Q　従業員および個人顧客の個人情報を適正に保管・管理するために、国内にサーバーがある外部の国内のクラウドサービス提供事業者にその保管・管理を委託することを検討しています。委託する場合、当社にはどのような義務が生じるのでしょうか。

A　貴社の有する個人情報を適正に保管・管理する目的で、個人情報の保管・管理を外部のクラウドサービス提供事業者に委託する場合、委託先が個人データを漏えいしないよう、貴社は、自らが講ずべき安全管理措置と同等の措置が委託先にて講じられるように監督する義務があります。万一、個人データが漏えいした場合、クラウドサービス提供事業者と貴社はそれぞれ個人情報保護委員会に報告する義務が発生します。

クラウドサービス提供事業者によって個人情報を保管・管理する場合、クラウドサービス利用者は、特別な事情がない限り、個人情報取扱事業者に該当します。貴社がクラウドサービス提供事業者を利用する場合、個人情報取扱事業者としての義務を負うことになります。

外部委託における委託者の責任

個人情報の保管・管理を外部に委託する場合、委託者の責任の範囲は、委託先が個人情報をどのように取り扱うかによって異なります。 まず、クラウドサービス提供事業者が「提供を受けた個人データを独自に利用できる場合」には、貴社の利用目的の達成に必要な範囲内にとどまるものとはいえません。このような場合は、その委託に当たって、あらかじめ個人情報の対象となる本人の同意が必要となり、同意がなければ委託をすることはできないため、注意が必要です。