SaaS・クラウドサービス利用時の個人情報チェック|契約前に見るべき項目
この記事を、次の案件で使える形に。
読んだ確認観点を、次に使える“型”にして手元に残せます。
契約・広告表示・社内説明など、用途別に確認できます。
SaaS・クラウドサービスは、いまや営業、人事、法務、総務、情シス、採用、マーケティングなど、あらゆる部署で当たり前に使われるようになりました。CRM、採用管理システム、人事労務SaaS、メール配信ツール、名刺管理アプリ、生成AIサービス——どれも個人データを扱う場面があります。
便利な一方で、個人データをクラウドに保存・処理させる場合は、利用規約や料金だけでなく、委託・第三者提供・外国提供・安全管理措置・漏えい時通知・契約終了時の削除といった個人情報保護法上の確認が必要です。本記事では、SaaS・クラウドサービス利用時に、契約前に見るべき個人情報チェック項目を初心者向けに整理します。
第7話で委託・第三者提供・共同利用の違いを学びました。第14話は、それをSaaS・クラウドという具体的な場面に当てはめる回です。SaaS導入を萎縮させるためではなく、契約前に確認し、導入後に運用すれば、適正に使いやすくなる——その視点で読んでください。
読んだだけで終わると、次の案件でまたゼロから考えることになります。
社内説明の文面も、確認メモも、AIへの指示文も、毎回イチから。用途別に実務ツールを確認できます。
用途別に実務ツールを確認する→迷ったら、用途を選ぶだけの 1分診断 →
まず結論|SaaS導入前に見るべき5つの視点
SaaS・クラウド利用時には、少なくとも次の5つの視点で確認します。この順番で見れば、論点を取りこぼしにくくなります。
- どの個人データを保存・処理するか
- サービス提供者が個人データを取り扱うか
- 委託・第三者提供・クラウド例外のどれに近いか
- 海外保存・外国事業者・再委託があるか
- 漏えい時通知・データ削除・契約終了時処理があるか
| 確認項目 | 見るべき内容 | リスク | 主な関係部署 | 関連記事 |
|---|---|---|---|---|
| ① 取り扱う個人データ | 何を保存・処理するか | 把握不足 | 事業部門・法務 | 第2話 |
| ② 提供者の取扱い | 提供者が個人データを扱うか | 分類の誤り | 法務・情シス | 本記事 第4章 |
| ③ 委託・提供・例外の分類 | どれに近いか | 監督義務の見落とし | 法務 | 第7話 |
| ④ 海外関連 | 保存国・外国事業者・海外サポート・再委託 | 外国提供・外的環境の把握・外国取扱いの見落とし | 法務・情シス | 本記事 第8章 |
| ⑤ 漏えい・削除 | 通知・削除・終了時処理 | 事故時の対応不足 | 法務・情シス | 第10話 |
SaaS・クラウドで扱う個人データの種類
まず、そのサービスでどんな個人データを扱うかを把握することが出発点です。扱う情報の機微さによって、確認の優先度も変わります。
| サービス種別 | 主な個人データ | リスク | 主な関係部署 | 関連記事 |
|---|---|---|---|---|
| CRM | 顧客情報・商談履歴 | 権限過大・委託先管理 | 営業・法務 | 第13話 |
| MAツール | 見込み顧客情報・行動履歴 | 想定外の連携・利用 | マーケ・法務 | 第13話 |
| メール配信ツール | 配信先情報 | 誤配信・委託先管理 | マーケ・法務 | 第13話 |
| 名刺管理アプリ | 名刺情報 | 共有設定・海外保存 | 営業・情シス | 第13話 |
| 採用管理システム | 応募者情報 | 機微情報の管理 | 人事・法務 | 第11話 |
| 人事労務SaaS | 従業員情報 | 要配慮情報の管理 | 人事・法務 | 第12話 |
| 給与計算システム | 給与・口座情報 | 財産情報の漏えい | 人事・経理 | 第12話 |
| クラウドストレージ | 契約書・本人確認資料 | 共有設定ミス | 全部署・情シス | 第9話 |
| チャットツール | 相談・問い合わせ情報 | 不適切な共有 | 全部署 | 第9話 |
| 生成AIサービス | 入力情報 | 外部送信・学習利用 | 全部署・法務 | AI委託チェック |
クラウドサービス利用は第三者提供か、委託か、提供に当たらないのか
クラウドサービス利用の個人情報保護法上の整理は、一律ではありません。個人情報保護委員会のQ&Aを踏まえると、サービス提供者が個人データを取り扱うか、契約条項、アクセス制御、処理内容によって整理する必要があります。大きく次の3つに分けて考えると理解しやすくなります。
