クラウドの甘美な「秘密の罠」・・・その（２）

個人情報保護法第２条第３項において・・・

個人情報データベースなどを事業の用に供している者を「個人情報取扱事業者」と定義しており、
個人情報取扱事業者に対し、様々な義務を課している。

・個人情報を取り扱うに当たっては利用目的をできる限り特定し、
原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
・個人情報を取得する場合には、利用目的を通知・公表しなければならない。
なお、本人から直接書面で個人情報を取得する場合には、
あらかじめ本人に利用目的を明示しなければならない。
・個人データを安全に管理し、従業員や委託先も監督しなければならない。
・あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
・事業者の保有する個人データに関し、本人からの求めがあった場合には、
その開示を行わなければならない。
・事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、
訂正や削除に応じなければならない。
・個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない

また、主務大臣は、個人情報取扱事業者に対し、個人情報の取扱に関し報告させることができ、
また、個人情報取扱事業者が上記の義務に違反している場合などには、
当該事業者に対し、必要な措置をとるべきことを命じることができます。
主務大臣の命令に違反した場合や、報告義務に違反した場合には、以下の罰則が科せられます。

主務大臣の命令に違反した場合６ヶ月以下の懲役又は３０万円以下の罰金
報告義務に違反した場合、３０万円以下の罰金


－－－

冗漫な法律解説はさておき、そもそもクラウドサービス提供契約とはいかなる契約類型なのか？
様々な要素が絡み合った非典型複合契約と理解するしかないが、
有償でサービスを提供している以上、一般的な有償双務契約上の様々な義務を負う。
従って、取引法の基本原則を回避できるわけではないが・・・

個人情報（含む特定個人情報）の管理をクラウドサービスに委ねた場合はどうなるのだろうか？
基本的には「委託関係」が成立する。
問題は受託した側が「個人情報であることを認識していない場合」は、クラウドサービス提供事業者は
個人情報取扱事業者に該当しないというのが経産省のガイドラインの立場
逆に言えば、利用者が告知していれば「該当する」ということになる。

更にマイナンバー法では、事務を処理するものだけでなく「事務の全部又は一部の委託を受けた者」も
個人番号利用（関係）事務実施者に該当するため、クラウドサービス提供事業者もマイナンバー法の
責務を負担する・・・・はずなんですが

マイナンバー収集・保管サービスが大流行していますが、多くの事業者の約款では

・利用者のマイナンバー管理業務を行うものではない
・利用者の委託を受けて個人情報取扱事業者の立場でサービスを提供していない
・サポートシステムを提供する立場にすぎない

って、目立たなく記載されているはずです。
見ようによっては、有利誤認に相当しそうな話です。
利用者は、収集と保管の手間暇に加えてセキュリティ上のリスクヘッジをも期待して
高額・・・かどうか知りませんが、利用料を支払っているはずなんですがねえ（苦笑）


約款自体の基本的な骨格を修正させることは多分できないし、
なんでもリスクを引き受けますってクラウドサービス提供事業者が仮にいるとすれば
それはそれで逆に危なっかしい。
通常の委託契約の中でどこまで誠実に義務を履行できるか（させられるか）の目利きにかかっている。


所詮リスクは自己負担の世界。
１００％ヘッジしようって考えることが浅はかなのだ。


クライドサービスのセキュリティレベルには相応の信頼が置けるから
現状のサービス水準を保証するものでもなく、将来にわたって担保もしないし
基本無責任で損害賠償なんて夢のまた夢・・・
なんだけど、それでも高額な委託料を支払ってでも、毒饅頭を喰らうってのも判断です。