個人情報保護法第28条を中心に、本人同意、情報提供、基準適合体制、委託・クラウド・グループ移転、契約条項、監査までを実務順に整理します。
個人情報保護法第28条を中心に、本人同意、情報提供、基準適合体制、委託・クラウド・グループ移転、契約条項、監査までを実務順に整理します。
個人情報保護法第28条を中心に、最初に分解すべき論点と実務判断の順番を整理します。
越境移転・外国への提供とは、日本の事業者が保有又は管理する個人データを、外国にある第三者が利用できる状態に置く場面を主に指します。日本の個人情報保護法では、通常の第三者提供に加えて、法第28条の外国提供規律が問題になります。
このページは、2026年6月7日時点で公表されている日本の個人情報保護法、個人情報保護委員会のガイドライン・Q&A等を基礎にしています。個別案件では、事実関係、契約関係、提供データの性質、相手方の所在国、外国法、委託・共同利用・第三者提供の整理、セキュリティ体制、本人への説明内容により結論が変わる可能性があります。
最初に見るべきなのは、データの保存場所だけではありません。誰が、どの国又は地域で、どの法人格として、どの権限で、どの個人データを取り扱うのかを分けて確認することが重要です。海外サーバー、クラウド、SaaS、グローバルCRM、海外委託、海外親会社への従業員情報共有、越境M&A、国際訴訟、AI開発委託、広告配信、アクセス解析はいずれも検討対象になり得ます。
次の一覧は、越境移転・外国への提供で初期確認する7つの観点を、読者が案件受付時に迷わないよう順番で示しています。上から順に確認すると、本人同意、基準適合体制、法定例外、設計見直しのどれを検討するかが見えやすくなります。
個人データでない場合でも、個人関連情報、仮名加工情報、匿名加工情報、営業秘密、契約上の秘密情報など別の問題が残ることがあります。
同一法人内の外国支店と、別法人である海外子会社、海外親会社、海外委託先は分けて整理します。
EU及び英国のように日本と同等水準と整理される国・地域か、その他の国・地域かを確認します。
同意取得前に、外国名、外国制度、提供先が講ずる措置を本人が確認できる状態にします。
生命・身体・財産保護、行政協力、学術研究などの例外は、通常の商用移転では慎重に記録します。
継続的確認、再提供管理、漏えい対応、本人からの求めへの情報提供まで運用できるかを確認します。
国内事業でも外国拠点や海外SaaSが関与し、法務、IT、調達、内部監査が連動するためです。
顧客管理、決済、物流、採用、人事評価、労務管理、マーケティング、研究開発、AI、サポート、監査、不正調査、M&A、海外子会社管理では、個人データが日常的に利用されます。業務システムは国境を前提にしないため、日本国内だけで事業をしているつもりでも、SaaS運営会社、サポート拠点、データセンター、再委託先、開発委託先、グループ管理会社が外国に所在することがあります。
次の比較一覧は、企業法務が見落としやすい3つの思い込みを示しています。どの誤解が自社の案件に入り込みやすいかを読むことで、調達審査や契約審査で確認すべき質問を立てやすくなります。
日本国内の顧客だけを対象にしていても、メール配信、CRM、アクセス解析、広告配信、決済代行、不正検知、問い合わせ管理、採用管理、オンライン会議、クラウドストレージで外国事業者又は外国拠点が関与する可能性があります。
国内委託と同じ感覚で即断すると危険です。外国委託先が法第28条の外国にある第三者に該当する場合、外国提供規律を別に検討します。
本人同意を根拠にする場合は、同意取得時に提供する情報の具体性が重要です。基準適合体制を根拠にする場合も、相当措置の継続と本人の求めへの情報提供が必要です。
越境移転・外国への提供は、個人情報保護法の一条文だけで完結しません。契約、セキュリティ、内部統制、データガバナンス、経営判断、海外法務を結びつける実務論点として扱う必要があります。
個人情報、個人データ、外国、第三者、提供、委託、基準適合体制、外的環境を区別します。
法第28条の検討では、似た言葉を混同すると結論がずれます。次の表は、主要用語の意味と実務で見るべき点を並べています。列ごとに、制度上の意味と現場確認事項を分けて読むと、案件の事実整理に使いやすくなります。
| 用語 | 意味 | 実務での確認点 |
|---|---|---|
| 個人情報 | 特定の個人を識別できる情報、又は個人識別符号を含む情報をいいます。 | 氏名、住所、メールアドレス、電話番号、顔写真、社員番号と氏名の対応表、会員IDと購入履歴の組合せを確認します。 |
