個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第 27 条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第 27 条第5項第1号)しているものとして、法第 25条に基づきクラウドサービス事業者を監督する必要がありますか。

(第三者に該当しない場合)
Q7-53

個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第 27 条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第 27 条第5項第1号)しているものとして、法第 25条に基づきクラウドサービス事業者を監督する必要がありますか。

A7-53

クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第 27 条第1項)又は委託(法第 27 条第5項第1 号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。

当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。

また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第 27 条第5項第1号)にも該当せず、法第 25 条に基づきクラウドサービス事業者を監督する義務はありません。

当該クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合の個人情報取扱事業者の安全管理措置の考え方についてはQ7-54 参照。

当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。

なお、法第 28 条との関係についてはQ12-3参照。

検索キーワード