クラウドを利用する場合、クラウド事業者側が当社データにアクセスできなかったとしても委託先として監督を行う必要があるか。
J9.4 委託先の管理に関連して、ご教示ください。
- BOXなどのクラウドを利用する場合、BOX側が当社のデータにアクセスできなかったとしても委託先として監督を行う必要があるか
- もし必要なら、委託先評価をどのように実施したらよいか(「委託先評価記録(台帳)未契約締結」を使用すればよい?)
JIS Q 15001:2017(以下「2017年版」)には、以下のように記載されております。
※JIS Q 15001:2017 B.3.4.3.4 委託先の監督
委託先が倉庫業,データセンター(ハウジング,ホスティング)などの事業者であって,当該事業者に取り扱わせる情報に個人データが含まれるかを知らせることなく預ける場合であっても,委託者は委託するものが個人データであることを知っているわけであるから,A.3.4.3.4における監督の対象に含まれる。
よって、2017年版では、これと同様に、委託先がデータにアクセスできないとしても、委託元が「委託するものが個人データであることを知っている」場合は、監督の対象となると考えられます。
なお、JIS Q 15001:2023(以下「2023年版」)では、以下のような記載になりました。
※JIS Q 15001:2023 C.12 委託先の監督等(A.12)
個人データの全部又は一部をサービス提供事業者に預ける場合であって,倉庫業,データセンター(ハウジング,ホスティングなど) , クラウドサービスなどのサービスの利用がA.14の“提供”に該当しない場合は,組織に委託先の監督義務は課されないが,A.10において安全管理措置が図られるよう対応する必要が生じることとなる。
※JIS Q 15001:2023 C.10 安全管理措置(A.10)
個人デーダ情報の全部又は一部をサービス提供事業者に預ける場合であって,倉庫業,データセンター(ハウジング,ホスティングなど),クラウドサービスなどのサービスを利用する際は,サービス提供事業者が当該個人データを取り扱わないことになっている場合,組織が自ら果たすべき安全管理措置の一環として,適切な安全管理措置を講じる必要が生じることとなる。
2023年版では、「提供に該当しない場合は、委託先の監督義務が課されないが、適切な安全管理措置を講じる必要」となっています。
では、どのような場合に「提供に該当するか」のかは、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(https://www.ppc.go.jp/files/pdf/2312_APPI_QA.pdf)の以下の記載が参考になるかと思います。
※A7-53 (第三者に該当しない場合)
事業者のクラウドサービスの利用が、本人の同意が必要な第三者提供又は委託に該当するか否かは、保存している電子データに個人データが含まれているかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となっています。
※A7-54 (第三者に該当しない場合)
クラウドサービスの利用が、法第 27 条の「提供」に該当しない場合、法第 25 条に基づく委託先の監督義務は課されませんが(Q7-53 参照)、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります
以上より、2017年版では「委託者が委託するものが個人データと知っている場合」は、監督の対象に含まれるということになりますが、2023年版では「クラウドサービス事業者にて個人データを取り扱わない場合、委託に該当しない」ため、監督の対象にならないということになるかと思います。
なお、2023年版においても安全管理措置を講じる必要はあるため、監督の義務はありませんが、2017年版と同様に、監督することで安全管理措置を実施しても良いかと思います。
2つのめの質問の「委託先の評価」の実施方法としては、過去にあった以下の質問事項が参考になるかと思います。ご参考下さい。
▼amazon Web Serviceやgoogle Apsを利用しようかと考えておりますが、この場合も委託先として認識しないといけないのでしょうか? || ISM Web store サポートブログ
https://www.ismwebstore.com/support/archives/1211
