クラウドストレージの導入を検討している担当者が真っ先にぶつかる問いは「どのサービスが安いか」ではなく「このサービスを使って法的に問題はないか」です。個人情報保護法(APPI)とGDPRへの対応は、セキュリティ部門だけに任せておける話ではありません。
個人情報保護法とクラウドの関係
クラウドストレージにデータを保管する行為は、法律上「第三者への個人データ提供」にあたる可能性があります。日本の個人情報保護法(第27条)では、個人データの第三者提供には原則として本人同意が必要です。
ただし、クラウドサービス事業者が「個人データを取り扱わない」場合は例外(いわゆるクラウド例外)が適用されます。クラウド事業者が個人データを取り扱わないとは、次の2つの条件を満たす状態を指します。
- 契約上の制限:契約書に「事業者が個人データを閲覧・分析・利用しない」と明記されている
- 技術的なアクセス制御:事業者が物理的・技術的にデータにアクセスできない仕組みになっている
2024年3月、個人情報保護委員会がMK System社に行政指導を行ったケースでは、クラウド事業者がメンテナンス用IDを保有し実際にデータへのアクセスが可能だったことがクラウド例外の適用を受けられなかった原因の一つとされています。契約書だけでなく技術的なアクセス制御が実装されているかを事前に確認することが必要です。
クラウド例外が適用されない場合、そのクラウド事業者への個人データの委託とみなされ、個人情報保護法第25条に基づく監督義務が発生します。委託先として適切な安全管理措置を取っているかを確認し、委託契約を締結する必要があります。
GDPRとの関係:日本企業も無関係ではない
EU在住者を顧客に持つ日本企業は、GDPRの域外適用の対象になります。たとえ日本国内でしかビジネスをしていなくても、ECサイトにEU在住者がアクセスして購入した時点で適用される可能性があります。
2019年1月、EU(欧州委員会)と日本(個人情報保護委員会)の間で相互に「十分性認定」が下されました。これにより、日本企業はEUから個人データを受け取る際に標準契約条項(SCC)なしで対応できるようになっています。ただし、EEA(欧州経済領域)居住者のデータを受け取る際は、GDPRと同等の保護を提供する「補完的ルール」への準拠が求められます。
GDPRの主な義務は下表のとおりです。
| 義務 | 内容 |
|---|---|
| プライバシーポリシー | 処理目的・法的根拠・保存期間の開示 |
| 同意取得 | 明確かつ自由な意思による同意 |
| 個人の権利対応 | アクセス・削除・ポータビリティの権利への対応 |
| データ侵害通知 | 72時間以内に監督機関へ報告 |
| DPO(データ保護責任者) | 大規模処理の場合は指定が必要 |
GDPRに違反した場合の制裁金は、最大2,000万ユーロまたは全世界年間売上の4%のうち高い方です。クラウドのデータ保管先がEU域内かEU域外かによって対応が変わるため、サービス選定の段階からデータの所在地を確認しておく必要があります。
海外クラウドを使う場合の注意点
Google Drive、Dropbox、OneDriveのような海外クラウドサービスを使う場合、データが外国(米国など)のサーバーに保管されます。個人情報保護法第28条は、外国の第三者への個人データ提供に際して、本人の同意取得または体制整備要件への準拠を求めています。
本人同意を取得する場合は、移転先の国名・その国の個人情報保護制度・移転先が講じている措置の3点を開示する必要があります。
体制整備による対応を選ぶ場合は、移転先がAPPI相当の保護水準を維持し続けることを確認する措置を継続的に実施しなければなりません。
国内データセンターを使うサービスを選べば、この第28条対応の負担を大幅に軽減できます。Microsoft OneDrive(東京・大阪リージョン)やDirectCloud、HStorageは国内にデータを保管するため、海外移転規制の適用外です。
コンプライアンス対応のための技術的チェックリスト
法的要件を満たすため、サービス選定の段階で以下の技術要件を確認します。
1. 暗号化
