SlackやTeamsで社員の個人情報や顧客情報をやり取りしても個人情報保護法上問題ないですか？

結論：データの保存場所（レジデンシー）を日本国内に設定すれば、リスクを大幅に下げられます

① なぜ「どこに保存されるか」が重要なのか

個人情報をSlackやTeamsなどのクラウドサービスで取り扱う場合、データが日本国内に保存されるか、海外サーバーに保存されるかが法的に重要なポイントです。

個人情報保護法28条は、外国にある第三者への個人データの提供について、原則としてあらかじめ本人の同意を求めています。現在の主要クラウドサービスの多くは米国発であり、米国は「我が国と同等の水準にある」と委員会規則で認定された国ではないため、データが米国サーバーに保存・送信される場合、同条の適用を受ける可能性があります。

② SlackもTeamsも「日本リージョン」を選択できる

こうした懸念に対応するため、SlackもMicrosoft Teamsも、プランによってデータの保存場所（データレジデンシー）を日本国内に設定することができます。

Slackの場合、Japan Data Residency対応プランを申し込む際に、Tokyo（プライマリ）・Osaka（バックアップ）を選択できます。データを日本国内で完結させることで、28条の越境移転規制を受けずに運用できます。

【参考画像】

③ 生成AI・MCPを使う場合は追加確認が必要

近時、SlackのMCP（エージェント機能）活用が注目されています。この場合、自身の端末とSlack間の通信だけでなく、生成AIやMCPサーバーという別の要素が間に介在するため、それらのサービスにおいてもデータのレジデンシーやセキュリティポリシーを個別に確認する必要があります。