| 個人データ | 個人情報データベース等を構成する個人情報をいいます。 | Excel、CRM、会員DB、人事DB、問い合わせ管理、クラウドストレージ、採用管理、ログ管理などで体系的に管理されているかを確認します。 |
| 外国 | 日本の域外にある国又は地域をいいます。ただし、日本と同等水準と定められる国は別扱いになります。 | EU及び英国の指定、その他の国・地域、サーバー所在国、サポート拠点国を分けて確認します。 |
| 第三者 | 提供元の個人情報取扱事業者及び本人以外の者をいいます。法人格が重要です。 | 海外子会社、海外親会社、海外委託先は別法人かを確認します。同一法人内の外国支店とは区別します。 |
| 提供 | 相手方が個人データを利用できる状態に置くことを広く含みます。 | メール送信、ファイル共有、API連携、SaaSへのアップロード、アクセス権付与、リモート保守、海外拠点からの閲覧を確認します。 |
| 委託 | 利用目的の達成に必要な範囲で、個人データの取扱いの全部又は一部を外部に任せることをいいます。 | データ入力、発送、サポート、クラウド運用、給与計算、採用管理、システム開発、保守、BPO、フォレンジック調査を確認します。 |
| 基準適合体制 | 提供先が相当措置を継続的に講ずるために必要な体制を整備している状態をいいます。 | 契約、確認書、覚書、グループ内規程、共通プライバシーポリシー、国際的枠組みに基づく認定を確認します。 |
| 外的環境 | 個人データを取り扱う外国の法制度、政府アクセス、移転制限、本人権利などの環境をいいます。 | 外国法制度、監督機関、漏えい通知、データローカライゼーション、政府アクセス、分野別規制を確認します。 |
国内委託では第三者提供規制の枠外として整理される場面がありますが、外国委託先の場合は法第28条の検討が別に必要になります。委託だから同意不要と即断せず、外国委託先の体制、本人同意、情報提供、法定例外を確認します。
同等水準国、基準適合体制、本人同意、法定例外を順に検討します。
外国にある第三者へ個人データを提供する場合、法第28条を中心にした整理が必要です。次の一覧は、適法化に使われる主な4ルートを並べています。どのルートでも、通常の第三者提供規律、安全管理措置、委託先監督、利用目的、本人への説明、契約上の秘密保持、業法や分野別規制が残る点を読み取ることが重要です。
提供先が日本と同等水準の制度を有すると定められた国・地域にある場合、法第28条第1項の外国提供同意を要しない整理があり得ます。EU及び英国が重要です。
契約、確認書、覚書、グループ内規程、共通プライバシーポリシー、CBPR等により、相当措置を継続できる体制を整備します。
外国にある第三者への提供を認める旨の本人同意を、必要情報の事前提供とあわせて取得します。プライバシーポリシー掲載だけで足りるとは限りません。
法令に基づく場合、生命・身体・財産保護、行政協力、学術研究などの例外が問題になります。通常の商用移転では根拠事実と判断過程を記録します。
次の判断の流れは、法第28条のルート選択を案件受付時に確認するためのものです。分岐の順番に意味があり、個人データ性、第三者性、外国性、同等水準、例外、基準適合体制、本人同意の順で確認すると、設計見直しが必要な場面を早く発見できます。
個人データでなければ、法第28条以外の規律を確認します。
同一法人内の社内移動か、別法人・外部委託先・海外親会社・海外子会社かを確認します。
国内なら通常の第三者提供、委託、共同利用、安全管理を確認します。
該当する場合でも、法第27条等の通常規律を確認します。
該当すると考える場合は、根拠事実と判断過程を記録します。
契約、内規、監査、本人請求対応、継続確認まで整備します。
移転後の確認と情報提供体制を維持します。
外国名、外国制度、提供先措置を示して同意を取得するか、匿名化、国内処理、別サービス利用を検討します。
この手順は単純化したものです。個人関連情報、匿名加工情報、仮名加工情報、要配慮個人情報、特定個人情報、医療・金融・通信・労働・教育等の分野別規制、EU GDPR、英国データ保護法、中国個人情報保護法、米国州法は別に検討します。
同意の取り方、提供すべき情報、外国名不明時、URL表示の注意点を整理します。
法第28条における本人同意は、本人の個人データが外国にある第三者へ提供されることを承諾する意思表示です。本人が判断できるよう、合理的かつ適切な方法で取得します。空欄のチェックボックス、同意画面の近くでの説明、取得経路ごとの証跡、撤回や問い合わせ対応が実務上の焦点になります。
