コラム

インターネットと個人情報

海外のクラウドサービスへ個人データを保存するには本人の同意は必要?

はじめに
個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、これについての本人の同意を得なければなりません(法24条1項前段)。
そして、国内の場合とは異なり、業務委託先も外国にある「第三者」に含まれます(同項後段)。
他方で、多くの企業は、AWSなどのクラウドサービス(サーバー)へデータを保存しています。
それでは、海外のクラウドサービスへ個人データを保存するには、本人から同意をえている必要があるのでしょうか?

外国法人が個人データを取り扱うこと
まず、外国法人のサーバーへ個人データを保存する場合でも、その法人が個人データを取り扱わないのであれば、「提供する」場合にあたりません。
当該サーバに保存された個人データを取り扱わないこととなっている場合とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q&A Q9-5)

外国法人・外国設置サーバーであること
次に、サーバーが外国に設置されていても、そのサーバーが国内企業の管理するものであれば、「外国にある第三者」への提供に該当しません。
また、サーバーの運営者がサーバーに保存された個人データを国内で取り扱っている場合には、サーバーの運営者は個人情報取扱事業者に該当するため、「外国にある第三者」への提供に該当しません(Q&A Q9-6)。このように、外国法人が管理する外国設置のサーバーへの保存でなければ「外国にある第三者」への提供に該当しません。

おわりに
このように、クラウドサービスに個人データを保存するだけであれば、「外国にある第三者への提供」に該当せず、本人の同意は必要ありません。
また、取扱いを含む場合であっても、委託先が日本法人(サーバーは外国所在)である場合や、外国法人であっても日本国内にサーバーがある場合には、やはり「外国にある第三者」に該当しません。
よって、多くのケースでは同意は不要と考えられますが、あらためて、外国法人へ個人データの取扱いを委託する契約内容となっていないか、確認をしておくことが望ましいといえます。

PAGE TOP