GDPR関連資格をとろう!QAで学ぶGDPRとCookie規制(68): クラウド・コンピューティング
2022/11/15   情報セキュリティ, 個人情報保護法, 外国法

今回から, 各種のインターネットを用いた技術にGDPRおよびePrivacy指令がどのように適用されるかについて解説していきます。今回は, AmazonのAWSを具体例として取り上げ, クラウド・コンピューティングにGDPRがどのように適用されるかについて解説します。

 


【目  次】


(各箇所をクリックすると該当箇所にジャンプします)


Q1: クラウド・コンピューティングとは?


Q2: クラウド・コンピューティングへのGDPRの適用関係は?


Q3: AWSにおけるGDPR対応は?


本稿のPDFはこちらから

Q1: クラウド・コンピューティングとは?


A1: 「クラウド・コンピューティング」(以下「クラウド・サービス」ともいう)とは, インターネットを介した情報技術(IT)サービスの提供を意味します。クラウド・コンピューティングにおいては, データはインターネットの向こう側(雲:Cloud)にあるサーバー・コンピュータにより保存・管理その他処理されます

【解 説】


近年, 企業においては, 個人データの処理を含め, クラウド・サービスの利用が急速に進んでいます。

クラウド・サービスには, 例えばWebベースの電子メールサービス(例:Gmail)を含め, 様々な形態のものがありますが, 近年特に多くの企業が利用しているものとして, オンライン上での作業に必要なこと全般をカバーするクラウドインフラと呼ばれる分野のサービスがあります。

このクラウドインフラの分野では, Amazon.com, Inc.の子会社である Amazon Web Services, Inc.(以下「AWS社」という)が運営するAmazon Web Service(以下「AWS」という)や, Microsoft, Google等の大規模クラウド・サービスが, 日本を含め, 世界的に広く利用されています。

このようなクラウド(インフラ)・サービスの概要ですが, AWSを取り上げて説明すると, AWSは, 2006年にサービスが開始され, 世界各国にあるAWS社のコンピュータ(サーバ)により, 利用者(一般企業, 金融機関, 政府機関を含む法人等。個人も利用可能)が選択したサービスを, サービスの利用時間・利用量に応じた課金方式で利用させるサービスで, 現時点(2022年11月)では245の国・地域で提供されています。

サービスメニューとしては, データ保存, コンテンツ配信, ネットワーク構築, 各種ソフトウェア提供(例:データベースソフト, データ分析ツール, 開発用ソフト, アプリケーションソフト, ソフト管理ツール, AIソフト, IoT向けソフト)等があります。

利用者は, AWSを社内サイトや顧客向けサイトの構築・運用等のために利用します。[1]

page top

Q2: クラウド・コンピューティングへのGDPRの適用関係は?


A2:以下の通りです。

(1) GDPRの地理的適用範囲

クラウド・サービスの提供者(cloud service supplier/vender)(以下単に「ベンダー」ともいう)またはその利用者(以下「ユーザ」という)は, それぞれ, その所在地・居所がEU域外である場合を含め, GDPR第3条(地理的適用範囲)に定める拠点基準 (3(1))またはターゲティング基準(3(2))を満たす場合はGDPRの適用を受けます。

例えば, 日本にあるベンダーが日本にあるサーバでクラウド・サービスを提供する場合でも, 次のようなときは, 当該ベンダーまたはユーザにGDPRが適用される可能性があります

(a)ベンダーがEU域内の個人を含むユーザに対しクラウド・サービスを提供する場合(3(2)(a))

(b)ユーザが同サービスを利用してEU域内の個人を含むユーザに対し商品・サービスを提供する場合(3(2)(a))

(c)ユーザが同サービスを利用してEU域内におけるデータ主体の行動をモニタリングする場合(例:位置データを利用するサービスの提供, サイト上の行動トラッキング)(3(2)(b))

(2)「管理者」・「処理者」

GDPRは, GDPR上の義務を負う者を「管理者」(controller)と「処理者」(processor)とに区分し, それぞれが負う義務を定めています。

「管理者」とは, 単独でまたは他と共同して個人データの処理の目的および手段を決定する者を意味します(4(7))。一方, 「処理者」とは, 管理者のためまたは管理者に代わって個人データを処理する者を意味します(4(8))。

クラウド・サービスにおいて, ユーザは, クラウド・サービスにおける個人データの処理の目的を決定する場合には「管理者」に該当します。この場合, ベンダーは, 通常, ユーザの指示に従って処理を行うので「処理者」に該当します。

