2σ Guide

越境移転を含む場合の
プラポリ追加記載事項

個人情報保護法28条、同意取得前の情報提供、基準適合体制、クラウド・SaaS利用、外的環境の把握をつなげて、プライバシーポリシーと同意画面に何を書くべきかを整理します。

3項目同意前に示す中核情報
4入口越境移転の法的根拠
7項目求めに応じて備える情報
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

越境移転を含む場合の プラポリ追加記載事項

一文追加では足りず、同意、契約、台帳、監査まで連動させるテーマです。

動画を読み込み中…
2σ GUIDE ・ VIDEO
越境移転を含む場合の プラポリ追加記載事項
一文追加では足りず、同意、契約、台帳、監査まで連動させるテーマです。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 越境移転を含む場合の プラポリ追加記載事項
  • 一文追加では足りず、同意、契約、台帳、監査まで連動させるテーマです。

POINT 1

  • 越境移転を含む場合のプラポリ追加記載事項の全体像
  • 一文追加では足りず、同意、契約、台帳、監査まで連動させるテーマです。
  • 文言より先に越境移転の実態を棚卸しする
  • 越境移転を含む場合のプラポリ追加記載事項は、単に「海外に個人データを提供することがあります」と追記する作業ではありません。
  • 読者にとって重要なのは、自社の移転類型がどこに当たるかを見分け、右欄の注意点を社内台帳・契約・運用証跡と照合することです。

POINT 2

  • 越境移転を含む場合のプラポリ追加記載事項に必要な定義
  • プラポリ、個人データ、外国第三者、基準適合体制、外的環境を分けて理解します。
  • プラポリ
  • 個人情報・個人データ
  • 越境移転

POINT 3

  • 越境移転を含む場合のプラポリ追加記載事項は4つの法的根拠から決める
  • 外国にある別人格の者へ個人データを提供するか
  • 同等水準国または法27条例外に当たるか
  • 本人同意または基準適合体制を検討
  • 他の規律を残して整理
  • 本人同意、同等水準国、基準適合体制、法27条例外を入口で分類します。

POINT 4

  • 越境移転を含む場合のプラポリ追加記載事項で委託・海外子会社を誤解しない
  • 委託だから同意不要とは限らない
  • 外国の受託者へ個人データを提供する場合、同意、同等水準国、基準適合体制、法27条例外のいずれに当たるかを確認します。
  • 海外子会社・海外親会社は第三者になり得る
  • 法人格が別であれば、海外親会社、海外子会社、海外関連会社への提供は外国にある第三者への提供となり得ます。

POINT 5

  • 越境移転を含む場合のプラポリ追加記載事項 ― 本人同意で示す3項目
  • 外国の名称
  • 外国の個人情報保護制度
  • 移転先第三者の措置
  • 同意前に、国名・外国制度・移転先措置を本人が認識できるようにします。

POINT 6

  • 越境移転を含む場合のプラポリ追加記載事項で国名・措置が分からない場合
  • クラウドの候補国を確認する
  • 措置情報の取得可否を記録する
  • 契約条件、セキュリティ上の制約、公開資料の範囲を整理し、取得できた情報と取得できない情報を分けます。

POINT 7

  • 越境移転を含む場合のプラポリ追加記載事項と基準適合体制
  • 1. 移転根拠と契約条項を確認:DPA、再委託制限、本人請求協力、政府アクセス時の通知、契約終了時の削除を確認します。
  • 2. 年1回以上または契約更新時に確認:認証更新、監査報告書、サブプロセッサ変更通知、外国制度の変更を確認します。
  • 3. 是正・停止・切替えを判断:相当措置の継続に支障がある場合、是正要求、移転停止、削除・返還、代替先切替えを検討します。

POINT 8

  • 越境移転を含む場合のプラポリ追加記載事項とクラウド・SaaS・外国サーバー
  • 1. 契約上、クラウド事業者が個人データを取り扱うか:サポートアクセス、ログ閲覧、障害対応、運用保守、サブプロセッサ処理を確認します。
  • 2. 外国第三者提供・委託管理を検討:同意、同等水準国、基準適合体制、DPA、再委託、本人への情報提供を整理します。
  • 3. 外的環境と安全管理措置を確認:サーバー所在国、サービス提供事業者の所在国、外国制度、本人が知り得る状態を確認します。

まとめ

  • 越境移転を含む場合の プラポリ追加記載事項
  • 越境移転を含む場合のプラポリ追加記載事項の全体像:一文追加では足りず、同意、契約、台帳、監査まで連動させるテーマです。
  • 越境移転を含む場合のプラポリ追加記載事項に必要な定義:プラポリ、個人データ、外国第三者、基準適合体制、外的環境を分けて理解します。
  • 越境移転を含む場合のプラポリ追加記載事項で委託・海外子会社を誤解しない:国内の第三者提供の整理と、外国第三者提供の整理は同じではありません。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

越境移転を含む場合のプラポリ追加記載事項の全体像

一文追加では足りず、同意、契約、台帳、監査まで連動させるテーマです。

越境移転を含む場合のプラポリ追加記載事項は、単に「海外に個人データを提供することがあります」と追記する作業ではありません。本人同意の取得設計、外国第三者への提供の法的根拠、委託先・クラウド事業者・海外グループ会社の実態把握、外国制度調査、契約条項、監査・更新体制までを含むデータガバナンスの問題です。

