改めてクラウド例外について考えてみたら迷子になった
この議論の展開を紙にメモしている際も、noteを書くにあたっても、クラウド例外の要件の関係性について行きつ戻りつを繰り返し、迷子になったが、とりあえずの整理を、間違っているかもしれないが、後から見直すきっかけにメモしておく。
(2024/3/30追記)
3月25日に個人情報保護委員会からクラウド例外に該当しないと判断した事例と注意喚起がでたため加筆修正した。
海外展開もするクラウドサービスはどう整合的に解釈するか
個人情報保護法における「個人データの第三者提供」にあたらないとする解釈であるいわゆるクラウド例外。
海外法に対応していこうとすると、特にデータ処理契約との関係で、この日本独自の解釈論との整合性について思案せざるを得ない場面が出てくる。
クラウド例外の2条件はANDかORか
まずクラウド例外についての要件と効果(?)を確認すると、
①契約条項によって当該外部事業者がサーバに保存された個人データを取り 扱わない旨が定められていること
②適切にアクセス制御を行なっていること
を満たせば
第三者提供にはあたらず、委託にも該当しないとされる。
(2024/3/30追記)
エムケイ社の事例では、加えて「サービスの性質」の検討を行っているが、「ユーザ…が…個人データを記録して管理することが予定されているものであり、実際に大量の個人データが管理されていた」という検討のみで、どのような観点からこの検討を加えたのかは判然としない。
反対読みをするならば、「個人データが管理されていないクラウドサービス」に該当するかの検討と考えられるが、VPNなどの通信系サービス、IaaSなどはこれに該当するのだろうか、その場合、「管理」の意義は何であろうか。
この2つの要件は、ANDなのかORなのかが曖昧であるが、一般的にはANDと解釈することが多い。
NBL1250号では以下のQAについて、「(取扱いについての)当事者間の合意が中心的な要素となっていることからすると、Q&A7−53に関しても必ずしも①と②の双方を満たす必要はなく、①を要件の中心とする考え方も成り立つ」との余地はしめしつつも、「ユーザー事業者における実務的な対応としては、保守的に、双方を満たすかを確認することが一般的」としている。
個人的には「関知するものでない」には、信書便物の検閲禁止や通信の秘密を念頭に①②の両方を満たしている前提があるのではないかと考えている。
そうすると以下の疑問が湧く。
①−1 「取扱い」とは具体的にどのようなことか?
①−2 「契約条項」として認められる範囲は?
①−3 「契約条項等により取り扱わない旨を定めている」を満たすには?
② 「適切なアクセス制御」とは具体的にどのようなことか?サーバリプレイス、障害発生時などはどのように考慮すればいいのか?
③ 特に外国でも展開するクラウドサービスにおいてデータ処理契約が存在する場合での「取扱い」と「処理」の有無の整合性は?
①−1 「取扱い」の具体
「処理」と訳されることの多いGDPRにおけるprocessingの定義は、(個人情報保護委員会仮訳では「取扱い」となっているが)以下になっている。
一方で個人情報保護法における「取扱い」は明確な定義がない。
(2024/3/30)
エムケイ社の事例においても、「取扱い」について詳細な言及はなく、「ユーザから本件システムの利用に関する調査・支援要請があった場 合、両者の間で「個人情報授受確認書」(以下「授受確認書」という。)を取り交わした後、個人データを取り扱っていた」と認定しているが、字面だけをみれば「(エムケイ社の従業員が)調査のため編集、変更、検索などを行っている」であるため、取扱いについての否定は難しいだろう。
①−2 「契約条項」として認められる範囲は?
これについては契約書や利用規約に限られず、「クラウド事業者が別途用意する文書(ホワイトペーパーや個情法への対応方針を明らかにした文書)やクラウド事業者から得られた回答も斟酌できる。(NBL1250号 )」。
これには違和感ないが、判断主体が利用者である一方で、情報の非対称性から実際上はクラウド事業者が判断しているというギャップが存在しており、クラウド例外該当性に関しての疑義とクレームを提示された際の責任の分担割合について、どのように判断されるかに不確実性があるように思われる。
①−3 「契約条項等により取り扱わない旨を定めている」を満たすには?