| 分類 | 典型例 | 確認ポイント | 注意点 | 関連記事 |
|---|---|---|---|---|
| 委託に近い場合 | 提供者が自社の利用目的の範囲内で個人データを処理 | 委託先の監督(法25条)・契約 | 報告対象事態では委託元・委託先双方が報告義務を負い得る(委託先が委託元に通知すれば委託先は免除) | 第7話 |
| 第三者提供に近い場合 | 提供者・第三者が独自目的で個人データを利用 | 本人同意・通知公表等の根拠 | 提供記録等の検討 | 共有の実務 |
| 「提供」に該当しない整理(いわゆるクラウド例外) | 提供者が当該個人データを取り扱わないこととなっている | 契約条項・アクセス制御 | 自社の安全管理措置は必要 | 本記事 第5章 |
委託・第三者提供・共同利用の基本的な違いは第7話:第三者提供・委託・共同利用の違いで整理しています。本記事では、クラウド特有の論点に絞って見ていきます。
「クラウド例外」と呼ばれる整理に注意
実務上「クラウド例外」と呼ばれることがある整理があります。これは法令上の正式名称ではなく、クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合に、個人データの「提供」に該当しないと整理される場面を指す実務上の呼び方です。個人情報保護委員会のQ&Aでは、クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合には、個人データの提供に該当しないと説明されています。具体的には、契約条項によってサービス提供者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合などが想定されています。この場合、委託(法27条5項1号)にも該当せず、委託先の監督義務(法25条)は生じないと整理されます。
ただし、「クラウド例外なら何も確認しなくてよい」わけではありません。提供に該当しない場合でも、利用事業者は自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります(個人情報保護委員会Q&A)。また、この場合に報告対象となる漏えい等が発生したときは、利用事業者が報告義務を負うと整理されています。「クラウドに入れれば自社の責任はなくなる」のではありません。
| 確認項目 | 見るべき内容 | リスク | 対応例 |
|---|---|---|---|
| 契約条項 | 提供者が個人データを取り扱わない旨があるか | 実態と契約の不一致 | 規約・DPAを確認 |
| アクセス制御 | 適切に制御されているか | 提供者による閲覧 | アクセス制御を確認 |
| サポート・障害対応 | 保守・運用時に提供者が閲覧し得るか | 常時アクセス可能・実際に取り扱う場合は例外整理が崩れる | 原則アクセスしない・アクセス時は利用者の都度承認・独自目的で利用しない取扱いが契約と運用で確保されているか確認 |
| ログ・メタデータ・バックアップ | どう扱われるか | 想定外の取扱い | 取扱い範囲を確認 |
| 再委託先・外国拠点 | 関与があるか | 外国・再委託の見落とし | 関与の有無を確認 |
| 自社の安全管理措置 | 利用者側の措置があるか | 設定ミス・権限過大 | 権限・設定を管理 |
個人情報保護委員会は2024年に、クラウドサービス提供事業者が実際には個人データを取り扱っていた事案について注意喚起を行っています。契約上「取り扱わない」となっていても、実態として取り扱っている場合は委託と整理される可能性があります。形式だけでなく、実際の取扱いを確認することが大切です。
委託に当たる場合の確認ポイント
SaaS・クラウド利用が委託に当たる場合(提供者が自社の利用目的の範囲内で個人データを処理する場合)は、委託先の必要かつ適切な監督が問題になります(法25条)。契約前に、次の項目を確認しておきましょう。
| 確認項目 | 見るべき内容 | 契約・運用上の対応 | 関連記事 |
|---|---|---|---|
| 委託業務の範囲 | 何を委託するか | 範囲を明確化 | 第7話 |
| 目的外利用の禁止 | 独自利用の禁止 | 規約・DPAで確認 | 契約条項 |
| 再委託の可否・条件 | 再委託の管理 | 条件を確認 | 契約条項 |
| 安全管理措置 | 提供者の管理体制 | セキュリティ資料を確認 | 第8話 |
| 漏えい時の通知 | 事故時の連絡 | 通知条項を確認 | 第10話 |