このページでいうプラポリは、プライバシーポリシー、個人情報の取扱いに関する公表事項、外国第三者提供の同意説明、安全管理措置に関する公表事項、従業員向け通知、取引先向け通知を含む広い意味です。2026年5月9日時点で公表されている個人情報保護委員会のガイドライン、Q&A、外国制度調査資料、EU・英国に関する相互認証情報を前提に整理します。

次の比較表は、プラポリや同意画面に追加すべき事項を、実務で問題になりやすい場面ごとに整理したものです。読者にとって重要なのは、自社の移転類型がどこに当たるかを見分け、右欄の注意点を社内台帳・契約・運用証跡と照合することです。

区分追加記載・説明すべき事項実務上の注意点
外国第三者提供について本人同意を取得する場合移転先国名、移転先国の個人情報保護制度、移転先第三者が講ずる個人情報保護措置同意取得前に、本人が認識できる方法で提供します。プラポリ末尾への埋込みだけでは足りない可能性があります。
移転先国が特定できない場合国名を特定できないこと、その理由、本人に参考となる代替情報クラウド、CDN、サブプロセッサ、グローバルサポート拠点で問題になりやすい項目です。
移転先第三者の措置が確認できない場合措置情報を提供できないこと、その理由情報提供が可能となった場合には、本人の求めに応じて提供する運用を整えます。
基準適合体制に基づき移転する場合相当措置を継続的に講ずる体制と、本人の求めに応じた情報提供契約、グループ内規程、認証制度等の根拠と、移転後の継続確認が必要です。
外国クラウド・外国サーバー利用個人データを取り扱う外国の国名、サーバー所在国、外的環境の把握クラウド事業者が個人データを取り扱わない場合でも、安全管理措置として外的環境把握が残ることがあります。
委託・共同利用・海外グループ会社誰に、どの目的で、どの個人データを、どの法的根拠で移転するか国内では第三者提供に当たらない委託等でも、外国移転では法28条の検討が必要になることがあります。
問い合わせ・情報更新問い合わせ窓口、情報提供請求の方法、移転先・国・制度変更時の更新方針ベンダー変更、サブプロセッサ追加、法改正、認証更新に合わせて見直します。

次の強調表示は、越境移転を含む場合のプラポリ追加記載事項で最初に押さえる結論です。なぜ重要かというと、文言を先に作ると実態と契約が追いつかず、本人への説明と社内管理がずれるためです。読み取るべき点は、プラポリ、同意画面、契約、台帳、監査が同じ事実を説明している必要があるということです。

文言より先に越境移転の実態を棚卸しする

個人データが、どの国の、どの第三者に、どの目的で移転され、どの根拠で処理されるかを台帳化したうえで、プラポリ、同意画面、別紙、契約条項、問い合わせ回答をそろえます。

Section 01

越境移転を含む場合のプラポリ追加記載事項に必要な定義

プラポリ、個人データ、外国第三者、基準適合体制、外的環境を分けて理解します。

越境移転を含む場合のプラポリ追加記載事項では、似た用語を混同しないことが出発点になります。次の一覧は、プラポリに何を書くかを決める前に整理すべき概念をまとめたものです。なぜ重要かというと、個人情報と個人データ、第三者提供と同一法人内処理、外国第三者提供と外的環境の把握では、必要な説明や根拠が変わるためです。

TERM 01

プラポリ

法律上の単一文書名ではなく、プライバシーポリシー、公表事項、同意説明、安全管理措置の説明、従業員・取引先向け通知を含む実務上の総称です。

TERM 02

個人情報・個人データ

外国第三者提供規制で中心となるのは、通常、個人情報データベース等を構成する個人データです。保有個人データでは開示等請求の手続も問題になります。

TERM 03

越境移転

外国にある第三者への個人データ提供のほか、外国サーバー保存、海外拠点での閲覧、海外委託先での処理などを広く含む実務用語です。

次の一覧は、移転先や管理体制に関する概念を整理しています。読者にとって重要なのは、海外子会社と外国支店で第三者性が異なり、基準適合体制と外的環境の把握も別の論点として扱う点です。

TERM 04

外国にある第三者

提供元から見て外国に所在する別人格の者です。外国法人である海外子会社は原則として該当し得ますが、同一法人の外国支店は通常、第三者には当たりません。

TERM 05

基準適合体制

移転先が、日本の個人情報保護法上求められる措置に相当する措置を継続的に講ずるための体制です。契約、グループ内規程、国際認証などが根拠になります。

TERM 06

外的環境の把握

外国で個人データを取り扱う場合に、その国の個人情報保護制度、政府アクセス、越境移転制限等を把握し、安全管理措置に反映する考え方です。

次の比較表は、混同されやすい相手方を法的な見方で整理したものです。移転先の法人格とアクセス実態を誤ると、同意、契約、本人への情報提供の設計を誤るため重要です。左から移転先の類型、第三者性の見方、プラポリ上の検討事項を読み比べてください。

移転先・利用形態第三者性の見方プラポリ上の検討事項
海外子会社・海外親会社別法人であれば外国にある第三者となり得る外国第三者提供の同意、基準適合体制、共同利用事項、従業員向け通知を確認します。
同一法人の外国支店通常は同一事業者内であり第三者ではない外国で取り扱う以上、外的環境の把握と安全管理措置の説明が残ります。
海外クラウド事業者個人データを取り扱うかどうかで分かれる契約上の非取扱い、アクセス制御、サポートアクセス、サブプロセッサを確認します。
海外BPO・開発委託先外国受託者として法28条の検討が必要委託だから同意不要と決めつけず、同意、同等水準国、基準適合体制、例外を分類します。
Section 02

