1.なぜデータ保存場所を把握する必要があるのか
個人情報保護法に基づく安全管理措置として、外的環境を把握する必要があります。
クラウドその他のサービスを利用する際に、そのサービス上で個人情報が取り扱われるならば、そのサービスのデータ保存場所がどの国かを把握する必要があります。
しかしながら、サービスベンダー側で、この情報公開が不十分な場合もあります。有料無料問わず、サービスを業として提供して、そこで個人情報を取り扱う又は保存させるのであれば、どの国でどのような安全管理措置で取り扱うのかを明示する義務を、法律上課すべきです。そうでないと、個人情報取扱事業者は個人情報保護法の義務を果たせません。立法上の不備だと思います。
これは、個人情報保護法の外的環境の把握のみならず、電気通信事業法の外部送信規律でも同様のことが言えます。個人情報保護法や電気通信事業法の外部送信規律は、ある意味ユーザ企業側*1に義務を課すのに、その義務を果たすために必要な情報提供義務が、プラットフォーマーにかかっておらず、ユーザ企業側が義務を果たすのが困難な状況も見られます。外部送信規律だと、どんな情報を外部送信させているか、ベンダー側の方で情報提供していないから、そのベンダーを使っているユーザ企業側ではわかりかねる場合などもあり、よくないと思います。
前置きが長くなりましたが、例として、Microsoftを取り上げます。Microsoft365を利用されている企業も多いと思いますが、Microsoftの場合、どうやってデータ保存場所を調べるかについて記載したいと思います。
2.Microsoft365の場合→管理センター組織のプロフィール
上記NTT ComさんのWebサイト通りに操作すれば、Microsoft365のデータ保存場所を見ることができます。概ね日本ですね。
3.Microsoftの場合→Microsoft Webサイト
(1)前置き
ただ、上記のやり方ですと、一部のサービスしかそもそも掲載されていなくて、確認したいサービスのデータ保存場所がわからない場合があります。
そこで、Microsoft 365管理センターの組織のプロファイルから閲覧できないサービスについては、MicrosoftWebサイトを見ます。
(2)Forms
これを見ると、現時点でFormsは米国にデータが保存されるようです。Microsoft Forms使っている企業も多いかと思いますが、TeamsやOne Drive、Sharepointは日本保存がほぼだと思われますが、Formsは米国なんですね。
(3)Planner
Plannerについては、「「 選択したワークロードの静的なデータの場所」セクションを 参照してください。」と記載されています。クリックすると、長い表にたどり着きます。日本で契約している人は「JP」の行を見ればよいのでしょうか。よくわからなかったので、Microsoftに確認しましたが、その通りで良く、現時点で日本で契約している人のPlannerデータは日本に保存されているとのことでした。
*1:プラットフォームを利用したベンダー企業である場合もありますが。
