マイナンバーを始めとした電子化された個人情報を取り扱うクラウドプロバイダに焦点を当てて個人情報の保護と国際規格について解説します。

▼ 目次
1. 個人情報保護委員会と欧州委員会におけるプライバシー外交
2. 個人情報保護法（日本）とGDPR（EU）の違い
3. 個人データを取り扱うクラウドサービスプロバイダの責任と義務
4. クラウドサービスカスタマが選ぶべきクラウドサービスプロバイダ

1. 個人情報保護委員会と欧州委員会におけるプライバシー外交

　国内の「個人情報保護委員会」は、それまでの「特定個人情報保護委員会」の組織名称から「特定」を外して2016年1月に発足した組織です。(表１を参照)


　個人情報保護委員会は、個人情報保護法及び番号法に基づき、下記の業務を行うことを目的に発足した独立性の高い機関にあたります。

1. 特定個人情報の監視・監督に関する事
2. 苦情あっせんに等に関する事
3. 特定個人情報保護評価に関する事
4. 個人情報の保護に関する基本方針の策定・推進
5. 国際協力
6. 広報・啓発
7. その他

　個人情報保護委員会は、発足した当初から2018年5月施行のEU　GDPR（EU一般データ保護規則）に向けて、欧州の個人情報保護委員会（以下、欧州委員会）との間で情報交換と協力関係の構築に努めてきました。発足した2016年の9月には欧州委員会との間で「個人データの保護を図りながら越境移転を促進するための協力対話」がスタートしています。協力対話の結果、翌年2017年の1月に欧州委員会が政策文書で、「十分性認定において日本が優先国である」ことを表明しました。

表 1. 個人情報保護委員会と欧州委員会におけるプライバシー外交

　「十分性認定」とは、EU域内から個人情報を越境移転する際、その移転先の国が個人データの移転先として十分なレベルの個人情報保護を保証している国であることを欧州委員会が決定し認定することを意味します。日本は2018年11月の時点で欧州委員会から十分性認定の決定は下りていません。そのため越境移転は認められていないため、EU域内から日本に個人データを移転する場合、十分性認定と同等の保護対策が越境移転の条件となります。
越境移転のための条件（一例）

1. BCR（Binding Corporate Rules:拘束的企業準則）の締結
2. SCC（Standard Contractual Clauses:標準的契約条項）の締結
3. 明確な本人の同意　等

　GDPRが施行された現在、EU域内から十分性認定がなされていない国、地域へ個人データを移転する場合、移転の条件を満たしていないとGDPR違反の対象になります。

　話を国内の個人情報保護委員会に戻します。
　日本は十分性認定の優先国として表明を受けた後、欧州委員会から十分性認定の決定が下りるための具体的な声明が次々に発表されました。

• 2017年7月
• 2018年の早い時期に目標（十分性認定）を達成するための努力を強化することを決意する共同声明を発表。
• 2018年7月

　日EU間の個人データ移転に向けて、2018年の秋までに当該個人データ移転の枠組みを運用可能にすることを最終合意。
　*最終合意の後、個人情報保護委員会と欧州委員会は、日本への十分性認定の発行に向けて、双方国内の必要な手続きを完了させることを約束しています。

　十分性認定が認められていない場合と比較し、認定が下りた後は個人データの越境移転に別途の条件は必要としません。しかし、十分性認定は日本が十分なレベルで個人情報の保護を保証している国として認定されたことを意味していますので、国内でもGDPR並みの個人データ保護の為の整備が必要になってきます。個人情報保護の規定を見直すにあたり、日本の個人情報保護法とEU　GDPRの違いを次の章でご説明します。

2. 個人情報保護法とGDPR

　2018年に施行されたGDPRと2017年に施行された個人情報保護法では、個人情報を取り扱う組織の定義が異なっています。(図 2 を参照)

　GDPRでは、個人データを入手して保護する組織をデータコントローラ（以下、管理者）、データコントローラから個人データ処理の委託を受ける組織をデータプロセッサ（以下、処理者）として定義しています。先のEU指令では個人データの保護に対する責任は管理者にのみ義務を課していましたが、GDPRでは処理者にも一定の保護義務を負わせる規定が新設されました。一方で個人情報保護法では、個人データを入手して保護処理する事業者を「個人情報取扱事業者（以下、委託元）」とし、委託元から個人データ処理の委託を受ける組織を「委託先」として定義しています。委託元は委託先に対して安全管理措置に基づいた監督義務と責任が個人情報保護法の中で規定されています。一方でGDPRの処理者に当たる委託先の責任範囲は委託元との契約範囲に限定されています。

