個人データを、ビジネスを守る、IIJ

クラウドサービス


  • 2018年8月21日

04.1. 管理者及び処理者/一般的義務

クラウドサービスのように、データは処理せず、箱貸しのような場合(IaaSなど)、個人情報の委託先とは扱わなくてよいと思うのですが、GDPRでは、そのようなITベンダーであっても、何かあったときに(メンテなど)、個人データにアクセスできる可能性が少しでもあるならば、個人情報の委託先(処理者)として取り扱う必要があると理解していますが、正しいでしょうか?例えば、データのかたまりとして、バックアップ等はとれるものの、一つ一つの個人データにはアクセスできないような場合も、個人情報の処理者となるでしょうか?個人情報の処理者となる場合は、データ処理契約などの対応が必要になりますが、例えば、個人データにはアクセスしないなどの、書面による合意がある場合は、データ処理契約は不要となるでしょうか?
(この欄で紹介するQ&Aはこれまで多くのお客様からお寄せいただきました代表的な質問です。)

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連する記事