1.今回のテーマ
NBLで「実務問答 個人情報保護法」というタイトルの新しい連載が始まりました。
連載自体も非常に興味深いのですが、少し前に個人情報保護委員会が「生成 AI サービスの利用に関する注意喚起等について」とのリリースを出していたこともあり、初回のテーマである「クラウド例外」が非常にタイムリーでした。
全体として、「個人情報保護委員会と議論することになった時によく先方から提示されるような内容を丁寧に整理いただいているな」という印象でした。勉強になりますありがとうございます。
とりわけSaaS事業者の皆さんなどは、
- 現時点でのご自身の理解
と
- 個人情報保護委員会の考え方
にズレがないかを確かめる意味でも、第1回の連載はしっかりと確認しておくべきものだと思います。今回はこの連載第1回を読んだ感想を書いていきます。
2.クラウド例外とは
一応、簡単に触れておきます。
クラウド例外というのは(「混ぜるな危険」などと同じで)個人情報保護法上の公式な表現ではなく、界隈でよく使われている非公式な表現です。
Q&A7-53で言及がされており、クラウドサービス提供事業者に個人データを”渡す”場合でも、
①契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており
②適切にアクセス制御を行っている場合等
には、個人データを提供したことにはならないというものです。実務的には、委託として取り扱わなくて良い、その結果として委託先の監督義務(チェックシートetc)や27条の外国にある第三者への提供の制限がかかってこないという意味合いがあります。
3.感想
SaaSの場合、提供されるサービスの内容次第であるものの、一般にクラウド例外の適用は難しいと考えられる
2-3年前までは、個人情報保護委員会とクラウド例外の具体化について議論になっても、「民間での議論の成熟を待つ」みたいな回答で距離を取られることが多い印象でした。
その後少しづつ態度が変化し、小川先生のおっしゃる「SaaSの場合、提供されるサービスの内容次第であるものの、一般にクラウド例外の適用は難しいと考えられる」みたいな回答をよく聞くようになりました。
現状「自社にはクラウド例外が適用される」と整理しているSaaSも一定数おられるとは思いますが、個人情報保護委員会の基本スタンスはこれだということを理解した上で作戦を練る必要があります。
私もSaaSは一律ダメだとは考えていませんが、(個人情報保護委員会に刺されていない状態だから良いものの)仮に個人情報保護委員会と議論することになった時に、相手方のスタンスを理解していないと議論が組み立てづらいと思います。
「配送事業者による「取扱い」に関するQ&A」
Q&A7-35 は、これはこれで重要なQ&Aです。
やや誤解されているケースも目にしますが、「配送事業者には何を渡しても個人データの取り扱いの委託にはならない」みたいな魔法のような内容ではないという点に注意が必要です。
ここで言っているのは「個人データを含むものを送る場合」、つまり配送事業者に渡す内容物に個人データが含まれている場合の話であって、自社の個人データ(配送先など)を委託して配送事業者に取り扱ってもらう部分は当然通常の個人データの取扱いの委託です。
「要件②を満たす具体的な手法としては、基本的には暗号化が想定される。」
暗号化がされると、鍵を使って復号しない限り取扱うことがそもそもできません。そのため暗号化されている場合には要件②を満たします。
もっとも、これはユーザー側が暗号化の鍵を保管しているから通じる話で、サービス提供側が暗号化鍵を保管しているのであれば、それはサービス側がいつでも復号して平文に戻して「取扱う」ことができることを意味します。
この場合、暗号化という行為自体は委託先における安全管理措置としての意味は持ち、それはそれで非常に重要な意味を持つものの、このことから要件②を直ちに満たすとは評価できません(サービス側での暗号化という要素を踏まえた上で、「適切にアクセス制御を行っている場合等」に該当するかの検討が別途必要です)。
「要件①②いずれの判断に当たっても、クラウド事業者との契約や利用規約のみならず、クラウド事業者が別途用意する文書(中略)やクラウド事業者から得られた回答も斟酌できる」