次の表は、本人同意を根拠にする場合に提供すべき情報と、画面・書面・口頭説明で具体化すべき観点を示しています。どの列も同意判断に直結するため、抽象文言だけではなく、本人が移転先と保護措置を理解できる粒度にする必要があります。
| 提供すべき情報 | 説明の要点 | 不足しやすい点 |
|---|---|---|
| 当該外国の名称 | 国名を基本に、本人が移転先を合理的に認識できる粒度で示します。 | 国名が未確定の場合に、理由、候補国、発生場面、参考情報を示さないままにする点です。 |
| 外国制度に関する情報 | 個人情報保護制度、本人権利、安全管理、第三者提供、監督機関、漏えい通知、政府アクセス、移転規制を確認します。 | 各国法令を確認してくださいという抽象表現だけで終える点です。 |
| 提供先の措置 | 利用目的の限定、安全管理、従業者監督、委託先監督、再提供制限、漏えい通知、本人権利対応、削除・返還、監査、苦情対応を示します。 | 適切に管理しますという一文だけで、契約上の具体的義務が見えない点です。 |
URLで必要情報を提供する方法は、適切な方法になり得ます。ただし、同意判断の前に本人が情報へ到達できることが重要です。申込画面の最下部に小さなリンクだけを置くより、同意チェックの直前に要約を表示し、国名、制度、措置を表形式で確認できるようにする設計が望まれます。
契約、確認書、グループ内規程、CBPR等、年1回以上の確認を運用に落とします。
グローバルSaaS、海外BPO、海外開発委託、グループ共通人事、海外親会社への報告では、全ての本人から個別同意を取ることが現実的でない場合があります。このとき、提供先が日本法上求められる措置に相当する措置を継続的に講ずる体制を整備しているかが重要になります。
次の一覧は、基準適合体制を支える実務上の根拠を示しています。それぞれの枠がどのような場面で効くかを読み、契約だけに頼るのではなく、内規、認定、監査、本人請求対応を組み合わせることが重要です。
利用目的の限定、不適正利用の禁止、安全管理、従業者監督、再委託管理、再提供禁止、漏えい時報告、本人権利対応、監査、外国制度変更通知、終了時削除を定めます。
共有データ、共有目的、責任者、アクセス可能な会社・部署・役職、保存場所、再提供条件、従業員説明、漏えい連絡、保持期間、監査方法を明確にします。
APEC CBPR又はGlobal CBPR等を利用する場合も、認証対象範囲、対象法人、対象サービス、対象データ、失効・更新、再委託先への適用、事故履歴を確認します。
次の比較表は、外国委託先との契約で最低限検討する条項を、目的別に整理したものです。左列は条項の領域、中央は入れるべき内容、右列は移転後に確認すべき運用です。契約文言と実態がずれないように、右列まで読んで管理します。
| 領域 | 定める内容 | 運用確認 |
|---|---|---|
| 利用目的・不適正利用 | 提供元が明示した目的の範囲内でのみ処理し、本人の権利利益を害する利用を禁止します。 | AI学習、広告、プロファイリング、サービス改善、統計作成の有無を確認します。 |
| 安全管理措置 | アクセス制御、暗号化、ログ管理、脆弱性管理、バックアップ、権限管理、物理的安全管理を定めます。 | SOC 2、ISO/IEC 27001、ISMS、第三者監査報告書、診断結果を確認します。 |
| 再委託・再提供 | 事前承認又は通知、同等義務の承継、再委託先一覧、第三者再提供の制限を定めます。 | サブプロセッサ変更通知、異議申立て、再委託先所在国を確認します。 |
| 漏えい等対応 | 発覚後の通知、調査協力、証跡保全、再発防止、本人通知・当局報告への協力を定めます。 | 実際の連絡網、初動調査、報告期限、費用負担、解除権を確認します。 |
| 外国制度・政府アクセス | 法令変更、政府機関からの開示要請、データローカライゼーション、移転制限の通知を定めます。 | 制度変更時の代替措置、移転停止、保存国変更を検討します。 |
| 終了時処理 | 返還、削除、バックアップ削除、削除証明を定めます。 | サブプロセッサ保有分、ログ、バックアップ、法令保存義務の範囲を確認します。 |
継続的確認では、確認頻度と確認方法が重要です。次の手順は、おおむね年1回以上の定期確認を起点に、重要委託先や高リスクデータで追加確認を行う読み方を示しています。順番に追うことで、契約締結時だけで管理が止まっていないかを点検できます。