越境移転を含む場合のプラポリ追加記載事項は4つの法的根拠から決める

本人同意、同等水準国、基準適合体制、法27条例外を入口で分類します。

越境移転を含む場合のプラポリ追加記載事項を正確に設計するには、まず移転の法的根拠を分類します。次の判断の流れは、どの入口に当たるかを実務担当者が最初に確認する順番を示しています。なぜ重要かというと、入口を誤ると、同意前の3項目情報提供、継続確認、本人請求対応の要否が変わるためです。

越境移転の根拠を確認する順番

外国にある別人格の者へ個人データを提供するか

海外子会社、海外委託先、海外SaaS、海外アドバイザーなどの法人格とアクセス実態を確認します。

同等水準国または法27条例外に当たるか

EU・英国の指定、法令に基づく提供、人の生命・身体・財産保護など限定的な例外を確認します。

該当しない
本人同意または基準適合体制を検討

同意前情報提供か、相当措置を継続する体制と本人請求対応を設計します。

該当する
他の規律を残して整理

利用目的、国内第三者提供、安全管理措置、外的環境、委託先監督を確認します。

次の比較表は、4つの入口ごとにプラポリで何を説明するかを整理したものです。読者にとって重要なのは、同意を取る場面と基準適合体制の場面では、本人への情報提供のタイミングと内容が違う点です。

入口実務上の意味プラポリ・同意画面の要点
本人同意に基づく外国第三者提供あらかじめ外国にある第三者への提供を認める同意を取得する同意取得前に、外国名、外国制度、移転先第三者の措置を本人が認識できる方法で示します。
規則で定める外国への提供日本と同等水準と認められる外国への提供EU・英国などでは法28条同意の対象外となる場面がありますが、他の説明義務は残ります。
基準適合体制に基づく提供移転先が相当措置を継続的に講ずる体制を整備している契約・内規・認証の根拠、継続確認、本人の求めに応じた情報提供を整えます。
法27条1項各号の例外法令、人の生命・身体・財産保護、公衆衛生、国等への協力など限定的に扱います。通常業務のSaaS利用やグローバル人事を安易に例外へ寄せないことが重要です。

なお、2026年4月7日には個人情報の保護に関する法律等の一部を改正する法律案が閣議決定・国会提出されています。今後、成立、施行、政令・規則・ガイドライン改訂があった場合には、ここで整理したプラポリ追加記載事項も再点検が必要です。

Section 03

越境移転を含む場合のプラポリ追加記載事項で委託・海外子会社を誤解しない

国内の第三者提供の整理と、外国第三者提供の整理は同じではありません。

委託、共同利用、海外グループ会社では、「第三者ではない」「グループ内だから内部利用」と整理したくなります。しかし、外国移転では別途、法28条の検討が必要になることがあります。次の注意点一覧は、実務で特に誤解されやすい場面を示します。なぜ重要かというと、同じ社内システム利用でも、相手が別法人か、海外でアクセスできるか、個人データを取り扱うかで結論が変わるためです。

委託だから同意不要とは限らない

外国の受託者へ個人データを提供する場合、同意、同等水準国、基準適合体制、法27条例外のいずれに当たるかを確認します。

海外子会社・海外親会社は第三者になり得る

法人格が別であれば、海外親会社、海外子会社、海外関連会社への提供は外国にある第三者への提供となり得ます。

同一法人の外国支店でも外的環境は残る

外国支店が第三者に当たらない場合でも、外国で個人データを取り扱うなら、外的環境の把握と安全管理措置を確認します。

次の比較表は、海外グループや委託先に個人データが流れる典型場面を整理したものです。読者にとって重要なのは、顧客情報だけでなく、従業員、内部通報、ログ、マーケティングデータも越境移転の検討対象になり得る点です。

典型場面検討対象となる個人データ特に確認する事項
米国親会社の人事システム従業員情報、評価、給与、扶養家族、緊急連絡先従業員同意の任意性、グループ内規程、基準適合体制、共同利用事項
シンガポール地域統括会社への顧客リスト共有顧客名、連絡先、購買履歴、商談履歴利用目的、移転先国、外国制度、移転先措置、営業利用の範囲
海外BPO・カスタマーサポート問い合わせ内容、本人確認情報、購買履歴DPA、再委託制限、アクセス権限、漏えい時通知、監査・報告
海外本社のセキュリティ監視ログ、端末ID、アクセス履歴、内部通報関連情報個人データ性、外的環境、政府アクセス、社内通知、調査の秘密性
注意「国内では委託だから第三者提供ではない」という整理は、外国移転の検討を省く理由にはなりません。相手方の所在国、法人格、アクセス可能性、契約上の義務を分けて確認します。
Section 05

越境移転を含む場合のプラポリ追加記載事項で国名・措置が分からない場合

不明なまま空欄にせず、特定できない理由と代替情報を説明します。

同意取得時点で移転先国や移転先第三者の措置を特定できないことがあります。次の比較表は、その場合に何を説明すべきかを整理したものです。なぜ重要かというと、「分からない」とだけ記載しても、本人が判断するための参考情報にならず、社内でも追加調査の責任が曖昧になるためです。

