個人情報委、大学におけるクラウド型ID管理サービス(IDaaS)
利用を巡り個人情報保護法上の安全管理措置について注意喚起
――複数の漏えい事案を踏まえ、利用事業者には「適切な設定」などを要請――
個人情報保護委員会は10月30日、個人情報保護関係の注意情報として「複数の大学における漏えい事案を踏まえたクラウド型ID管理サービスを利用する場合の個人情報保護法上の安全管理措置に関する留意点について(注意喚起)」を発表した。
いわゆる「クラウドサービス」を巡っては今年3月25日、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)」と題する注意喚起を行っており、ここではいわゆる「クラウド例外」を巡り、「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」7-53(第三者に該当しない場合)に記載された「本人の同意が必要な第三者提供」(個人情報保護法27条1項)または「委託」(同条5項1号)への該当性につき「クラウドサービス提供事業者が個人情報取扱事業者に該当すると判断された考慮要素」を示すなどした。
もって(i)クラウドサービスの利用が「個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」(個人情報保護法27条5項1号)に該当する場合があることとともに、(ii)該当する場合には委託元は委託先に対する監督義務があること(同法25条)の周知を図ったものである。
なお、当該注意喚起はいわゆるエムケイ社の事案を踏まえ、同社への指導などを行った際に「今回、各事業者において、クラウドサービスの利用が委託等に該当する場合があることの理解が不足していたと考えられる」とし、なされている(本事案について、SH4891 個人情報委、「株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について」を公表 田浦一/安藤翔(2024/04/12)参照)。
この記事はプレミアム向け有料記事です
続きはログインしてご覧ください
個人情報委、複数の大学における漏えい事案を踏まえたクラウド型ID管理サービスを利用する場合の個人情報保護法上の安全管理措置に関する留意点について(注意喚起)
https://www.ppc.go.jp/files/pdf/241030_alert_idaas.pdf
個人情報委、個人情報保護委員会(第305回)資料
https://www.ppc.go.jp/aboutus/minutes/2024/20241030/