個人情報:「クラウド例外」の見直し!?
本稿のねらい
2023年12月15日、日本経済新聞の"Digital Eyes"なるコーナー(※)に次のような記事(本記事)が出ていた。
※"Digital Eyes"とは「デジタルビジネスや制度、技術について専門家が個人の見解を示す寄稿やインタビューを随時掲載するコラム」とのこと。(汗)
本稿のタイトルにある「クラウド例外」の見直しの議論は、次のような背景によるものらしい。
個人情報保護法の見直し検討作業が動き出しそうだ。隠れた焦点は、一定条件の下では顧客の個人データを本人同意がなくてもクラウドに移行できるとしたルールだ。「クラウド例外」と呼ばれ、データビジネスの下支えとなってきたが、人工知能(AI)など高度なソフトウエアがかかわるデータ処理でクラウドの役割が増しており運用の厳格化を求める声がある。
個情委が今年6月と8月に相次ぎ「生成AIサービスの利用に関する注意喚起等」といった文書を発し、個人情報保護の観点からサービス利用の規約確認を促すなどの指針を示したことも記憶に新しい。新たな技術とサービスに対応したよりきめ細かな運用が求められている。「取り扱わない」場合を示すQ&Aについても、「3年ごと見直し」のタイミングでレビュー対象になるかもしれない。現行Q&Aの一律定型的な契約条項を強制しないやり方は既に定着しており、維持されるべきであると考えるが、技術の発展に伴い議論がされることは健全であろう。
いまいち背景事情がよくわからないところである。
現状、個人情報保護委員会において、2023年11月15日開催の第261回会議以降、2023年12月15日開催の第264回会議まで4回連続で「3年ごと見直し」に関する議論・ヒアリングが実施されているが、これまで「クラウド例外」が俎上に上がったことはないと理解している(ただし本稿執筆時点において第264回会議の議事は未公表)。
ただ、個人情報保護委員会が2023年6月に公表した「生成AIサービスの利用に関する注意喚起等」において、少し関連するところは見える。
(1) 個人情報取扱事業者における注意点
① 略
② 個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。
これは、個人情報取扱事業者が、ChatGPTのような生成AIサービスに個人データを含むプロンプトを入力した場合、生成AIサービスを運営している事業者が当該入力された個人データを「応答結果の出力以外の目的」で取扱うのであれば、それは当該個人情報取扱事業者から生成AIサービス運営事業者への個人データの提供に該当し、原則として、本人同意を得ていなければ違法となることを示したものである。
直接的に個人情報取扱事業者とクラウドサービス運営事業者の問題について触れたものではないが、個人データの受領者(≠「提供」先)による「取扱い」に関する議論がホットであることくらいはかろうじてわかる。
それにしても本稿のこじつけ感は否めない。
おそらく、一般財団法人日本情報経済社会推進協会(JIPDEC)が2023年9月に開催した「個人情報のクラウド保管 実務における対応ポイント」なるセミナーにおいて、本記事の筆者が講演した内容(講演資料)に関して適当にアウトプットしたものと思われるが、いかんせんタイトルがよくない。
本稿では、本記事の内容は一旦放っておいて、「クラウド例外」について簡単に紹介することとしたい。
「クラウド例外」とは
(1) 問題設定 ⇢ 個人データの「提供」の有無
まず「クラウド例外」について整理する。
次のような場面を設定するとわかりやすいと思われる。
※別に個人情報取扱事業者が銀行である必要はない
非常によくある例だと思われるが、toCのビジネスを行っているサービスプロバイダーたる個人情報取扱事業者が、クラウド事業者と契約してクラウドサービスを利用し、同サービス上で個人情報を含む個人データを管理する場面を考える。
【参考】クラウドサービスの利用例
講演資料02「クラウドサービスと個人情報保護の実務」8頁
このとき、個人情報取扱事業者とクラウド事業者は当然別の法人格を持つことから、個人情報取扱事業者が管理する(べき)個人データをクラウド事業者が運営するクラウドサービス上で管理等を行うことが、適法なのかが問題となる。
仮に、この場面において個人情報取扱事業者からクラウド事業者へ個人データの「提供」があると考えると、その適法性の根拠が必要となる。
多くの場合、本人から同意を取得していないと思われるため、「委託」に伴う提供と考えることになろうかと思われるが(個人情報保護法第27条第5項第1号)、そうすると委託先管理(同法第25条)が必要となったり、万が一個人データが漏えい等すると委託先に当たることになるクラウド事業者も個人情報保護委員会等への報告が必要となるなど(同法第26条)、面倒が増える。
そのため、そもそもクラウドサービス利用の場合、個人情報取扱事業者からクラウド事業者への個人データの「提供」はないのではないかと考えるようになる。これが「クラウド例外」である。
ここまでで明らかなとおり、「クラウド例外」の最大の論点は個人情報取扱事業者からクラウド事業者への個人データの「提供」の有無である。
「クラウド例外」に該当すると、クラウド事業者は、当該クラウド事業者のユーザーである個人情報取扱事業者が保存等する個人データに関しては、個人情報保護の規律の外に置かれる。
後に見るように、GDPRではクラウド事業者は個人データの「処理者」に位置付けられることになり、GDPRという規律の内側に置かれるのとは対照的であり、GDPRの側からみたときには「運用の厳格化を求める声」があってもおかしくはない。
(2) 個人データの「提供」
個人データの「提供」の意味については、個人情報保護委員会によれば次のように説明されている。
