「東京リージョンを利用しているから、個人情報保護法上の問題はない」—稟議の場でこのような説明を受けたとき、あなたはすぐに承認できますか。データの保存場所が国内であることは確かに重要ですが、それだけで法的要件を満たすとは言い切れません。個人情報保護法を所管する国の機関である個人情報保護委員会のQ&Aでも、サーバ所在地だけではなく、外国にある事業者が個人データを取り扱っているかなどの実態を踏まえて判断する考え方が示されています。
特に、オンラインストレージのようなSaaSでは、利用企業がサーバ構成や暗号鍵、保守アクセスの範囲をすべて自社で管理するわけではありません。ユーザーはサービス事業者にデータの保存・管理を委ねるため、国内リージョンの有無だけでなく、運営会社の所在国、準拠法、サポート担当者や再委託先からのアクセス可能性まで確認する必要があります。
この記事では、コンプライアンス担当者や総務・法務の方が稟議判断や上司への説明に使えるよう、SaaS型オンラインストレージを利用する場面を前提に、「国内リージョン選択が個人情報保護法上の義務履行にどこまで直結するか」を法的根拠に基づいて整理します。IT担当者に「法律はそちらで」と言われた状況でも、判断の軸を自分の言葉で持てるようになることを目指します。
Contents
「国内リージョン=法的OK」という誤解はなぜ生まれるか
サーバ所在地と法的義務は別問題
クラウドサービスを選ぶ際、「データが国内にある=安全・合法」という図式は直感的にわかりやすく、稟議説明でも使われやすい表現です。しかし、この図式は個人情報保護法の義務構造と正確には対応していません。
ここで注意したいのは、IaaSとSaaSでは、国内リージョン選択の意味が異なるという点です。IaaSでは、利用企業がリージョンを選び、ネットワーク構成、暗号化、アクセス管理などを自社で設計・運用する余地が大きくなります。一方、オンラインストレージのようなSaaSでは、データ保存やサービス運用を事業者に委ねるため、利用企業が確認すべき対象は「どこのリージョンに保存されるか」だけではありません。
個人情報保護法は、個人データの取り扱いを「個人情報取扱事業者」の責任として定めています。データがどこのサーバに置かれるかだけでなく、クラウド事業者が個人データを取り扱うのか、外国からアクセスできる体制があるのか、どの国の法制度の影響を受けるのかが確認対象になります。
外国にある第三者への提供に関する規律に加え、安全管理措置の一環として、外国において個人データを取り扱う場合には、その外国の個人情報保護制度等を把握することが求められています。
外的環境把握義務とは何を指すのか
2022年4月施行の改正個人情報保護法を受け、個人情報保護委員会のガイドラインでは、外国において個人データを取り扱う場合、その外国における個人情報保護制度等を把握し、安全管理措置を講じる必要があることが示されています。
ここで重要なのは、「外国において個人データを取り扱う」という要件です。外国にある事業者が運営するクラウドサービスで、日本国内リージョンを利用する場合、個人情報保護法上どのように整理されるのでしょうか。
個人情報保護委員会のQ&Aでは、サーバが国内にある場合でも、外国にある事業者が保存された個人データを取り扱っている場合には、外国にある第三者への提供に該当するとされています。一方で、契約上、クラウド事業者が保存データを取り扱わず、適切にアクセス制御している場合には、第三者提供に該当しない場合があります。
つまり、「東京リージョン利用可能」という一点だけでは、外的環境把握義務や外国第三者提供の該当性を判断できないのです。
SaaS型オンラインストレージで確認すべき責任分界
国内リージョン選択の評価は、利用するクラウドサービスの種類によって変わります。IaaSでは、利用企業がサーバやネットワーク、暗号化、アクセス制御を自社で構成するため、「どのリージョンに環境を構築するか」が重要な判断要素になります。
一方、オンラインストレージのようなSaaSでは、利用企業はサービス事業者が提供する仕組みの上でファイルを保存・共有します。そのため、確認すべきなのはリージョン設定だけではありません。サービス運営会社の所在国、準拠法、再委託先、サポート担当者のアクセス範囲、障害対応時のデータ取扱いなど、事業者側の運用体制まで含めて確認する必要があります。
つまり、SaaSにおける国内リージョン選択は、法的リスクを下げる要素の一つではありますが、それだけで法的要件の確認が完了するわけではありません。リージョン選択とあわせて、誰が、どの国のルールのもとで、どの範囲まで個人データにアクセスし得るのかを確認することが重要です。
法的要件を判断するための4条件
稟議承認前に確認すべき4つの観点
国内リージョン選択が法的要件を満たすかどうかを判断するには、以下の4つの条件を個別に確認する必要があります。これは個人情報保護法の構造から導かれる実務上の確認項目であり、単一の法令条文に直接対応するものではありませんが、ガイドラインやQ&Aの考え方を整理したものです。
