全4075文字
PR

 2022年4月1日に施行された2020年改正個人情報保護法(2020年改正法)では、個人情報を海外拠点や外国企業が取り扱う場合の義務が強化される。対策を進めた企業にとって「想定外の難所だった」と声が上がるのがクラウドサービスの点検だ。

 外資系企業のクラウドサービスで個人情報を処理することが、必ずしもデータの越境移転に当たるわけではない。クラウドベンダーとの契約内容とサービス運営の状況、自社がどう利用しているかで個別に判断する必要がある。そこで正しく線引きをするべく、利用状況の確認やベンダーへの確認などの対策に手間取った企業が多かったという。

 対策が遅れていたり、駆け込みで対策していたりする企業も少なくないと関係者は証言する。クラウドを中心とする越境移転の対策は、企業によっては今も続いている課題だ。

クラウドの「サービス提供契約」の取り決めが焦点に

 一般に越境移転で対策が必要になるのは、海外拠点でのデータ処理や顧客サポートなど人手が介在する個人データ(個人情報を含めて集積されたデータベース)の業務委託である場合が多い。こちらはほぼ確実に移転先で個人データにアクセスするため2020年改正法から見た対策を検討する必要がある。

 クラウドでも状況の確認が必要なのは、クラウドベンダーが運用保守や一部機能を提供する過程で、個人データを含む企業データにアクセスする場合が考えられるからだ。個人情報保護委員会(個情委)は越境移転に当たらない判断基準の例として、(1)契約でベンダーが個人データにアクセスしないことを取り決める、(2)実際にアクセス制御によりベンダーがアクセスできないことを技術的に担保する、などを挙げている。

 サーバーの所在地は判断材料の1つにすぎない。個情委は「サーバーが日本国内にあっても、実態としての契約相手が海外企業かどうかなども踏まえて判断すべきだ」としている。

クラウドのサーバー所在地や契約相手に関する個人情報保護委員会の見解を示したQ&Aの一部
クラウドのサーバー所在地や契約相手に関する個人情報保護委員会の見解を示したQ&Aの一部
(出所:個人情報保護委員会)
[画像のクリックで拡大表示]

 企業にとって面倒なのは、顧客や消費者の情報だけでなく、取引先や従業員情報なども個人情報に該当することだ。また一部の処理に限ってクラウドを使っている場合もある。PwCあらた有限責任監査法人で企業の対策を指南する平岩久人パートナーは「本社部門は事業部門のクラウド利用をすべて把握していないことは少なくない。今回の対策のために、全社でどのような個人情報をクラウドで扱っているか棚卸しした企業もある」と指摘する。

 さらに注意すべきなのはクラウドベンダーとの契約は、個人情報の処理を業務委託するような個別契約ではなく、一般には「ベンダーが用意する共通のサービス提供契約である」(平岩パートナー)ことだ。仮に標準のサービス契約に記述が不足していれば、個別契約で顧客情報にアクセスしないと明記できるかどうかが対策方法の1つとなる。

 日経クロステックは米Microsoftと米Google、米Salesforce.comの主要なクラウドベンダー3社に対応状況を聞いた。「当社サービスは越境移転に当たらない」とするベンダーが目立つ一方で、「企業の利用目的やサービスの種類によって異なる」とするベンダーもあるなど、回答は分かれた(詳細は後述)。ベンダーへの確認で対策に時間を要するケースもあるようだ。「海外ベンダーの体制によっては、問い合わせても海外本社側の返答が鈍い、もしくは日本の法制度を熟知せず対策方法を詰めるまでに時間を要するケースがあった」と、ソフトバンクで対策を指揮した佐々木一浩常務執行役員兼CDO(最高データ責任者)は証言する。

 データ処理の実態などを踏まえて、クラウドの利用を越境移転に当たると線引きするケースもある。この場合は2020年法改正で定めた、越境移転の新たな義務を果たす必要がある。多くの日本企業が該当する対策は、クラウドベンダーにおける個人情報保護の体制が日本の制度水準に達しているという基準適合性を確認し、年1回以上の頻度で確認を取り続けることだ。つまりベンダーとの合意と体制づくりが必要になる。