| 監査・報告 | 履行状況の確認 | 報告体制を確認 | 契約条項 |
| データ返還・削除 | 終了時の取扱い | 削除条項を確認 | 本記事 第11章 |
| サポート時のアクセス | 保守時の閲覧範囲 | 取扱い範囲を確認 | 本記事 第5章 |
委託契約・DPAの詳細な条項は個人情報と契約条項で扱います。本記事では契約前の確認ポイントの整理にとどめます。
第三者提供に当たる場合の確認ポイント
サービス提供者や提携先が、取得した個人データを独自目的で利用する場合は、第三者提供の論点が生じ得ます。たとえば、広告配信事業者が自社目的で利用する、外部プラットフォームが分析・広告目的で利用する、提携先が見込み顧客情報を自社営業に使う、といったケースです。SaaS事業者がサービス改善やAI学習等に利用する可能性がある場合も、利用規約を確認する必要があります。
| 確認項目 | 見るべき内容 | 注意点 | 関連記事 |
|---|---|---|---|
| 提供者の利用目的 | 独自利用があるか | 規約での利用範囲 | 第7話 |
| 本人同意 | 同意が必要か | 取得時の同意 | 第4話 |
| 通知・公表 | 本人への説明 | ポリシーへの反映 | 第4話 |
| オプトアウト | 停止の仕組み | 本人対応 | 第13話 |
| 提供記録 | 確認・記録義務 | 記録の作成・保管 | 共有の実務 |
第三者提供の詳細は第7話、個人情報はどこまで共有できるかをご覧ください。
外国事業者・海外サーバ・外国再委託先の確認
SaaS・クラウドでは、契約先が日本法人でも、サーバ、運営会社、サポート拠点、再委託先、グループ会社が海外にある場合があります。外国が関係する場合は、外国にある第三者への提供(法28条)や、外的環境の把握の論点を確認する必要があります。
個人情報保護委員会の整理では、外国にある第三者に個人データの取扱いを委託する場合は、外国にある第三者への提供(法28条第1項)に該当します。一方、クラウド事業者が当該個人データを取り扱わないこととなっている場合は、サーバが外国にあっても、そもそも提供に該当しないため、外国にある第三者への提供にも該当しないと整理されます。ただし、その場合でも外的環境の把握として、保存国の制度等を踏まえた安全管理措置が必要になります。
| 確認項目 | 見るべき内容 | リスク | 対応例 |
|---|---|---|---|
| 契約先の法人 | 日本法人か外国法人か | 契約先だけで判断する誤り | 実態を確認 |
| サービス提供主体 | 誰が運営するか | 外国事業者の関与 | 運営主体を確認 |
| データ保存国 | どこに保存されるか | 海外保存の見落とし | 保存国を確認 |
| サポート拠点 | どこから対応するか | 海外からのアクセス | アクセス元を確認 |
| 再委託先 | 海外再委託があるか | 外国再委託の見落とし | 再委託先を確認 |
| 外的環境の把握(法32条) | 保存国・外国事業者の制度 | 外国名の明示・措置の公表漏れ | 外国の名称を明らかにし制度等を把握、講じた措置を本人の知り得る状態に置く |
| 外国提供の手続(法28条) | 同意か基準適合体制か | 手続・情報提供の見落とし | 本人同意(外国名・制度・措置の情報提供)または基準適合体制(相当措置の継続的確保・本人の求めに応じた情報提供)を確認 |
「サーバが国内なら外国提供の論点は絶対にない」「日本法人と契約しているから海外取扱いは関係ない」とは断定できません。外国事業者の関与、海外サポート拠点からのアクセス、外国の再委託先などにより、外国提供や外的環境の把握の論点が生じ得ます。とくに、外国にある第三者が提供するクラウドサービスを利用する場合は、クラウド事業者が個人データを取り扱わない整理であっても、外的環境の把握(外国の名称の明示・制度等の把握・講じた措置の公表)が問題になります。個人情報保護委員会のQ&Aでは、個人データが日本国内のサーバに保存される場合でも同様とされています。契約先の所在地だけで判断せず、実態を確認しましょう。
DPA・利用規約・セキュリティ資料で見るべき項目
SaaS契約では、料金表やサービス機能だけでなく、利用規約、DPA(データ処理に関する取り決め)、プライバシーポリシー、セキュリティ資料、再委託先一覧、SLA、サポート規約などを確認する必要があります。これらに、個人データの取扱いに関する重要な情報が書かれています。
| 資料 | 確認内容 | 見落としやすい点 | 主な関係部署 |
