1 クラウドサービスを利用する場合,運用業者を『監督』する義務がある
2 クラウドサービス運用業者の信頼性判断の公的な枠組みがある
3 クラウドサービス運用業者のセキュリティの評価項目のガイドラインがある
4 クラウドサービスの内容を把握するために契約書を確認する;SLA
5 クラウドサービス利用のため取締役など会社内部の意思決定が必要
6 上場企業がクラウドサービスを利用する場合『開示書類』への記載も必要
7 医療機関のクラウドサービス利用|ガイドライン制定→普及へ
8 弁護士業務×クラウドサービス利用|日弁連ガイドライン
9 『文書保存義務』は『オンラインデータ』での代用が認められている

1 クラウドサービスを利用する場合,運用業者を『監督』する義務がある

個人情報保護法上の個人情報取扱事業者に該当する者がクラウドサービスを利用する場合,一定の規制が適用されます。

(1)本人の同意は不要

原則的に不要です。

一般的には,個人情報取扱事業者が『個人データを第三者に提供』する場合には『本人の同意』が必要とされます(個人情報保護法23条1項)。
しかし,通常のクラウドサービスでは,クラウド事業者が,保管したデータの内容を把握→利用する,ということは想定されていません。
このように純粋な保管だけを外部で行う,という場合に本人の同意を要するのは過剰です。
そこで,『利用目的の達成に必要な範囲内』については例外的に本人の同意が不要とされています(個人情報保護法23条4項1号)。
まさに,純粋な保管の場合は,これに該当するでしょう。

逆に,クラウド事業者が保管したデータを利用する,という特殊な契約内容になっている場合は,原則に戻って『本人の同意が必要』ということになります。
クラウドサービス利用に際しては契約内容を確認することが重要です。

(2)クラウドサービス事業者を『監督』する義務

個人データの取扱いを外部に委託する場合,受託者に対する『必要かつ適切な監督』が義務付けられています(個人情報保護法22条)。
とは言っても,クラウドサービス事業者の監督の内容は一定の限度があります。
そこで,総務省のガイドラインにおいて,具体的な内容が示されています。

<クラウドサービス事業者の『監督』の内容>

・委託先を適切に選任すること
・委託契約において安全管理措置,秘密保持,再委託の条件等を定めること
※電気通信事業における個人情報保護に関するガイドライン;総務省

具体的には,運用実績や事業者の規模の確認や,契約内容の確認,ということになります。

2 クラウドサービス運用業者の信頼性判断の公的な枠組みがある

利用するクラウドサービスの事業者の選択について,利用者は『監督』義務を負います(個人情報保護法22条)。
その一環として,クラウドサービス事業者の信頼性を判断する必要があります。
その判断のための情報のうち,類型的,公的なものをまとめます。

<クラウドサービス事業者の信頼性判断要素となる公的情報>

あ 受託業務に係る内部統制の保証報告書

・内容=受託会社の特定期間の整備状況,運用状況の有効性等
・作成者=受託会社の監査人
 ↑財務諸表に関する業務の内部統制を評価する制度
※日本公認会計士協会監査・保証実務委員会実務指針第86号

い ISOマネジメントシステム認証

・情報セキュリティ
 →情報セキュリティマネジメントシステム(ISMS)のJIS Q 27001
・サービス品質
 →ITサービスマネジメントシステム(ITSMS)のJIS Q 20000-1

3 クラウドサービス運用業者のセキュリティの評価項目のガイドラインがある

クラウドサービス事業者のセキュリティの評価は,抽象的なものです。
そこで,平成23年4月1日に経済産業省がガイドラインを公表しました。
ここに規定された項目が参考になるでしょう。

<クラウドサービス運用業者のセキュリティの評価,チェック項目>

ア 利用上の情報セキュリティガバナンス,情報セキュリティマネジメント
イ セキュリティ基本指針
ウ 情報セキュリティのための組織
エ 資産の管理
 →クラウドに保存した情報を資産と捉えるという意味です。
オ 人的資源のセキュリティ
 →従業員のことです。
カ 物理的,環境的セキュリティ
キ 通信,運用管理
ク アクセス制御
ケ 情報システムの取得,開発,保守
コ 情報セキュリティインシデント管理
サ 事業継続管理
シ 順守
※経済産業省;クラウドサービス利用のための情報セキュリティマネジメントガイドライン

4 クラウドサービスの内容を把握するために契約書を確認する;SLA

クラウドサービスを利用する場合,事後的に何らかの事故あるいは『監督』義務としての責任が問題になることがあります。
この点,契約内容によって,利用者と運用業者の責任の分担が変わってきます。