不明な事項本人に示す情報社内で残すべき根拠
移転先国を特定できない国名を特定できないこと、理由、候補国・地域、サブプロセッサ情報などの参考情報クラウド構成、リージョン設定、事業者公表資料、DPA、サポート拠点の確認履歴
サーバー所在国を特定できない冗長性、障害復旧、負荷分散、セキュリティ対策により一意に特定できないことデータセンター地域、バックアップ設計、ログ保存場所、問い合わせ結果
移転先第三者の措置を取得できない措置情報を提供できないこと、その理由、公開情報・契約条件・認証取得状況に基づく確認内容セキュリティ資料、SOC報告書、ISO認証、CBPR/Global CBPR認証、監査可能性
後日情報提供が可能になった本人の求めに応じて、法令で定める範囲で追加情報を提供する運用回答テンプレート、窓口、版管理、更新通知の判断基準

次の注意点一覧は、国名や措置が分からない場合でも、実務上は最低限確認したい資料をまとめたものです。読者にとって重要なのは、不明な状態を免罪符にせず、合理的に取得可能な情報を集めて説明の精度を上げることです。

クラウドの候補国を確認する

リージョン、バックアップ、障害対応、サポート、サブプロセッサの範囲を確認し、国名が一意に決まらない理由を台帳化します。

措置情報の取得可否を記録する

契約条件、セキュリティ上の制約、公開資料の範囲を整理し、取得できた情報と取得できない情報を分けます。

問い合わせ時の回答を準備する

後に情報提供が可能となった場合に備え、問い合わせ窓口、回答範囲、開示できない理由の説明を整備します。

注意措置が分からないまま漫然と移転する設計は避けるべきです。SaaSや委託先の選定段階で、DPA、サブプロセッサ一覧、認証報告書、政府アクセス対応方針を確認します。
Section 06

越境移転を含む場合のプラポリ追加記載事項と基準適合体制

同意不要の近道ではなく、契約・内規・認証と継続確認の管理体制です。

基準適合体制に基づく移転では、本人同意によらずに外国第三者提供が可能となる余地があります。ただし、移転先が日本の個人情報保護法に相当する措置を継続的に講ずる体制を整備していることが前提です。次の一覧は、体制整備の代表的な根拠を整理しています。読者にとって重要なのは、プラポリ上の説明が契約や認証で裏付けられているかを確認することです。

METHOD 01

DPA・委託契約

日本の提供元と外国の提供先との契約で、利用目的制限、安全管理、再委託制限、本人請求協力、返還・削除などを義務付けます。

METHOD 02

グループ内規程

海外子会社・親会社を含むグループ内で、データ移転規程や拘束的な社内ルールにより相当措置を継続します。

METHOD 03

国際認証

APEC CBPR、Global CBPRなど、越境データ移転に関する国際的な認証制度を保護措置の一部として確認します。

次の比較表は、本人から求めがあった場合に提供できるよう準備すべき7項目を整理したものです。なぜ重要かというと、プラポリに「求めに応じて提供します」と書くだけでは足りず、実際に回答できる材料をあらかじめ整える必要があるためです。

準備する情報確認する資料・運用
基準適合体制を整備する方法DPA、グループ内規程、認証制度、拘束力のある社内ルール
移転先第三者が実施する相当措置の概要安全管理措置、再提供制限、本人請求協力、漏えい時通知
実施状況を確認する頻度・方法年次レビュー、契約更新時確認、監査報告書、セキュリティ質問票
移転先国の名称サーバー所在国、サポート拠点、サブプロセッサ国、グループ会社所在地
相当措置に影響し得る外国制度政府アクセス、データローカライゼーション、本人権利、監督機関、越境移転制限
相当措置の実施に支障が生じた場合の有無・概要法改正、認証失効、重大インシデント、政府アクセス要求、再委託先変更
支障に対して講じる措置の概要是正要求、移転停止、削除・返還、代替委託先への切替え、本人通知

次の時系列は、基準適合体制に基づく移転を一度の確認で終わらせないための管理サイクルを示しています。順番が重要なのは、契約締結時の確認だけでなく、更新、サブプロセッサ追加、法改正、インシデント時の再点検が必要になるためです。

導入前

移転根拠と契約条項を確認

DPA、再委託制限、本人請求協力、政府アクセス時の通知、契約終了時の削除を確認します。

運用中

年1回以上または契約更新時に確認

認証更新、監査報告書、サブプロセッサ変更通知、外国制度の変更を確認します。

支障発生時

是正・停止・切替えを判断

相当措置の継続に支障がある場合、是正要求、移転停止、削除・返還、代替先切替えを検討します。

Section 07

越境移転を含む場合のプラポリ追加記載事項とクラウド・SaaS・外国サーバー

クラウド事業者が個人データを取り扱うか、外的環境をどう把握するかが分岐点です。

クラウドサービス利用時には、保存データに個人データが含まれるかだけでなく、クラウド事業者が個人データを取り扱うこととなっているかを確認します。次の判断の流れは、外国クラウド利用でプラポリに何を書くかを決める順番を示します。なぜ重要かというと、外国第三者提供に当たらない整理でも、安全管理措置としての外的環境把握が残ることがあるためです。

外国クラウド利用時の確認順序

契約上、クラウド事業者が個人データを取り扱うか

サポートアクセス、ログ閲覧、障害対応、運用保守、サブプロセッサ処理を確認します。

取り扱う
外国第三者提供・委託管理を検討

同意、同等水準国、基準適合体制、DPA、再委託、本人への情報提供を整理します。

取り扱わない
外的環境と安全管理措置を確認

サーバー所在国、サービス提供事業者の所在国、外国制度、本人が知り得る状態を確認します。

次の比較表は、クラウド・SaaS利用でプラポリや別紙に反映しやすい項目を整理しています。読者にとって重要なのは、サービスの利用目的、データ所在地、サブプロセッサ、外的環境が互いに結び付いている点です。