① データの物理的所在地(リージョン設定)の確認
契約・設定上、データの保存先リージョンを国内に固定できるかを確認します。「東京リージョンが利用可能」と「東京リージョンのみに保存される」は異なります。ベンダーには、データが日本国外に複製・移転される可能性があるか、国内保存が契約または仕様上どこまで担保されるかを確認してください。
また、保存先だけでなく、バックアップ先、障害時のレプリケーション先、ログの保存先なども確認対象に含めると、稟議時の説明がしやすくなります。
② 契約の準拠法と管轄裁判所
クラウドサービスの利用規約または個別契約で、準拠法・管轄裁判所を確認します。
日本法・日本国内の裁判所であれば判断しやすい一方、外国法が指定されている場合は、その法制度の影響を確認する必要があります。たとえば米国法の影響を受ける事業者の場合、CLOUD Act などの越境データアクセスに関わる法制度の影響を検討する必要があり、外的環境把握や委託先管理の観点で確認すべき事項が増えます。
③ ベンダーの技術的・管理的アクセス可能性
サーバが国内にあっても、外国本社のエンジニアやサポートチームがそのデータに技術的にアクセスできる状態であれば、外国にある事業者が保存された個人データを取り扱っていると評価される場合があります。その場合、外国にある第三者への提供や外的環境把握の観点で確認が必要になります。
ベンダーには、契約または利用規約上、クラウド事業者や外国拠点の従業員・システムが、保存された個人データを取り扱う範囲がどこまで制限されているかを確認してください。確認すべき項目としては、外国拠点からの保守アクセスの有無、サポート時のデータ閲覧可否、暗号鍵の管理主体、再委託先の関与範囲などが挙げられます。
④ 外的環境把握義務の社内文書化
上記①〜③の確認結果を、安全管理措置の一部として社内文書に記録します。具体的には、リスク評価記録、委託先管理台帳、セキュリティチェックシート、稟議添付資料などが考えられます。
確認できた事項だけでなく、確認できなかった事項や今後の確認予定も記録しておくと、後日、社内監査や外部から確認を求められた際に、判断過程を説明する資料になります。
電子帳簿保存法との関係
電子帳簿保存法(電帳法)は、国税関係書類の電子データによる保存を規律する法律です。電帳法の保存要件では、真実性・可視性の確保が求められます。具体的には、訂正削除履歴や検索機能、見読可能性など、自社の保存対象に応じた要件確認が必要です。
電帳法においてデータの保存リージョン(国内・海外)を直接指定する規定はありません。ただし、税務調査への対応義務を確実に果たすためには、必要なデータを確認・提示・出力できる体制を整えておく必要があります。
この観点から、準拠法が日本法でないことや、データへのアクセス保証が曖昧なサービスを選ぶことは、実務上のリスクにつながる場合があります。
なお、クラウドサービスが「電子帳簿保存法対応」をうたっている場合でも、それだけで自社の運用が要件を満たすとは限りません。自社の対象書類、保存方法、設定、運用フローで、訂正削除履歴、検索機能、見読可能性などの要件を満たせるかを確認することが重要です。
SaaS型クラウドストレージの国内DC利用:法的評価の整理
「東京リージョン」だけでは法的要件充足の証明にはならない
外資系を含むクラウドサービスの中には、日本国内のデータセンターや国内リージョンを選択できるものがあります。しかし、SaaS型オンラインストレージを利用する場合、法的評価として重要なのは、単に「保存先が国内かどうか」だけではありません。
IaaSのように利用企業が自社で環境を設計・管理するサービスと異なり、SaaSではサービス事業者がシステム運用、保守、サポート、再委託管理などに関与します。そのため、国内DCを利用していても、外国法人や海外拠点がどの範囲でデータに関与し得るのかを確認する必要があります。以下の3点を区別して整理してください。
物理的所在地(≠法的所在地)
サーバが東京に設置されていても、そのサーバを管理する法人が外国法の影響を受ける場合があります。たとえば米国法の影響を受ける事業者の場合、CLOUD Actの対象となり得る点に注意が必要です。CLOUD Actとは、米国の法執行機関が一定の法的手続きに基づき、米国の管轄下にあるクラウド事業者等にデータ提出を求め得ることを明確化した法律です。データの物理的所在地が米国外であっても影響を受ける可能性があるため、契約条件や事業者の所在国を確認する必要があります。
これは、データが物理的に日本国内にあっても、外国の法制度がデータアクセスに影響しうることを意味します。ただし、実際に開示対象となるかどうかは、対象事業者、契約関係、保有・管理状況、法的手続きなどによって異なるため、稟議時には「影響があり得るため確認が必要」と整理するのが適切です。