　GDPRの中で新たに個人データ保護義務の対象になったデータプロセッサ（処理者）の中には、クラウドサービスプロバイダも含まれます。
　処理者（クラウドサービスプロバイダ含む）の義務と責任については次の章でご説明いたします。

図 2. 個人情報保護法（日本）とGDPR（EU）の違い

* PII（Personally Identifiable Information）:個人識別情報

3. 個人データを取り扱う処理者（クラウドサービスプロバイダ含む）の責任と義務

　GDPRでは、個人データを処理する処理者に対し、義務と責任を負わせています。処理者は原則、管理者が決定した目的と手段に従って、指示された個人データ処理を実際に行うことと、管理者からアウトソーシングされた個人データを安全に処理するために、技術的・組織的な保護措置を講じる義務を負います。GDPRで規定されている処理者の義務を具体的に下記にまとめてみます。

• 29条.　管理者又は処理者の権限の下における取扱い
• 30条2. 個々の処理者及び、該当する場合、処理者の代理人は、管理者の代わりに行われる全ての種類の取り扱い記録を補完する。
• 31条.　監督機関との協力
• 32条.　取扱いの安全性
• 33条2. 処理者は、個人データ侵害に気付いた後、不当な遅延なく、管理者に対して通知しなければならない。
• 37条.　データ保護オフィサーの指名
• 44条.　移転に関する一般原則義務
• 46条.　適切な保護措置に従った移転

　処理者が、課せられた義務に違反してデータ主体の権利に損害が生じるような事態を招いた場合には、監督機関から過料の制裁を受けるなどの責任を負います。今後、日本に十分性認定が下りた場合、個人データを処理するクラウドサービスプロバイダは、処理者としてGDPR並みの対応を管理者から求められる可能性があります。そのためクラウドサービスプロバイダは、処理者に課せられた義務と責任についてよく理解し、対策を講じることをお勧めします。

4. 管理者が選ぶべきクラウドサービスプロバイダ

　個人データの管理者は、個人データの保管、分析などビジネスプロセスの処理の多くをクラウドサービスプロバイダ（以下、プロバイダ）にアウトソースしています。委託先のプロバイダが個人データを適切に処理しなかった場合、管理者は顧客からの信頼が損なわれ、ビジネスに大きなダメージを負うことになってしまいます。そのような事態を招かないようにするため管理者はプロバイダの選定に慎重かつ十分な注意が必要です。

　管理者がプロバイダを選定する際、先に紹介しましたISO/IEC 27018の認証制度も選定基準の一つに成り得ます。ISO/IEC 27018に適用される組織は個人データの処理者にあたるパブリッククラウドサービスプロバイダが対象です。ISO/IEC 27018には、管理者の指示に従った確実な処理と、個人データを安全に処理するために技術的・組織的な保護措置を講じる内容がプライバシーフレームワーク（管理策）として含まれています。(図３を参照)

　さらに、プロバイダに求められている個人データの安全処理を着実に実行していることを、審査機関が審査を通して確認していきますので、認証審査を利用することで管理者は安心してプロバイダを選定することが可能となります。

　住民の個人情報を多く取り扱う一部の自治体では、ISO/IEC 27018を認証取得したクラウドサービスプロバイダは、個人情報の保護に万全の態勢を整備している組織として捉え、認証の有効性に着目し始めました。このような背景から個人データの処理プロセスをアウトソーシングする場合、その入札要件の中にISO/IEC 27018認証を条件のひとつとして含むようになってきています。

図 3. 管理者とクラウドサービスプロバイダの相関図

　以上、クラウド上の個人データを管理するクラウドプロバイダに焦点を当てて解説しました。

　他、クラウドサービスのセキュリティと個人データの保護に焦点を当て、クラウドサービスの利用側、提供側の役割と責任について、また最後に、クラウドサービスの信頼性を評価する認証制度について解説した記事については、下記よりご覧いただけます。