最近以下のような質問を受けることがよくあります。
「海外のクラウドサービス」を利用することが
「外国の第三者への提供」に該当するのかどうか?
AWSやGoogle Workspace、
BoxやSlackなどなど、
海外のクラウドサービスを利用する企業が増えていますし、
改正個人情報保護法では、グローバル化への対応として、
外国にある第三者への提供に関する規定が強化されています。
個人情報保護委員会のQAでは、以下のように答えています。
↓
つまり、
外国にサーバが置いてあるだけ(外国の事業者がアクセスしない)の場合は、
「第三者提供に該当しない」ということ。
テキストではわかりにくいので、上記の内容をフローチャートにしてみました。
↓
第三者提供に該当しないということは、
何もしなくて良いのね!ということではなくて、
自社で運営・管理するときに適切な安全管理措置が求められるのと同様に、
外部のサーバに置く場合も安全管理措置を講じる必要があります。(フローチャートの④)
ちなみに、クラウドサービスは「委託先」ではないので、
委託先管理の必要はないのでは?という意見も聞かれます。
個人情報保護委員会のQAでは、以下のような記載もあります。
↓
↓
ですが!!
Pマークでは、以前から、以下のような見解があります。
個人情報保護法より若干厳し目なイメージがありますが、
大事な個人データを取扱うサービスですから、
「委託先管理」の一環として、サービスについて評価選定するのが
個人的には当然かなと思います。
(ISMSだと「供給者管理」の仕組みを適用すればOK)
そして、もう一つのポイントが、
改正個人情報保護法で追加になった以下の点。
(さっきのフローチャートの下の部分)
↓
安全管理のために必要かつ適切な措置の中に、
「外的環境の把握」という項目が追加され、
サーバの設置国&その国の個人情報保護に関する制度等を
把握することが必要となりました。
それに加えて、本人が分かるように情報提供する必要があります。
といっても、HPなどで公開しておくことが必須ではなく、
本人の求めに応じて回答できればOK。
・
・
・
ということで、長くなりましたが、まとめます!!
一般的なクラウドサービス事業者は、
格納されている顧客のデータを触ることはないと思いますので、
外国の第三者提供には該当せず、
自社としてやらなければならないことは、以下の3つ。
◎安全管理措置について評価する
◎サーバ設置場所(国)についても把握しておく
◎それらについて求めに応じて回答できるようにしておく
ということになるかなと。
以前、このblogで、
クラウド事業者の委託先評価表をサンプルとしてアップしましたが、
(【サンプル提供】クラウドサービスの委託先評価)
それをリニューアルしてこちらにアップしておきますので、
ご自由にご利用ください。(クリックするとダウンロードされます)
【サンプルひな形】委託先チェックシート2023.docx
(※サーバの設置場所を追加しました)