確認項目プラポリに反映する内容社内確認の観点
CRM・MA・CDP顧客情報、問い合わせ内容、購買履歴、行動履歴、広告ID等が外国で取り扱われる可能性サーバー所在国、サポート拠点、サブプロセッサ、DPA、監査報告書
問い合わせ・チャットサポート本人確認情報や問い合わせ本文が海外サポート拠点で閲覧される可能性アクセス権限、ログ保存、翻訳・要約処理、再委託先
バックアップ・障害復旧冗長性・障害復旧のため処理国や保存国を一意に特定できない場合があることリージョン設定、データセンター地域、候補国、復旧時のアクセス権
セキュリティ監視ログや端末情報が外国で分析される可能性個人データ性、政府アクセス、保存期間、インシデント通知
注意クラウド事業者が個人データを取り扱わないと整理するには、契約上の制限と技術的アクセス制御が実態として必要です。サポート担当者が閲覧できる場合やログに個人データが含まれる場合には慎重に判断します。
Section 08

越境移転を含む場合のプラポリ追加記載事項を実務シナリオ別に設計する

顧客管理、従業員情報、開発委託、内部通報、M&Aで見るべき点が変わります。

越境移転の説明は、すべての会社に同じ文言を当てはめるものではありません。次の一覧は、実務で頻出する5つのシナリオを、確認事項とプラポリ設計の観点で整理しています。読者にとって重要なのは、データ類型の機微性と利用場面によって、同意、通知、契約、アクセス制御の深さが変わる点です。

CRM

海外SaaSを顧客管理に利用する場合

顧客名、メールアドレス、会社名、問い合わせ内容、購買履歴、行動履歴、広告ID等が外国で取り扱われる可能性があります。SaaS事業者が個人データを取り扱うか、サーバー所在国、サポート拠点、サブプロセッサ、DPA、監査報告書を確認します。

顧客情報SaaS
HR

海外親会社の人事システムに従業員情報を登録する場合

氏名、住所、給与、評価、懲戒、健康、扶養家族、緊急連絡先、銀行口座に近い情報が含まれ得ます。雇用関係での同意の任意性、基準適合体制、グループ内規程、共同利用、利用目的を総合的に整理します。

従業員データ任意性
DEV

海外委託先に開発・保守を委託する場合

本番データ、ログ、問い合わせ本文、翻訳対象データに個人データが含まれる場合があります。利用目的外利用禁止、再委託、アクセス権限、暗号化、ログ管理、漏えい時通知、監査・削除を契約で整えます。

委託アクセス管理
WH

グローバル内部通報制度の場合

通報者、被通報者、関係者、証拠資料、メール、チャット、録音等の機微性が高い情報を扱います。海外本社や海外窓口のアクセス、通報者保護、不利益取扱い防止、調査秘密、労働法上の配慮を個別通知で補います。

内部通報秘密性
DD

M&A・デューデリジェンスの場合

従業員名簿、役員情報、顧客リスト、契約担当者情報、紛争資料、コンプライアンス調査資料が海外買主候補や専門アドバイザーに開示されることがあります。匿名化、マスキング、データルームのアクセス制御、案件不成立時の削除を検討します。

M&A開示管理

次の比較表は、シナリオごとにプラポリ本体と個別通知をどう分けるかを整理したものです。読者にとって重要なのは、顧客向けの一般記載だけでは、従業員情報や内部通報の説明として不足し得る点です。

シナリオプラポリ本体個別通知・別紙で補う事項
顧客管理SaaS利用目的、移転先国、外国制度、移転先措置、外的環境サービス名、サブプロセッサ、データ所在地、広告ID等の取扱い
従業員人事システム従業員データの取扱い、海外グループ共有、問い合わせ窓口共有先会社、利用目的、データ項目、評価・健康情報の取扱い
海外開発・保守委託先への提供、保護措置、再委託管理本番データ利用可否、アクセス権限、ログ、削除・返還手順
内部通報一般的な個人情報取扱い通報制度専用通知、調査範囲、海外窓口、秘密保持、不利益取扱い防止
M&A事業承継・取引検討に伴う第三者提供の可能性データルーム利用、匿名化・マスキング、アクセス者、案件不成立時の削除
Section 09

越境移転を含む場合のプラポリ追加記載事項を実装するチェックリスト

データマッピング、法的根拠、外国制度、契約、同意画面を順に整えます。

越境移転を含む場合のプラポリ追加記載事項を作る前に、まずデータマッピングを行います。次の比較表は、移転ごとに台帳化すべき項目を整理したものです。なぜ重要かというと、プラポリの文言は、自社が扱うデータ、移転先国、移転先事業者、契約構造、同意取得の有無に依存するためです。

確認領域台帳化する内容読み取るべきポイント
データどの個人データか、誰のデータか、どのシステムで処理するか顧客、従業員、取引先担当者、株主、採用応募者を分けます。
移転先どの国で保存・閲覧・処理されるか、どの事業者がアクセスできるかサーバー所在国、サポート拠点、サブプロセッサを分けます。
法的根拠本人同意、同等水準国、基準適合体制、法27条例外、非取扱いの整理根拠ごとに必要な説明・契約・証跡が変わります。
契約・資料DPA、委託契約、秘密保持、認証、監査報告書、政府アクセス方針プラポリに書いた保護措置が契約で裏付けられているかを見ます。
更新ベンダー変更、サブプロセッサ追加、法改正、認証更新、インシデント一度作って終わりではなく、見直しのトリガーを定めます。

