会社が保有する個人情報の保管・管理をクラウド事業者に委託する場合,どのような点に留意すればいいでしょうか。

クラウド事業者に個人情報の保管・管理を委託することについてあらかじめ本人の同意を得ておくことが望ましく,クラウド事業者との間で個人データの安全管理が確保される内容の契約を締結しておくことが必要です。

解説

 委託元が個人情報保護法上の個人情報取扱事業者(個人情報保護法2条3項・同法施行令2条)であったとしても,顧客の個人情報を適正に保管・管理するといった個人情報取扱事業者の利用目的の達成に必要な範囲内であれば,個人情報保護法23条所定の第三者提供に該当しないということになるので,あらかじめ本人の同意を得ることなく,クラウド事業者に個人情報を保管・管理させることが可能といえます(個人情報保護法23条4項1号)。

 他方で,クラウド事業者が委託元の利用目的の範囲を超えてその個人データを利用する可能性がある場合には,原則とおり第三者提供に該当しますので,あらかじめ本人の同意を得るか,第三者提供におけるオプトアウト方式を行っていることが必要です(個人情報保護法23条1項及び2項)。なお,プライバシーマークを取得している場合にはオプトアウト方式は不可ですのでご留意ください。

次に,クラウド事業者に個人情報の取扱いを委託できるとして,委託元である個人情報取扱事業者には,個人データの安全管理が図られるように,必要かつ適切な監督を行うことが義務付けられます(個人情報保護法22条)。その際には,クラウド事業者の実績(セキュリティ対策状況,過去の事故履歴,安定性等)や個人データの安全管理に関する事項(アクセス管理,目的外の複製禁止,個人データの保管期間,契約終了時の措置等),秘密保持,再委託の可否,セキュリティ事故が発生した場合の対応等に関する契約内容を吟味することが不可欠となります。

なお、当事務所の『会社の個人情報対策のことならこの1冊』(自由国民社)は、企業の個人情報保護についての全体像を分かり易く説明しています。

Category:IT , クラウド