個人情報委、「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aの更新、および、漏えい等報告書の記載事例(⑤クラウド事業者による代行報告事例)の追加
アンダーソン・毛利・友常法律事務所*
弁護士 田 浦 一
弁護士 平 岩 三 佳
1 はじめに
2023年12月25日、個人情報保護委員会は、「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aの6-19(以下「本Q&A」という。)を更新し、クラウドサービス提供事業者による漏えい等の代行報告に関する言及を追加した[1]。また、同月27日には、個人情報保護委員会のウェブページ上において「クラウド事業者による代行報告」[2]と題して、個人情報漏えい等の報告を、クラウドサービス提供事業者が代行する場合の報告書の記入例(以下「本記入例」という。)が公表された(以下、本Q&Aの更新および本記入例の公表を併せて「本Q&Aの更新等」という。)。
2 クラウド事業者による代行報告について
⑴ 個人データの漏洩等の報告義務の主体について
個人情報の保護に関する法律(以下「個人情報保護法」という。)上、個人情報取扱事業者が第三者に対して個人データの取扱いを委託している場合において、個人データの漏えい等の報告義務の主体は、委託元と委託先の双方となるのが原則である。この場合、委託元および委託先の連名で報告することも可能である(個人情報の保護に関する法律についてのガイドライン(通則編)[3]3-5-3-2)。なお、委託先が、報告義務を負っている委託元に当該自体が発生したことを通知したときは、委託先は報告義務を免除される(個人情報保護法26条1項但書)。
クラウドサービス利用事業者とクラウドサービス提供事業者との関係においては、上記個人データの取扱いの委託の場合とは異なる整理がなされている。すなわち、クラウドサービス提供事業者において個人データを取り扱わないこととなっている場合には、クラウドサービス利用事業者からクラウドサービス提供事業者に対して個人データが提供されたものとは整理されず、また、個人データの取扱いが委託されたものとも整理されない(個人情報の保護に関するガイドラインQ&A(通則編)7-53)。
当該整理を踏まえて、更新前の本Q&Aにおいては、クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合において、報告対象となる個人データの漏えい等が発生したときには、クラウドサービス提供事業者は報告義務を負わず、クラウドサービス利用事業者が報告義務を負う旨が明記されていた。
以下に更新された本Q&Aを引用する。
(報告義務の主体)
|
出典:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」に関する
Q&Aの更新より一部抜粋[4]
本Q&Aの更新は、当該原則を変更するものではないと考えられるが、クラウドサービスを利用する事業者において、自らの報告義務に基づく報告を、クラウドサービス提供事業者に代行させることができることが新たに明記された。これにより、クラウドサービスを利用する事業者が法律上の報告義務を負うという構成は維持しつつも、事実上は、クラウドサービス提供事業者が報告を行うことにより、クラウドサービスを利用する事業者が個人情報保護法上の報告義務を遵守したと整理されることが明らかになった。
(クラウドサービス事業者による報告義務の代行のイメージ)
⑵ 本記入例の内容
以下に本記入例の一部引用する。注記において、複数の利用者が報告者となる場合及び報告者となる利用事業者がその委託元事業者と連名で報告を行う場合について、「報告者が複数であることがわかる内容」を記入する旨、「報告者である利用事業者及び利用事業者と連名で報告する委託元事業者のリスト等を別途提出してください」という旨が記載されている。
クラウドサービス提供事業者において個人データの漏えい等が発生した場合、漏えい等の対象となった個人データを保管するクラウドサービス利用事業者が複数となる可能性がある。本記入例の上記注記は、このような場面を想定して、法律上報告者となるクラウドサービス利用事業者が複数である場合の記載方法を案内したものである。
また、上記注記においては、クラウドサービス利用事業者と連名で報告する委託元事業者のリスト等を別途提出することについても言及されている。クラウドサービス上に個人データの保管するクラウドサービス利用事業者は、第三者から委託を受けて個人データをクラウドサービス上に保管している場合もあり得る。このような場合、法律上は委託元となる事業者とクラウドサービス利用事業者が法律上報告義務を負うこととなるが、委託元事業者とクラウドサービス利用事業者のリスト等を提出することで、多数に及ぶ可能性のある報告義務者について、効率的な形で代行報告を行うことが可能であることが示された。
(クラウドサービス利用事業者の報告を、クラウドサービスの提供事業者が代行する場合の記入例)
出典:個人情報保護委員会「クラウド事業者による代行報告」より一部抜粋[5]
3 本Q&Aの更新等を踏まえて
ここ数年、クラウドサービス利用事業者において、情報の流失のおそれに至る事案が増加しており、クラウドサービスの利用におけるリスクとして社会的に問題となっている[6]。このような状況下で、クラウドサービス上に保管された個人データの漏えい等が発生した場合に、クラウドサービス利用事業者や同事業者に個人データの取扱いを委託する委託元が自ら漏えい等の報告を行う場合、同一の事案について、多数の報告が行われることとなり、漏えい等の報告の処理にかかる実務において混乱等が生じる可能性が否定できない。本Q&Aの更新等は、このような事例において、クラウド事業者が情報を集約して代行報告を行うことを可能とするものであり、実務上大きな影響があるものと考えられる。
以 上
[1] https://www.ppc.go.jp/files/pdf/2312_APPI_QA_tsuikakoushin.pdf
[2] https://www.ppc.go.jp/files/pdf/kisairei_cloud_daikou.pdf
[3] https://www.ppc.go.jp/files/pdf/231227_guidelines01.pdf
[4] 前掲注[1]
[5] 前掲注[2]
[6] https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00149.html
[/groups_member]
(たうら・はじめ)
アンダーソン・毛利・友常法律事務所外国法共同事業アソシエイト。2008年北海道大学法学部卒業。2010年北海道大学法科大学院卒業。2011年弁護士登録(第一東京弁護士会所属)。2019年New York University School of Law(LLM)修了。2020年ニューヨーク州弁護士登録。データプライバシー法務の他、IT・インターネット関連の案件について広くアドバイスをしている。また、会社法・M&A関連の案件を多数取り扱う。
(ひらいわ・みか)
アンダーソン・毛利・友常法律事務所アソシエイト。2019年予備試験合格。同年、中央大学法学部卒業。2019年司法試験合格により、東京大学法科大学院中退。2022年弁護士登録(第一東京弁護士会)。会社法・独占禁止法・M&A関連案件を多数取扱う。
アンダーソン・毛利・友常法律事務所外国法共同事業 https://www.amt-law.com/
<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。
<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング
* 「アンダーソン・毛利・友常法律事務所」は、アンダーソン・毛利・友常法律事務所外国法共同事業および弁護士法人アンダーソン・毛利・友常法律事務所を含むグループの総称として使用