「無料のクラウドサービス」を業務利用するときの法務チェックリスト

Google Drive の無料版、無料翻訳ツール、PDF変換サイト、オンラインストレージ…。

「ちょっと試すだけ」「1回だけだから」と、つい無料のクラウドサービスを業務で使ってしまう場面、けっこうありますよね。

• 営業が無料のオンラインストレージで資料を共有

• 総務が無料翻訳ツールで契約書の英訳を下書き

• 情シスに相談せず、部署ごとに“とりあえず無料SaaS”を導入

こうしたシャドーITは、セキュリティだけでなく、個人情報保護法や契約上の責任の面でもかなり危険です。

この記事では、

を判断するために、法務・情シスが一緒に使えるチェックリストをまとめます。

1. 「無料のクラウドサービス」とは何を指すか

この記事では、ざっくり次のようなサービスをイメージしています。

• 無料プランのクラウドストレージ

  • 例：個人向け Google Drive・無料オンラインストレージ など

• 無料のSaaSツール

  • オンラインPDF変換・PDF編集

  • 無料翻訳ツール

  • 無料のAI文章生成・チャットボット など

• 期間限定の無料トライアル

  • 有料SaaSの試用版

• Enterprise製品の「個人向け・無料版」

  • 例：翻訳ツールやクラウドストレージの個人版と有料ビジネス版の違い などtec-

法務的には「無料か有料か」は関係なく、「どんな条文で・どんな扱いをされるのか」が重要です。

ただ現実問題として、

• 無料プランは

  • セキュリティ機能が最小限

  • サポートなし／SLAなし

  • 事業者側のデータ利用権限が広い

ことが多く、企業の機密や個人情報を置くには向いていないと指摘されることも多いです。

2. なぜ法務的に要注意なのか ― よくある3つの落とし穴

（1）「サービス改善のためにデータを使います」という条文

無料翻訳ツールや無料オンラインPDFサービスの多くは、入力したデータをサービス改善のために保存・分析することを利用規約やプライバシーポリシーで認めています。

実際、DeepLなどの無料版についても、

• 入力データが一定期間サーバーに保存される

• 品質向上のために利用される

• 無料版では個人データや機密情報を含むコンテンツを使うべきではない

といった注意が出されています。

つまり、

という認識が必要です。

ここまで来ると、もはや単なる「委託」ではなく、クラウド事業者自身が個人情報取扱事業者として振る舞っている可能性もあり、個人情報保護委員会も「クラウド事業者が自ら個人情報取扱事業者となる場合の注意喚起」を出しています。

（2）無料プランは“個人利用前提”のことが多い

無料版クラウドストレージの解説記事などでも、

• セキュリティ機能が必要最低限

• 企業ポリシー要件を満たしにくい

• トラブル時のサポートが期待できない

といった点が指摘されています。

また、「無料版は商用利用NG」「ビジネス利用は有料版で」と明記されているサービスも少なくありません。

ここを読み飛ばして業務利用すると、

• 利用規約違反

• 守秘義務違反（委託契約上）

• 個人情報保護法上の監督義務違反

といったリスクに直結してしまいます。

（3）海外サービスは「外国第三者提供」になることも

海外クラウド事業者を利用して個人データを扱う場合、個人情報保護法上は**外国にある第三者への提供（法28条）**にあたる可能性があります。

• 委託に当たる場合：→ 委託先の監督義務（安全管理措置の確認など）

• 第三者提供に当たる場合：→ 本人への情報提供と同意、又は適切な移転条件の確保

などが必要になります。

いわゆる「クラウド例外」（クラウド事業者が個人データを取り扱わないと整理する考え方）は、事業者が自ら個人データを閲覧・利用しない設計であることが前提であり、無料サービスで「サービス改善のための利用」などが認められている場合には当てはまらないことが多いとされています。

