令和2年改正 越境移転データの取扱いの実務
多くいただいたご質問と回答
桃尾・松尾・難波法律事務所パートナー弁護士 松尾 剛行氏
受講者の皆様から、事前質問、当日質問、事後質問等、さまざまな形でご質問をいただきました。
多く頂戴した質問を事務局で取りまとめましたので、簡潔な回答を参考までに掲載します。
Q1.外国企業の日本法人が提供するクラウドサービスやサーバを利用する際は、外的環境の把握に関する規制の対象とはならないという理解でよいでしょうか?
A 「日本企業」(日本の個人情報取扱事業者)が提供するクラウドサービスで、かつ、利用されるのが日本のサーバであれば、その企業が仮に外国企業の子会社であっても、原則として外的環境把握義務は生じないと考えられます。
これに対し、外国サーバが利用される場合、「個人情報の保護に関する法律についてのガイドライン」Q&A12-3が、「個人情報取扱事業者が、外国に設置されたサーバに個人データを保存する場合、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる必要があり(法第 23 条)、また、保有個人データの安全管理について講じた措置を本人の 知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く(法第 32 条第 1項第4号、施行令第 10 条第1号)必要があることに留意が必要です」としていることから、外的環境把握義務が生じる可能性があります。
そこで、一般には、リージョンを日本サーバにすることを勧めております。
Q2.アクセスログを外国のクラウドサーバに保管することは、外国の第三者への提供にあたりますか?
A クラウド上に保管されるものが個人データでなければ、そもそも外国第三者提供規制や外的環境把握規制はかかりません。
よって、ここでいう「アクセスログ」の具体的な内容が個人データであるかにより対応が異なると思われます。
ここで、「ID:Takayuki.matsuo 2022:05:25:18:00 login」のようなアクセスログであれば、これがマツオタカユキ氏が2022年5月25日の18時にログインしたという内容と理解されますので個人情報であると思われます。
そこで、このアクセスログをたとえばIDによって検索できるのであれば、個人データであると思われます。
このような個人データであるアクセスログが、クラウド上に保管されるものが個人データであれば、まずは契約とアクセス制御の観点から、外国第三者提供にならないかを検討していただきます。
そして外国第三者提供になれば、スキームごとの対応を行っていただきます(講演レポート「2 個人データの外国第三者提供に関する規律対応の実務(2)外国第三者提供スキーム別の要件」参照)。
仮に、その結果として、外国第三者提供にならなくても外的環境把握規制がかかる可能性があります(講演レポート「3 外的環境把握の実務」参照)。
これに対し、アクセスログが個人データでなければ、少なくとも法律上は外国第三者提供規制や外的環境把握規制はかかりません。
Q3.外的環境把握に関するチェックリスト等は公表されていますか?
個人情報保護委員会が「外国における個人情報の保護に関する制度等の調査」を公表しており、チェックリストではないものの、参考になるのではないでしょうか。
なお、レポートの凡例に本サイトについて追記しております。
Q4.あるクラウドサービスは外国企業が提供していますが、サーバ設置国が公表されていません。利用する場合、どのような対応が必要でしょうか?
外国企業がクラウドサービス契約の相手方であって、クラウドサービスの利用に伴い個人データが外国サーバにアップロードされるということであれば、そもそも外国第三者提供になる可能性があり、契約・アクセス制限によって外国第三者提供にならなくても(講演レポート「2 個人データの外国第三者提供に関する規律対応の実務(1)外国第三者提供への該当性」参照)、外的環境把握義務は生じ得ると考えられます。
その場合に、サーバ設置国が不明なのであれば、「サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨およびその理由、および、②本人に参考となるべき情報を本人の知り得る 状態に置く必要があります。
②本人に参考となるべき情報としては、たとえば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が 考えられます。」という「個人情報の保護に関する法律についてのガイドライン」に関するQ&A10-25に従った対応をされるとよろしいかと存じます。