|---|---|---|---|
| 利用規約 | 個人データの取扱い・利用範囲 | 提供者の独自利用条項 | 法務 |
| DPA | 委託・処理の取り決め | 再委託・削除の規定 | 法務 |
| プライバシーポリシー | 提供者の利用目的 | 第三者提供・学習利用 | 法務 |
| セキュリティ資料 | 安全管理措置の状況 | 認証・対策の範囲 | 情シス |
| 再委託先一覧 | 再委託先・所在地 | 海外再委託 | 法務・情シス |
| データ所在地資料 | 保存国・リージョン | 海外保存 | 情シス |
| インシデント通知資料 | 事故時の通知体制 | 通知期限・範囲 | 法務・情シス |
| 契約終了時の処理 | データの返還・削除 | バックアップの扱い | 法務・情シス |
「利用規約に同意すれば個人情報保護法上の確認は終わり」「DPAがあれば再委託先や漏えい時通知を見なくてよい」とはなりません。DPAがあっても、再委託先・データ保存国・漏えい時通知・削除条項は個別に確認する必要があります。
漏えい時通知・インシデント対応条項
SaaS・クラウド利用時には、漏えい等が発生したときに、どのタイミングで、誰に、どの内容を通知してもらえるかが重要です。事故が起きてから「通知の取り決めがなかった」と気づくと、初動が遅れます。
| 確認項目 | 見るべき内容 | リスク | 関連記事 |
|---|---|---|---|
| 通知期限 | いつ通知してもらえるか | 通知の遅れ | 速報・確報 |
| 通知先 | 誰に通知が来るか | 連絡先の不明確 | 第10話 |
| 通知内容 | 何を知らせてもらえるか | 判断材料の不足 | 第10話 |
| 調査協力・ログ提供 | 調査に協力するか | 事実確認の遅れ | 第10話 |
| 再委託先事故 | 再委託先での事故の扱い | 把握外の事故 | 契約条項 |
| 本人通知・委員会報告への協力 | 報告・通知への協力 | 役割分担の不明確 | 速報・確報 |
| 復旧・再発防止 | 復旧体制 | 復旧の遅れ | 第8話 |
漏えい時の初動は第10話、報告義務の詳細は速報・確報の報告義務をご覧ください。クラウド例外の整理の場合、報告義務は利用事業者が負うのが原則です。
データ返還・削除・契約終了時の処理
SaaS・クラウド契約では、契約終了時に個人データを返還できるか、削除されるか、バックアップに残るか、削除証明が出るかを確認する必要があります。「契約終了時に自動的に全データが削除される」とは限りません。
| 確認項目 | 見るべき内容 | リスク | 対応例 |
|---|---|---|---|
| エクスポート可否 | データを取り出せるか | データの取り残し | 移行手順を確認 |
| 削除手続 | どう削除するか | 削除されない | 削除手順を確認 |
| 削除期限 | いつ削除されるか | 残存期間が長い | 期限を確認 |
| バックアップからの削除 | バックアップも消えるか | バックアップに残存 | 扱いを確認 |
| 削除証明 | 証明が出るか | 削除を確認できない | 証明の有無を確認 |
| 再委託先からの削除 | 再委託先も消えるか | 再委託先に残存 | 範囲を確認 |
| 契約終了後のアクセス | 終了後の閲覧可能性 | 不要なアクセス残存 | アクセス停止を確認 |
社内側の保存期間・削除ルールは第9話:個人情報の社内管理ルールとあわせて整えましょう。
権限管理・ログ・管理者設定
SaaSは契約して終わりではありません。導入後の運用では、管理者権限、ユーザー権限、ログ、外部共有、MFA、退職者アカウント削除などの設定が重要です。多くの漏えいは、設定ミスや権限の放置から生じます。
| 運用項目 | 確認内容 | リスク | 主な関連部署 |
|---|---|---|---|
| 管理者権限 | 誰が管理者か | 管理者の乱立 | 情シス |
| ユーザー権限 | 必要な範囲か | 権限過大 | 情シス・各部署 |
| ログ | 取得・監視しているか | 不正の見逃し | 情シス |
| 外部共有 | 共有設定の管理 | 意図せぬ公開 | 情シス・各部署 |
| MFA | 多要素認証の設定 | 不正ログイン | 情シス |
| 退職者アカウント | 削除されているか | 放置アカウントの悪用 | 人事・情シス |
安全管理措置の考え方は第8話、社内管理ルールは第9話をご覧ください。
用途別|SaaS・クラウドサービスの確認ポイント
