SAPクラウドサービスにおける個人情報保護法の考え方

クラウドサービスの利用を考える企業から個人情報の取り扱い、特に個人データの第三者提供に該当有無について、尋ねられることがしばしばあります。この個人情報の取り扱いについて企業が悩む背景には、クラウドサービス特有の環境があると考えています。クラウドサービスはオンプレミスと異なりクラウドサービスプロバイダーが管理・運用する環境に企業の情報やデータをアップロードし処理及び保存等を行います。そのため、クラウドサービスプロバイダーが主体となり個人情報の取り扱いをしていると考えられる傾向があります。その結果、個人情報保護法の解釈及び適用においてクラウドサービスを利用する企業とクラウドサービスプロバイダーとの間で議論になることがあります。

本ブログでは、SAPクラウドサービスの利用を前提に議論となるクラウドサービスの個人情報の取り扱いについて説明をしたいと思います。

 

個人情報と個人データ

本ブログで個人情報の取り扱いを説明する前に整理しておきたい単語があります。それは、個人情報と個人データです。この違いについて個人情報保護委員会のFAQ 2-3 によると、個人情報は生存する個人に関する情報です。また、個人情報を容易に検索することができるように体系的にまとめ、データベース化されたものが個人データです。個人データは個人情報の検索や参照が容易になることから個人情報保護法において遵守すべき事項が多くなります。

クラウドサービスは基本的に企業からクラウドサービスにアップロードされた個人情報を個人データ化し、その個人データを企業の要件に従って処理を行うためのサービスとなります。従って、クラウドサービスにおける個人情報の取り扱いを考える上で重要となるのは個人データの取り扱いになります。ここでは、個人データの取り扱いにおいて個人情報保護法の中でクラウドサービスプロバイダーはどのような位置付けになるのかを考えて行きます。また個人情報保護法において個人データの取り扱いを知ることで、個人情報保護法の解釈及び適用がなぜ議論されるのかが見えてくると考えています。

 

個人情報保護法とクラウドサービス

クラウドサービスで個人情報を取り扱う場合、個人情報保護法の解釈及び適用について議論として挙げられるのが、法第27条に書かれている個人データを第三者に提供してはならないという箇所です。

 

 法第27条:個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

 

この第三者がクラウドサービスプロバイダーが該当するのか否かですが、この第三者に該当判断を行うに辺り、参考になるのが法第27条5項及び第27条第5項第1号となります。

 

法第27条5項:次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

第27条第5項第1号:個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

 

法第27条5項及び第27条第5項第1号によると、クラウドサービスを利用する企業からクラウドサービスプロバイダーは個人データの取り扱いを委託されているかどうかによって第三者の該当を判断することできます。では、委託の意味ですが、それは「個人情報の保護に関する法律についてのガイドライン(通則編)」の3-4-4 委託先の監督(法第25条関係)の注釈に答えがあります。注釈には以下のように書かれています。

 

通則編 3-4-4:(※1)「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。

 

この注釈によると、委託に該当するには個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うこととされています。では、クラウドサービスにおける通則編 3-4-4に示される4つの処理について考えたいと思います。

まず初めに個人データの入力ですが、基本的に個人データの取得はクラウドサービスを利用する企業が行うため、クラウドサービスプロバイダーは一切関わらることがありません。そのため、入力において委託は該当しません。

続いてですが、編集、分析、及び出力の3つを同時に考えたいと思います。編集、分析、及び出力においてクラウドサービスはクラウドサービスを利用する企業が望む形に入力された個人データを編集、分析、及び出力するための支援を行っているにすぎず、主体性を持って行うことはありません。そのため、編集、分析、及び出力においてクラウドサービスプロバイダーが主体となり実施していないので、委託に該当しないと言えます。

通則編 3-4-4が示す個人データの取扱いの委託にクラウドサービスプロバイダーが該当しないとするならば、法第27条に書かれている第三者の定義にクラウドサービスプロバイダーは該当しないため、クラウドサービスプロバイダーへ個人データの提供は非該当と言えます。

SAPクラウドサービス提供において上記を実施しないので、個人データの取扱い委託に該当しないとSAPは考えています。

尚、この委託の定義が個人情報保護法の解釈及び適用がなぜ議論の鍵となるため、実際にクラウドサービスの利用を検討される際にはこの委託についてしっかりと確認を行うことをお勧めします。

