クラウド上でデータを保管しています。
個人情報保護法2020年改正により、外国に関する情報提供義務ができたと聞きました。クラウドのサーバが外国の場合、国名などを本人に通知等する必要があるのでしょうか。
外国に関する情報提供義務は、
①個人情報保護法24条による情報提供義務と、
②個人情報保護法27条による安全管理措置の公表等義務の二種類があります。
①個人情報保護法24条による情報提供義務の点については、「クラウドサービス事業者において個人データを取り扱うこととなっているのかどうか」によって、外国に提供していると判断されるかどうかが異なります。クラウド事業者が個人データを取り扱わないことになっている場合は、クラウド事業者が外国の事業者であったり、サーバが外国であったりしても、外国に提供したとは判断されません。
具体的には、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等だと、クラウド事業者は個人データを取り扱うこととなっていないと考えられます(Q&A12-3、7-53 )。
したがって、①の点からは、ご質問の事例の場合、「クラウドサービス事業者において個人データを取り扱うこと」となっていれば、国名などを本人に通知等する必要があり、「クラウドサービス事業者において個人データを取り扱うこと」になっていなければ、通知等する必要がありません。
なお、「通知等」と丸めて書いていますが、本人の同意を取得する場合としない場合とでやるべきことは異なります。詳細は、以下PDFの77-80P/全210Pなどを御覧ください。
http://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf
②個人情報保護法27条による安全管理措置の公表等義務の点については、クラウド事業者が、個人データを取り扱わないこととなっている場合であってもなくても、同様の結論になり、結論としては情報提供義務を負います。
この場合、安全管理措置の一環として、クラウド事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で安全管理措置を講じる必要があります(個人情報保護法20条、GL7-7)。
そして、当該安全管理措置の内容を本人の知り得る状態に置く必要があります(個人情報保護法27条1項4号・施行令8条1号)(Q&A10-25)。
ただ、必ずしも「通知」する必要はなく、「公表」であったり、「本人の求めに応じて遅滞なく回答」するなどでも可能です。
と、書きましたが、これって結構ものすごく大きなインパクトではないかと思います。
One Driveとか、Boxとか、Slackとかに個人データが保管されている場合って現実的にはありうると思います。もちろんAWS、Salesforce、Azureとかにも。
そのすべての場合において、どこの国に置いてあって、どういう個人情報保護法制になっていてというのを、全部の事業者が把握し、本人に回答するって、現実的にかなり小さい規模の会社もあるでしょうし、本当に100%できるのかなと思いました。
ただ、クラウド側ではそこそこもう対応済なのでしょうか。Microsoftだと、個々の顧客は自分のデータの保存場所が分かるようになっているようです。
https://docs.microsoft.com/ja-jp/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide