改めてクラウド例外について考えてみたら迷子になった
この議論の展開を紙にメモしている際も、noteを書くにあたっても、クラウド例外の要件の関係性について行きつ戻りつを繰り返し、迷子になったが、とりあえずの整理を、間違っているかもしれないが、後から見直すきっかけにメモしておく。
(2024/3/30追記)
3月25日に個人情報保護委員会からクラウド例外に該当しないと判断した事例と注意喚起がでたため加筆修正した。
海外展開もするクラウドサービスはどう整合的に解釈するか
個人情報保護法における「個人データの第三者提供」にあたらないとする解釈であるいわゆるクラウド例外。
海外法に対応していこうとすると、特にデータ処理契約との関係で、この日本独自の解釈論との整合性について思案せざるを得ない場面が出てくる。
クラウド例外の2条件はANDかORか
まずクラウド例外についての要件と効果(?)を確認すると、
A7-53 クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用 が、本人の同意が必要な第三者提供(法第 27 条第1項)又は委託(法第 27 条第5項第1 号)に該当するかどうかは、保存している電子データに個人データが含まれているかどう かではなく、クラウドサービスを提供する事業者において個人データを取り扱うことと なっているのかどうかが判断の基準となります。 当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなってい る場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、 「本人の同意」を得る必要はありません。
・・・
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り 扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
①契約条項によって当該外部事業者がサーバに保存された個人データを取り 扱わない旨が定められていること
②適切にアクセス制御を行なっていること
を満たせば
第三者提供にはあたらず、委託にも該当しないとされる。
(2024/3/30追記)
エムケイ社の事例では、加えて「サービスの性質」の検討を行っているが、「ユーザ…が…個人データを記録して管理することが予定されているものであり、実際に大量の個人データが管理されていた」という検討のみで、どのような観点からこの検討を加えたのかは判然としない。
反対読みをするならば、「個人データが管理されていないクラウドサービス」に該当するかの検討と考えられるが、VPNなどの通信系サービス、IaaSなどはこれに該当するのだろうか、その場合、「管理」の意義は何であろうか。
この2つの要件は、ANDなのかORなのかが曖昧であるが、一般的にはANDと解釈することが多い。
NBL1250号では以下のQAについて、「(取扱いについての)当事者間の合意が中心的な要素となっていることからすると、Q&A7−53に関しても必ずしも①と②の双方を満たす必要はなく、①を要件の中心とする考え方も成り立つ」との余地はしめしつつも、「ユーザー事業者における実務的な対応としては、保守的に、双方を満たすかを確認することが一般的」としている。
個人的には「関知するものでない」には、信書便物の検閲禁止や通信の秘密を念頭に①②の両方を満たしている前提があるのではないかと考えている。
A7-35 一般的に、外部事業者を利用して、個人情報データベース等に含まれる相手の氏 名、住所等宛に荷物等を送付する行為は、委託に該当すると解されます。 ただし、配送事業者を利用する場合、通常、当該配送事業者は配送を依頼された中身の 詳細については関知しないことから、当該配送事業者との間で特に中身の個人データの 取扱いについて合意があった場合等を除き、当該個人データに関しては取扱いの委託をしているものではないものと解されます。 また、通信事業者による通信手段を利用する場合も、当該通信事業者は、通常、通信手段を提供しているにすぎず、通信を依頼された中身の詳細について関知するものでないことから、同様に通信の対象である個人データについてはその取扱いを委託しているものではないものと解されます。・・・
そうすると以下の疑問が湧く。
①−1 「取扱い」とは具体的にどのようなことか?
①−2 「契約条項」として認められる範囲は?
①−3 「契約条項等により取り扱わない旨を定めている」を満たすには?
② 「適切なアクセス制御」とは具体的にどのようなことか?サーバリプレイス、障害発生時などはどのように考慮すればいいのか?
③ 特に外国でも展開するクラウドサービスにおいてデータ処理契約が存在する場合での「取扱い」と「処理」の有無の整合性は?
①−1 「取扱い」の具体
「処理」と訳されることの多いGDPRにおけるprocessingの定義は、(個人情報保護委員会仮訳では「取扱い」となっているが)以下になっている。
(2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
(2) 「取扱い」とは、自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しく は変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若 しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行 又は一群の業務遂行を意味する。
一方で個人情報保護法における「取扱い」は明確な定義がない。
(2024/3/30)
エムケイ社の事例においても、「取扱い」について詳細な言及はなく、「ユーザから本件システムの利用に関する調査・支援要請があった場 合、両者の間で「個人情報授受確認書」(以下「授受確認書」という。)を取り交わした後、個人データを取り扱っていた」と認定しているが、字面だけをみれば「(エムケイ社の従業員が)調査のため編集、変更、検索などを行っている」であるため、取扱いについての否定は難しいだろう。
①−2 「契約条項」として認められる範囲は?
