当社が保有する個人情報の保管・管理を海外のクラウド事業者に委託する場合、どのような点に留意すればよいでしょうか。

特に次の2つのリスクについて留意する必要があります。

  1. 個人情報の移転制限に関する規制を受けるリスク
  2. 差押え等の強制捜査を受けるリスク

解説

  1. 個人情報の移転制限に関する規制を受けるリスク

     現在(Mar. 2014)、我が国の個人情報保護法では、個人情報を海外に移転することについてなんらの規制を定めていません。しかし諸外国では、国境を超える個人情報移転に対して特別の規制を定めている場合があります。
     たとえばEU域内からの個人情報の越境移転が認められるのは、原則として、個人データを移転する相手国が十分なレベルの保護措置を確保している場合に限られます(EUデータ保護指令第25条)。そして日本やアメリカは、この「十分なレベルの保護措置を確保」しているとは認められていません(ただしEU・アメリカ間はセーフハーバーに基づく例外的取扱いがなされています)。そこで、EU域内にあるクラウド事業者のサーバーに個人データが保存されている場合、日本へ個人情報を移転することが規制される可能性があります。
     また日本でも、個人情報の越境移転に対する規制は検討されており、今後日本から第三国への個人情報移転に、EUデータ保護指令のような規制がなされる可能性もあります。

  2. 差押え等の強制捜査を受けるリスク

    海外クラウド事業者がその国の捜査機関から強制捜査を受ける場合、当然その国の刑事訴訟法その他の刑事手続に関する規制によることになります。そのため日本とは異なり、場合によっては無令状での捜索の対象となる(アメリカの愛国者法213条等)などし、クラウドサービスの停止や個人情報データの喪失のリスクがあるといえます。

 なお、個人データのクラウド委託に関する一般的留意事項については、こちら(Q会社が保有する個人情報の保管・管理をクラウド事業者に委託する場合,どのような点に留意すればいいでしょうか。)をご覧ください。

参考

JEITA「クラウドサービスと個人情報保護」(2011年10月7日)

Category:IT , クラウド