契約、確認書、覚書、内規、監査報告書、サブプロセッサ一覧をそろえます。
重要委託先はチェックシート又は監査報告書で確認し、確認結果を台帳化します。
外国制度、政府アクセス、データ保存国、サブプロセッサ、サービス仕様変更を確認します。
契約上の通知期限だけでなく、証跡保全、当局報告、本人通知まで確認します。
本人説明と相当措置の継続に影響する外国制度を、リスクに応じて確認します。
本人同意を根拠にする場合は、本人へ外国制度に関する情報を提供します。基準適合体制を根拠にする場合でも、相当措置の継続的実施に影響する外国制度を確認します。政府アクセスやデータローカライゼーションのような制度は、契約だけでは吸収できない場合があります。
次の一覧は、外国制度調査で見落としやすい要素をまとめています。各項目は移転の安全性に影響するため、対象国、データの性質、提供先の役割、本人への影響を組み合わせて読むことが重要です。
国家安全保障、捜査、行政目的での広範な情報アクセス権限や開示命令を確認します。
国内保存義務、国外移転制限、現地コピー保持義務により削除や返還が制約されないかを確認します。
開示、訂正、削除、利用停止、異議申立て、監督当局への申立ての有無と範囲を確認します。
漏えい時の報告、本人通知、医療、金融、通信、子ども、教育、労働者データの追加規制を確認します。
調査の深さはリスクで変えます。次の表は、低リスクと高リスクの代表例を比べています。すべての案件で同じ深さの外国法意見を取るのではなく、データの機微性、量、本人への影響、提供先の監査状況、政府アクセスの可能性から調査範囲を決めることが読み取りどころです。
| リスク水準 | 例 | 調査・補完措置 |
|---|---|---|
| 相対的に低い場面 | 限定的な担当者連絡先、公開情報に近い情報、短期間処理、強固な暗号化、大手SaaSで第三者監査を受けている場合です。 | 公的資料、契約、監査報告書、サブプロセッサ一覧、セキュリティ資料を確認します。 |
| 高リスク場面 | 要配慮個人情報、懲戒・健康情報、金融・医療・子どもデータ、大量の行動履歴、位置情報、評価・信用情報、政府アクセス可能性が高い国への移転です。 | 現地法助言、当局資料、補完的措置、データ最小化、暗号化、国内処理、移転停止条件を検討します。 |
調査結果は、対象国・地域、参照資料、制度概要、本人権利、監督機関、政府アクセス、データローカライゼーション、漏えい通知、移転への影響、補完的措置、次回見直し時期を記録します。これにより、プライバシー影響評価、委託先審査、調達稟議、契約審査、内部監査、本人問い合わせ、当局説明に使いやすくなります。
外国委託、クラウド事業者の取扱い、サーバー所在国、海外サポートを分けて確認します。
外国委託は、越境移転・外国への提供で最も多い論点です。顧客データ入力、海外コールセンター、海外開発会社の保守、翻訳、フォレンジック、給与計算、人事・経理シェアードサービスでは、委託先所在国の制度、安全管理、委託先監督、本人への説明を確認します。
次の一覧は、委託・クラウド・SaaSで区別すべき実務論点を示しています。似ているように見える場面でも、誰が個人データを取り扱うか、どの国からアクセスできるか、サポートや再委託があるかで結論が変わる点を読み取ります。
契約条項、再委託管理、定期確認、外国制度確認、本人請求対応を実質的に運用します。
クラウド事業者が個人データを取り扱わないと評価できる場合は、第三者提供に該当しない可能性があります。ただし、安全管理措置と外的環境の把握は必要です。
本人同意時の外国名は原則として提供を受ける第三者の所在国です。一方で、外的環境としてサーバー所在国、サポート拠点、再委託先国も確認します。
外国にある担当者が日本サーバー上の個人データへアクセスできる場合、外国制度と安全管理措置を確認します。
海外サポートやリモート保守では、個人データが国外へ保存されていなくてもアクセス権が問題になります。次の表は確認項目をまとめたものです。左列でアクセス実態を、中央列で制御方法を、右列で契約・監査上の証跡を読むと、IT部門と法務部門の確認がつながります。
| 確認項目 | 見るべき内容 | 証跡 |
|---|---|---|
| アクセス権 | 海外サポート担当者が個人データへアクセスできるか、承認制か、常時可能かを確認します。 | 管理画面権限、承認ログ、アクセスログ、運用手順を確認します。 |
| データ最小化 | 本番データを閲覧せずにサポートできるか、マスキング、仮名化、トークナイズが可能かを確認します。 | 設定資料、作業記録、テストデータ運用、マスキング仕様を確認します。 |
