Legal X Design

大阪で働く法務パーソンのはなし

クラウドサーバの利用は「再委託」か

X TECHNOLOGY X CONTRACT

f:id:itotanu:20210425114822j:plain

勤務先は、まだまだオンプレミスサーバが主流です。しかし、徐々にクラウドサーバの利用がはじまってきて、一部でAWSを利用しているらしい。

当社のサービスがある著名なサービスと連携することになり、連携により相手方から個人情報を預かるということで、個人情報の取扱いに関する合意書を締結することになりました。が、かなりすったもんだしております。。原因は、先方の営業さんにあると思う。

ユニークIDは個人情報か

サービス連携によって、当社は、相手方で使用されるユニークID(それだけではユーザーの特定ができないもの)を相手方から受領します。そこで、個人情報の取扱いに関する合意書を締結してほしいというのが、先方の依頼でした。

ユニークIDは、それ単体では特定の個人を識別できないので、当社から見ると個人情報ではありません。しかし、現行法は提供元基準で考えるとされ、提供元(先方)においてユニークIDとユーザーが紐づくのであれば、個人情報となるのは仕方のないところだと理解しています。

AWSも再委託先?

その合意書には、個人情報の取扱いを再委託する場合には、先方の書面による事前の同意が必要とされています。オーソドックスな定めで違和感もありません。しかし、大手IT企業というだけあってかなり厳格で、再委託の申請フォーマットが決まっているのはもちろん、場合によっては委託契約の提出も求めたり、立ち入り調査をすると書いてありました。

当社では、このサービスについてはAWSを利用しており、先方から提供されるユニークIDもAWSに保管されます。
するとここで、先方の営業さんが「AWSについても再委託の申請をしてください」とおっしゃってきました。うーん、、申請を出すことはできますが、そこまですべきなんでしょうか。AWSは何が保存されているかなんて知る由もないと思うのですが*1

AWSには個人情報の取扱いを委託していない

AWSとの利用契約を見ていませんが、少なくとも個人情報の取扱いを委託する内容にはなっていないはずです。

おまけに、当社のようなサイズの企業だと、AWSと直接契約しているわけではなくベンダーを介しているし、その利用契約は親会社によるものです。AWSにたどりつくまで、2社を介すのですが、営業さんは「とりあえず全部だせ」という。他社もこの要求に応じていらっしゃるのでしょうか。。

ちなみに、再委託の申請に当たっては、再委託業務の内容や再委託先で個人情報が「どこで」保存されるかも申告することになっています。
再委託していないから再委託業務の内容は書けないし、「クラウドサーバに地理的な保存場所はないだろう」と思ったのですが、後者については、AWSではリージョンを特定すれば、そのリージョンから顧客の同意なしに情報を移動させることはないそうです。

AWSは顧客と責任を分担する

AWSは、以下の図を示しながら、情報セキュリティの責任は顧客とAWSで分担すると説明しています。

f:id:itotanu:20210425002929p:plain

責任共有モデル

システムに明るくない私は、AWSクラウドサーバを銀行の貸金庫のようなものと捉えていて、「AWSは、金庫破りがきても破られない、隣の金庫が爆発してもびくともしない金庫を用意し、よほどのことがない限りは勝手に開けたり金庫の中を触ったりしないよ」と約束してくれていて、「けど、金庫をどう使うかはおたく次第だからね」と言われていると理解しています。

繰り返しですが、あくまでサーバの利用契約しか締結していないので、再委託先ではないという認識なのですが、私、間違ってますでしょうか。。
オンプレサーバだって、本当に自社で用意しているわけではないから、AWSで再委託申請が必要ならオンプレでも必要ということになると思うけど…

「とりあえず」ではなく、もっと丁寧に説明してほしい

「とりあえず全部出せ」と言われたうちの社員は、システム部門にコンタクトをとって、当社がどういう条件でAWSを利用しているのか(当社←親会社←ベンダー←AWS)を割り出したり、情報がどこに保存されているかを確認したりして奔走していたのですが、ふと「本当に必要?」と思い立ち、法務に相談してくれました。

話を聞くと、「営業さんとやり取りするのですが、あまりわかってないみたいで、とりあえず全部出してって言われたんです」とのこと。
よくそんなことが言える営業マンがいるもんだと思うのですが、自社も含めて営業マンってこれが普通なのかもしれないと思うと背筋が凍ります…

自戒して、先方に何かを頼んだり、説明したりするときには、納得いただけるような説明を準備しなければと思う出来事でした。相手方のグループ親会社の法務の方は、経営法友会などでお見かけする機会があり、とても好感度が高いのに。。

法務で先方あてのコメントを書いて申請をボイコットしようかとも考えたのですが、「よそもみんな出してます」という(嘘か本当か不明な)先方の回答により、弱小企業の当社はおとなしくいうことを聞くことにしました。。

*1:そりゃ、見ようと思えばいくらでも見れるでしょうけど…