SaaS・クラウド利用時の個人データ管理

（1）個人データの取扱いの委託（法27条5項1号）。最も一般的な構成です。SaaSベンダーに個人データを預け、ベンダーがデータに対して処理を行う場合に該当します。委託先の監督義務（法25条）が生じ、外国事業者の場合は越境移転規制（法28条）への対応も必要です。

（2）クラウド例外（Q&A7-53）。①契約条項等でデータを取り扱わない旨が定められ、②適切にアクセス制御を行っている場合は「提供」に該当せず、監督義務や越境移転規制の適用を受けません。ただし、SaaSへの適用は一般に困難とされています。

（3）外部送信規律（電気通信事業法）。Cookie、タグ、SDK等を通じて外部に情報を送信する場合に適用される可能性があります。個人データに限らず端末から送信される情報全般が対象です。

判定1：個人データを預けるか。預けない場合は個人情報保護法上の対応は不要ですが、外部送信規律の対象にはなり得ます。

判定2：クラウド例外が適用できるか。サービスがデータに対して編集・分析等の処理を行うか（行う場合は原則不可）、契約条項でデータ不取扱いが定められているか、暗号化の鍵管理がユーザー側か事業者側か、障害時・政府要請時のアクセス範囲を確認します。不適用の場合は「委託」として整理し、DPAの確認が必要です（確認項目は社内AIガイドラインの作り方のステップ2を参照）。

判定3：外部送信規律が適用されるか。自社が「電気通信事業を営む者」に該当する場合に適用されます。オンラインサービス事業者の多くが該当し得ます。対応方法は通知又は公表が最も一般的です。

クラウド例外が適用される場合でも、自社の安全管理措置（アクセス権限設定、暗号化等）は免除されません。また、サーバ所在国の把握義務（法32条1項4号）も残ります。

新規サービス導入時、利用規約・DPA変更時、新たなタグ・SDK追加時、法令改正時に見直しが必要です。棚卸し結果はPIAと連動させると、インシデント時の影響範囲特定が速くなります（関連：PIAの始め方）。

法律事務所LEACTでは、SaaS・クラウド利用に関する法的構成の整理、DPAレビュー、委託先管理体制の構築、外部送信規律への対応を一貫して支援しています。