用途によって、扱う個人データもリスクも異なります。代表的な用途ごとに、確認ポイントを整理します。
| 用途 | 主な個人データ | 確認ポイント | 関連記事 |
|---|---|---|---|
| CRM | 顧客情報 | 委託・第三者提供・クラウド例外の整理、権限、海外取扱い | 第13話 |
| MAツール | 見込み顧客・行動履歴 | 連携先・利用範囲 | 第13話 |
| メール配信ツール | 配信先情報 | 外部サービス利用の整理、配信停止連携、再委託、漏えい時通知 | 第13話 |
| 名刺管理アプリ | 名刺情報 | 共有範囲・海外保存 | 第13話 |
| 採用管理システム | 応募者情報 | 外部サービス利用の整理、権限、保存期間、削除・返還 | 第11話 |
| 人事労務SaaS | 従業員情報 | 健康情報・要配慮個人情報、外部サービス利用の整理、権限管理 | 第12話 |
| 給与計算システム | 給与・口座情報 | 委託・アクセス制限 | 第12話 |
| クラウドストレージ | 契約書・本人確認資料 | 共有設定・権限 | 第9話 |
| チャットツール | 相談・問い合わせ情報 | 共有範囲・保存 | 第9話 |
| 電子契約サービス | 契約者情報 | 外部サービス利用の整理、保存、削除・返還、署名ログ | 契約条項 |
| 生成AIサービス | 入力情報 | 学習利用・保存・再委託 | AI委託チェック |
生成AIサービス利用時の追加注意点
生成AIサービスに、個人情報、契約情報、相談記録、従業員情報、顧客情報を入力する場合は、通常のSaaS確認に加えて、入力データの保存、学習利用、再委託、ログ、利用者権限、社内ルールを確認する必要があります。「無料の生成AIツールなら社内利用だから問題ない」とは言えません。
| 確認項目 | 見るべき内容 | リスク | 関連記事 |
|---|---|---|---|
| 入力データの保存 | 入力内容が保存されるか | 機微情報の保存 | AI法務ガイド |
| 学習利用 | 入力データがAIモデルの学習に使われるか | 意図せぬ企業秘密・個人データの学習取り込み | 法人向けプラン/API契約の選択、または規約上のオプトアウト(学習非対象)の確約と設定の記録 |
| 再委託・基盤提供 | 裏側の事業者 | 再委託の見落とし | AI委託チェック |
| ログ・保存先 | どこに残るか | 海外保存・残存 | AI法務ガイド |
| 入力禁止情報 | 入れてよい情報の範囲 | 不用意な入力 | 社内ルールで明確化 |
生成AIの委託・再委託・入力情報管理の詳細は、生成AI時代の委託・再委託チェックリスト、法務でChatGPTはどこまで使える?で扱います。本記事では入口の整理にとどめます。
SaaS・クラウド利用時には、個人データの種類・委託や第三者提供やクラウド例外の切り分け・DPA・再委託先・海外保存・漏えい時通知・データ削除・管理者権限などを、短時間で整理する必要があります。「SaaS個人情報チェックシート」「DPA確認メモ」「再委託先確認表」「海外SaaS確認メモ」「生成AIサービス入力情報チェック」といったたたき台づくりを効率化したい法務・総務・情シス・事業部門の方には、個人情報保護法対応AIプロンプト集が補助ツールとして役立ちます(最終的な内容の確認・判断は担当者ご自身で行ってください)。
個人情報保護法対応AIプロンプト集を見るそのほかのツールは 商品一覧/LegalOS法律相談 もご覧いただけます。
法務・情シス・事業部門が確認すべき質問
SaaS導入の相談を受けたら、次の質問で論点を洗い出します。部署横断で確認すると、抜けを防げます。
| 質問 | 確認意図 | 問題になりやすい回答 | 次に見る論点 |
|---|---|---|---|
| どの個人データを保存しますか | 対象の把握 | 「いろいろ入れる」 | 取り扱う個人データ |
| サービス提供者は個人データを取り扱いますか | 分類の判断 | 「分からない」 | 委託・例外の切り分け |
| 契約上、目的外利用は禁止されていますか | 独自利用の有無 | 「規約を見ていない」 | 規約・DPA |
| 再委託先はありますか | 再委託の把握 | 「確認していない」 | 再委託先一覧 |
| データ保存国はどこですか | 海外保存 | 「海外かもしれない」 | 外国提供・外的環境 |
| 外国拠点からアクセスされますか | 海外アクセス | 「サポートが海外」 | 外国関連の論点 |
| DPAはありますか | 取り決めの有無 | 「ない/未確認」 | DPAの確認 |
