クラウド事業者が、個人情報の内容に関知せず、保管しているだけであるときは、「個人情報取扱事業者」にはあたらず、個人情報保護法の適用を受けません。

解説

個人情報保護法の適用を受ける「個人情報取扱業者」とは、「個人情報データベース等を事業の用に供している者」をいいます。つまり、事業活動を行うにあたって個人情報の内容にアクセスし、その情報を事業に活用している者のことです。

通常、クラウド事業者は、自己が提供するクラウドサービス上で保管された情報が、その利用者にとっての個人情報であるかどうかを認識していませんし、それを自己のために利用するということもありません。よってクラウド事業者が、その事業活動を行うにあたって、保管されている個人情報にアクセスし、その情報を事業に活用しているとはいえませんので、「個人情報取扱事業者」にはあたらず、個人情報保護法の適用を受けません。

もっとも、以上の説明はIaaS事業者（サーバーのCPU、ストレージ等のインフラストラクチャをインターネット経由で提供するサービスを提供する事業者）やPaaS事業者（アプリケーションを稼動させるプラットフォーム機能をインターネット経由で提供するサービスを提供している事業者）にはそのままあてはまりますが、SaaS事業者（アプリケーションソフトウェアの機能をインターネット経由で提供するサービスを提供する事業者）の場合はあてはまらない可能性があります。例えば，企業が有する顧客情報の管理のためのアプリケーションを提供する場合のように，サービス内容によっては、利用者がSaaS事業者に対して個人情報の保護を期待することが相当と思われる場合もあり、その場合はクラウド事業者も個人情報取扱事業者にあたりうるということに注意してください。

参考

経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」