クラウドサービス

質問

クラウドサービスのように、データは処理せず、箱貸しのような場合（IaaSなど）、個人情報の委託先とは扱わなくてよいと思うのですが、GDPRでは、そのようなITベンダーであっても、何かあったときに（メンテなど）、個人データにアクセスできる可能性が少しでもあるならば、個人情報の委託先（処理者）として取り扱う必要があると理解していますが、正しいでしょうか？例えば、データのかたまりとして、バックアップ等はとれるものの、一つ一つの個人データにはアクセスできないような場合も、個人情報の処理者となるでしょうか？個人情報の処理者となる場合は、データ処理契約などの対応が必要になりますが、例えば、個人データにはアクセスしないなどの、書面による合意がある場合は、データ処理契約は不要となるでしょうか？
（この欄で紹介するQ&Aはこれまで多くのお客様からお寄せいただきました代表的な質問です。）