| 漏えい時の通知期限はありますか | インシデント対応 | 「規定がない」 | 通知条項 |
| 契約終了時にデータを削除できますか | 終了時処理 | 「分からない」 | 削除条項 |
| 管理者権限・ログは確認できますか | 運用設定 | 「設定していない」 | 権限・ログ管理 |
| 生成AIの学習利用設定はどうなっていますか | AI入力 | 「初期設定のまま」 | 学習利用・入力ルール |
SaaS・クラウド個人情報チェックリスト
SaaS・クラウド導入時の個人情報チェックリストです。チェックが付かない項目が、契約前に詰めるべき課題になります。
| チェック項目 | 確認内容 | 未対応の場合のリスク | 担当部署 |
|---|---|---|---|
| 取り扱う個人データを特定している | 対象データの把握 | 管理対象の漏れ | 事業部門・法務 |
| 委託・第三者提供・クラウド例外を切り分けている | 分類の判断 | 監督義務の見落とし | 法務 |
| 利用規約・DPAを確認している | 取扱い条項 | 独自利用の見落とし | 法務 |
| 再委託先を確認している | 再委託の把握 | 把握外の再委託 | 法務・情シス |
| データ保存国を確認している | 保存国 | 外国提供の見落とし | 情シス・法務 |
| 外国事業者・海外サポート拠点を確認している | 海外関与 | 外的環境の把握不足 | 法務・情シス |
| セキュリティ資料を確認している | 安全管理措置 | 対策の不足 | 情シス |
| 漏えい時通知条項を確認している | 通知体制 | 初動の遅れ | 法務・情シス |
| データ返還・削除条項を確認している | 終了時処理 | データ残存 | 法務・情シス |
| 管理者権限・ログ設定を確認している | 運用設定 | 権限過大・不正 | 情シス |
| 退職者アカウント削除フローを確認している | 退職時処理 | 放置アカウント | 人事・情シス |
| 生成AI利用時の入力禁止情報を決めている | AI入力ルール | 不用意な入力 | 法務・各部署 |
よくある誤解と正しい理解
SaaS・クラウド利用をめぐる代表的な誤解を整理します。
| よくある誤解 | 正しい理解 | 実務上の注意 |
|---|---|---|
| クラウドに入れれば自社の責任はなくなる | 委託なら監督、例外でも自社の安全管理措置が必要 | 自社の責任は残る |
| SaaSなら全部委託で処理できる | 提供者が個人データを取り扱うか等で分類が変わる | 分類を切り分ける |
| クラウド例外なら安全管理措置も不要 | 提供に該当しなくても安全管理措置は必要 | 自社の措置を講じる |
| 利用規約に同意すれば確認は終わり | DPA・再委託・削除・通知も確認が必要 | 規約だけで判断しない |
| 日本法人と契約していれば海外取扱いは関係ない | サーバ・サポート・再委託先が海外の場合がある | 実態を確認する |
| サーバが国内なら外国提供の論点は絶対にない | 外国事業者の関与等で論点が生じ得る | 断定しない |
| DPAがあれば再委託先や漏えい時通知を見なくてよい | 個別に確認が必要 | 条項ごとに確認 |
| 契約終了時に自動的に全データが削除される | 削除されない場合・バックアップ残存もある | 削除条項を確認 |
| 無料SaaSや無料AIツールなら社内利用なので問題ない | 無料でも取扱い・学習利用の論点がある | 利用規約を確認 |
| 情シスが承認したので法務確認は不要 | 個人情報保護法上の確認は法務の視点も必要 | 部署横断で確認 |
このシリーズでの次の学び方
SaaS・クラウドの確認ポイントを押さえたら、いよいよ最終回です。第15話では、これまでの全15話の内容を、企業法務担当者が使えるチェックリストとして総整理します。本記事までで学んだ取得・利用・外部提供・安全管理・社内管理・漏えい対応・場面別管理・外部サービスを、一枚で見渡せる形にまとめます。
| 話数 | タイトル | 主なテーマ | リンク |
|---|---|---|---|
| 第1話 | 個人情報保護法とは?企業法務担当者が最初に押さえる基本 | 全体像・最初に押さえる考え方 | 記事を読む |
| 第2話 | 個人情報・個人データ・保有個人データの違い | 混同しやすい用語の整理 | 記事を読む |
| 第3話 | 個人情報取扱事業者とは?中小企業・スタートアップも対象になるのか | 対象事業者性の入口 | 記事を読む |
