メルマガコラム - 改正個人情報保護法解説 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

改正個人情報保護法解説

改正個人情報保護法解説(5)

今回は、クラウド利用時の注意点について解説します。

本人から同意を取得(!)しなければならない場合があるので、注意が必要です。

 

クラウドに個人データを置く場合には、本人の同意が必要?

違和感を持たれる方が多いと思いますが、そういう場合があるので注意が必要です。

 

改正法では「外国にある事業者への第三者提供」に該当する場合には、本人の同意が
必要とされています。

「いやいや、うちはクラウドを使っているけど提供はしてないよ」

という会社様が多いと思いますが、それでも引っかかる可能性があります。

それは個人データに関する何らかの処理を外国事業者に「委託」している場合です。

 

改正法でも「"委託"は第三者提供ではない」と明確に規定されていますが、新設された
「外国にある事業者への第三者提供」の節では、委託も第三者提供にあたると、復活されています。

従って、外国にある第三者に提供/委託する場合には、本人の同意が必要になるのです。

もちろん、自社の海外事業所で処理する場合には、同一法人ですので、委託には当たりません。

しかし、自社の海外現地法人や、自社海外支店から現地企業は委託する場合は別法人なので同意が
必要になります。

同意が不要で、いわゆるオプトアウト(本人に提供/委託を拒否する権利を留保し、受け付ける)の
手続きで済むのは、以下の場合です。

 ・個人情報保護委員会が認めた国・地域(今のところなし)

 ・個人情報保護委員会が認めた認証(APEC-CBPR)を取得している事業者

 ・個人情報保護法4章1節(事業者の責務)の趣旨を順守していることが確認できた事業者

  (この確認の方法に定めはありません)

 

クラウドは、場所を借りているだけであっても、そのサーバの設置場所が海外の場合、国内とは別の
リスクがあります。

例えば、米国の場合、「愛国者法」という法律があります。

米国では、テロ対策・コンピュータ犯罪対策のため、ネットワーク事業者・プロバイダが同意すれば
裁判所の令状なしで通信の傍受やサーバの検閲ができます。

またEUでは、EUデータ保護指令により、EU域で取得した個人データをEUが認めた域外に提供/閲覧可能
にすることを禁止しています。

※詳しくは、経産省「クラウドセキュリティガイドライン活用ガイド」参照。

 

こうしたリスクがあるので、アマゾンのAWSは、クラウドのサーバの設置エリアを指定できるようにしているのです。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