これについては契約書や利用規約に限られず、「クラウド事業者が別途用意する文書(ホワイトペーパーや個情法への対応方針を明らかにした文書)やクラウド事業者から得られた回答も斟酌できる。(NBL1250号 )」。
これには違和感ないが、判断主体が利用者である一方で、情報の非対称性から実際上はクラウド事業者が判断しているというギャップが存在しており、クラウド例外該当性に関しての疑義とクレームを提示された際の責任の分担割合について、どのように判断されるかに不確実性があるように思われる。
①−3 「契約条項等により取り扱わない旨を定めている」を満たすには?
「規制改革・行政改革ホットライン検討要請項目の現状と対応策」では、「編集・分析等の処理」は取り扱っていると判断すると示している。
この回答は「編集・分析等」を「処理」の一態様として考えているため、先のGDPRでのprocessingの項目は当然に意識しているのではないかと推察している。
No.307
・・・ この点、「取り扱わないこととなっている場合」に該当するかについては、クラウドサービス の具体的な仕様や契約条項等を考慮した上で個別の事案毎に判断する必要があるた め、一律の回答をお示しすることは困難です。ただ、一般論として、当該クラウドサービス 提供事業者が、サーバに保存された個人データに対して編集・分析等の処理を行う場合 には、当該クラウドサービス提供事業者が当該個人データを「取り扱わないこととなって いる場合」には該当しないと考えられます。
これからすると、全文検索機能を有する文書管理システムや人事労務システムはすべからくクラウド例外に該当しないことになる。
他方でよく指摘されるように「生成AIサービスの利用に関する注意喚起等について(令和5年6月2日)」では、「機械学習に利用しないこと等」であれば、「提供」に該当しないとする余地があるかとも読め、さらにその旨の回答が複数あるという。
個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成 AI サービ スに個人データを含むプロンプトを入力し、当該個人データが当該プロンプ トに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取 扱事業者は個人情報保護法の規定に違反することとなる可能性がある。その ため、このようなプロンプトの入力を行う場合には、当該生成 AI サービスを 提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に 確認すること。
これを生成AIに限った解釈であるのかという論点はあるが、整合性のある理解を無理にでも考えるならば、後述のNBL1250で取り上げられたデータ処理契約における「指示に従う」から考えて、契約等により定められたユーザーの指示(操作)の範囲内であれば、「処理」には該当するが「取扱い」には該当しないという考え方になろうか。
「編集・分析」→
「利用者の指示に従う(①)」+適切なアクセス制御(②)
=クラウド例外
なお、この点については、以下のような指摘がある。
学習データとしての利用が、「利用者の指示を超えるもの」であると捉えれば、第1段階までは整合性は取れるように思える。
個人的には、こういうことなんじゃないかなあと思うんですけどね
入力した情報について生成AIが学習データとして利用しない
↓
FAQ7-53の要件(注:①②)を満たせば個人データを提供したことにならない場合がある
↓
第三者提供or委託orクラウド例外
世古修平「規約プラポリ作成の最新トレンドアップデート(2023年11月10日)」164スライド目
NBL1250号ではまた、①を満たすかについて、「アクセス可能性」を中心に検討している。
しかし、NBLの論考内でいうならば、先のQA7-35での「取扱いについての合意」との整合性を考えるならば、「(封を解いたりして)アクセス可能であるが、しない」というケースもなお「適切なアクセス制御がされている」と解す余地はあるのではないか。
そうすると「アクセス制御」には、以下の2パターンが存在するのではないか。
②−1−(ⅰ) アクセスできない
②−1−(ⅰ) アクセス(できるが)しない
上記は保管・保存に関しては素直な結論が導けることが多いと思われる。
では加工や編集、分析を、人が、あるいはシステムが自動的に行う場合はどうだろうか。
システムが自動的に処理する場合であっても、GDPRではprocessingに該当することは明らかである。
そのためデータ処理契約が締結されることがあるが、これを日本のクラウド例外からみたとき、「取扱い」に該当する証左となるだろうか。
NBL1250号では、このようなデータ処理契約における「指示に従う」をポイントとして、「個人データを処理しないように指示することで、取り扱わない状態を確保することができる」とする。
しかし、ここでの「処理しないように指示」とは、システムによる自動処理をも否定するものでないとするならば、「クラウド事業者の従業員等が処理しないように指示」と読むのが素直だろう。
そのうえで、
・クラウド事業者がユーザー事業者の指示を自動的に実行していく前提であれば、問題なく①を満たす
・ユーザー事業者の指示がない場合にもクラウド事業者の判断によりデータへのアクセスが可能な場合は、①は満たさない
とする。
つまり、
・データにアクセス可能であり、
