医療情報を取り扱うサーバ等は、「ASP・SaaS 事業者が医療情報を 取り扱う際の安全管理に関するガイドライン 第 1.1 版総務省 平成 22 年12月」及び「医療情報を受託管理する情報処理事業者向けガイドライン第2版 平成 24 年 10 月経済産業省」にて国内法の適用が及ぶ場所に設置することが原則となっています。

このことを踏まえた上で、「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(以下「改正法」)の施行で、個人データや個人番号を含むデータの取扱について国外のクラウド事業者と契約する場合の注意点を考えてみます。

前回のブログで解説しましたように、委託先において、個人データ、個人番号へのアクセスが制限され、加えて、個人番号の場合は、個人番号を含む電子データを取り扱わないことを契約で定めている場合であれば、法令上の委託には当たりません。

ただし、外国法人と交渉して個人番号を含む電子データを取り扱わないことを契約で定めることは困難を伴うことから、実質的に国外のクラウドサービスを利用する場合においても、法令上の委託に該当すると考えた方が適切です。さらに、改正法では第24条(外国にある第三者への提供の制限)により、外国への個人データの提供には大きな障害が設けられました。

改正法第24条(外国にある第三者への提供の制限)で以下のように定めています。

第二十四条

個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

 

ここで重要なのは、最後の”前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。”というところです。これは、改正法第23条第5項の委託を第三者提供と見なさないという規定は適用されないことを意味します。

従って、改正法の施行後は、海外のデータセンターを使う場合は委託とはみなされず、①同等の水準③基準に適合する体制、③本人同意の3点をクリアしなければならないということです。これは不可能ではないにしても実質的には非常に難しいといえます。

以上

0044_国外のクラウドサーバの利用