日本法人との契約だが、データセンターは米国のクラウドを利用しているが、個人情報保護方針書に何か記載が必要か?
以下のクラウド利用状況について、個人情報保護方針書になんらかの記載が必須となるのか、ご教示いただけますでしょうか。
日本法人との契約だが、データセンターは米国というクラウドを利用しています。
クラウドサービス事業者が保管された個人データを取り扱う場合や取り扱わない場合でも、米国のサーバーに個人データを保管することを保護方針にて公表する必要が、ありますでしょうか。
その他、記載すべき事項があれば、ご教示いただけますと幸いです。
個人情報保護法やJISQ15001にて、「本人が容易に知り得る」や「公表する」とされている事項で該当するものを「個人情報保護方針」に追記する場合もありますが、基本、「個人情報保護方針」には、JISQ15001の5.2.2(個人情報保護方針の記載事項)が含まれていれば問題ないかと思います。
ただ、JISQ15001の5.2.2のa)にて、以下のようにあるため、ご質問の「クラウドサービスに個人データを保管」に関することも公表すべきかは、組織の判断になるかと思います。
この事項を記載すると決めた場合は、今後、クラウドサービス利用に関して変更が生じた時、個人情報保護方針も変更するということになります。
記載する場合は、どのように記載するかを検討する必要があるかと思います。
JIS Q 15001 5.2.2(個人情報保護方針の記載事項)
a)事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いを行わないこと,及びそのための措置を講じることを含む。)
なお、「個人情報保護方針」に記載しても良いのですが、先述した個人情報保護法やJISQ15001にて「本人が容易に知り得る」や「公表する」とされている事項で該当するものは、ホームページなどにより公表する必要がありますので、ご注意下さい。
外国にあるサーバに個人データを保存する場合は、「外国にある第三者への提供」に該当する場合もあります。
以下の個人情報保護委員会のよくある質問も、ご参考ください。
個人情報保護委員会(FAQ)
