クラウドサービス運営で預かる個人情報の「利用目的」は公表する必要がありますか?
クラウドサービスやデータセンター(ホスティング、ハウジング)を運営する場合、利用企業の従業員や顧客の個人情報が必然的に保持されるわけですが、この場合、個人情報の取得、利用にあたり、よって「利用目的」を公表する必要はあるのでしょうか?
クラウドサービス(SaaS/PaaS/IaaS)やデータセンターの運営事業者が、自社インフラに保存される「顧客のデータ(個人情報)」に対してどのような義務を負うのか、という点は実務上非常に重要です。
インフラ提供事業者が、預かっているデータ(個人情報)に対して「利用目的」の公表義務を負うかどうか、実務的な観点から回答申し上げます。
結論から申し上げますと、「顧客の個人データを一切取り扱わない(アクセスしない)」という契約・技術的条件を満たしている場合、貴社がその個人情報に対する「利用目的」を公表する必要はありません。
なぜなら、その場合、貴社は法的な「取得」を行っているとはみなされないからです。
以下の3つのポイントで整理して解説します。
1. 判断の基準は「取り扱い」の有無
個人情報保護委員会のQ&A(Q7-53)に基づくと、クラウド事業者が個人情報の「取得者」や「委託先」として扱われるかは、データの有無ではなく「中身を触れる設定になっているか」で決まります。
以下の条件が揃っている場合、貴社は個人データを提供された(取得した)ことにはなりません。
- 契約条項:
貴社(提供者)がサーバ上のデータを取り扱わない(アクセスしない)旨が定められている。 - 技術的制限:
適切にアクセス制御が行われており、貴社が中身を閲覧できないようになっている。
この場合、事業者は個人情報を「取得」したことにならないため、利用目的を公表する義務は生じません。
2. 利用目的の公表が必要ない理由
個人情報保護法やPマーク(JIS Q 15001)において、「利用目的の公表」は個人情報を取得した場合の義務です。
上述の通り「取り扱わない」条件を満たしていれば、貴社は顧客の個人情報を「取得」したことにならないため、それに対する利用目的を策定・公表する義務も発生しません。
※注意点として、クラウド利用企業(法人顧客)の担当者名や連絡先などは、貴社がビジネス上直接取得するものです。これらについては、別途「自社の利用目的」として公表・通知が必要ですので混同しないようご注意ください。
3. Pマーク審査で見られるポイント
Pマーク認定事業者としてデータセンターやクラウドを運営する場合、審査では「本当に中身を見ていないか」という安全性(安全管理措置)>が厳しく問われます。公表が不要であることを裏付けるために、以下の対応を推奨します。
- サービス品質保証や約款の整備:
「当社はシステムメンテナンス時を含め、お客様が保存した個人データにアクセスいたしません」といった文言を明文化する。 - 暗号化の推奨:
お客様側で暗号化して保存する仕組み(貴社が鍵を持たない状態)を提供することで、物理的にも「中身を把握できない」状態を担保する。 - 安全管理措置の明示:
「利用目的」は公表しませんが、その代わりに「インフラ事業者としてどのような安全管理(ISMS/Pマーク基準の物理的・技術的対策)を講じているか」を公表または契約書に記載することが、顧客の「満足度」と「信頼」に繋がります。
3. まとめ:判断の対比表
事業者のクラウドサービスの利用が、本人の同意が必要な第三者提供又は委託に該当するか否かは、保存している電子データに個人データが含まれているかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となっています。
よって、クラウドサービスの提供元としては、個人データを取り扱うことがなければ、関係ないということになります。
以下に、判断における対比表を示します。貴社のサービス設計およびPMS(個人情報保護マネジメントシステム)運用の参考になれば幸いです。
| 貴社の状態 | 法的立ち位置 | 利用目的の公表 |
|---|---|---|
| 中身にアクセスしない (純粋なインフラ提供) | 個人情報の「取得」に該当しない | 不要 |
| 運用保守等で中身を触る (マネージドサービス等) | 個人情報の「受託(委託先)」に該当する | 原則不要(※) |
※受託者の場合、委託元(顧客)の利用目的の範囲内で取り扱うため、自社で独自の利用目的を公表する必要はありませんが、従業者への監督や安全管理措置は必須となります。
※上記【参考】の「クラウドサービス」に関連するQ&Aもご参考ください。