 

クラウドサービスプロバイダーが個人データの提供に該当しないとはいえ、クラウドサービスプロバイダーは個人データを自身が運営・管理する環境の中で行っているため、個人データを保護する責任はあります。それは個人情報保護委員会のFAQ7-53でも触れられています。

 

FAQ 7-53(一部抜粋):当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。

 

FAQ 7-53では、個人情報の取扱いについてより明確なガイドラインを提供しています。SAPは契約書に顧客の指示に従ってのみ顧客データの処理を実施すると記載しています。このことからも、SAPクラウドサービス提供において、個人データの取扱い委託に該当しないと考えています。

 

クラウドサービスプロバイダーが個人データの取り扱いの委託に該当しないとするならば、クラウドサービスプロバイダーは適切なアクセス制御を実施しなければならいとされています。つまりクラウドサービス上に保存された個人データに対して物理的及び技術的にアクセスできない環境を構築し、またそれらについて契約条項で示す必要があります。では実際にどのような対策が講じられているか説明をします。

 

個人情報を守るためのアクセス制御

個人データはもっとも機微な情報の一つであると言えます。そのため、個人データを預かるクラウドサービスプロバイダーはしっかりとしたアクセス制御を講じる必要があります。ここからはSAPが実際に実施しているアクセス制御の一部を基に個人データへの適切なアクセス制御を紹介していきます。

詳細は以下の契約文書(英語)を参照してください。

https://assets.cdn.sap.com/agreements/data-processing-agreements/tom/technical-and-organizational-measures-toms—sap-cloud-services-english-v8-2021.pdf

 

・システムアクセスコントロール

・個人情報が保存及び処理されるシステムへのアクセスを厳しく制限するため、アクセスを許可するユーザは複数の権限レベルを持つ者に限っており、またアクセス許可を付与する場合には厳正な審査を行った後にアクセス権を付与しています。

・アクセスに用いるパスワードは他人との共有を禁止及び適切な管理(定期的なパスワード変更、要件に従った複雑なパスワードなど)を定めたポリシを策定し、また適切な管理が実施できるようにシステムによるパスワード管理を行っています。

・ファイヤウォールを用いてSAPのネットワークとシステムのネットワークを分断し、またパブリックネットワークから保護も行い、不正なアクセス対策を講じています。

・システムの脆弱性対策として、定期的かつ適切にセキュリティパッチの適用を実行しています。

・データアクセスコントロール

・個人情報へのアクセスはシステムを使用する権利(クラウドサービスを利用する企業)を有するものに制限しております。

・尚、SAPはクラウドサービスを利用する企業から求められた場合(例えばサポート等)に限り、システムを使用する権利を有する企業の許可を得た上で、適切な社内プロセスに従いアクセス許可をSAPの従業員に与えることがあります。

・システムのサーバーはセキュアなサーバールーム内で運用し、保護するセキュリティ対策は定期的に確認をしています。

・データアクセスにおいて不備などがないかを確認するため、定期的に脆弱性診断及びペネトレーションテストを実施しています。

・データ入力コントロール

・個人情報が SAP のシステムから入力、修正、又は削除されたかどうか、及び誰によって削除されたかを遡及的に検証し、立証することができるように対策を講じています。

・SAPはクラウドサービスを利用する企業から求めに応じてシステムを使用する権利を有する企業の許可を得た上でアクセスを行う場合、クラウドサービス内において技術的に可能な範囲においてクラウドサービス内での作業を記録するためにログシステムを実装しています。

・データ分離の管理

・SAP はデプロイされたソフトウェアの技術的機能を使用して、論理的なデータ分離を実現し、クラウドサービスを利用する企業が自身のデータのみにアクセスできるようにしています。

 

上記より、SAPはクラウドサービス提供においては個人情報の取扱いはせず、適切な安全管理措置を実施しています。

 

最後に、クラウドサービスにおける個人情報の取り扱いはクラウドサービスの機能や契約形態により異なったり、法解釈によって異なる場合があります。従って利用を検討されている企業での検討もお願いします。また、個人情報保護法は定期的に改定が実施されています。従って、導入時や定期的に貴社の法務担当と確認されることをお勧めいたします。