次の一覧は、外国制度調査で見るべき観点をまとめています。読者にとって重要なのは、個人情報保護委員会の外国制度調査資料を出発点にしつつ、自社の移転先・データ類型・契約内容に応じて確認することです。

LAW

制度の枠組み

包括的な個人情報保護法、分野別法、州法、監督機関、本人権利、事業者義務、漏えい通知義務を確認します。

RISK

移転・アクセスの制限

越境移転制限、政府機関によるアクセス制度、データローカライゼーション制度、行政制裁・罰則を確認します。

EVIDENCE

契約と証跡

DPA、サブプロセッサ一覧、セキュリティ説明資料、SOC報告書、ISO認証、政府アクセス対応方針を確認します。

次の判断の流れは、同意画面を設計するときの基本順序です。順番を示す理由は、包括的な利用規約同意と外国第三者提供の同意を混ぜると、本人が何に同意したかの証跡が曖昧になりやすいためです。

同意画面を整える順番

提供先・目的・データ項目を整理

移転先国、提供先類型、利用目的、提供される個人データ項目を台帳と合わせます。

外国第三者提供の説明を同意直前に置く

国名、制度概要、移転先措置、別紙リンク、問い合わせ先を本人が認識できる位置に置きます。

証跡を残す

同意日時、表示文面、バージョン、本人ID、別紙の版を保存します。

Section 10

越境移転を含む場合のプラポリ追加記載事項の実務文案

単純転用せず、自社の国名、提供先、データ項目、契約内容に合わせて補正します。

以下の文案は、越境移転を含む場合のプラポリ追加記載事項を検討する際のたたき台です。次の一覧は、文案ごとの用途を整理しています。なぜ重要かというと、本人同意、国名不明、基準適合体制、外的環境、問い合わせでは、書くべき事実と根拠が異なるためです。

CLAUSE 01

本人同意に基づく外国第三者提供

法令に基づき本人の同意を取得した上で、取得した個人データを外国にある第三者に提供することがあります。この場合、当社は、同意取得前に、移転先国の名称、当該国における個人情報保護制度に関する情報、および移転先第三者が講ずる個人情報保護措置に関する情報を、本人が認識できる方法により提供します。

CLAUSE 02

国名が特定できない場合

利用するクラウドサービス、サポート体制、バックアップ、障害対応、セキュリティ監視、サブプロセッサの利用状況等により、処理国または保存国を同意取得時点で特定できない場合があります。この場合、国名を特定できないこと、その理由、および本人に参考となるべき情報を提供します。

CLAUSE 03

措置情報が提供できない場合

移転先第三者が講ずる個人情報保護措置に関する情報の取得に努めます。ただし、セキュリティ上の理由、契約上の制限、サービス提供形態により、措置内容の全部または一部を本人に提供できない場合があります。

次の一覧は、基準適合体制、外国クラウド、問い合わせ・更新に関する文案です。読者にとって重要なのは、文案を置くだけでなく、本人の求めに応じた情報提供、外的環境の把握、更新時の版管理を実際に運用できる状態にすることです。

CLAUSE 04

基準適合体制に基づく移転

外国にある第三者が個人情報保護法上求められる措置に相当する措置を継続的に講ずるために必要な体制を整備している場合、法令に基づき、本人の同意を取得することなく個人データを当該第三者に提供することがあります。この場合、当社は、当該第三者による相当措置の継続的実施を確保するために必要な措置を講じます。

CLAUSE 05

外国クラウド・外的環境

個人データの保存、バックアップ、業務システム運用、セキュリティ監視、問い合わせ対応その他の業務上必要な範囲で、外国に所在するクラウドサービス、サーバー、サポート拠点または委託先を利用することがあります。当社は、個人データを取り扱う外国の個人情報保護制度その他の外的環境を把握した上で、必要かつ適切な安全管理措置を講じます。

CLAUSE 06

問い合わせ・更新

外国にある第三者への個人データ提供、外国における個人データの取扱い、移転先国の制度、移転先第三者の措置、基準適合体制に基づく必要な措置、外的環境の把握に関するお問い合わせは、所定の窓口までご連絡ください。重要な変更が生じた場合、必要に応じてポリシーまたは関連別紙を更新します。

重要文案は、国名、提供先、利用目的、データ項目、契約内容、外国制度、サブプロセッサ、クラウド構成を確認したうえで調整します。実態と異なる文言を置くと、透明性や説明可能性を損ないます。
Section 11

越境移転を含む場合のプラポリ追加記載事項で避けたい誤り

抽象記載、同意との混同、委託・クラウドの過大な簡略化に注意します。

越境移転のプラポリ対応では、短い文言で済ませたつもりでも、同意・契約・実態が合っていないことがあります。次のリスク一覧は、実務で起きやすい誤りをまとめたものです。なぜ重要かというと、誤った整理は本人への説明不足だけでなく、問い合わせ対応、監査、ベンダー変更時の混乱につながるためです。