・データ処理契約によりデータを処理することを合意していると認められるとしても、
・クラウド事業者の従業員等が独自の判断でアクセスしない
ならば①を満たす、となる。
しかし、同論考には以下のように、平時と例外で取扱いがあるかどうか、場面ごとに区別することが可能なようにも読める記述がある。
この点、クラウド事業者がユーザー事業者のデータにアクセスしない旨が明確にされている場合であっても、例外が定められている場合が多い。すなわち、障害時の対応や、・・・等には、クラウド事業者によるアクセスや利用が認められている場合もあり、クラウド例外の前提が維持できるのかという疑問が生じる。もっとも、クラウド事業者によるデータへのアクセスが例外的な場合にとどまるとされている限り、平時における法的整理には影響せず、なおクラウド事業者は「個人データを取り扱わない」ものとして、クラウド例外の整理を維持できると考えられる。
他方、例外的な場合として現にクラウド事業者が個人データを含むデータにアクセスした場合には、その場面においては、クラウド事業者が個人データ
を取り扱っていると言わざるを得ない。
そうすると、データ処理契約において、
・指示に従って処理をする
・障害発生時はクラウド事業者の判断でアクセスすることがある
とされている場合は、整合性を取るならば、平時の利用はなおクラウド例外としつつ、データ処理契約に基づく取扱いの委託ということになる。
障害復旧をデータ処理契約等の中で合意した場合は、「障害発生時は障害復旧という明示的・暗黙の指示に従う」ともいえないのだろうかという疑問が湧くが、直感的に理解するならば、ここでの「指示に従う」とは、あくまでも人手を介さないシステム処理を念頭に置いた「利用者の入力、操作に従い」ということなのであろう。
(2024/3/30追記)
エムケイ社の事例では、利用規約において「保守運用上又は技術上必要であると判断した場合、ユーザがサービスにおいて提供、伝送するデータ等について、監視、分析、調査等、必要な行為を行うことができる旨が規定されていた。」としたうえで、保守用IDを用いて実際に取扱いの実績がある点を強調して委託と判断していることからするに、平時か例外かでクラウド例外該当性を変えることはないようにみえる。
ただ、逆にいえばアクセス制御については「アクセス可能」であることを前提にしているが、この1点をもってクラウド例外を否定しているわけではないので、②−1−(ⅰ) アクセス(できるが)しない場合はクラウド例外に該当する余地は否定していないと思われる。
もっとも保守用IDに関して「エムケイ社の取扱いを防止するための技術的なアクセス制御等の措置は講じられていなかった」と認定しているため、②を満たしていないと判断している。
② 「適切なアクセス制御」とは具体的にどのようなことか?サーバリプレイス、障害発生時などはどのように考慮すればいいのか?
アクセス制御について、技術的安全管理措置のFAQであるが、以下がある。
Q10-18 「アクセス制御」を講じるための手法は、ガイドライン(通則編)で示されて いる以外にどのようなものが考えられますか。
A10-18 ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、 次のような手法が考えられます。
○識別に基づいたアクセス制御の実施
○アクセス権限を有する者に付与する権限の最小化
○個人データを取り扱う情報システムへのアクセスが必要最小限となるような措置(当該情報システムの同時利用者数の制限、当該情報システムの利用時間の制限(例えば、休業日や業務時間外等の時間帯には情報システムにアクセスできないように する等))
○個人データを格納した情報システムへの無権限アクセスからの保護(例えば、ファイアウォール、ルータ等の設定)
○個人データにアクセス可能なアプリケーションの無権限利用の防止(例えば、アプリ ケーションシステムに認証システムを実装する、業務上必要となる者が利用する機 器のみに必要なアプリケーションシステムをインストールする、業務上必要な機能 のみメニューに表示させる等。)
○個人データを取り扱う情報システムに導入したアクセス制御機能の有効性の検証 (例えば、OS・ウェブアプリケーションのぜい弱性有無の検証等)
○個人データにアクセスできる者を許可する権限管理の適切かつ定期的な実施(例え ば、個人データにアクセスする者の登録を行う作業担当者が適当であることを定期 的に審査し、その者だけが登録等の作業を行えるようにする等。)
クラウド例外において「適切な」アクセス制御がどのようなものかについては言及がないが、暗号化を施しても復号鍵をクラウド事業者が持つことを前提にするならば、少なくとも鍵の管理やアクセス権限管理は含まれるだろう。
NBL1250号では②を満たす手法として「基本的に暗号化(ユーザーが暗号鍵を保管)」としているが、実際そのようなケースは多くないと思われる。
保管・保存以外の場面において、例えば保守サービスを考えると、アクセス可能であり、実際にアクセスしたとしても、取得しないとするケースもなお「提供したことにならない」というFAQが存在することを考えるに、クラウド例外においても「閲覧可能でも、記録・印刷等」を防止する措置(印刷不可設定や、手書きメモ防止の為の監視や教育などであろうか)は、「適切なアクセス制御」を満たすと考えられる。
