コラム

Column

第109回 個人情報保護法への実務対応(サーバーへのデータ送信をめぐる問題点)

1.はじめに
個人情報保護法の改正法が2017年5月1日に施行されたことを受けて,各企業において改正法への対応を検討され,当事務所でも,実務対応や個人情報保護規程の改訂等についてご相談を受けました。
先日のコラム(第107回 個人情報保護法対応事故情報のグループ間共有における注意)で,個人情報保護法への実務対応として「事故情報のグループ間共有における注意点」を取り上げましたが,今回は,同法への実務対応のうち,データ送信をめぐる問題点を取り上げます。
企業に限らず病院など多くの事業所では,個人データを含む様々な情報をサーバーに保存して利用しています。全ての情報を自社サーバーで賄っている事業所はごく一部で,多くの事業所では,外部事業者の提供するサーバーを利用し,その際に個人データを含むデータを他社サーバーに送信しています。
設例として,A社が,顧客の個人データを含むデータを,B社と契約を結んでB社サーバーに送信して利活用する場合に,個人情報保護法上,どのような点に注意しなければならないのかを考えてみます。

2.第三者提供にあたるか
まず,A社がB社サーバーに個人データを送ることが第三者提供に該当し,A社の顧客から「同意」(法23条1項柱書)を得る必要があるのでしょうか。
この問題は,改正前の個人情報保護法では必ずしも明らかにされていませんでしたが,改正法に関する「個人情報の保護に関する法律についてのガイドライン」と,そのQ&A(「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏洩等の事案が発生した場合等の対応について」に関するQ&A,以下,Q&Aといいます)で考え方が整理されました。
まず,B社が単にサーバーを提供するだけでA社のデータを取り扱わないこととなっている場合には,A社がB社に個人データを「提供」したことにはならないとされています。例えば,B社がサーバー機能だけを提供していて,A社のデータにはアクセスしないような場合です。どのようなケースが「データを取扱わないこととなっている」かに関しては,A社とB社との契約でサーバーに送信された個人データをB社が取扱わない旨が定められており,アクセス制御がなされているようなケースが挙げられています(Q&A5-33,34)。
一方で,A社がB社のサーバーに個人データを送信し,B社においてA社のデータを自社事業のために取り扱う場合には「第三者提供」にあたります。例えば,A社が保有する顧客データをB社サーバーに送信し,B社がA社の顧客データを利用して自社のビジネスを行うような場合には,事業者のサーバーに個人データを送信することが「第三者提供」にあたります(例えば,A社がaという機器を販売した顧客のデータベースを作成しているときに,B社が,a機器購入者に対してa機器の利用状況を分析して効率的な利用方法をアドバイスするサービスをB社の事業として提供するため,A社から顧客のデータベースの情報の提供を受けるような場合です)
この場合には,A社は,第三者提供にあたっての「同意」を得るか,又はオプトアウトの手続をとる必要があります。

3.個人データの取扱いの「委託」にあたるか
「2」の前段のように「第三者提供」にあたらないとしても,A社は,「個人データの取扱いの全部又は一部を委託」するものとして,その委託先を監督(法22条)しなければならないのでしょうか。
この点についても,Q&Aで,B社が単にサーバーを提供するだけでA社のデータを取り扱わないことになっている場合には,「委託」にもあたらないことが明らかにされました(Q&A5-33)。従来からも,例えば,個人データの入った小包を宅急便業者に渡して配送を委託するような場合は,宅急便業者は個人データそのものを取り扱う訳ではないことから,個人データの取り扱いの「委託」には該らないと整理されており,これと同じ考え方によるものです。
もっとも,「第三者提供」にも「委託」にも該らないから個人情報保護法上の対応が全く不要かというとそうではなく,個人情報取扱事業者として安全管理措置(法20条)を講ずる必要がありますので,個人データの取扱状況を確認する手段の整備,取扱状況の把握,アクセス制御,外部からの不正アクセス等の防止などを行うためたにB社に対する一定の管理・監督は必要です。

4.個人データの取扱いの「委託」にあたる場合
それでは,例えば,顧客に対してインターネット上のサービスを提供しているA社が,各顧客のサービス利用時間,頻度や内容などの分析をB社に依頼し,そのためにB社サーバーに情報を送信する場合はどうでしょうか。
この場合には,B社はA社の顧客に関する情報を分析するため,まさに個人データを取り扱うことになりますので,個人データの取扱いの「委託」にあたります。そのためA社としては,委託先に対する「必要かつ適切な監督」を行う必要が生じ(法22条),定期的な監査,再委託する際の手順や安全管理措置の状況の確認等について契約書で定め,これを履行すべきことになります。
それでは,委託先であるB社が国外事業者である場合はどうでしょうか。
国内の事業者に個人データの取扱いを委託するために個人データを提供する場合と異なり,国外事業者に提供する場合には,「委託」であっても第三者提供にあたります(法24条)。そのため,A社は,各顧客から,あらかじめ「外国にある第三者への提供を認める旨の本人の同意」を得る必要があります。顧客の同意を得なければならないため,A社では,手間はかかるものの,インターネット上のサービス提供の際に,その画面上などで上記同意を得るべきことになります。「第三者」の国名や社名をどの程度明示する必要があるかについては,Q&Aでは,「実質的に本人からみて提供先の国名等を特定できる方法」や「国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法」が挙げられていますが(Q&A9-2),これはあくまでも例示ですので,各社ごとに工夫して記載すると良いと思います。

5.さいごに
以上,他社のサーバーに個人データを送信する場合について,複数のパターンを考えてみました。
我々がご相談を受けるケースでも,データを送信する目的,送信先でのデータの取扱い,送信する情報の内容などは様々ですので,都度,上記のいずれの形態に近いのかを検討した上で対応を決定しています。
本稿が,今後のご検討の一助になれば幸いです。

以上