 

​ クラウドサービスの利用を考える企業から個人情報の取り扱い、特に個人データの第三者提供に該当有無について、尋ねられることがしばしばあります。この個人情報の取り扱いについて企業が悩む背景には、クラウドサービス特有の環境があると考えています。クラウドサービスはオンプレミスと異なりクラウドサービスプロバイダーが管理・運用する環境に企業の情報やデータをアップロードし処理及び保存等を行います。そのため、クラウドサービスプロバイダーが主体となり個人情報の取り扱いをしていると考えられる傾向があります。その結果、個人情報保護法の解釈及び適用においてクラウドサービスを利用する企業とクラウドサービスプロバイダーとの間で議論になることがあります。本ブログでは、SAPクラウドサービスの利用を前提に議論となるクラウドサービスの個人情報の取り扱いについて説明をしたいと思います。 個人情報と個人データ本ブログで個人情報の取り扱いを説明する前に整理しておきたい単語があります。それは、個人情報と個人データです。この違いについて個人情報保護委員会のFAQ 2-3 によると、個人情報は生存する個人に関する情報です。また、個人情報を容易に検索することができるように体系的にまとめ、データベース化されたものが個人データです。個人データは個人情報の検索や参照が容易になることから個人情報保護法において遵守すべき事項が多くなります。クラウドサービスは基本的に企業からクラウドサービスにアップロードされた個人情報を個人データ化し、その個人データを企業の要件に従って処理を行うためのサービスとなります。従って、クラウドサービスにおける個人情報の取り扱いを考える上で重要となるのは個人データの取り扱いになります。ここでは、個人データの取り扱いにおいて個人情報保護法の中でクラウドサービスプロバイダーはどのような位置付けになるのかを考えて行きます。また個人情報保護法において個人データの取り扱いを知ることで、個人情報保護法の解釈及び適用がなぜ議論されるのかが見えてくると考えています。 個人情報保護法とクラウドサービスクラウドサービスで個人情報を取り扱う場合、個人情報保護法の解釈及び適用について議論として挙げられるのが、法第27条に書かれている個人データを第三者に提供してはならないという箇所です。  法第27条:個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 この第三者がクラウドサービスプロバイダーが該当するのか否かですが、この第三者に該当判断を行うに辺り、参考になるのが法第27条5項及び第27条第5項第1号となります。 法第27条5項:次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。第27条第5項第1号:個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合 法第27条5項及び第27条第5項第1号によると、クラウドサービスを利用する企業からクラウドサービスプロバイダーは個人データの取り扱いを委託されているかどうかによって第三者の該当を判断することできます。では、委託の意味ですが、それは「個人情報の保護に関する法律についてのガイドライン(通則編)」の3-4-4 委託先の監督(法第25条関係)の注釈に答えがあります。注釈には以下のように書かれています。 通則編 3-4-4:(※1)「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。 この注釈によると、委託に該当するには個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うこととされています。では、クラウドサービスにおける通則編 3-4-4に示される4つの処理について考えたいと思います。まず初めに個人データの入力ですが、基本的に個人データの取得はクラウドサービスを利用する企業が行うため、クラウドサービスプロバイダーは一切関わらることがありません。そのため、入力において委託は該当しません。続いてですが、編集、分析、及び出力の3つを同時に考えたいと思います。編集、分析、及び出力においてクラウドサービスはクラウドサービスを利用する企業が望む形に入力された個人データを編集、分析、及び出力するための支援を行っているにすぎず、主体性を持って行うことはありません。そのため、編集、分析、及び出力においてクラウドサービスプロバイダーが主体となり実施していないので、委託に該当しないと言えます。通則編 3-4-4が示す個人データの取扱いの委託にクラウドサービスプロバイダーが該当しないとするならば、法第27条に書かれている第三者の定義にクラウドサービスプロバイダーは該当しないため、クラウドサービスプロバイダーへ個人データの提供は非該当と言えます。SAPクラウドサービス提供において上記を実施しないので、個人データの取扱い委託に該当しないとSAPは考えています。尚、この委託の定義が個人情報保護法の解釈及び適用がなぜ議論の鍵となるため、実際にクラウドサービスの利用を検討される際にはこの委託についてしっかりと確認を行うことをお勧めします。 