昨今、医療分野でもクラウドサービスが急速に普及しています。クラウドサービスは、従来は自前のコンピュータで利用していたソフトウェアの利用やデータの保存を、ネットワーク経由で、利用者に提供するものです。クラウドサービスには、他施設との連携、システム保守、価格面などだけでなく、大規模災害時のデータ保全の面でも大きなメリットがあり、医療分野において今後普及拡大が期待される情報処理サービス形態であるといえます。

個人情報(以下、個人データ)の取扱をクラウドサービスで利用する際に、業務委託になるのか、ならないのかにより対応が異なることに注意が必要です。業務委託となるなら、委託先の監督(個人情報保護法22条)が求められるからです。

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A ”では以下のように解説しています。

92-Q

委託先が倉庫業、データセンター(ハウジング、ホスティング)等の事業者の場合で、預ける情報の中に個人データが含まれていることを当該事業者に認識させることなく預けることがあります。この場合、当該事業者と契約を締結するときに、個人データの取扱いに関する条項を契約に盛り込む必要がありますか。

92-A

質問のケースにおいては、委託元が事前に当該個人データに安全管理措置を講じる(暗号化等の秘匿化等)ことになると考えますので、委託先との契約の中に個人データの取扱いに関する条項を盛り込む必要はありません。ただし、委託元は委託先を適切に選定する必要があります。

 

このことから医療機関等が、診療情報と認識させることなく(委託先は見ることが出来ない)、単に貸し倉庫のように診療データをクラウドサーバに保管する場合は、個人情報の委託には当たらず、契約書に委託先の個人情報の安全管理にかかる条項を盛り込むことは不要となります。バックアップのような場合に該当するでしょう。

また、特定個人情報については、”「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び 「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&A“で以下のように解説しています。

Q3-12

特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。

A3-12

当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に 含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利 用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託に は該当しません。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。

 

個人番号を含む電子データを取り扱わないことを契約で定め、個人番号にアクセスできないようにされている場合は、委託となりません。

まとめると委託に当たらないのは、以下の場合のみです。

委託先において、個人データ、個人番号へのアクセスが制限され、加えて、個人番号の場合は、個人番号を含む電子データを取り扱わないことを契約で定めている場合となります(いずれ個人データの場合も求められるかもしれません)。

以上のことから、クラウドサービス(サーバ)の利用は、原則として委託に当たると考えた方が適切です。

では、国外のサーバを用いる場合はどうでしょうか?。次回考えてみます。

以上

 

0043_クラウドサーバの利用2