個人情報保護法上、個人データの取扱いの委託を行う際には監督義務が課されます。
(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
今回はこの個人データの取扱いの委託と、その際生じる監督義務について書いてみます。
1.前提
まずは条文上、スコープに含まれない部分を整理します。
(1)個人データに当たらない場合
条文上、必要かつ適切な監督が求められるのは個人データの取扱いの委託を行う場合です。個人情報の取扱いの委託をするに過ぎない時は、同条の適用場面ではありません。
とはいえ「この条文の対象は”個人情報”ではなく”個人データ”だからXXXしない」みたいな考えが適切な場面というのはそこまで多く無いように思います。例えばAI文脈でのデータについての委託を検討する場合なんかは、委託の対象が個人データでは無い(検索することができるように体系的に構成されていない)ことも多い気はしますが、実務上あえて保護レベルを下げることはないですよね。
(2)委託に当たらない場合
(a)「第三者提供」と「委託」
委託と並列的に説明・検討されることが多いのが第三者提供です。第三者提供の場合は「同意」(23 条第1項)等で移転が根拠づけられており、第三者提供における取得側が管理主体としての責任を負うので、第三者提供における提供側は監督義務を負いません。なので、第三者提供の場合は同条の適用場面ではありません。
本論からは逸れますが、「第三者提供」と「委託」が接近するケースがあると感じているのでそのことについてここで触れます。
・「委託」が「第三者提供」に近づくケース
監督義務(22条)を負いたくないがために、本来的には委託が適切なケースにおいて、あえて委託ではなく第三者提供として整理したがるケースはたまに見ます。これは「委託」が「第三者提供」に近づくケースですかね。
ただ、この行動が総合的に見て本当にリスク低減に繋がっているかは個人的にはやや疑問です。委託では不安を感じるような相手に、「第三者提供なんで」と言ってぽんとデータを渡してしまうこと(あるいは、あえて第三者提供を選択したという意思決定そのもの)が、いざというときにどのように評価されるかを考えると… ちょっと難しいですかね。
・「第三者提供」が「委託」に近づくケース
反対に、第三者提供が適切なケースにおいて「とはいえ取得側企業に一定の制限・牽制を及ぼしたい」といった場合に、データ取得時に契約/覚書を結んで、委託時の監督義務に類似する義務を第三者提供において課すケースもたまに見ます。これは「第三者提供」が「委託」に近づくケースと言えるでしょうか。
そこで課される義務の程度としては、
- 改正法第16条の2(不適正な利用の禁止)レベル
- 22条(従業者の監督)に準じるレベル
の2つを両端として、この間でグラデーションがあるように感じています。あまりに2に近い条項がくるとちょっと”ん?”となりますが、提供側の心配もわかります。
(b)「Q5-33」と「委託」
個人情報保護委員会のQ&Aで、第三者提供にも委託にも当たらない場合についての記載があります。人によって「Q5-33」と言ったり「クラウド理論」「Saas理論」と言ったりしますかね。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第 23 条第5項第1号)にも該当せず、法第 22 条に基づきクラウドサービス事業者を監督する義務はありません。
出典:「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
Q&A記載の通り、この場合は監督義務の対象外です。ここでは「個人データを取り扱わないこととなっている場合」の限界点をどこに設定すべきかが、悩ましくまた面白い問題だなと考えているので詳述します。
Q&Aでは…
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
出典:「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
というように
- 契約条項
- アクセス制御
が挙げられているのですが、”等”とあるので例示なんですよね。
またそもそもの例示部分についても、「取り扱わないこととなっている」との日本語から、「アクセス制御」は委託先のマニュアルでの(人の手を介する)アクセスは制限されているべきだと思います。他方でオートでの(機械的な処理を走らせる)アクセスはどうでしょうか?
- 単純なストレージ処理
- ストレージされたデータにメタデータを付与する処理
- ストレージされたデータを変換する処理
だと、下に行くにつれて「取り扱っている感」が増していきますよね。果たしてどこまでを適法だと整理すべきでしょうか。各社それぞれ頭をしぼり、適法なラインとその根拠を立てているのが現状だと理解しています。この辺は個人情報保護委員会が何らかのタイミングで公式見解を出すのでしょうが、今の状況も結構面白いです。
2.委託の類型
a.委託先での(マニュアルでの)データ処理を想定しない類型
a-1.他社のインフラを利用することに伴って個人データの委託が発生する類型
a-2.他社のアプリケーションを利用することに伴って個人データの委託が発生する類型
b.委託先での(マニュアルでの)データ処理を想定する類型
b-1.委託先が、委託先環境に移転した個人データにアクセスする類型
b-2.委託先が、委託元環境の個人データにアクセスする類型
くらいで頭を整理しています。下に行くにつれて考慮する要素が増えていく印象を持っています。この辺り、類型ごとにどのような違いが出てくるかは、"3.監督義務"で書きます。
-----------------
全体としては以下のような項目を考えていたのですが、長くなってしまったので前編・後編に分けることにします。
【後編(予定)】
3.監督義務
(1)リスクベースアプローチにおける評価視点
(a)主体
(b)客体
(c)委託の類型
(2)実施方法
(a)参考になるフレームワーク
(b)リスクに応じた松竹梅の付け方
4.混ぜるな危険の話
5.海外への委託の話