| 拠点と再委託 | サポート拠点国、再委託先国、データセンター国を確認します。 | サブプロセッサ一覧、サービス仕様書、DPA、セキュリティ附属書を確認します。 |
| 契約義務 | 秘密保持、安全管理、再委託、政府アクセス通知、漏えい通知を定めているかを確認します。 | 契約書、規約、監査報告書、通知履歴を確認します。 |
海外親会社、従業員情報、再委託、個人関連情報、AI開発まで横断して管理します。
グループ会社だからといって、個人情報保護法上当然に同一主体として扱われるわけではありません。法人格が別であれば、海外親会社、海外子会社、地域統括会社、グループ内シェアードサービス会社は通常、第三者として検討します。共同利用の公表・通知をしている場合でも、外国にある共同利用者が関与するなら法第28条の整理が必要です。
次の一覧は、グループ移転と周辺論点のうち、本人への影響が大きい領域をまとめています。各項目は別の部署が管理しがちなので、法務、プライバシー、労務、情報セキュリティ、内部監査が同じ台帳で読み合わせることが重要です。
氏名、所属、給与、評価、勤怠、休職、懲戒、健康診断、内部通報、研修、株式報酬などは労務法務と個人情報保護が交差します。
提供先がさらに外国事業者へ再提供する場合、同じ国か別の国かを問わず、法第28条の趣旨に沿った措置を確保します。
氏名削除だけでは足りないことがあります。復元キー、照合可能性、再識別禁止、ログやバックアップの残存を確認します。
問い合わせ履歴、録音、顔画像、購買履歴、位置情報、健康情報、従業員評価情報を外国事業者へ渡す場合は高リスクです。
Cookie ID、端末ID、広告ID、閲覧履歴、位置情報、興味関心セグメントが提供先で個人データとして取得されるかを確認します。
AI開発や機械学習では、提供データの加工と利用目的の制限が特に重要です。次の一覧は、モデル改善やログ保存が関わる場面で検討する措置を示しています。上から順に確認すると、個人データを含めない設計、処理目的の限定、保存期間、再委託、社内規程の整備まで漏れにくくなります。
提供先が復元キーを持たず、照合や再識別を禁止する契約と技術措置を組み合わせます。
加工モデル改善、広告、プロファイリング、サービス改善への利用可否を明示し、必要に応じて禁止します。
目的限定入力データ、ログ、バックアップ、人手レビュー、保存国、削除機能を確認します。
保存管理提供先、サブプロセッサ、所在国、本人説明、同意、プライバシーノーティスを整理します。
再委託機密情報管理、営業秘密、著作権、労務監視、入力禁止データ、承認手順を確認します。
社内統制Cookie、外部タグ、SDK、DMP、CDP、アクセス解析、リターゲティング、SNS連携では、提供元では個人情報に該当しない個人関連情報でも、提供先で個人データとして取得されることが想定される場合があります。外国にある第三者が関与するなら、外国提供に関する情報提供も検討します。
日本法第28条とGDPRの移転手段を混同せず、DPAや本人向け説明に落とし込みます。
日本の個人情報保護委員会ガイドラインでは、個人の権利利益を保護する上で日本と同等水準の制度を有する外国として、EU及び英国が該当すると説明されています。そのため、日本からEU又は英国にある第三者へ個人データを提供する場合、法第28条第1項の外国提供同意を要しない整理があり得ます。
次の比較表は、日本法第28条とEU GDPR実務で使われる移転手段を分けて示しています。似た用語が並びますが、制度の向きと要件が異なるため、グローバル契約をそのまま日本法対応済みと扱わないことが重要です。
| 観点 | 日本法第28条 | EU GDPR実務 |
|---|---|---|
| 主な対象 | 日本から外国にある第三者への個人データ提供を整理します。 | EU域内から第三国への個人データ移転を整理します。 |
| 代表的な根拠 | 同等水準国、基準適合体制、本人同意、法定例外を確認します。 | 十分性認定、SCC、DPA、BCR、移転影響評価を確認します。 |
| 日本との関係 | 日本からEU・英国への提供では、同等水準国・地域の指定が問題になります。 | EUから日本への移転では、欧州委員会の十分性認定と日本の補完的ルールを確認します。 |
| 注意点 | 本人への情報提供、相当措置の継続、本人の求めへの情報提供が重要です。 | SCCを締結していても、日本法第28条の確認が別に必要になる場合があります。 |