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
これを、筆者なりの解釈を入れつつ、わかりやすく図示すると下図のようになる。
このガイドライン(通則編)2-17の第2文の記載は極めて曖昧であるが、個人データの「提供」概念の根幹をなすのは同第1文であり、「自己以外の者が利用可能な状態に置くこと」である。
ただし、個人データの「漏えい」との関係で、もう少し要件を精緻化すべきであると思われる。つまり、「自己以外の者が利用可能な状態に置くこと」には、誤送信や誤送付のような「漏えい」類型も含まれてしまう。提供と漏えいは効果等が異なるため明確に区別すべきである。
そこで、「提供」から「漏えい」類型を除く趣旨で、次のように定義すべきである。
「提供」とは、個人情報取扱事業者が自らの意図に基づき、その意図どおりに個人データを第三者が利用可能な状態に置くこと
そして、ガイドライン(通則編)2-17の第2文の記載は次の2つの意味を持っている。
個人データを第三者が物理的に利用可能な状態に置く場合は、それが意図どおりであれば、権限の有無にかかわらず、当然に「提供」に該当する
個人データを電磁的に利用可能な状態に置く場合は、それが意図どおりであっても、当該第三者が当該電磁的データを利用する権限を付与される場合に限り、「提供」に該当する
第三者が電磁的に利用可能な状態に置く場合に限り権限の有無が問題とされるのは、「個人データを含む電子データを取り扱う情報システム」の特殊性、すなわち技術的にはアクセス可能であっても契約上それが許されていない場合があるためと思われる。⇢クラウド例外の発想
単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しません。
(例)
○ 保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合
○ 不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
○ 個人データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
【参考】GDPR第29条はアクセス権と処理権限を区別している
Art. 29 GDPRProcessing under the authority of the controller or processor
The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.
なお、ガイドライン(通則編)2-17は、電磁的なデータの場合、当該電磁的なデータを利用する権限があることが、すなわち個人データを利用可能な状態に置くことである(利用可能な状態に置くことと権限を別々の要件とはせず、1つの要件)と読むことも可能であるし、むしろ書き方からすればそう読むべきように思われる。ただし、そうすると、「クラウド例外」の要件で見るように「アクセス制御」を求める理由がよくわからなくなるのである。
(3) 「クラウド例外」
ここまで説明したことをまとめると下図のとおりになる。
【参考】フローチャート
(4) 「クラウド例外」の要件
クラウドサービスについて考えるとき、個人データを物理的に利用可能な状態に置くことはあり得ないため、下図のとおり、個人データを第三者が電磁的に利用可能な状態に置くこと、かつ、当該第三者がそれを利用する権限があることが問題となる。
つまり、「クラウド例外」として個人データの「提供」に該当しないというためには、個人データを第三者が電磁的に利用可能な状態に置かないこと、又は仮に個人データを第三者が電磁的に利用可能な状態に置いたとしても、当該第三者に利用権限がないことのいずれかが必要となる。
これに対し、ガイドライン(通則編)2-17を作成した個人情報保護委員会は、ガイドラインQ&A7-53において次のように説明しており、一見、個人データを第三者が電磁的に利用可能な状態に置かないこと、及び当該第三者に利用権限がないことのいずれもが必要と考えているように思える。
クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
(中略)
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
しかし、クラウドサービス上に保存されている個人データはクラウド事業者が電磁的に利用可能な状態であることは否定せず、単に利用権限の有無の問題につき、それを基礎づける事情として契約上の取決めや適切なアクセス制御を例示しているに過ぎないと解釈すべきである。
また、利用権限というからには、契約上の取決めだけで足りるように思われるが、「提供」規制の潜脱を防止するため、単に契約上利用権限がないと取り決められているだけでは足りず、それを担保する「適切なアクセス制御」が要求されていると解釈すべきである。
29. If one party in fact decides why and how personal data are processed that party will be a controller even if a contract says that it is a processor. Similarly, it is not because a commercial contract uses the term “subcontractor” that an entity shall be considered a processor from the perspective of data protection law.