サービス利用規約の準拠法
外資系クラウドサービスでは、利用規約の準拠法として外国法や本社所在地の法律が指定されている場合があります。この場合、その国の法制度やデータアクセス制度を把握し、安全管理措置や委託先管理に反映する必要が生じる可能性があります。
準拠法が日本法に設定されているか、日本法人との契約が成立しているか、個別契約で準拠法や管轄を変更できるかを確認することが重要です。
委託先の所在国と再委託
クラウドサービスでは、データセンター運営、システム保守、サポート業務などに再委託先や海外拠点が関与する場合があります。この再委託先や海外拠点が個人データにアクセス可能な場合、委託元である日本の利用企業は、当該国の個人情報保護制度等を把握し、安全管理措置に反映する必要が生じる可能性があります。
契約時には、再委託先の有無、所在国、アクセス範囲、再委託先の変更通知、監査権限や報告義務の有無も確認しておくと安心です。
国産クラウドとの法的比較
日本法人が提供し、国内で運用され、外国からの個人データ取扱いがないサービスであれば、外国制度に関する確認範囲は比較的限定しやすくなります。
ただし、「国産だから無条件に安全」とも言えません。個人情報保護法上の安全管理措置として、アクセス権限管理、暗号化、監査ログ保持、委託先管理、インシデント対応などの整備は、国産・外資を問わず共通して求められます。
比較の軸として整理すると、外資系クラウドの国内DC利用は「物理的な保存場所は国内にできる場合がある一方、適用法制や外国からの取扱い可能性を別途確認する必要がある」、国産クラウドは「外国制度に関する確認範囲は限定しやすい一方、機能・価格・運用体制は個別評価が必要」という構図になります。
稟議・上司説明に使える判断フロー
国内リージョン選択の法的充足を5ステップで確認する
コンプライアンス担当者として稟議にサインする前に、以下のフローで確認すると、「なぜこのサービスを選んだか」の説明責任を果たしやすくなります。
Step 1:データ所在地の契約上の固定を確認する
ベンダーに、データが日本国外に転送・複製される可能性があるか、国内保存が契約・仕様上どこまで担保されるかを確認します。「国内リージョンを選択可能」という表現だけでなく、保存先、複製先、バックアップ先、ログ保存先の扱いまで確認してください。
Step 2:準拠法と管轄を確認する
利用規約または個別契約の準拠法・管轄裁判所を確認します。準拠法が外国法の場合、その国の個人情報保護制度やデータアクセス制度の調査が必要になる可能性があることを、情報システム部門と法務に共有します。
Step 3:外国からのデータアクセス可能性を確認する
ベンダーの技術サポート体制・保守運用体制において、外国在籍の従業員や海外拠点、再委託先が個人データにアクセスできるかを確認します。契約または利用規約上、クラウド事業者や外国拠点の従業員・システムが、保存された個人データを取り扱う範囲がどこまで制限されているかを、書面または利用規約の条文で確認します。
Step 4:外的環境把握義務の文書化を行う
Step 1〜3の確認結果を、委託先管理台帳または安全管理措置のリスク評価記録として記録します。確認できた事項・確認できなかった事項の両方を記録することで、社内監査、取引先確認、個人情報保護法上の安全管理措置の説明資料として活用しやすくなります。
Step 5:電帳法対応の有無を確認する(対象業務が該当する場合)
経費精算・請求書など国税関係書類をそのサービスで管理する予定があれば、ベンダーが電子帳簿保存法対応をうたっているかに加え、訂正削除履歴、検索機能、見読可能性などの要件を、自社の運用設定で満たせるかを確認します。
「電帳法対応」と書かれていることだけではなく、自社の書類種別、保存フロー、運用ルールに照らして確認することが重要です。
まとめ
国内リージョンを選択することは、データ所在地を管理するうえで意味のある一歩ですが、それだけで法的要件を自動的に満たすわけではありません。特にオンラインストレージのようなSaaSでは、利用企業がすべての技術設定を自社で管理するわけではないため、サービス事業者の所在国、準拠法、外国からのアクセス可能性、再委託先、バックアップ先まで含めて確認する必要があります。
確認すべき4条件(データ所在地の契約上の担保、準拠法、外国からのアクセス可能性、外的環境把握義務の文書化)を押さえることで、稟議承認の根拠を自分の言葉で説明しやすくなります。
外資系SaaSの国内DC利用については、CLOUD Act など外国法制の影響が残りうる点を念頭に置き、準拠法に加え、外国からのアクセス可能性、再委託先、バックアップ先も重要なチェック項目として位置づけてください。一方で、日本法人が提供し、国内運用や国内サポート体制を明確にしているサービスであっても、アクセス権限管理、監査ログ、委託先管理などの安全管理措置は個別に確認する必要があります。
