個人情報を取り扱う企業がクラウドを利用する際、さまざまなルールに則って、取るべき行動を取らなければいけません。
したがって今回は、具体的にどんなルールに則り、どんな行動を取るべきなのかについて解説します。
個人情報を取り扱う者として、必ず押さえておきましょう。
個人情報を取り扱う企業がクラウドを利用する際に取るべき行動①監督について
個人情報保護法では、企業が個人情報の取り扱いについて、外部に委託するのであれば、“監督”を行わなければいけないと定められています。
クラウドを利用するということは、当然個人情報の取り扱いを外部に委託することになるため、このルールに則って行動しなければいけません。
具体的に言うと、企業はクラウドを適切に選定したり、クラウドを提供する企業との契約に安全管理措置などの条件を盛り込んだりする必要があります。
ちなみにクラウドの適切な選定とは、クラウド提供企業の信頼性を判断する公的情報を収集し、信頼できるクラウド提供企業を選ぶことを指します。
個人情報を取り扱う企業がクラウドを利用する際に取るべき行動②契約内容について
個人情報を取り扱う企業がクラウドを利用する際、契約内容の確認は非常に重要です。
なぜかと言うと、契約内容によっては、個人情報関連の事故が発生した際の責任を利用者側の企業が負わなければいけない場合があるためです。
また契約内容を確認するだけでなく、クラウド提供企業と交わす契約書には、先ほど触れた安全管理措置に関するものだけでなく、必ず以下の項目を盛り込むようにしましょう。
クラウド提供企業の運営ルールについて
事故発生時の責任について(利用者側にあるのかクラウド提供企業あるのか)
第三者への委託の有無や個人情報開示の範囲について
契約内容の変更や中途解約、違約金等について
契約終了時のデータ消去について
トラブル発生時の仲裁機関や費用負担について
個人情報を取り扱う企業がクラウドを利用する際、本人の許可は必要?
個人情報を取り扱う企業がクラウドを利用する際、本人の許可は必要なのでしょうか?
結論から言うと、原則的に許可を取る必要はありません。
個人情報保護法では、個人情報を取り扱う企業が個人情報を外部(第三者)に提供する場合、本人の許可を取る必要があるとされています。
ただクラウドを利用する場合は、クラウド提供企業が個人情報を利用するわけではないため、本人に許可を得る必要はないとされています。
まとめ
個人情報を取り扱う企業がクラウドを利用する際に取るべき行動、注意点について解説しました。
これからクラウドの導入を検討している企業は、上記のルールに則り、取るべき行動を取らなければいけません。
また個人情報を取り扱う企業のクラウド利用に関しては、まだ細かいルールがたくさんあるため、個人情報保護の第三者認証制度“JAPHICマーク(ジャフィックマーク)”などを取得するなどして社内の体制を整え、クラウド利用に関する知識を深めていきましょう。