「規制改革・行政改革ホットライン検討要請項目の現状と対応策」では、「編集・分析等の処理」は取り扱っていると判断すると示している。
この回答は「編集・分析等」を「処理」の一態様として考えているため、先のGDPRでのprocessingの項目は当然に意識しているのではないかと推察している。
これからすると、全文検索機能を有する文書管理システムや人事労務システムはすべからくクラウド例外に該当しないことになる。
他方でよく指摘されるように「生成AIサービスの利用に関する注意喚起等について(令和5年6月2日)」では、「機械学習に利用しないこと等」であれば、「提供」に該当しないとする余地があるかとも読め、さらにその旨の回答が複数あるという。
これを生成AIに限った解釈であるのかという論点はあるが、整合性のある理解を無理にでも考えるならば、後述のNBL1250で取り上げられたデータ処理契約における「指示に従う」から考えて、契約等により定められたユーザーの指示(操作)の範囲内であれば、「処理」には該当するが「取扱い」には該当しないという考え方になろうか。
「編集・分析」→
「利用者の指示に従う(①)」+適切なアクセス制御(②)
=クラウド例外
なお、この点については、以下のような指摘がある。
学習データとしての利用が、「利用者の指示を超えるもの」であると捉えれば、第1段階までは整合性は取れるように思える。
NBL1250号ではまた、①を満たすかについて、「アクセス可能性」を中心に検討している。
しかし、NBLの論考内でいうならば、先のQA7-35での「取扱いについての合意」との整合性を考えるならば、「(封を解いたりして)アクセス可能であるが、しない」というケースもなお「適切なアクセス制御がされている」と解す余地はあるのではないか。
そうすると「アクセス制御」には、以下の2パターンが存在するのではないか。
②−1−(ⅰ) アクセスできない
②−1−(ⅰ) アクセス(できるが)しない
上記は保管・保存に関しては素直な結論が導けることが多いと思われる。
では加工や編集、分析を、人が、あるいはシステムが自動的に行う場合はどうだろうか。
システムが自動的に処理する場合であっても、GDPRではprocessingに該当することは明らかである。
そのためデータ処理契約が締結されることがあるが、これを日本のクラウド例外からみたとき、「取扱い」に該当する証左となるだろうか。
NBL1250号では、このようなデータ処理契約における「指示に従う」をポイントとして、「個人データを処理しないように指示することで、取り扱わない状態を確保することができる」とする。
しかし、ここでの「処理しないように指示」とは、システムによる自動処理をも否定するものでないとするならば、「クラウド事業者の従業員等が処理しないように指示」と読むのが素直だろう。
そのうえで、
・クラウド事業者がユーザー事業者の指示を自動的に実行していく前提であれば、問題なく①を満たす
・ユーザー事業者の指示がない場合にもクラウド事業者の判断によりデータへのアクセスが可能な場合は、①は満たさない
とする。
つまり、
・データにアクセス可能であり、
・データ処理契約によりデータを処理することを合意していると認められるとしても、
・クラウド事業者の従業員等が独自の判断でアクセスしない
ならば①を満たす、となる。
しかし、同論考には以下のように、平時と例外で取扱いがあるかどうか、場面ごとに区別することが可能なようにも読める記述がある。
そうすると、データ処理契約において、
・指示に従って処理をする
・障害発生時はクラウド事業者の判断でアクセスすることがある
とされている場合は、整合性を取るならば、平時の利用はなおクラウド例外としつつ、データ処理契約に基づく取扱いの委託ということになる。
障害復旧をデータ処理契約等の中で合意した場合は、「障害発生時は障害復旧という明示的・暗黙の指示に従う」ともいえないのだろうかという疑問が湧くが、直感的に理解するならば、ここでの「指示に従う」とは、あくまでも人手を介さないシステム処理を念頭に置いた「利用者の入力、操作に従い」ということなのであろう。
(2024/3/30追記)
エムケイ社の事例では、利用規約において「保守運用上又は技術上必要であると判断した場合、ユーザがサービスにおいて提供、伝送するデータ等について、監視、分析、調査等、必要な行為を行うことができる旨が規定されていた。」としたうえで、保守用IDを用いて実際に取扱いの実績がある点を強調して委託と判断していることからするに、平時か例外かでクラウド例外該当性を変えることはないようにみえる。
ただ、逆にいえばアクセス制御については「アクセス可能」であることを前提にしているが、この1点をもってクラウド例外を否定しているわけではないので、②−1−(ⅰ) アクセス(できるが)しない場合はクラウド例外に該当する余地は否定していないと思われる。
もっとも保守用IDに関して「エムケイ社の取扱いを防止するための技術的なアクセス制御等の措置は講じられていなかった」と認定しているため、②を満たしていないと判断している。
② 「適切なアクセス制御」とは具体的にどのようなことか?サーバリプレイス、障害発生時などはどのように考慮すればいいのか?
