日本では個人情報保護法におけるクラウドの取扱いとして、委託にも第三者提供にも当たらない例外を解釈運用上認めており(いわゆる「クラウド例外」)、クラウドサービス提供者側も、クラウドサービス利用者側も、このクラウド例外を前提に対応が行われています。ところが、昨年発生した社労夢事件においては、この適用に関し、個人情報保護委員会ですらもその判断にブレが生ずるなどしており、おりしも個人情報保護法3年ごと見直しが行われている最中であることもあり、その適用についてクラウドサービス提供者側はもとより、利用者側も改めて考えていく必要が生じています。特に生成AIの扱い等、社会状況の変化に合わせ、これをどのように管理すればよいのか、GDPR等諸外国での運用状況をも踏まえ、全体的に整理したうえでディスカッションにより理解を深めることといたします。