契約条項は、外国委託、SaaS、グループ内移転の運用を支える中心資料です。次の一覧は、契約で検討する主な条項を実務の読み順で示しています。処理目的から終了時削除まで連続して確認することで、移転中だけでなく移転終了後の保護水準も維持できます。
個人データ、処理、本人、インシデント、サブプロセッサ、関連会社、保護措置、政府アクセス要請、契約終了時データを定義します。
定義文書化された指示と契約目的の範囲内でのみ処理し、独自目的利用、AI学習、広告、統計利用を明示します。
目的限定アクセス制御、多要素認証、暗号化、ログ管理、再委託の事前承諾、同等義務、追加・変更通知を定めます。
安全管理年1回以上の報告、監査、質問票、第三者監査報告書、漏えい等発生時の通知、調査協力を定めます。
監査開示要請や外国制度変更の通知、代替措置協議、返還、削除、バックアップ削除、削除証明を定めます。
終了管理本人向け説明は、専門家向け契約条項とは違い、分かりやすさが重要です。外国提供が起きる場面、国・地域、提供先、データ項目、利用目的、外国制度、提供先措置、再委託、問い合わせ窓口、同意撤回や利用停止の手続を整理します。
次の表は、本人向け説明で想定される記載例を示しています。国、提供先の類型、データ項目、利用目的、措置を同じ行で読めるため、本人が同意又は理解を判断しやすくなります。
| 所在国 | 提供先の類型 | 提供される個人データ | 利用目的 | 提供先の措置 |
|---|---|---|---|---|
| 米国 | クラウドCRM事業者 | 氏名、会社名、部署、メールアドレス、商談履歴 | 顧客管理、営業活動管理 | 契約により目的外利用禁止、安全管理措置、再委託管理、漏えい時通知、削除義務を定めています。 |
| シンガポール | グループ内シェアードサービス会社 | 従業員の氏名、社員番号、所属、評価情報 | グループ人事管理 | グループ共通規程によりアクセス制限、安全管理、再提供禁止、本人請求対応を定めています。 |
法務、プライバシー、情報セキュリティ、調達、内部監査、外部専門家の役割を整理します。
越境移転・外国への提供は、法務部だけで完結しません。個人データの流れ、契約、クラウド設定、再委託、外国制度、本人説明、監査、インシデント対応が関わるため、複数部門の責任分担が必要です。
次の一覧は、社内外の担当者ごとの役割を示しています。どの部署が何を確認するかを読むことで、案件受付から契約更新、監査、事故対応までの抜けを減らせます。
本人同意、基準適合体制、法定例外、DPA、SaaS規約、プライバシーポリシー、M&A、訴訟、当局対応でのデータ移転管理を担います。
データマッピング、移転台帳、本人向け説明、外国制度調査、影響評価、本人請求、研修、委託先評価を担います。
暗号化、アクセス制御、ログ管理、クラウド設定、脆弱性診断、監査報告書、事故対応、削除・バックアップ管理を担います。
SaaS・委託先の選定、サブプロセッサ情報、利用目的、業務手順、契約更新時の再評価を担います。
移転台帳、委託先監督、同意証跡、契約と運用の乖離、インシデント訓練、経営層報告を確認します。
外国法調査、当局対応、契約交渉、M&A、訴訟、不祥事調査、グローバルプライバシープログラム構築を支援します。
実務シナリオごとに、見るべき論点は変わります。次の比較表は、代表的な5場面を整理したものです。場面ごとにデータの性質、提供先、必要な契約・技術・運用措置を読み分けることが重要です。
| 場面 | 主なデータ | 実務対応 |
|---|---|---|
| 海外クラウドCRM | 顧客担当者の氏名、メール、会社名、商談履歴 | DPA、サブプロセッサ、データセンター、サポート拠点、暗号化、監査報告書、削除機能、本人請求対応、外国制度を確認します。 |
| 海外親会社への従業員情報 | 評価、懲戒、健康、内部通報、報酬、退職理由 | 利用目的、従業員向け通知、就業規則、基準適合体制、アクセス制限、データ最小化を確認します。 |
| 海外開発会社への本番データ提供 | 顧客データ、ログ、テストに使う本番データ | テストデータ利用、マスキング、アクセス制限、ダウンロード禁止、ログ取得、作業後削除、再委託禁止を確認します。 |
| 国際M&Aのデューデリジェンス | 役員・従業員、顧客、取引先担当者、訴訟資料、内部通報資料 | データ最小化、匿名化、閲覧権限、ダウンロード制限、ウォーターマーク、アクセスログ、NDA、越境移転根拠を確認します。 |