WP29の「管理者」および「処理者」の概念に関する意見書[2](p14)によれば, 処理の目的の決定は「管理者」の必須要件ですが, 処理の技術的・組織的な手段(例:処理に用いるハードウェア・ソフトウェアの決定)についてはそれを処理者に委託したとしてもその処理者が管理者に該当することにはなりません。

(2) GDPR第28条の個人データ処理委託契約書

上記の通り, クラウド・サービスにおけるユーザとベンダーの関係は, 通常, 管理者と, その管理者から処理の委託を受けた処理者(処理委託先)の関係に該当し, 両者はGDPR第28条所定の個人データの処理委託契約書を締結しなければなりません

(3) EU域外へのデータ移転

クラウド・サービスにおいて, ユーザが個人データの保存・処理を行うクラウド・サーバをEU域内にあるものに限定できれば, GDPR第5章(44~50)に定める域外移転規制の問題は生じません。

しかし, 例えば, EU域内で収集した個人データについて, 次のようなことを行う場合は, EUの域内から域外への個人データの移転が生じ, SCC, BCR, 十分性認定等により移転を行わなければなりません

(a) EU域内クラウド・サーバに保存した後EU域外クラウド・サーバに転送する場合

(b) 最初からEU域外クラウド・サーバにアップロードする場合

(c) EU域内クラウド・サーバに保存した後EU域外にメール等で転送する場合

(d) EU域内クラウド・サーバに保存した後EU域外の者に閲覧その他アクセスを許可する場合

page top

Q3: AWSにおけるGDPR対応は?


A3: AWSを利用する場合, 「AWS Customer Agreement」 (2022年11月4日改訂版)(原文英語)(以下「AWS契約」という)が適用されますが, このAWS契約は以下のような構成となっており, 以下のようなGDPR対応がなされています

(1) AWS契約の構成

AWS契約の構成は, 個人データの処理委託とそのEU域外への移転に関して言うと, 次のようになっています。

AWS Customer Agreement (「AWS契約」)

AWS GDPR Data Processing Addendum(「DPA」)

├Annex 1: AWS Security Standards(「AWS SS」)


├Attachment: Standard Contractual Clauses, Controller-to-Processor Transfers(「SCC:管理者・処理者」)


└Attachment: Standard Contractual Clauses, Processor-to-Processor Transfers(「SCC:処理者・処理者」)


【各契約の説明】

(a)「DPA」: AWSユーザ(「利用者」)がAWSサーバに保存する個人データをAWSがGDPR第28条の処理者として処理することに関する, GDPR第28条の個人データ処理委託契約

(b)「AWS SS」: 上記個人データの処理のセキュリティー基準

(c)「SCC:管理者・処理者」: 利用者がGDPR上の管理者に該当する場合において, 個人データを域外のAWSサーバに移転する場合に適用されるSCC(2021年6月4日欧州委員会制定)

(d)「SCC:処理者・処理者」: 利用者が他の者から個人データの処理の委託を受けているためGDPR上の処理者に該当する場合において, 個人データをEU域外のAWSサーバに移転する場合に適用されるSCC(2021年6月4日欧州委員会制定)

以下, 上記(c)と(d)のSCCを総称して「SCC」といいます。

【AWS契約の契約当事者】

AWS契約(DPA, AWS SSおよびSCCを含む)の契約当事者は以下の通りです。

(a)利用者側:AWS契約(以下「本契約」ともいう)を締結しようとする個人, または, その個人が代理もしくは代表する法人その他団体

(b)AWS側:利用者がAWS利用のためのアカウントを登録した国に対応するAWSグループ企業(以下「AWS」という)(前文・14)。

【AWS契約の成立】

AWS契約は, AWS利用者がサイト上の「同意」ボタンをクリックすること等により成立します(前文)。

(2) 処理委託に関する利用者の義務

GDPR上, クラウド・サービスの利用者は, GDPRの遵守を十分に保証できるクラウド・サービス事業者でなければそのサービスの利用(個人データの処理の委託)をしてはなりません(28(1))。

この点, AWSは次のようなセキュリティー関連規制・基準に適合していることを公表しており[3], AWS契約(10.1)上も, 利用者の要求に応じその適合関連情報を利用者に提供する旨規定しています。

(a)国際標準化機構 (International Organization for Standardization) (略称 「ISO」) のISO27001認証, ISO27017認証, ISO27018認証およびISO27701認証

(b)米国公認会計士協会が定めるセキュリティー関連の基準遵守に関し, AWSが独立第三者に作成させた検証報告書(SOC 1, SCO2, SOC3)

従って, このようにISO等の客観的基準によりセキュリティー確保が確認できるクラウド・サービス事業者であれば, これに個人データの処理を委託することは, 上記のGDPR上の義務(十分な保証の確認)については問題がないと思われます。

