クラウドサービスやデータセンターにおいて、必然的に保持された利用企業の従業員や顧客の個人情報の取得、利用に関して
クラウドサービスやデータセンター(ホスティング、ハウジング)を運営する場合、利用企業の従業員や顧客の個人情報が必然的に保持されるわけですが、この場合、個人情報の取得、利用にあたるのでしょうか?
・クラウドはソフトウエア利用の提供サービス
・データセンター(場所貸)
委託元として契約企業全てとはJISQ15001に沿った対応が必要になるのでしょうか?(特定、台帳管理、授受書類、緊急連絡先としての記載など)
クラウド、データセンタのサービス提供企業として扱いがはっきりしません。
はじめのご質問の「クラウドサービスやデータセンターの運営における、利用企業の従業員や顧客の個人情報を必然的に保持する場合」ですが、個人情報の取得、利用にあたります。
JISQ15001では”3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置”などに該当します。
次の「委託元として契約企業全て」に関しても、ご指摘の通りJISQ15001に沿った対応が必要になります。
これは、顧客から預かる情報が、事業の用に供しているか、いないかという点で、ガイドライン等で解説されています。
JIS Q 15001の巻末にある「要求事項の解説」の「1.適用範囲」には、以下のようにあります。
「なお,倉庫業,データセンター(ハウジング,ホスティング)等の事業において,当該情報が個人情報
に該当するかどうかを認識することなく預かっている場合は,その情報の中に含まれる個人情報については,
事業の用に供していないといえる。」
ただし、顧客から委託される業務が、個人情報の取扱いに関する業務である場合は、受託者(上記の倉庫業など)にとって、事業の用に供する個人情報に該当します。
しかしながら、顧客が受託者に預ける情報に個人情報が含まれているか否か明示しない場合は、顧客に確認するよう、受託者に対応が求められています。
それでも、個人情報が含まれているかどうかが確認できない場合は、受託者は個人情報の取扱いリスクを考慮し、安全管理措置を講ずる必要があるとされています。
上記の解説は、JIPDECが発表している、以下の資料に解説がありますので、こちらを参考にしてみてください。
★「「顧客から預かる情報の取扱いについて(解説)」の公表について」
http://privacymark.jp/news/2014/0120/