これはその通りで、自分自身もホワイトペーパーなどよく参照しています。もっともとりわけSaaS事業者で「取り扱わない」と言っている事業者の中には、それって本当にきちんとした検討をした上で仰っているのかな?と不安になるものも少なくありません。
以前とんふぃ先生とお話しした時も同じ感想を述べておられました。
Q7-55で列挙されている「取り扱わない」事例が、個人的には相当限定的に解さざるを得ないと感じており、クラウド事業者やSaaSのホワイトペーパーで「取り扱いません」と述べられても、(本当に…?)と思うケースもあり、取り扱う情報と量にもよりますが保守的に「提供」と解するケースが多いのが本音…
— 結城東輝とんふぃ (@tonghwi17) August 31, 2023
障害時の対応や、外国を含め政府機関からの要請があった場合等には、クラウド事業者によるアクセスや利用が認められている場合もあり、クラウド例外の前提が維持できるのかという疑問が生じる。もっとも、クラウド事業者によるデータへのアクセスが例外的な場合にとどまるとされている限り
ここは例外的ならOKというか、例外的で、その例外的な取り扱いに説明がつくのならOKという意図で読むべきところかなと思いました。
説明をつける方法としては、
- 記事で↑の記述に引き続いて記載されている「法令に基づく場合」等で整理できる
- Q&A7-55の具体例に書かれているような、抑制的なものである
といったところでしょうか。
「一般論として、当該クラウドサービス提供事業者が、サーバに保存された個人データに対して編集・分析等の処理を行う場合には、当該クラウドサービス提供事業者が当該個人データを『取り扱わないことになっている場合』には該当しないと考えられます」とQ&A7-53よりも踏み込んだ見解を示しており
だったら例の生成AIのリリースとはどう整合的に判断すればいいの?って感じはしますよね。生成AIって、入力された情報を「分析」して回答を返すのでは?
色々な先生と議論したり、PPCからの複数の回答を確認したりしていますが、正直統一的な理解は不可能な状況だと感じます。個人情報保護委員会の追加のリリースが待たれます。
クラウド例外が適用される場合には、委託構成とならないことから、委託先の監督義務(個情法25条)は負わないが、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要がある
ここも利用者側で検討が落ちやすい部分かなと思います。
委託に当たらないのであれば委託先の監督をしなくて済むわけですが、クラウドサービス環境を仮装的な自社環境の拡張として、「自ら果たすべき安全管理措置の一環として」安全管理措置を講じていく必要があります。
「アクセス権限の設定ミスで漏えい」みたいな話は定期的に話題に上がりますが、このあたり気を抜かないようにしたいところです。
保有個人データに関する事項の公表等(個情法32条1項4号、個情法施行令10条1号)の一環として、クラウド事業者が所在する外国の名称および個人データが保存されるサーバが所在する外国の名称を明らかにし
ここも同じく落ちやすい部分で、サーバの所在国まできちんと調査している事業者は多くない印象を持っています。32条の義務は公表等なので「本人の求めに応じて遅滞なく回答」でもOKな訳ですが、実際に求めがあった時に対応できるかは見直しておく必要がありそうです。
結論的には、サーバに保存された個人データに対して編集・分析等の処理を行う場合には「取扱い」があるとする、本文で別途紹介されている個人情報保護委員会の見解が妥当だろう。上記「注意喚起等」は、現時点で特に問題となる点を指摘したものにとどまると理解すべきではないか。
こちら最後の曽我部先生のコメントですが、私も同意見です。
「生成AIを日本として推進していくために、ここだけ別解釈を入れます」というのもべき論としてはあり得ると思いますが、それをやるならこんな「注意喚起等」でやらずにもっと正面から議論するべきです。
この辺り杉浦先生が熱心に追いかけておられ、私もよく議論させていただくので今後の展開が楽しみです。
-------------------
以上です。
こちらの連載、第2回はぜひ
グループ会社外との共同利用
〜「仮名加工情報を共同利用する場合の許容度の変化」を添えて〜
でお願いしたいですね。