クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合(Q7-53参照)において、報告対象となる個人データの漏えい等が発生したときには、クラウドサービスを利用する事業者とクラウドサービス提供事業者はそれぞれ報告義務を負いますか

(報告義務の主体)
Q6-19

クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合(Q7-53参照)において、報告対象となる個人データの漏えい等が発生したときには、クラウドサービスを利用する事業者とクラウドサービス提供事業者はそれぞれ報告義務を負いますか。

A6-19

クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合において、報告対象となる個人データの漏えい等が発生したときには、クラウドサービスを利用する事業者が報告義務を負います。この場合、クラウドサービスを利用する事業者としては、自らが負う報告義務に基づく報告を、クラウドサービス提供事業者に代行させることができます。また、クラウドサービス提供事業者は、法第26条第1項の報告義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務及び同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます。
(令和5年 12 月更新)

検索キーワード