- 保存データ(at rest)の暗号化:AES-256が標準
- 通信データ(in transit)の暗号化:TLS 1.2以上
- 暗号鍵の管理:自社で鍵を管理できるか(カスタマーマネージドキー)
鍵の管理権限が事業者のみにある場合、技術的にアクセスを遮断できないため、クラウド例外の適用が困難になります。
2. アクセス制御
- 多要素認証(MFA)の強制
- IPアドレス制限
- ファイル・フォルダ単位の権限設定
- 外部共有リンクの有効期限・パスワード設定
特に、退職者や権限変更が発生した際に即座にアクセスを無効化できる仕組みがあるかを確認してください。
3. 監査ログ
- 誰が・いつ・どのファイルにアクセスしたかの記録
- ログの改ざん防止
- 必要期間のログ保存(業種によっては数年単位)
個人情報保護委員会への対応や内部統制上、操作ログは必須です。漏洩インシデント発生時に原因を特定するためにも、監査ログが取得・保存されていることを事前に確認します。
4. セキュリティ認証
取得している認証によって、第三者が安全管理措置の水準を客観的に評価できます。
| 認証 | 意味 |
|---|---|
| ISO 27001 | 情報セキュリティ管理体制 |
| ISO 27017 | クラウド固有のセキュリティ管理 |
| ISO 27018 | クラウド上の個人情報保護 |
| SOC 2 Type II | 運用実績を含む第三者監査 |
| ISMAP | 日本の政府情報システム向けセキュリティ評価 |
官公庁・金融・医療などの規制業種では、ISMAPへの登録またはFISC安全対策基準への対応が求められるケースがあります。
HStorageの個人情報保護対応
HStorageは、日本のサービスとして国内のデータ保管を前提に設計されています。個人情報保護法への対応で重要なポイントを以下にまとめます。
データの所在地:国内リージョンにデータを保管するため、個人情報保護法第28条の外国移転規制の対象外です。海外移転のための本人同意取得や追加の体制整備が不要です。
アクセス制御:フォルダ・ファイル単位での権限設定、共有リンクへのパスワード設定、ダウンロード期限の設定が可能です。退職者や外部パートナーへのアクセス権を即座に無効化できます。
ログ管理:誰がいつファイルにアクセスしたかをログとして記録します。内部統制や漏洩調査の際に活用できます。
クラウド事業者によるデータ閲覧の遮断:HStorageは保管されたデータの内容を閲覧・分析しません。クラウド例外の適用を前提とした設計です。
具体的な設定方法や契約条件については、HStorageのサポートページからご確認ください。
サービス選定の判断基準
クラウドストレージを選ぶ際のコンプライアンス面での判断基準を示します。
国内データ保管が必須の場合は、データセンターの所在地を必ず確認します。「グローバル展開」を売りにするサービスは、デフォルトで海外リージョンにデータが保管されることがあります。
EU顧客を持つ企業は、GDPRのデータ処理契約(DPA)を締結できるかを確認します。主要クラウドサービスの多くはDPA締結に対応していますが、手続きが必要です。
医療・金融・官公庁向けのシステムは、ISMAP登録やFISC安全対策基準への対応、そして準拠しているセキュリティ認証の範囲を詳細に確認します。
中小企業で初めてクラウド化する場合は、まずMFA・アクセス権限設定・監査ログの3点が機能として備わっているかを確認することから始めます。
まとめ
個人情報保護法とGDPRの要件をクラウドストレージ選定に落とし込むと、4点が判断軸になります。
- データの保管場所(国内か海外か)
- 事業者によるデータアクセスの技術的遮断(クラウド例外の要件)
- 監査ログの取得と保存
- 適切なセキュリティ認証の取得状況
無料プランや海外クラウドを使う場合は、これらの要件を満たしているか特に注意が必要です。選定を誤ると、コスト削減どころか制裁金・業務停止・取引先からの信頼失墜という結果を招きます。
HStorageは30日間の無料トライアルを提供しています。実際の操作感と管理機能をご確認ください。
