にある場合

この点については、「クラウド」とは書いてありませんが、Ｑ12-3[x]が参考になります。
ここでは、当該クラウドサービス提供事業者が個人データを取り扱わないこととなっているのであれば、当該クラウドサービスに関するサーバが外国にあっても、そもそも、当該クラウドサービス提供事業者への個人データの「提供」には該当しないので、外国にある第三者の提供（法第28条第1項）にも該当せず、外国にある第三者への提供に関する同意を取得する必要はないと説明されています。

他方で、この場合、自社自ら当該外国（サーバが所在する外国）において個人データを取り扱っている、と評価されますので、

• 「当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる」（法第23条）義務

と、

• 保有個人データの安全管理について講じた措置を本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置く（法第32条第1項第4号、施行令第10条第1号）義務

が生じます。

すなわち、「保有個人データの安全管理のために講じた措置」として（Ｑ10-25[xi]）、

• 個人データが保存されるサーバが所在する国を特定できる場合
  クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く

または、

• 個人データが保存されるサーバが所在する国を特定できない場合
  サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報（例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等）を本人の知り得る状態に置く

必要があります。

(3)　外国の制度等の把握について

「外的環境の把握」は、個人情報取扱事業者が講ずべき安全管理措置の一環です。これは、従前から存在した、組織的、人的、物理的及び技術的安全管理措置に加えて、令和3（2021）年8月2日に「個人情報の保護に関する法律についてのガイドライン（通則編）」に加わりました。

「外的環境の把握」とは、「個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない」というものです[xii]。

基本的には自社において、相応のコストをかけて制度等の把握をすることが期待されているわけですが（Ｑ12-13[xiii]参照）、個人情報保護委員会のウェブサイトにも、参考になる情報が提供されています[xiv]。

• ＧＤＰＲ[xv]
• カリフォルニア州消費者プライバシー法2018年[xvi]
• 諸外国の個人情報保護制度に係る最新の動向に関する調査研究報告書[xvii]（米国、カナダ、インド、インドネシア、オーストラリア、韓国、シンガポール、タイ、中国、ニュージーランド、フィリピン、ベトナム、ロシア、並びに、アジア太平洋経済協力（APEC）、経済協力開発機構（OECD）、及び欧州評議会（CoE））

これらの情報を踏まえて、適切に「外的環境の把握」をして安全管理措置を講じる必要があります。

(4)　漏えい時の報告義務について

クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合において、報告対象となる個人データの漏えい等が発生したときに、クラウドサービス提供事業者と、利用事業者のいずれが漏えい等に関する報告義務（法第26条第1項）を負うかについては、Ｑ6-19[xviii]に示されており、利用事業者が報告義務を負うことになっています。

そこで、Ｂ２Ｂクラウドサービスの提供事業者である皆様におかれましては、顧客（自社サービスを利用する事業者）が報告義務を履践することができるよう、漏えい等のおそれがある場合などに顧客に対しその旨を通知する等の適切な対応を行うことが求められています（前同Ｑ6-19参照）。

同様に、自社がＢ２Ｂクラウドサービスを提供するにあたり利用する第三者のクラウドサービスについても、当該クラウド上で個人データの漏えい等が生じた場合または恐れのある場合に適切に自社に対して通知がなされる契約内容となっているか否か、今一度、ご確認ください。

4.   クラウドサービス提供事業者が利用事業者の個人データを取り扱う場合

(1)　概要

利用事業者は、クラウドサービス提供事業者に対して、個人データを「提供」したことになります。

よって、利用事業者は、当該提供について本人の同意を得るか、または、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」（法第27条第５項第１号）しているものとして本人の同意が不要とされる場合であっても、法第25条に基づき当該クラウドサービス事業者を監督しなければなりません。

なお、注意すべきは、（クラウドサービスに限ったことではありませんが）、個人情報保護法上の「委託」は、取引類型が業務委託だからといった単純な理由で該当性を判断するものではなく、「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託すること」（法第27条第5項第1号）に限定されています。「利用目的」の観点で検討する必要性があることについても、今一度、ご確認ください。

(2)　クラウドサービス提供事業者が「外国にある事業者」か否かの判断基準、及び、外国にある第三者への提供か否かの判断基準について

クラウドサービス提供事業者が「外国にある事業者」であって、当該クラウドサービス提供事業者が個人データを取り扱っている場合には、当該サーバが外国にあろうと、日本国内にあろうと、外国にある第三者への提供（法第28条第1項）に該当します（Ｑ12-4[xix]）。他方で、「外国にある事業者」が当該サーバに保存された個人データを日本国内で取り扱っており、日本国内で個人情報データベース等を事業の用に供していると認められる場合には、「外国にある第三者への提供」（法第28条第1項）に該当しません（前同Ｑ12-4）。