一般的に契約締結前に,協議し,必要な事項は契約書に盛り込むよう要請することもあり得ます。
しかし,クラウドサービスにおいては,通常,事業者ごとに定形の契約内容を規定していることが多いです。
いずれにしても,利用者(候補者)は,契約書の内容をしっかりと確認,把握しておくべきです。
以下,契約書の重要な項目をまとめます。

(1)クラウドサービス利用契約の重要な条項

<クラウドサービスを利用する際の契約書の重要な条項>

あ SLA;サービス・レヴェル・アグリーメント

サービス品質について,利用者の要求水準 提供者の運営ルール
後述します。

い 責任制限;免責約款

故意や重過失も含む→不合理
消費者契約法の適用対象の場合,効力の制限あり;8条

う 情報セキュリティ,秘密保持

開示,第三者への委託の有無,範囲

え 契約改定

一方的に変更できる
その場合の中途解約,違約金等の有無 
乗り換え禁止条項

お 契約終了時のデータ取り扱い

バックアップを含めたデータの消去

か 準拠法,管轄,仲裁条項

仲裁機関→信頼性,専門性,手続き上の負担(費用,時間)
準拠法,管轄→コスト(費用,時間)に関わる

(2)クラウドサービス利用契約の中のサービスレヴェルアグリーメント

クラウドサービス利用契約の中の重要項目の1つがサービスレヴェルアグリーメント(SLA)です(上記『あ』)。
要するに,サービス内容,品質を特定する規定です。
この点,経済産業省がガイドラインとして,サービスレヴェルアグリーメントの構成要素を公表しています。

<サービスレヴェルアグリーメント(SLA)の構成要素>

・前提条件 サービスレヴェルに影響を及ぼす前提条件
・委託範囲 委託内容がカヴァーする範囲
・役割,責任 利用者とSaaS提供者の役割,責任の分担表
・サービスレヴェル項目 管理対象となるサービス別に設定される評価項目,要求水準→後述
・結果対応 サービスレヴェルが達成されなかった場合の対応;補償
・運営ルール 利用者とSaaS提供者間のコミュニケーション(報告・連絡)のルール,体制
※経済産業省SaaS向けSLAガイドラインより抜粋

これらの中でサービスレヴェル項目については,ガイドライン上,次のようになっています。

<SaaSのためのサービスレヴェル項目>

あ アプリ運用

・サービス稼働率
・平均復旧時間

い サポート

・提供時間帯

う データ管理

・バックアップデータ保管期間
・データ消去の要件
 →サービス終了後のデータ消去時期等

え セキュリティ

・通信の暗号化レヴェル
 →SSLやVPNなどの,使用するプロトコル,技術
※産業通産省SaaS向けSLAガイドラインより抜粋

5 クラウドサービス利用のため取締役など会社内部の意思決定が必要

会社の業務において,クラウドサービスの活用が普及しています。
この場合,対象とする具体的な情報の規模,重要性によって取締役か取締役会の決議が必要となります。
クラウドサービスの利用を開始するにあたっては,決議機関に注意が必要です。

<クラウドサービス利用についての決議機関>

あ 『重要な業務執行』の該当性(会社法362条4項)

・対象とする情報の内容(質)と規模(量)によって判断される
 ↓該当する場合
 ・取締役会設置会社,委員会設置会社 → 取締役会決議
   ↑会社法362条4項

い 内部統制システムの一部となる場合

例;重要な個人情報,事業・技術的な機密情報

・取締役会設置会社,委員会設置会社 → 取締役会
  ↑会社法362条4項6号,416条1項1号ホ
・それ以外 → 取締役の決議
  ↑会社法348条2項,3項4号

う 『あ』,『い』以外の一般論

日常的な業務執行については,黙示的に,取締役が代表取締役やその他の担当責任者に権限が委譲されていると解釈されます。
一般的な業務執行と同様に遂行することになります。

6 上場企業がクラウドサービスを利用する場合『開示書類』への記載も必要

上場企業がクラウドサービス利用を導入する場合,一定の開示義務の対象となります。
万一の情報漏洩の際に,投資家その他の関係者に影響が大きいため,開示対象とされるのです。
該当する可能性のある開示制度をまとめます。