「海外に提供することがあります」だけで済ませる

本人同意に基づく外国第三者提供では、移転先国名、外国制度、移転先第三者の措置という具体的情報が必要です。

プラポリ掲載を本人同意と混同する

掲載は情報提供または公表であり、本人同意そのものとは別です。同意ボタン、チェック、署名などの証跡が必要になる場面があります。

外国委託先を国内委託と同じに扱う

外国にある受託者へ個人データを提供する場合、法28条の検討を別途行います。

海外グループ会社を内部組織と誤解する

海外子会社、海外親会社、海外兄弟会社は別法人であり、外国にある第三者になり得ます。

クラウドの非取扱いを広げすぎる

サポートアクセス、ログ閲覧、障害対応、サブプロセッサ処理がある場合には、非取扱いと整理できるか慎重に確認します。

外国制度情報を更新しない

政府アクセス制度、越境移転規制、州法、監督機関の運用、認証制度は変化します。定期的な見直しが必要です。

ベンダー公開資料だけに依存する

契約条件、利用リージョン、サポート設定、ログ保存、追加オプションによって実態は変わります。

Section 12

越境移転を含む場合のプラポリ追加記載事項は専門職の役割分担で管理する

法務だけでなく、IT、セキュリティ、人事、監査、M&A担当の連携が必要です。

越境移転を含む場合のプラポリ追加記載事項は、法務担当だけで完結する文書ではありません。次の一覧は、関係者ごとの役割を整理したものです。読者にとって重要なのは、データの所在やアクセス権限を知る部門と、法的根拠や本人説明を設計する部門を早い段階で接続することです。

ROLE 01

法律専門職・企業内法務

外国第三者提供の法的根拠、同意文言、DPA、共同利用、委託、本人請求対応、漏えい時対応、当局対応を設計します。

ROLE 02

法務・個人情報保護担当

データマッピング、プラポリ改訂、同意取得画面、問い合わせ対応、社内教育、ベンダー審査を運用します。

ROLE 03

コンプライアンス・内部監査

プラポリに記載された内容と実態の一致、ベンダー台帳、同意取得証跡、サブプロセッサ管理を検証します。

ROLE 04

IT・AI・データ法務・セキュリティ

クラウド、SaaS、AI、ログ、広告ID、Cookie、データ分析基盤、生成AI利用における越境移転とアクセス制御を把握します。

ROLE 05

会計・税務・M&A担当

財務DD、税務DD、組織再編、事業譲渡、海外子会社管理で個人データが外国へ移転される場面を把握します。

Section 13

越境移転を含む場合のプラポリ追加記載事項に関するFAQ

一般的な制度説明として、よくある疑問を整理します。

Q1. プラポリに書けば本人同意を取ったことになりますか。

一般的には、プラポリへの掲載は情報提供または公表であり、本人同意そのものとは区別されるとされています。ただし、同意取得の設計、表示文面、チェックボックス、申込書、証跡管理によって評価が変わる可能性があります。具体的な対応は、画面や文書の実物を整理したうえで弁護士等の専門家へ相談する必要があります。

Q2. 移転先国をすべて列挙する必要がありますか。

一般的には、移転先国が特定できる場合には国名を記載する方向で整理されます。ただし、クラウドやサブプロセッサで国が動的に変わる場合には、特定できない理由や本人に参考となる情報の出し方が問題になります。具体的な対応は、候補国、リージョン、契約資料を整理したうえで弁護士等の専門家へ相談する必要があります。

Q3. EUや英国への移転なら何も書かなくてよいですか。

一般的には、EU・英国は同等水準国として指定されているため、法28条の外国第三者提供同意が不要となる場面があります。ただし、国内第三者提供規制、利用目的、共同利用、委託先管理、安全管理措置、外的環境の把握、本人請求対応は別途問題になり得ます。具体的な対応は、移転先とデータ類型を整理したうえで弁護士等の専門家へ相談する必要があります。

Q4. 海外クラウドを使うだけで外国第三者提供になりますか。

一般的には、クラウド事業者が契約上個人データを取り扱わず、適切なアクセス制御が行われている場合、外国第三者提供に当たらないと整理されることがあります。ただし、サポートアクセス、ログ閲覧、障害対応、サブプロセッサ処理の実態によって判断が変わる可能性があります。具体的な対応は、契約と技術設定を確認したうえで弁護士等の専門家へ相談する必要があります。

Q5. 外国制度の説明はどこまで詳しく書くべきですか。

一般的には、本人が日本の個人情報保護法との本質的な差異を認識できる程度に整理することが目安とされています。ただし、国、州、データ類型、移転先事業者、契約内容によって必要な粒度は変わる可能性があります。具体的な対応は、外国制度調査資料と自社の移転実態を照合したうえで弁護士等の専門家へ相談する必要があります。

Q6. 移転先第三者名まで書く必要がありますか。

一般的には、法28条2項・規則17条の3項目として常に第三者名そのものが要求されるとは限りません。ただし、本人の理解、同意の有効性、透明性、金融分野の実務、海外ベンダー管理の観点から、可能な範囲で移転先または移転先類型を示すことが望ましい場合があります。具体的な対応は、表示の目的と開示可能性を整理したうえで弁護士等の専門家へ相談する必要があります。

Q7. 従業員データを海外本社に送る場合、従業員同意で足りますか。

一般的には、同意を根拠にする場面はあり得ますが、雇用関係では同意の任意性が問題になることがあります。評価、懲戒、健康情報、内部通報、家族情報を含む場合には、基準適合体制、グループ内規程、共同利用、利用目的、労働法上の配慮を含めて検討する必要があります。具体的な対応は、対象データと人事制度を整理したうえで弁護士等の専門家へ相談する必要があります。

Q8. 一度同意を取れば、その後の変更に対応しなくてもよいですか。

一般的には、移転先国、外国制度、移転先第三者、取扱データ、利用目的、サブプロセッサ、保護措置に重要な変更がある場合、情報更新、再通知、再同意、契約見直し、移転停止等を検討する必要があるとされています。具体的な対応は、変更内容と既存同意の範囲を整理したうえで弁護士等の専門家へ相談する必要があります。

