クラウド例外に関するいくつかの疑問

個人情報保護 サイバーセキュリティ

個情法のQA7-53についていくつか思ったことがあるので、それについて書いていきます。

 

QA7-53

まず、QA7-53の関係箇所は以下のとおりです。

クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第 27 条第1項)又は委託(法第 27 条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。

(略)

当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、①契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、②適切にアクセス制御を行っている場合等が考えられます。

(略)

 

要件①(取り扱わない旨の合意)について

例外的な場面における取扱いの可能性をどう位置付けるか

  • 規制改革ホットライン令和4年度回答307は、「「取り扱わないこととなっている場合」に該当するかについては、クラウドサービスの具体的な仕様や契約条項等を考慮した上で個別の事案毎に判断する必要があるため、一律の回答をお示しすることは困難です。ただ、一般論として、当該クラウドサービス提供事業者が、サーバに保存された個人データに対して編集・分析等の処理を行う場合には、当該クラウドサービス提供事業者が当該個人データを「取り扱わないこととなっている場合」には該当しないと考えられます。」としている。
  • これについて、実務問答第1回は、「クラウド事業者によるデータへのアクセスが例外的な場合にとどまるとされている限り…なおクラウド事業者は「個人データを取り扱わない」ものとして、クラウド例外の整理を維持できる」(7頁)、「指示に従うとの文言からすれば、ユーザー事業者がクラウド事業者に対し、個人データを処理しないように指示することで、取り扱わない状態を確保することはできる。…例外的な場合を除き、ユーザー事業者の指示がない限り、独自の判断でデータにアクセス等することがないことまで確保されていれば、①の要件を満たすという判断も可能であるといえる。たとえば、クラウド事業者がユーザー事業者の指示を自動的に実行していく前提であれば、問題なく要件①を満たすといえる」(8頁)としている。
  • しかしながら、この整理には疑問がある。すなわち、「クラウド例外」とはクラウドサービス事業者(CSP)の行為の取扱い該当性の問題であるところ、ユーザーの指示に従うとの合意がされている場合、CSPはまさしく指示に従って個人データを取り扱うのであり、上記合意によって、取扱いをしていないことになるものではない(そして、実際にも、指示に従っているかどうかについてユーザーに監督義務を課す必要がある)。もちろん、上記合意の有無は、委託該当性にとっては決定的な事情なのであるが、ここで問題となっているのは、上記のとおり取扱い該当性であって、委託該当性(それは取扱い該当性が肯定された後の問題である)ではない。ホットライン回答は指示の有無に言及していないが、それは、このように、指示の有無が取扱い該当性とは関係がないからなのではないか。

 

ホットライン回答と生成AIに関する注意喚起は一貫しているか?

  • 生成AIサービスの利用に関する注意喚起等」(令和5年6月2日)は、「個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。」としている。
  • これについて、実務問答第1回は、「クラウド例外を従来よりも拡張解釈し、機械学習に利用しないことが担保されていれば、「提供」に該当せず、提供規制との関係で問題が生じないとしているように読める」(9頁)としている。
  • しかしながら、この整理にも疑問がある。ホットライン回答を前提とした場合、個人データの入力を受け付け、何らかの回答を返す生成AIサービス提供者は、「個人データに対して収集・分析等の処理」を行っているものとして、個人データの「取扱い」を行っていることになる。その上で、専ら回答の生成にインプットデータを用いる場合、その「取扱い」は委託によるものと整理できるが、学習にも利用する場合、その「取扱い」は生成AIサービス提供者自身のために行うものであり、委託によるものとは整理できない(なお、体系的構成の点はひとまず置いておく)。その結果、生成AIサービス提供者がインプットデータを回答の生成にのみ用いる場合、当該生成AIサービス提供者が提供するサービスへの個人データの入力は、委託による提供として同意が不要となるが、そうではない場合(例えば学習に利用する場合)、そのような入力は、委託によらない第三者提供として同意が必要となる。上記生成AIに関する注意喚起は、このような当然のことを確認したにすぎないのではないか。

 

要件②(アクセス制御)について

  • 要件②は、「適切にアクセス制御を行なっている場合等」とされており、それだけでは何を指しているのか分からないが、これが「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合」の要件であることを考慮すると、「当該クラウドサービス提供事業者が当該個人データを取り扱わないようなアクセス制御を行っている場合等」という意味に理解すべきだと思われる。
  • これについて、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起」(令和6年3月25日)は、エムケイシステムによる「取扱い」を認めた際の考慮要素を挙げる文脈で、より明瞭に、(CSPによる)「取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと」としている。この注意喚起の記述は、日本語として不自然であるが、「アクセス制御等の(CSPによる)取扱いを防止するための技術的な措置」という趣旨だと思われる。そうだとすると、結局、アクセス制御は例示であり、CSPによる「取扱い」を防止するための技術的な措置が取られていればよいことになる。
  • さらに、要件②の例としては、実務問答第1回では、ユーザーサイドでの暗号化が挙げられ、かつ、それ以外には挙げられていない(7頁)。配送事業者や通信事業者に関する解釈(QA7-35)からすると、この解釈には違和感はないのであるが、そうであるとすると、個情委が「アクセス制御」を例示していることは、適切ではないと思われる。すなわち、アクセス制御とは、通常、ユーザーの識別・認証(・認可)とそれを担保するための監査を意味するところ、CSPにおけるアクセス制御は、CSPの従業員等のうち、特定のリソース(個人データを含む)にアクセスすべき者だけがアクセスできるようにするため行われるものであり、もとよりCSPによる取扱いを防止するためのものではない。一方、暗号化は通常はアクセス制御とは呼ばれない(密接に関連するものの)。

 

そもそも要件①に意味はあるのか

  • ①と②は重畳的な要件(ANDの関係)と解されている。しかしながら、②がCSPによる「取扱い」を防止するための技術的な措置を意味するのだとすると、①を課す必要性は小さい。②が適切に取られていれば、CSPは個人データをそもそも取り扱うことができないからである(②が適切に取られているかは、ユーザーの安全管理措置の問題とすればよい)。
  • 一方、②を満たさない場合、①のみで取扱い該当性を否定することは適切ではない。ユーザーの指示に従うとの合意がされている場合、CSPが当該合意を遵守しているかはユーザーと個情委による監督の対象とされるべきだからである。
  • そうすると、見出しの問いに対する回答は、「ない」ということになる。

 

結局どうすべきか

  • このように考えてくると、QA7-53は、せいぜい、IaaS、PaaS(やSaaSであるクラウドストレージ)を利用する場合において、ユーザーサイドでデータを暗号化したときは、第三者提供にも委託にも当たらないという、QA7-35(配送事業者・通信事業者事例)に近い内容に解消してしまうほかないのではないか。
  • その上で、CSPがユーザーの指示に従ってのみ個人データを取り扱うことが合意されている場合には委託として、それ以外の場合には第三者提供として、ユーザーとCSPにそれぞれ適切な義務を課していくことが望ましい。