<上場企業におけるクラウドサービス利用が該当する可能性のある開示制度>

あ 有価証券報告書

(企業内容等の開示に関する内閣府令)開示府令第2号様式記載上の注意(33)a

い 事業報告

会社法施行規則118条2項

う 内部統制報告書

金商法24条の4の4第1項

7 医療機関のクラウドサービス利用|ガイドライン制定→普及へ

診療記録などをクラウド上で保管,管理することのメリットは以前から指摘されていました。
特に平成23年3月の東日本大震災における診療記録紛失,喪失が多く生じ,クライドであれば避けられた状況が現実化しました。

診療記録は,重要性が非常に高いので,公的なルールがない中で導入することは事実上困難でした。
平成22年2月に,厚生労働省から,医療録等の保存に関するガイドラインが公表されました。
また,総務省,経済産業省からも,クラウド事業者向けの医療情報を扱うことに関するガイドラインが公表されました。
これらのガイドラインに沿って,医療情報についてクラウドサービスを利用することが現実に行われ始めています。
各種ガイドラインの概要を次に示します。

<医療情報×クラウド利用|ガイドライン>

あ 医療機関向け

診療録等 の保存を行う場所について
平成 14 年 3 月 29 日付け医政発第 0329003 号・ 保発第 0329001 号
厚生労働省医政局長・保険局長通知
《内容抜粋》
ア 外部保存の対象とする記録等の範囲
イ 診療録等の外部保存を行う際の基準
ウ 電子媒体により外部保存を行う際の留意事項

い クラウド事業者向け

ア 総務省
ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン
イ 経済産業省
医療情報を受託管理する情報処理事業者向けガイドライン

8 弁護士業務×クラウドサービス利用|日弁連ガイドライン

弁護士業務では顧客の機密性の高い情報を扱います。
一方で『クラウドの利用』による利便性向上も有用です。
この点公的なルールとしては日弁連のガイドラインがあります。
利用自体は禁止されておらず,利用上の注意点の概要が指摘されています。

<弁護士業務におけるクラウド利用のガイドライン>

あ 『外部サービス』の選択

規約・約款上の『守秘条項』の確認
条項がない場合は当該サービスを利用しない
《守秘条項》
外部サービス事業者が『第三者への情報提供をしない』ことを保証する条項

い クラウド利用に伴うアクセス制限・管理

相当のアクセス制限措置を講じる
第三者がなりすまして当該外部サービスを利用できないように注意する
例;適切なログインID・パスワードの設定

う クラウド利用終了時のデータ消去

外部サービスの利用を停止する時
→外部サービスで保管しているデータを確実に消去する
※日弁連|弁護士情報セキュリティガイドライン『第6−4』

9 『文書保存義務』は『オンラインデータ』での代用が認められている

一般的に,法令上の『文書保存義務』については,『電磁的記録』で代用することが認められています(e文書法3条)。

また,条文上,サーバの所在地について制限はありません。
海外に所在するサーバでも問題ないと考えられます。
この点,国税庁は公式見解として,海外所在のサーバ利用を肯定しています(国税庁HP;電子帳簿保存法Q&A;Q80)。
なお,この見解においては,事務的な負担軽減策としてIT技術を利用することを促進するという趣旨が指摘されています(電子帳簿保存法1条)。

条文

[個人情報の保護に関する法律]
(委託先の監督)
第二十二条  個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

(第三者提供の制限)
第二十三条  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一〜四(略)
2〜3(略)
4  次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一  個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二  合併その他の事由による事業の承継に伴って個人データが提供される場合
三  個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5(略)

[消費者契約法]
(事業者の損害賠償の責任を免除する条項の無効)
第八条  次に掲げる消費者契約の条項は、無効とする。
一  事業者の債務不履行により消費者に生じた損害を賠償する責任の全部を免除する条項
二  事業者の債務不履行(当該事業者、その代表者又はその使用する者の故意又は重大な過失によるものに限る。)により消費者に生じた損害を賠償する責任の一部を免除する条項
三  消費者契約における事業者の債務の履行に際してされた当該事業者の不法行為により消費者に生じた損害を賠償する民法 の規定による責任の全部を免除する条項
四  消費者契約における事業者の債務の履行に際してされた当該事業者の不法行為(当該事業者、その代表者又はその使用する者の故意又は重大な過失によるものに限る。)により消費者に生じた損害を賠償する民法 の規定による責任の一部を免除する条項
五  消費者契約が有償契約である場合において、当該消費者契約の目的物に隠れた瑕疵があるとき(当該消費者契約が請負契約である場合には、当該消費者契約の仕事の目的物に瑕疵があるとき。次項において同じ。)に、当該瑕疵により消費者に生じた損害を賠償する事業者の責任の全部を免除する条項
2(略)

