世界のプライバシー保護規制対応を支援するサイト

今すぐ会員登録する
個別説明ご希望の方
無料資料ダウンロード

IaaSのクラウドベンダーのGDPR適用について

  • 2020年9月7日

欧州

米国

GDPR

データ主体

処理者

管理者

個人データ

質問

GDPRでは、EUに所在するデータ主体の個人データを保管しているIaaSのクラウドベンダーについて、個人データへのアクセスができないが保管をしているのでデータ処理をしていることにあたり、EU個人データの処理者として、GDPRが適用されると認識しておりました。ところが、IaaSのクラウドベンダーとはデータ処理契約は必要だが、GDPR適用はされないという話を聞きました。どのような解釈なのでしょうか? 前提は以下の通りです。管理者は日本の事業者で、EU域外(例えば米国)のIaaSのクラウドに個人データを保管している。クラウドベンダー自身は GDPR3条2項記載の商品・サービスの提供、行動監視は行っていない。

回答

前提でお示しのように、GDPRの適用を受ける管理者が、米国からサービスを提供しているIaaSにGDPR適用対象データを保存し、IaaSベンダーがGDPRの域外適用を受けない場合を想定します。

コンテンツをご覧になるにはログインが必要です

ログイン

SNSで記事をシェア

関連する記事

ポーランドのデータ保護当局は、2024年3月12日、Toyota Bank Polska S.A.に対し、GDPR第33条第1項の個人データ侵害の報告を怠ったとして、78,575ズウォティ(約300万円)の制裁金を課した。
  • 2024年4月17日
ポーランド データ侵害報告義務違反でトヨタ系金融機関に制裁金
2024年3月25日、フロリダ州知事が、未成年者のオンライン保護に関する法案に署名し、法律として成立した。
  • 2024年4月15日
米国 フロリダ州 未成年者オンライン保護法が成立
フィンランドのデータ保護当局Tietosuojavaltuutetun toimisto(データ保護オンブズマン庁)は、2024年3月18日、フィンランドの EC事業者である Verkkokauppa.com Oyjが、同社のECサイト利用時に1回のみの購入をする場合であっても顧客にアカウント作成を要求し、また、顧客のアカウントデータの保存期間を定めなかったことが、GDPRに違反するとして約85万6000ユーロ(約1億4000万円)の制裁金を課した。
  • 2024年4月15日
フィンランド 保存期間違反でEC事業者に85万ユーロの制裁金
欧州司法裁判所は、2024年3月14日、データ主体が削除要求を行っていない場合でも、各加盟国のデータ保護当局は、GDPR第58条(2)(d)および(g)に基づき、違法に処理されたデータを削除するよう命令できるとする予備判決を下した
  • 2024年4月12日
CJEU データ保護当局は権利行使がなくても個人データ削除を命令できると判断
Google LLCは、シークレットモードを利用したブラウジングデータをユーザーの同意なく収集したとして、Googleに対して提起されていた集団訴訟に関し、過去に収集した数十億件のシークレットモードでのブラウジングデータを削除する旨の和解に合意した。
  • 2024年4月8日
Google シークレットモードで収集された数十億件の閲覧データの破棄に同意
オンライン相談ルーム
IIJのコンサルタントへ質問や
作業支援の依頼が可能です
3分でわかるBizRis動画
BizRis公式アカウントを
フォローして最新情報をチェック
よくあるご質問
世界のプライバシー保護規制調査レポート
マンガページトップ

アクセスランキング

1
2
3
4
5
無料eBook一覧

欧米日クッキー規制対応のバナー実装と運用ルール策定時のポイント

Google Analyticsと改正個人情報保護法~法令遵守上のポイントと透明性確保の重要性
IIJのプライバシー保護規制
対応ソリューション

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。