このように、クラウドサービス上に保存されている個人データにつき、契約上の取決めや適切なアクセス制御によりクラウド事業者に利用権限が付与されない場合、あたかも倉庫に個人データ(台帳等)を保管するのと同様(※)、個人情報取扱事業者自らが管理していることと同じであると評価されることになる。
※ 倉庫業者もマスターキー等により倉庫に立ち入ることは可能と思われるし、もっといえば通常のオフィスやテナントの賃貸借であっても賃貸人は賃借人のオフィス等に物理的に立ち入ることは可能と思われるが、そのとき、個人情報取扱事業者が倉庫業者やオフィス等の賃貸人に個人データを「提供」していると評価されることはない。もっとも、この点が非常に曖昧ではあるが、これは利用権限の問題というより、倉庫業者等が立ち入れるのは極めて例外的な緊急時等のみであり、その場合には倉庫業者が個人データを利用可能な状態に置いていないと評価されるものと思われる(ガイドライン(通則編)2-17も物理的な提供の場合は利用権限を問うていない)。
【参考】
講演資料02「クラウドサービスと個人情報保護の実務」10頁
※赤枠は筆者挿入
なお、ガイドラインQ&A7-53は次のように示しているが、個人データの取扱いを委託することに伴う提供のみが問題となるのであれば別として、第三者提供も問題に含まれている以上、少なくとも我が国の個人情報保護法との関係ではミスリードであり、「取扱い」の有無を判断基準にするのではなく、「提供」の有無、すなわち利用可能な状態に置くかどうかを判断基準とするべきであった。
クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準
そうしないから、このミスリードに引っ張られるミスリードな見解が出てくるのである。受領者が個人データを「取り扱わない」ことが第三者提供を否定する理由になるのか疑問に思わないのだろうか。受領者が「取り扱う」意思を持たないとしても、受領する意図はあり、その上で利用可能な状態に置かれれば第三者提供に該当するのに。
この「取り扱わない」場合については、業界では慣例的に「クラウド例外」とも呼ばれている。クラウド内にデータを移行すると直感的にはデータを渡したようにも思えるが、クラウド事業者が「取り扱わない」要件を満たせば第三者提供にも委託にも当たらないということを表現した呼称であろう。
(5) おまけ ⇢ フローチャート
GDPRではクラウド利用はどういう整理か
GDPRでは「提供」("provision")はデータの述語としては利用されておらず、類似の述語は「開示」("disclosure")であるが、それを含む述語として「処理」又は「取扱い」("processing")が利用されている(GDPR第4条(2))。
(2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
そして、個人データの「処理」又は「取扱い」の目的と手段を決定する者が「管理者」("controller")といい(GDPR第4条(7))、管理者の代わりに個人データの「処理」又は「取扱い」を行う者を「処理者」("processor")という(同条(8))。
(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;
クラウドサービスを利用して個人データを保存する場合、個人データを保存する者(ユーザー)とクラウド事業者の関係は、下図のように、それぞれ管理者と処理者になると考えられる。
Example: standardised cloud storage service
A large cloud storage provider offers its customers the ability to store large volumes of personal data. The service is completely standardised, with customers having little or no ability to customise the service. The terms of the contract are determined and drawn up unilaterally by the cloud service provider, provided to the customer on a “take it or leave it basis”. Company X decides to make use of the cloud provider to store personal data concerning its customers. Company X will still be considered a controller, given its decision to make use of this particular cloud service provider in order to process personal data for its purposes. Insofar as the cloud service provider does not process the personal data for its own purposes and stores the data solely on behalf of its customers and in accordance with instructions, the service provider will be considered as a processor.
なお、同様の発想はeメールサービスとの関係でも見られる。
Example: Telecom operators:
Providing an electronic communications service such as an electronic mail service involves processing of personal data. The provider of such services will normally be considered a controller in respect of the processing of personal data that is necessary for the operation of the service as such (e.g., traffic and billing data). If the sole purpose and role of the provider is to enable the transmission of email messages, the provider will not be considered as the controller in respect of the personal data contained in the message itself. The controller in respect of any personal data contained inside the message will normally be considered to be the person from whom the message originates, rather than the service provider offering the transmission service.
以上のとおり、GDPRでは、クラウド事業者は、単に管理者のために個人データを「処理」又は「取扱い」するに過ぎない場合、つまりアクセス権を有しているが「処理」は管理者の指示によってのみ可能であるに過ぎない場合でも、処理者に該当する(したがってGDPR第28条の適用を受ける)。
以上