A7-55 当該保守サービスを提供する事業者(以下本項において「保守サービス事業者」という。)がサービス内容の全部又は一部として情報システム内の個人データを取り扱うこととなっている場合には、個人データを提供したことになり、本人の同意を得るか、又は、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」(法第 27条第5項第1号)しているものとして、法第 25 条に基づき当該保守サービス事業者を監督する必要があります。
(例)
○個人データを用いて情報システムの不具合を再現させ検証する場合
○個人データをキーワードとして情報を抽出する場合
一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しません。
(例)
○システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
○保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合
○保守サービスの受付時等に個人データが保存されていることを知らされていない場合であって、保守サービス中に個人データが保存されていることが分かった場合であっても、個人データの取得を防止するための措置が講じられている場合
○不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
○不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人データを再現しないこと等が契約等で明確化されており、再現等を防止するための措置が講じられている場合
○個人データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
(2024/3/30追記)
エムケイ社の事例においては、上記QA7-55に関して「ここでは、例として、「保守サービスの作業中 に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられてい る場合」等が挙げられており、「取扱いを防止するためのアクセス制御等の措置」が講 じられているか否かが重要である」と言及したうえで、「エムケイ社が有する保守用 ID については、個人データの取得を防止 するための技術的な措置は講じられていないことから、個人データの提供に該当し、委 託に基づき個人データを取り扱っているものと認められる」と判断している。
これからするにやはり「取得」が重要であり、「閲覧にとどまる」場合は適切なアクセス制御に該当する可能性は高いように思われる。
まとめると?
データそのものに(クラウド事業者の従業員等が)アクセスできないならば、クラウド例外となる可能性は高い。(IaaS、PaaSなど)
データにアクセス可能でも、利用規約、データ処理契約等によりアクセスしないとなっており、実際に処理に人手が介在せず、暗号化、権限管理、データ取得防止策等のアクセス制御を実施しているならば、クラウド例外となる可能性は高い。(ストレージサービス、ファイル転送サービスなど)
データにアクセス可能であり、障害対応、保守などでアクセスすることがあるとしても、契約等によりこれらの例外を除いてアクセスしないとなっており、処理は契約等により定められた利用者の操作の範囲内であり、暗号化、権限管理、データ取得防止策等のアクセス制御を実施しているならば、通常の利用時においてはクラウド例外となる可能性は高い。ただし障害対応は取扱いの委託と解される可能性が高い。(2024/3/30追記:エムケイ社の事例を見る限り、この場合はクラウド例外と解釈するには難しいように思われる)
逆に、以下はクラウド例外にならないと思われる。
データにアクセスすること自体が指示されている場合。(クラウド事業者に対して保守運用委託がされている場合、クラウド事業者自身が操作代行サービスを提供している場合など)
データにアクセス可能であり、アクセス制御は実施されているが、契約等により定められた利用者の操作・利用範囲を超える処理が、自動的かどうかを問わず行われる場合。(AIサービスによる学習利用など)
障害対応でデータにアクセスする場合。この場合は、バックアップや復元、確認などの取扱い行為があるであろうから、取扱いの委託として監督を受けると解される可能性が高い。自動復旧や、データそのものにアクセスせずデータベース自体を復元するような場合ならば、アクセスしていないとなる。
(2024/3/30追記)
エムケイ社の事例によってクラウドサービスが個人データの取扱い委託と解釈され、ユーザーによる委託先監督が活発化すると思われる。
注意喚起ではユーザに対し、
・セキュリティ対策についての十分な理解、確認をしたうえでの選定
・安全管理措置の契約等による明確化
・安全管理措置の状況についての定期的な報告を受ける
ことを求めているから、今後セキュリティに関する説明資料、データ処理に関する契約条項などを求められることが増えるだろう。
さらにユーザ企業が監督として乗り込んでくることが考えられるので、例えば多くのユーザを抱えるクラウド事業者であれば「監査レポートを年に1回開示します(個別の監督や調査は受けません)」のような条件を利用規約に入れるところも出てくるのではないか。
(ぼやき)
何が「必要かつ適切」なのかが曖昧だからクラウド例外についての世間の理解が広まっているのではいのかと思うのに、注意喚起とは他人事すぎないか。
この記事が気に入ったらサポートをしてみませんか?