3. 無料クラウドを業務利用する前の「基本チェックリスト」

ここからは、法務・情シスで一緒に使えるチェック項目です。社内用にそのまま転記してもらってOKです。

★基本編（まずは全サービス共通でチェック）

□ 1. この無料サービスは「業務利用・商用利用」が許可されているか？

• 利用規約に「個人的・非商用目的に限る」と書かれていないか

• 有料の「Business / Pro」プランが別にあり、無料版は個人利用前提になっていないか

※商用利用NGのサービスで業務利用すると、　規約違反＋守秘義務違反になりかねません。

□ 2. どんな種類のデータを入れるつもりか？

• 氏名・メールアドレス・住所などの個人情報

• 健康情報・家族構成などの要配慮個人情報

• 契約書・見積・未公表の製品情報などの機密情報

これらを含むファイルやテキストをアップロードする場合は、「原則NG／業務での利用禁止」から検討した方が安全です。

□ 3. サービス提供者はどこの国の会社か？サーバの所在地はどこか？

• 米国・欧州など外国事業者が運営していないか

• プライバシーポリシーに「データが海外に転送される」旨の記載がないか

海外クラウド利用時には、**個人情報保護法28条（外国第三者提供）**に基づく説明・同意等が必要になる場合があります。

□ 4. 無料プランで、どこまでのセキュリティ機能が提供されているか？

• 通信の暗号化（HTTPS）は当然として、

• 二要素認証（MFA）、アクセスログ、IP制限などは使えるか

• 無料プランは個人利用レベルの最低限機能のみではないか

多くの解説記事で、無料クラウドストレージのセキュリティ機能は企業利用には不足しがちと指摘されています。

□ 5. サービス終了・アカウント停止時に、データはどうなるか？

• 利用規約に「予告なくサービス停止・削除することがある」と書かれていないか

• 一定期間ログインしないとデータ削除される運用になっていないか

• データの一括エクスポート機能はあるか

事業の継続性（BCP）や電子帳簿保存法対応などを考えると、「いつ消えるか分からない無料サービス」に本番データを乗せるのは厳しいケースが多いです。

□ 6. 社内の誰のアカウントか、退職・異動時に引き継げるか？

• 従業員の個人メールアドレスで登録していないか

• 退職した途端に共有フォルダに入れなくなるような設計になっていないか

• パスワードを個人が握ったままにならないか

このあたりは、いわゆるシャドーITの典型的なリスクとして各社が注意喚起しています

4. 個人情報・機密情報を扱うときの「追加チェック」

ここからは、個人情報や機密情報を扱う前提の追加項目です。

□ 7. 「委託」か「第三者提供」かを整理したか？

クラウドサービス利用における

• 委託（法25条・安全管理措置＋委託先の監督）

• 第三者提供（法27条・28条）

の整理は、個人情報保護委員会のQ&Aや解説で繰り返し説明されています。

特に無料サービスでは、

• 事業者が自社の目的のためにデータを利用できる条文がある

• 保守・運用のため、事業者が自由にアクセスし得る設計になっている

といった場合、単純な「委託」とは言いにくく、第三者提供＋委託の両方の性質を持つこともあります。

□ 8. 国外第三者提供（法28条）への対応方針はあるか？

クラウドを通じて外国にある事業者へ個人データを提供する場合、原則として、本人への情報提供と同意、または適切な移転条件の確保が必要です。

• どの国にサーバがありそうか

• その国の個人情報保護制度が日本と同等か

• 事業者が継続的な安全管理措置を整えているか

など、JIPDECや各種解説で整理されています。

無料サービスの場合、ここを確認するための資料がそもそも用意されていないことも多いため、「個人情報を預けるのは現実的ではない」と判断されがちです。

□ 9. 事故が起きたときに、どこまで責任を負ってくれるか？

無料サービスの利用規約では、

• いかなる損害についても事業者は責任を負わない

• データ消失・サービス停止の責任を全面的に免責する

といった条文が置かれていることが多いです。

個人情報漏えいが起きた場合、自社の法的責任は消えないのに、クラウド事業者からは何も補償されないという状況になりかねないため、

• せめて有料の業務用プランに切り替える

• それでも足りない場合は自社側で保険等も検討する

など、リスクとコストのバランスを検討する必要があります。

□ 10. 監査・チェックの手段があるか？

個人情報保護委員会が2024年の注意喚起で指摘しているように、クラウド利用事業者には、委託先の安全管理措置の把握・監督が求められます。

• セキュリティホワイトペーパーやSOC報告書があるか

• 定期的なレポートや監査の仕組みがあるか

• 契約上、必要な情報提供を求められるか

無料サービスでは、こうしたエンタープライズ向けの資料や契約オプションが存在しないことも多く、「重要データを預けるには情報不足」という結論になるケースも少なくありません。

5. どうしても無料サービスを使いたい場合の“妥協案”

ここまで読むと、

と感じるかもしれませんが、使い方を限定すれば“現実的な妥協案”はあり得ます。

たとえば、次のようなルールです。

1. 機密情報・個人情報を含むデータには使わない

   • 無料翻訳ツールやオンラインPDF変換は、社内公開情報やダミーデータに限定する。

2. 業務利用は「お試し・PoC範囲」に限定する

   • 本番導入前の評価目的にとどめる

   • 有料の業務用プランに移行する前提で試す

3. 必ず情シス・法務の承認を経てから使う

   • 「勝手に登録・勝手に利用」は禁止

   • 承認済ツール一覧を整備し、社員に周知する

4. 承認ツールであっても、アップロードしていいデータ種別を決める

   • 「社外秘以上は不可」「顧客名が入るものは不可」などの線引き

このあたりは、**「ChatGPTなどAIサービス利用ルール」**と同じノリで、**「無料クラウドサービス利用ポリシー」**としてA4一枚にまとめておくと運用しやすくなります。

6. 山崎行政書士事務所がお手伝いできること

山崎行政書士事務所では、クラウド法務・情報セキュリティを専門として、

• 無料／有料クラウドサービスを含めた**「社内クラウド利用ルール」「シャドーIT対策ポリシー」**の策定支援

• 無料翻訳ツール・無料PDFサービスなどの利用規約・プライバシーポリシーの法務チェック

• 個人情報保護法（委託・第三者提供・国外移転）を踏まえた利用可否の整理と、社内向け説明資料の作成

• 取引先からの情報セキュリティチェックシートで「クラウド利用」「無料サービス利用」部分の回答文案作成

といったご相談に対応しています。

という段階からで構いません。

静岡県内の中堅企業さま向けには、オンライン・訪問どちらでも対応可能です。

お問い合わせの際に、

• いま社内でよく使われている無料サービスの例

• 気になっているリスク（個人情報・機密情報・契約 等）

を教えていただければ、

• どのサービスを

• どの条件で

• どこまで業務利用してよいか

を、現実的なラインで一緒に整理するお手伝いをいたします。