| 国際訴訟・eディスカバリ・不正調査 | メール、チャット、端末ログ、会計データ、従業員情報 | 弁護士秘匿特権、営業秘密、労働法、証拠保全、現地データ保護法、保存期間、削除、当局対応を確認します。 |
リスクは行政処分や罰則だけではありません。次の強調事項は、越境移転管理の不備が事業に与える損失をまとめています。導入停止、顧客・従業員信頼、取引先監査、契約交渉、レピュテーションまで含めて読むことが大切です。
SaaS導入停止、海外委託の遅延、M&Aでの法務指摘、顧客・従業員からの説明要求、漏えい時の報告・通知の複雑化、海外親会社との衝突、取引先監査、契約交渉の長期化、内部監査指摘が主な損失になります。
案件受付、契約審査、本人向け説明、運用・監査の4局面で確認します。
越境移転・外国への提供を継続的に管理するには、個別案件ごとの属人的判断ではなく、社内手順に組み込むことが重要です。次の一覧は、4つの局面で確認する項目をまとめています。局面ごとに担当部署と証跡を分けて読むと、台帳管理や監査に使いやすくなります。
| 局面 | 主な確認項目 | 証跡・成果物 |
|---|---|---|
| 案件受付時 | 業務、個人データ項目、要配慮情報、提供先、法人格、所在国、サーバー、サポート拠点、再委託、同等水準、基準適合体制、本人同意、外国制度を確認します。 | 移転申請書、データマップ、サービス仕様、サブプロセッサ一覧、外国制度調査シートを残します。 |
| 契約審査 | 目的外利用禁止、AI学習・サービス改善利用、安全管理、従業者監督、再委託、同等義務、インシデント通知、政府アクセス、監査、削除を確認します。 | DPA、セキュリティ附属書、SLA、監査報告書、削除証明条項を残します。 |
| 本人向け説明 | 外国提供の場面、外国名、制度概要、提供先措置、データ項目、利用目的、再委託、問い合わせ、同意画面からの到達性、証跡を確認します。 | プライバシーポリシー、通知文、同意ログ、FAQ、変更履歴を残します。 |
| 運用・監査 | 移転台帳、委託先台帳、年1回以上の定期確認、外国制度変更、サブプロセッサ変更、事故訓練、本人請求、契約更新、削除証明を確認します。 | 台帳、確認シート、監査記録、訓練記録、本人請求処理記録、契約更新レビューを残します。 |
社内文書と承認手順もあらかじめ用意します。次の順番は、新規SaaS、海外委託、海外共有を申請してから終了時確認までの管理の流れを示しています。順番に沿って責任部署を割り当てることで、承認後の放置を防ぎやすくなります。
利用目的、データ項目、提供先、所在国、サービス仕様を整理します。
暗号化、アクセス制御、ログ、サポート拠点、保存国、再委託を確認します。
本人同意、基準適合体制、法定例外、本人向け説明、外国制度調査を確認します。
承認後にDPA、監査権限、削除、事故通知、サブプロセッサ条件を登録します。
委託先、外国制度、契約更新、削除証明、バックアップ削除を確認します。
KPI・監査指標としては、移転台帳登録率、未審査SaaS件数、外国制度調査完了率、DPA締結率、サブプロセッサ確認率、年次確認実施率、インシデント通知訓練実施率、本人請求対応期限遵守率、契約終了時削除証明取得率、高リスク移転の経営報告件数を確認します。
FAQは一般的な制度説明にとどめ、個別案件では事実関係に応じた確認が必要です。
一般的には、外国にあるクラウド事業者が個人データを取り扱わないと評価できる場合、第三者提供に該当しない可能性があります。ただし、安全管理措置や外的環境の把握は必要とされています。サーバー所在地、サポート拠点、暗号鍵管理、保守アクセス、ログ管理によって整理が変わる可能性があります。具体的な対応は、事実関係と契約資料を整理したうえで専門家へ確認する必要があります。
一般的には、国内委託と同じ感覚で同意不要と整理できるとは限らないとされています。外国委託先が法第28条の外国にある第三者に該当する場合、本人同意、基準適合体制、同等水準国、法定例外の検討が必要になる可能性があります。具体的な対応は、契約、委託内容、所在国、再委託の有無を確認したうえで専門家へ確認する必要があります。
一般的には、EU及び英国は日本法上の同等水準国・地域として扱われるため、法第28条の外国提供同意を要しない整理があり得るとされています。ただし、通常の第三者提供規律、委託先監督、安全管理措置、契約、本人への説明、業法規制は残る可能性があります。具体的には、提供目的、委託関係、データ項目、再委託先を確認する必要があります。
