Q　従業員および個人顧客の個人情報を適正に保管・管理するために、国内にサーバーがある外部の国内のクラウドサービス提供事業者にその保管・管理を委託することを検討しています。委託する場合、当社にはどのような義務が生じるのでしょうか。

A　貴社の有する個人情報を適正に保管・管理する目的で、個人情報の保管・管理を外部のクラウドサービス提供事業者に委託する場合、委託先が個人データを漏えいしないよう、貴社は、自らが講ずべき安全管理措置と同等の措置が委託先にて講じられるように監督する義務があります。万一、個人データが漏えいした場合、クラウドサービス提供事業者と貴社はそれぞれ個人情報保護委員会に報告する義務が発生します。

クラウドサービス提供事業者によって個人情報を保管・管理する場合、クラウドサービス利用者は、特別な事情がない限り、個人情報取扱事業者に該当します。貴社がクラウドサービス提供事業者を利用する場合、個人情報取扱事業者としての義務を負うことになります。

外部委託における委託者の責任

個人情報の保管・管理を外部に委託する場合、委託者の責任の範囲は、委託先が個人情報をどのように取り扱うかによって異なります。 まず、クラウドサービス提供事業者が「提供を受けた個人データを独自に利用できる場合」には、貴社の利用目的の達成に必要な範囲内にとどまるものとはいえません。このような場合は、その委託に当たって、あらかじめ個人情報の対象となる本人の同意が必要となり、同意がなければ委託をすることはできないため、注意が必要です。

他方、委託先であるクラウドサービス提供事業者が個人データを取り扱う場合であっても、顧客の個人情報を適正に保管・管理するなど「貴社の利用目的の達成に必要な範囲内で、委託先が個人データを取り扱う場合」であれば、貴社が個人データの保管・管理を委託するに当たって、本人の同意は不要です。この場合、貴社にはクラウドサービス提供事業者に対する監督義務が発生します。

なお、契約条項によってクラウドサービス提供事業者がサーバーに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合など「個人データを取り扱わない場合」には、クラウドサービス利用者である貴社は、委託先に個人データを提供することにはなりません。そのため、貴社に監督義務は発生せず、委託に当たっての本人の同意も不要です。貴社は、自ら果たすべき安全管理措置の一環として、適切な措置を講じる必要があります。

管理委託をする企業側の留意点

個人情報取扱事業者として、個人データの取り扱いを第三者に委託するに当たっては、自らが講ずべき安全管理措置と同等の措置が委託先において講じられるよう監督を行うものとされており、次の点に留意する必要があります。

①サービスの機能やサポート体制のみならず、サービスに付随するセキュリティー対策についても理解し、クラウドサービス提供事業者およびサービスを選択すること

②個人データの取り扱いに関する、必要かつ適切な安全管理措置（個人データの取り扱いに関する役割や責任の分担を含む）として合意した内容を、規約や契約などで客観的に明確化すること

③利用しているサービスに関し、セキュリティー対策を含む安全管理措置の状況を、クラウドサービス提供事業者から定期的に報告を受けるなどの方法で確認すること

また、個人データが漏えいした場合、委託先であるクラウドサービス提供事業者と貴社は、それぞれ個人情報保護委員会に報告をする義務が発生します。ただし、クラウドサービス提供事業者が貴社へ当該事態が発生したことを通知した場合には、クラウドサービス提供事業者の報告義務は免除されます。この場合、クラウドサービス提供事業者も、事態の把握を行うとともに、必要に応じて委託元である貴社の報告に協力することが求められます。

（弁護士・早川 篤志）