アクセス制御について、技術的安全管理措置のFAQであるが、以下がある。
クラウド例外において「適切な」アクセス制御がどのようなものかについては言及がないが、暗号化を施しても復号鍵をクラウド事業者が持つことを前提にするならば、少なくとも鍵の管理やアクセス権限管理は含まれるだろう。
NBL1250号では②を満たす手法として「基本的に暗号化(ユーザーが暗号鍵を保管)」としているが、実際そのようなケースは多くないと思われる。
保管・保存以外の場面において、例えば保守サービスを考えると、アクセス可能であり、実際にアクセスしたとしても、取得しないとするケースもなお「提供したことにならない」というFAQが存在することを考えるに、クラウド例外においても「閲覧可能でも、記録・印刷等」を防止する措置(印刷不可設定や、手書きメモ防止の為の監視や教育などであろうか)は、「適切なアクセス制御」を満たすと考えられる。
(2024/3/30追記)
エムケイ社の事例においては、上記QA7-55に関して「ここでは、例として、「保守サービスの作業中 に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられてい る場合」等が挙げられており、「取扱いを防止するためのアクセス制御等の措置」が講 じられているか否かが重要である」と言及したうえで、「エムケイ社が有する保守用 ID については、個人データの取得を防止 するための技術的な措置は講じられていないことから、個人データの提供に該当し、委 託に基づき個人データを取り扱っているものと認められる」と判断している。
これからするにやはり「取得」が重要であり、「閲覧にとどまる」場合は適切なアクセス制御に該当する可能性は高いように思われる。
まとめると?
データそのものに(クラウド事業者の従業員等が)アクセスできないならば、クラウド例外となる可能性は高い。(IaaS、PaaSなど)
データにアクセス可能でも、利用規約、データ処理契約等によりアクセスしないとなっており、実際に処理に人手が介在せず、暗号化、権限管理、データ取得防止策等のアクセス制御を実施しているならば、クラウド例外となる可能性は高い。(ストレージサービス、ファイル転送サービスなど)
データにアクセス可能であり、障害対応、保守などでアクセスすることがあるとしても、契約等によりこれらの例外を除いてアクセスしないとなっており、処理は契約等により定められた利用者の操作の範囲内であり、暗号化、権限管理、データ取得防止策等のアクセス制御を実施しているならば、通常の利用時においてはクラウド例外となる可能性は高い。ただし障害対応は取扱いの委託と解される可能性が高い。(2024/3/30追記:エムケイ社の事例を見る限り、この場合はクラウド例外と解釈するには難しいように思われる)
逆に、以下はクラウド例外にならないと思われる。
データにアクセスすること自体が指示されている場合。(クラウド事業者に対して保守運用委託がされている場合、クラウド事業者自身が操作代行サービスを提供している場合など)
データにアクセス可能であり、アクセス制御は実施されているが、契約等により定められた利用者の操作・利用範囲を超える処理が、自動的かどうかを問わず行われる場合。(AIサービスによる学習利用など)
障害対応でデータにアクセスする場合。この場合は、バックアップや復元、確認などの取扱い行為があるであろうから、取扱いの委託として監督を受けると解される可能性が高い。自動復旧や、データそのものにアクセスせずデータベース自体を復元するような場合ならば、アクセスしていないとなる。
(2024/3/30追記)
エムケイ社の事例によってクラウドサービスが個人データの取扱い委託と解釈され、ユーザーによる委託先監督が活発化すると思われる。
注意喚起ではユーザに対し、
・セキュリティ対策についての十分な理解、確認をしたうえでの選定
・安全管理措置の契約等による明確化
・安全管理措置の状況についての定期的な報告を受ける
ことを求めているから、今後セキュリティに関する説明資料、データ処理に関する契約条項などを求められることが増えるだろう。
さらにユーザ企業が監督として乗り込んでくることが考えられるので、例えば多くのユーザを抱えるクラウド事業者であれば「監査レポートを年に1回開示します(個別の監督や調査は受けません)」のような条件を利用規約に入れるところも出てくるのではないか。
(ぼやき)
何が「必要かつ適切」なのかが曖昧だからクラウド例外についての世間の理解が広まっているのではいのかと思うのに、注意喚起とは他人事すぎないか。