では、「外国にある事業者」か否かは、どのよう判断基準で画されるのでしょうか。

まず、「外国にある第三者」か否かは、外国の法令に準拠して設立されたか否か（外国の法人格を取得しているか否か）という設立準拠法令で判断されます（「個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）」2-2「外国にある第三者」[xx]参照）。

次に、外国法令に基づいて設立されている「外国にある事業者」であるとしても、上記のとおり、「日本国内で取り扱っており、日本国内で個人情報データベース等を事業の用に供していると認められる場合」には、「外国にある第三者への提供」には該当しないこととなります。

例えば、外資系企業（外国にある事業者）の東京支店については、日本国内で「個人情報データベース等」を事業の用に供している「個人情報取扱事業者」に該当するとされていますので（前同2-2参照）、当該東京支店に個人データを提供してこれを取り扱わせる場合に、当該東京支店が日本国内においてのみ自社サーバにアップされた個人データを取り扱っていると言えるのであれば、「外国にある事業者」への第三者提供ではありますが、「外国にある第三者への提供」には該当しません。

なお、当該クラウドサービス提供事業者が「日本国内で個人情報データベース等を事業の用に供していると認められるか否かは、日本国内における事業の実態を勘案して、個別の事例ごとに判断」されます（Ｑ12-5[xxi]）。

外資系企業の東京支店といった場合に、当該東京支店は単に契約締結の取次業務等を行っているだけで、実態は本国その他の外国において個人データが取り扱われているということもありますので、個人データを取り扱っているタイプのクラウドサービスの利用を検討しているのであれば、検討段階において（利用契約締結に先んじて）、当該クラウドサービス提供事業者のサーバがどこにあり、かつ、当該クラウドサービス提供事業者がどこで当該個人情報データベース等を事業の用に供していると言えるのかについて、情報を収集し、確認、検証することが必要です。

(3)　漏えい時の報告義務について

クラウドサービス提供事業者が利用事業者が当該クラウド上にアップした個人データを取り扱う場合において、報告対象となる個人データの漏えい等が発生したときに報告義務を負う主体は、原則論どおりとなります。

すなわち、「漏えい等報告の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者」であって、「個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負」います（「個人情報の保護に関する法律についてのガイドライン（通則編）」3-5-3-2「報告義務の主体」[xxii]）。

5.   まとめ

以上を模式的にまとめますと、以下のとおりとなります。

Ｂ２Ｂクラウドサービスの提供事業者である皆様におかれましては、自社においてＢ２Ｂクラウドサービスを提供するために利用する第三者のクラウドサービスについて、個人情報保護法上どのような位置づけとなり、それを踏まえて、自社が同法上の義務をどこまで果たせているか否かについて、改正個人情報保護法の施行を機に、ぜひ一度ご確認してみていただければと思います。

2022年8月2日

---

[i] 総務省ウェブサイト「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」（用語辞典、https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/glossary/glossary_02.html）
[ii] 旧総務省ウェブサイト「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」（基礎知識、https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/service/13.html）
[iii] 前掲注iiに同じ。
[iv] 語源については、インターネットを表す記号として「雲（cloud）」が用いられてきたことに由来するという考えもある（一般財団法人ソフトウェア情報センター編「クラウドビジネスと法」2頁（2012年、第一法規））。
[v] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-53
[vi] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-54
[vii] 岡村久道「個人情報保護法〔第4版〕」313頁（2022年、商事法務）
[viii] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-55
[ix] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q4-4
　ちなみに、「個人データ」と「個人情報」との違いを模式化すると以下のとおりである。

第95回個人情報保護委員会「資料1 個人情報保護を巡る国内外の動向（個人データに関する個人の権利の在り方関係）」（（平成31（2019）年3月20日、https://www.ppc.go.jp/files/pdf/190320_shiryou1.pdf）） より抜粋。
[x] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q12-3
[xi] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q10-25
[xii] https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a10-7
[xiii] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q12-13
[xiv] https://www.ppc.go.jp/enforcement/infoprovision/
[xv] https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
[xvi] https://www.ppc.go.jp/enforcement/infoprovision/laws/CCPA/
[xvii] 渥美坂井法律事務所・外国法共同「諸外国の個人情報保護制度に係る最新の動向に関する調査研究報告書（平成30年3月）」（https://www.ppc.go.jp/files/pdf/201803_shogaikoku.pdf）
[xviii] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q6-19
[xix] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q12-4
[xx] https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/#a2-2
[xxi] https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q12-5
[xxii] https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5-3