| 第4話 | 利用目的の特定・通知・公表 | ポリシーの前に押さえる基本 | 記事を読む |
| 第5話 | 個人情報を取得するときの注意点 | フォーム・名刺・問い合わせ対応 | 記事を読む |
| 第6話 | 目的外利用とは何か | 別目的で使うリスク | 記事を読む |
| 第7話 | 第三者提供・委託・共同利用の違い | 外部提供で迷う基本 | 記事を読む |
| 第8話 | 安全管理措置とは? | 組織的・人的・物理的・技術的措置 | 記事を読む |
| 第9話 | 個人情報の社内管理ルール | アクセス権限・持ち出し・保存期間 | 記事を読む |
| 第10話 | 漏えい等が起きたときの初動対応 | まず社内で何を確認するか | 記事を読む |
| 第11話 | 採用活動と個人情報 | 履歴書・職務経歴書・不採用者情報 | 記事を読む |
| 第12話 | 従業員情報の管理 | 人事評価・健康情報・退職者情報 | 記事を読む |
| 第13話 | 営業リスト・名刺情報・メール配信 | 営業まわりの個人情報保護法チェック | 記事を読む |
| 第14話 | SaaS・クラウドサービス利用時のチェック | 契約前に見るべき項目(本記事) | 本記事 |
| 第15話 | 個人情報保護法対応チェックリスト | 企業法務担当者の保存版(最終回) | 記事を読む |
まとめ|契約前・導入時・運用時・終了時の各段階で確認する
SaaS・クラウドサービス利用時は、どの個人データを扱うか、サービス提供者が個人データを取り扱うか、委託・第三者提供・外国提供の論点、契約条項、安全管理措置、漏えい時通知、データ削除を一体で確認する必要があります。クラウド利用は便利ですが、確認すべきポイントは契約前だけでなく、導入時・運用時・契約終了時の各段階にあります。
とくに重要なのが、「クラウド例外でも自社の安全管理措置は必要」「日本法人と契約していても海外取扱いの論点はあり得る」という2点です。「クラウドに入れれば責任がなくなる」のではありません。契約前に確認し、導入後に運用すれば、SaaS・クラウドを適正に使いやすくなります。
次回・第15話(最終回)では、「個人情報保護法対応チェックリスト|企業法務担当者の保存版」をお届けします。全15話の内容を、実務で使えるチェックリストとして総整理します。
- 個人情報保護委員会「個人情報保護法等」
https://www.ppc.go.jp/personalinfo/ - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - 個人情報保護委員会「Q&A」
https://www.ppc.go.jp/personalinfo/faq/ - 個人情報保護委員会「クラウドサービス契約のように外部の事業者を活用している場合、第三者提供又は委託に該当しますか」
https://www.ppc.go.jp/all_faq_index/faq1-q7-53/ - 個人情報保護委員会「外国にあるサーバに個人データを含む電子データを保存することは外国にある第三者への提供に該当しますか」
https://www.ppc.go.jp/all_faq_index/faq1-q12-3/ - 個人情報保護委員会「外的環境の把握について、外国にある第三者の提供するクラウドサービスを利用する場合」
https://www.ppc.go.jp/all_faq_index/faq1-q10-25/ - 個人情報保護委員会「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について」
https://www.ppc.go.jp/news/careful_information/240325_alert_cloud_service_provider/ - e-Gov法令検索「個人情報の保護に関する法律」
https://laws.e-gov.go.jp/law/415AC0000000057
※ 本記事は2026年6月時点の現行法・個人情報保護委員会の公的資料をもとに、企業法務実務の一般的な整理として解説したものです。クラウド利用の分類や外国提供の該当性は、サービスの実態・契約条項・関与態様等により異なるため、実務対応にあたっては最新の法令・ガイドライン・Q&Aをご確認のうえ、必要に応じて専門家にご相談ください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
この記事の確認観点を、実務の型に変える。
読んだ内容を、確認メモ・文例・AI指示文に落とせます。