Q9. Cookieや広告IDも越境移転の対象になりますか。

一般的には、Cookie、広告ID、端末ID、閲覧履歴等が個人情報、個人データ、個人関連情報のいずれに当たるかを具体的に検討する必要があります。外国広告プラットフォームが当該情報を個人データとして取得する場合、個人関連情報規律や外国第三者提供規律が問題となる可能性があります。具体的な対応は、外部送信先と取得情報を整理したうえで弁護士等の専門家へ相談する必要があります。

Q10. 中小企業でもここまで対応する必要がありますか。

一般的には、企業規模にかかわらず、個人データを外国にある第三者へ提供する場合や外国で取り扱う場合には、法令上の検討が必要とされています。ただし、対応の深度は、データの性質、件数、移転先、リスク、事業規模に応じて合理的に設計されます。具体的な対応は、利用中のSaaS、海外委託先、クラウド、メール配信、決済、会計、人事システムを棚卸ししたうえで弁護士等の専門家へ相談する必要があります。

Section 14

越境移転を含む場合のプラポリ追加記載事項を整える実装ステップ

台帳、根拠分類、資料収集、プラポリ改訂、契約整備、継続管理の順に進めます。

越境移転対応は、文章作成から始めるよりも、実態把握から始めるほうが安定します。次の時系列は、企業が今すぐ行うべき実装ステップを示しています。なぜ重要かというと、順番を飛ばすと、プラポリと実際のSaaS・契約・台帳がずれ、更新時に破綻しやすくなるためです。

ステップ1

越境移転台帳を作る

利用中のSaaS、クラウド、委託先、海外グループ会社、サーバー、サブプロセッサを一覧化します。

ステップ2

法的根拠を分類する

本人同意、同等水準国、基準適合体制、法27条例外、外国第三者提供に当たらないが外的環境把握が必要なケースに分けます。

ステップ3

不足情報を収集する

国名、外国制度、移転先措置、契約条項、認証、サブプロセッサ、データ所在地、政府アクセス方針を確認します。

ステップ4

プラポリと同意画面を改訂する

プラポリ本体、別紙、同意取得画面、従業員向け通知、取引先向け通知を整合させます。

ステップ5

契約と実態を合わせる

DPA、委託契約、グループ内規程、再委託条項、漏えい通知条項、監査条項、削除条項を整備します。

ステップ6

継続管理する

年次レビュー、ベンダー変更時レビュー、サブプロセッサ追加時レビュー、法改正時レビュー、インシデント時レビューを行います。

Section 15

越境移転を含む場合のプラポリ追加記載事項の総括

透明性の高いプラポリは、国境を越える個人データ管理を説明する基盤です。

越境移転を含む場合のプラポリ追加記載事項は、個人情報保護法28条、同意取得前情報提供、基準適合体制、外国制度調査、クラウド利用時の外的環境の把握、委託先管理、グループ会社間移転、従業員データ管理、SaaS・AI・広告技術の利用を横断する企業法務課題です。

次の強調表示は、実務上の理想状態をまとめたものです。なぜ重要かというと、プラポリは防御文書であるだけでなく、顧客、従業員、取引先、投資家、監督当局に対して、企業が個人データをどのように国境を越えて管理しているかを説明する信頼形成の基盤だからです。

透明性は、台帳・契約・説明・監査がそろって初めて成立する

どの個人データが、どの国の、どの第三者に、どの目的で移転されるかを台帳化し、同意前の情報提供、基準適合体制、外的環境の把握、プラポリ、同意画面、契約書、問い合わせ対応、監査証跡を相互に矛盾しない形で整えます。

次の一覧は、最終確認で見るべき5つの状態です。読者にとって重要なのは、個別の文言の良し悪しだけでなく、事実・根拠・証跡がそろっているかを確認することです。

CHECK 01

移転先と目的が台帳化されている

個人データ、国、第三者、利用目的、移転根拠が一覧で説明できます。

CHECK 02

同意前に3項目を示している

本人同意に基づく場合、外国名、外国制度、移転先措置が認識可能な形で提供されています。

CHECK 03

相当措置の根拠がある

基準適合体制では、契約、内規、認証、継続確認、本人請求対応が整っています。

CHECK 04

外的環境を把握している

外国クラウド・外国サーバー利用について、制度情報を把握し本人が知り得る状態を整えています。

CHECK 05

運用文書が矛盾していない

プラポリ、同意画面、契約書、社内台帳、問い合わせ回答、監査証跡が同じ事実を説明しています。

Reference

参考資料・公式情報

公的資料と制度情報を中心に整理しています。

個人情報保護委員会の資料

  • 個人情報保護委員会「外国にある第三者への提供編(ガイドライン)」
  • 個人情報保護委員会Q&A「外国にある第三者への提供に関する同意取得時の情報提供」
  • 個人情報保護委員会Q&A「外国にある第三者に個人データの取扱いを委託する場合」
  • 個人情報保護委員会Q&A「クラウドサービス提供事業者が個人データを取り扱わない場合」
  • 個人情報保護委員会Q&A「外国クラウドサービス利用時の外的環境の把握」
  • 個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」

越境データ移転・制度改正関連

  • 個人情報保護委員会「日EU間・日英間の個人データ移転に係る相互認証」
  • 個人情報保護委員会「Global CBPRシステム認証受付開始に関する公表」
  • 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案」
  • 内閣法制局「第221回国会提出法律案」