個人データを、ビジネスを守る、IIJ

【回答公開中】
IaaSのクラウドベンダーのGDPR適用について


  • 2020年9月7日

01. 総則

質問

GDPRでは、EUに所在するデータ主体の個人データを保管しているIaaSのクラウドベンダーについて、個人データへのアクセスができないが保管をしているのでデータ処理をしていることにあたり、EU個人データの処理者として、GDPRが適用されると認識しておりました。ところが、IaaSのクラウドベンダーとはデータ処理契約は必要だが、GDPR適用はされないという話を聞きました。どのような解釈なのでしょうか? 前提は以下の通りです。管理者は日本の事業者で、EU域外(例えばアメリカ)のIaaSのクラウドに個人データを保管している。クラウドベンダー自身は GDPR3条2項記載の商品・サービスの提供、行動監視は行っていない。

回答

前提でお示しのように、GDPRの適用を受ける管理者が、米国からサービスを提供しているIaaSにGDPR適用対象データを保存し、IaaSベンダーがGDPRの域外適用を受けない場合を想定します。この場合、IaaSベンダーはGDPRの処理者の定義には該当しますが、処理者がEUに拠点を持たないので、GDPRの域外適用を受けないことになります。しかし、処理者が直接GDPRの適用を受けない場合であっても、管理者がGDPRの適用を受ける場合、管理者としては、GDPR28条に準拠する処理契約を処理者との間で締結する義務があります。この点については、EDPBによる地理的適用範囲のガイドライン (https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en) の11ページに明らかにされています。
以上の理由により、GDPRの適用を受ける管理者は、EU域外にあってGDPRの適用を受けない処理者に個人データを処理させる場合においても、GDPR28条に基づき、当該管理者を処理契約に基づき管理・監督する義務があります。

関連する記事