Q 顧客や従業員の個人の情報を、外部のIT会社が管理するサーバーにアップしたり、外部の企業に処理してもらうたりする場合に、どのような対応が必要ですか。
2026/05/23 更新
個人情報を外部に提供する場合
(1)顧客や従業員の個人の情報を、外部のIT会社が管理するサーバーにアップすることがあります。社内にデータを保管するのではなく、外部のIT会社に保管してもらうことがあります。
(2)従業員の入社、退社等について、外部の企業に委託して対応してもらうことがあります。
(3)これらは、個人データの第三者提供にあたります(個人情報保護法27条1項)。
第三者提供の場合には、個人の同意が必要となります。
委託
(1)IT業者に業務上の個人情報の処理を一部委託する場合には、本人の同意は不要です(個人情報保護法27条5項1号)。
(2)このためには、企業が委託先であるIT会社を管理・監督していることが必要です。
参考
松尾剛行 「実務の落とし穴がわかる! IT・AI法務のゴールデンルール30」33頁、34頁
クラウド例外
(1)IT業者が、(個人情報を含む)データを預かるだけであり、全く処理しない場合には、本人の同意は不要です。
(2)このような場合には、個人情報保護法27条の「提供」に該当しない場合、という解釈をとるからです。
(3)もっとも、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります(個人情報保護法27条5項1号)。
参考
松尾剛行 「実務の落とし穴がわかる! IT・AI法務のゴールデンルール30」33頁以下