次に, クラウド・サービスの利用(個人データの処理の委託)は, 書面(電子的形態を含む)による契約(またはEUもしくは加盟国の法令に基づく法律行為)によらなければなりません(28(9))。

この要件については, AWS契約(DPAが添付されている)を締結することにより満されると言えます。

(3)域外移転に関する利用者の義務

クラウド・サービス利用者は, サービス利用に当たり, 個人データをEU域外に移転する場合, 標準契約条項(SCC)等によらなければ移転することができません(GDPR 44~)。これに関連し, AWS契約付属のDPAには, 以下のような規定があります。

【利用者からAWSへの個人データのEU域外への移転】 (DPA Section 12)

利用者は, 利用者データを保存・処理するリージョン(AWSサーバのある都市・地域)[4]を指定できる

AWSは, 次のいずれかの場合を除き, 利用者が選択したリージョンから利用者データを移転しない。

(a)サービスを提供するために必要な場合

(b)法令もしくは公的機関の命令遵守のために必要な場合

個人データを含む利用者データがEU域外に移転される場合はSCCが適用される

-なお, このSCCは, 利用者をEU域内からの「データ輸出者」(移転元)とし, AWSをEU域外の「データ輸入者」(移転先)とする両者間のSCCです。

現在, EU域内には5リージョン(フフランクフルト, アイルランド, ロンドン, ミラノ, パリ, ストックホル)があるので, EU域内の子会社は, この内のいずれかを指定して(複数リージョンの指定も可能)EU域内のデータ主体の個人データを保存・処理し, かつ, EU域外への送信(または閲覧その他アクセスの許可)をしない限り, 個人データのEU域外への移転は生じません。

また, 上記DPAの規定にあるように, 個人データを含む利用者データがEU域外に移転される場合, SCCが適用されるので, GDPRによる域外移転規制も遵守されていることになります。

【利用者からAWS以外の者への個人データのEU域外への移転】

しかし, このSCCは, あくまでも, AWSを移転先とするものです。

従って, このSCCは, 例えば, EU域内の企業が, 個人データについて, (a)EU域内AWSサーバに保存した後EU域外AWSサーバに転送することや, (b)最初からEU域外AWSサーバにアップロードすること等に限り適用されるに過ぎません。

一方, EU域内の企業が, AWSサーバに保存されている個人データ(例:個人顧客データ, 現地採用幹部や日本からの出向社員のデータ)について, EU域外の企業等に対し, (a)転送する(例えば, メールに添付したfileで送信)場合や(b)AWS上またはAWS外で閲覧その他アクセスを許可する場合には, AWSとのSCCは無関係ですから, 同SCCは適用されません。

従って, これらの場合には, EU域内の企業は, 別途EU域外の企業等とSCCの締結等をしなければなりません

page top


今回はここまでです。

 

「GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制」シリーズ:過去の回


 

[5]

 

【注】                             

[1] 【AWSの概要】AWS「AWS によるクラウドコンピューティング

[2] 【W29 管理者・処理者概念意見書】Opinion 1/2010 on the concepts of ‘controller’ and ‘processor’ (00264/10/EN: WP 169), pages 14–15,

[3] 【AWSのセキュリティー関連規制・基準適合】AWS コンプライアンスプログラム

[4] 【AWS利用者データを保存・処理するリージョン】AWS「リージョンとゾーン

[5]

==========


【免責条項】


本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

 

 

【筆者プロフィール】


浅井 敏雄  (あさい としお)


企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事


1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を米系(コンピュータ関連)・日本(データ関連)・仏系(ブランド関連)の三社で歴任。元弁理士(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP  (International Association of Privacy Professionals) 会員, CIPP/E  (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】


https://www.theunilaw2.com/


 

シェアする

  • はてなブックマークに追加
  • LINEで送る
  • 資質タイプ×業務フィールドチェック
  • TKC
  • 法務人材の紹介 経験者・法科大学院修了生
  • 法務人材の派遣 登録者多数/高い法的素養

新着情報

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビの課題別ソリューション

企業法務人手不足を解消したい!

2007年創業以来、法務経験者・法科大学院修了生など
企業法務に特化した人材紹介・派遣を行っております。

業務を効率化したい!

企業法務業務を効率化したい!

契約法務、翻訳等、法務部門に関連する業務を
効率化するリーガルテック商材や、
アウトソーシングサービス等をご紹介しています。

企業法務の業務を効率化

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビに興味を持たれた法人様へ

企業法務ナビを活用して顧客開拓をされたい企業、弁護士の方はこちらからお問い合わせください。