[会社法]
(業務の執行)
第三百四十八条  取締役は、定款に別段の定めがある場合を除き、株式会社(取締役会設置会社を除く。以下この条において同じ。)の業務を執行する。
2  取締役が二人以上ある場合には、株式会社の業務は、定款に別段の定めがある場合を除き、取締役の過半数をもって決定する。
3  前項の場合には、取締役は、次に掲げる事項についての決定を各取締役に委任することができない。
一  支配人の選任及び解任
二  支店の設置、移転及び廃止
三  第二百九十八条第一項各号(第三百二十五条において準用する場合を含む。)に掲げる事項
四  取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備
五  第四百二十六条第一項の規定による定款の定めに基づく第四百二十三条第一項の責任の免除
4  大会社においては、取締役は、前項第四号に掲げる事項を決定しなければならない。

(取締役会の権限等)
第三百六十二条  取締役会は、すべての取締役で組織する。
2  取締役会は、次に掲げる職務を行う。
一  取締役会設置会社の業務執行の決定
二  取締役の職務の執行の監督
三  代表取締役の選定及び解職
3  取締役会は、取締役の中から代表取締役を選定しなければならない。
4  取締役会は、次に掲げる事項その他の重要な業務執行の決定を取締役に委任することができない。
一  重要な財産の処分及び譲受け
二  多額の借財
三  支配人その他の重要な使用人の選任及び解任
四  支店その他の重要な組織の設置、変更及び廃止
五  第六百七十六条第一号に掲げる事項その他の社債を引き受ける者の募集に関する重要な事項として法務省令で定める事項
六  取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備
七  第四百二十六条第一項の規定による定款の定めに基づく第四百二十三条第一項の責任の免除
5(略)

(委員会設置会社の取締役会の権限)
第四百十六条  委員会設置会社の取締役会は、第三百六十二条の規定にかかわらず、次に掲げる職務を行う。
一  次に掲げる事項その他委員会設置会社の業務執行の決定
イ 経営の基本方針
ロ 監査委員会の職務の執行のため必要なものとして法務省令で定める事項
ハ 執行役が二人以上ある場合における執行役の職務の分掌及び指揮命令の関係その他の執行役相互の関係に関する事項
ニ 次条第二項の規定による取締役会の招集の請求を受ける取締役
ホ 執行役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備
二  執行役等の職務の執行の監督
2〜4(略)

[会社法施行規則]
第百十八条  事業報告は、次に掲げる事項をその内容としなければならない。
一(略)
二  法第三百四十八条第三項第四号 、第三百六十二条第四項第六号並びに第四百十六条第一項第一号ロ及びホに規定する体制の整備についての決定又は決議があるときは、その決定又は決議の内容の概要
三(略)

[金融商品取引法]
(財務計算に関する書類その他の情報の適正性を確保するための体制の評価)
第二十四条の四の四  第二十四条第一項の規定による有価証券報告書を提出しなければならない会社(第二十三条の三第四項の規定により当該有価証券報告書を提出した会社を含む。次項において同じ。)のうち、第二十四条第一項第一号に掲げる有価証券の発行者である会社その他の政令で定めるものは、内閣府令で定めるところにより、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書(以下「内部統制報告書」という。)を有価証券報告書(同条第八項の規定により同項に規定する有価証券報告書等に代えて外国会社報告書を提出する場合にあつては、当該外国会社報告書)と併せて内閣総理大臣に提出しなければならない。
2〜6(略)

[民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律;e文書法]
(電磁的記録による保存)
第三条  民間事業者等は、保存のうち当該保存に関する他の法令の規定により書面により行わなければならないとされているもの(主務省令で定めるものに限る。)については、当該法令の規定にかかわらず、主務省令で定めるところにより、書面の保存に代えて当該書面に係る電磁的記録の保存を行うことができる。
2  前項の規定により行われた保存については、当該保存を書面により行わなければならないとした保存に関する法令の規定に規定する書面により行われたものとみなして、当該保存に関する法令の規定を適用する。

[電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律;電子帳簿保存法]
(趣旨)
第一条  この法律は、情報化社会に対応し、国税の納税義務の適正な履行を確保しつつ納税者等の国税関係帳簿書類の保存に係る負担を軽減する等のため、電子計算機を使用して作成する国税関係帳簿書類の保存方法等について、所得税法 (昭和四十年法律第三十三号)、法人税法 (昭和四十年法律第三十四号)その他の国税に関する法律の特例を定めるものとする。