クラウドサービスプロバイダーが個人データの提供に該当しないとはいえ、クラウドサービスプロバイダーは個人データを自身が運営・管理する環境の中で行っているため、個人データを保護する責任はあります。それは個人情報保護委員会のFAQ7-53でも触れられています。 FAQ 7-53(一部抜粋):当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。 FAQ 7-53では、個人情報の取扱いについてより明確なガイドラインを提供しています。SAPは契約書に顧客の指示に従ってのみ顧客データの処理を実施すると記載しています。このことからも、SAPクラウドサービス提供において、個人データの取扱い委託に該当しないと考えています。 クラウドサービスプロバイダーが個人データの取り扱いの委託に該当しないとするならば、クラウドサービスプロバイダーは適切なアクセス制御を実施しなければならいとされています。つまりクラウドサービス上に保存された個人データに対して物理的及び技術的にアクセスできない環境を構築し、またそれらについて契約条項で示す必要があります。では実際にどのような対策が講じられているか説明をします。 個人情報を守るためのアクセス制御個人データはもっとも機微な情報の一つであると言えます。そのため、個人データを預かるクラウドサービスプロバイダーはしっかりとしたアクセス制御を講じる必要があります。ここからはSAPが実際に実施しているアクセス制御の一部を基に個人データへの適切なアクセス制御を紹介していきます。詳細は以下の契約文書(英語)を参照してください。https://assets.cdn.sap.com/agreements/data-processing-agreements/tom/technical-and-organizational-measures-toms—sap-cloud-services-english-v8-2021.pdf ・システムアクセスコントロール・個人情報が保存及び処理されるシステムへのアクセスを厳しく制限するため、アクセスを許可するユーザは複数の権限レベルを持つ者に限っており、またアクセス許可を付与する場合には厳正な審査を行った後にアクセス権を付与しています。・アクセスに用いるパスワードは他人との共有を禁止及び適切な管理(定期的なパスワード変更、要件に従った複雑なパスワードなど)を定めたポリシを策定し、また適切な管理が実施できるようにシステムによるパスワード管理を行っています。・ファイヤウォールを用いてSAPのネットワークとシステムのネットワークを分断し、またパブリックネットワークから保護も行い、不正なアクセス対策を講じています。・システムの脆弱性対策として、定期的かつ適切にセキュリティパッチの適用を実行しています。・データアクセスコントロール・個人情報へのアクセスはシステムを使用する権利(クラウドサービスを利用する企業)を有するものに制限しております。・尚、SAPはクラウドサービスを利用する企業から求められた場合(例えばサポート等)に限り、システムを使用する権利を有する企業の許可を得た上で、適切な社内プロセスに従いアクセス許可をSAPの従業員に与えることがあります。・システムのサーバーはセキュアなサーバールーム内で運用し、保護するセキュリティ対策は定期的に確認をしています。・データアクセスにおいて不備などがないかを確認するため、定期的に脆弱性診断及びペネトレーションテストを実施しています。・データ入力コントロール・個人情報が SAP のシステムから入力、修正、又は削除されたかどうか、及び誰によって削除されたかを遡及的に検証し、立証することができるように対策を講じています。・SAPはクラウドサービスを利用する企業から求めに応じてシステムを使用する権利を有する企業の許可を得た上でアクセスを行う場合、クラウドサービス内において技術的に可能な範囲においてクラウドサービス内での作業を記録するためにログシステムを実装しています。・データ分離の管理・SAP はデプロイされたソフトウェアの技術的機能を使用して、論理的なデータ分離を実現し、クラウドサービスを利用する企業が自身のデータのみにアクセスできるようにしています。 上記より、SAPはクラウドサービス提供においては個人情報の取扱いはせず、適切な安全管理措置を実施しています。 最後に、クラウドサービスにおける個人情報の取り扱いはクラウドサービスの機能や契約形態により異なったり、法解釈によって異なる場合があります。従って利用を検討されている企業での検討もお願いします。また、個人情報保護法は定期的に改定が実施されています。従って、導入時や定期的に貴社の法務担当と確認されることをお勧めいたします。   Read More Technology Blogs by SAP articles 

#SAP

#SAPTechnologyblog

You May Also Like

More From Author

+ There are no comments

Add yours