一般的には、国名が特定できない事実と理由を説明し、本人の参考になる代替情報を提供する必要があるとされています。候補国、選定基準、提供が発生する場面、サブプロセッサ情報などが検討対象になります。具体的な記載は、サービス仕様と提供先管理の実態によって変わります。
一般的には、必要情報を掲載したWebページのURLを示す方法も適切な情報提供方法になり得るとされています。ただし、本人が同意判断の前に必要情報を確認できるよう、分かりやすい場所に表示し、確認を明確に求める必要があります。具体的には、同意画面、要約表示、詳細ページ、証跡保存を組み合わせて検討します。
一般的には、同一法人格内の外国支店・事業所への移動は、典型的には第三者への提供ではないとされています。ただし、別法人の海外子会社・海外親会社・グループ会社は通常第三者として検討します。外国法人の日本拠点やグループ共通システムなどでは、事実関係によって整理が変わる可能性があります。
一般的には、従業員同意だけで十分とは限らないとされています。雇用関係では同意の任意性が問題になり得ますし、評価、懲戒、健康、内部通報などの情報では本人への影響が大きくなります。利用目的、データ項目、アクセス権限、グループ内規程、基準適合体制、労務法務を総合的に確認する必要があります。
一般的には、再提供先が外国にある者であれば、同一国か別国かを問わず、法第28条の趣旨に沿った措置の実施を確保する必要があるとされています。サブプロセッサ管理条項、事前通知、同等義務の承継、監査、事故通知が重要です。具体的な対応は、再委託の範囲、所在国、契約上の管理権限によって変わります。
一般的には、常に不要になるわけではありません。提供先にとって個人情報に該当せず、契約で復元しないことが定められるなど、本人を識別しないことが担保される場合には、外国提供同意を要しない整理があり得ます。ただし、復元されていないことの定期確認、委託先監督、本人の求めへの情報提供が残る可能性があります。
一般的には、年1回以上の定期確認は重要な目安とされています。ただし、高リスクデータ、大量データ、重要委託先、外国制度変更、インシデント、サブプロセッサ変更、サービス仕様変更がある場合は、追加確認が必要になる可能性があります。具体的な頻度は、リスク評価と契約内容に応じて決める必要があります。
一般的には、リスクに応じて調査の深さを変えることが実務的とされています。まず公的資料を確認し、重要案件では現地法助言、当局資料、専門調査を組み合わせます。政府アクセス、データローカライゼーション、本人権利、漏えい通知、越境再移転規制は特に重要です。
一般的には、SCCだけで日本法第28条対応が完了するとは限らないとされています。SCCは主としてEU GDPRの越境移転手段であり、日本法第28条の本人同意、情報提供、基準適合体制、相当措置、本人の求めへの情報提供とは制度目的と要件が異なります。グローバル契約を日本法の観点から確認する必要があります。
個人データの流れを見える化し、4ルート、本人説明、継続的管理、社内連携で運用します。
越境移転・外国への提供は、形式的な同意文言や契約条項だけで処理できる問題ではありません。誰が、どの国で、どの法人格として、どの権限で取り扱うのかを見える化し、法第28条の4ルートを正しく選び、本人説明と移転後の保護水準を継続的に維持します。
次の重要ポイントは、ページ全体の結論を実務で使いやすい形にまとめたものです。5つの項目を順に確認すると、個別案件の審査だけでなく、社内規程、台帳、監査、経営報告まで一貫して設計できます。
誰が、どの国で、どの法人格として、どの権限で取り扱うのかを見える化します。
同等水準国・地域、基準適合体制、本人同意、法定例外を正しく選びます。
国名、外国制度、提供先措置、データ項目、利用目的を具体的に示します。
契約、内規、監査、再委託管理、事故対応、本人請求対応を運用します。
法務、プライバシー、情報セキュリティ、調達、IT、内部監査、労務、経営層が連携します。
越境移転・外国への提供を適切に設計できる企業は、グローバルSaaS、AI、海外委託、国際M&A、グループ経営を安全に進めやすくなります。反対に、移転実態を把握せず、契約と運用を整備しない企業は、事故対応、当局対応、信頼低下、事業停止リスクに直面する可能性があります。
目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。
知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。
このテーマから次に確認されやすい詳しい解説を7件表示しています。