海外BPO、SaaS、クラウド、開発会社、海外子会社に個人データを扱わせる前に、移転根拠と継続監督を分けて設計します。
海外BPO、SaaS、クラウド、開発会社、海外子会社に個人データを扱わせる前に、移転根拠と継続監督を分けて設計します。
個人情報保護法とGDPRをまたぐ実務論点を、最初に大きな地図として確認します。
海外委託先への越境移転と監督では、国内委託の感覚だけで「委託だから第三者提供ではありません」と整理すると、外国第三者提供規制や外的環境の把握を見落とすおそれがあります。個人データを海外BPO、SaaS、クラウド、開発会社、コールセンター、データ分析会社、海外子会社に取り扱わせる場合は、移転根拠と委託先監督を分けて確認します。
このページでは、個人情報保護法、個人情報保護委員会ガイドライン、GDPRの処理者規制・国際移転規制を踏まえ、データマッピング、契約、技術的安全管理、再委託管理、継続監査、インシデント対応、本人対応、経営報告までを一連の実務として整理します。
まず分けて確認したい問いは3つあります。下の一覧は、越境移転の検討で最初に分岐する論点を示します。ここを切り分けることが重要なのは、同意の要否、契約条項、本人向け説明、監査範囲、漏えい時対応がそれぞれ変わるためです。各項目では、どの判断が次の検討に影響するかを読み取ってください。
顧客データベース、人事データ、会員管理、問い合わせ履歴、配送先リスト、ログインIDに紐づく利用履歴などは、企業実務で個人データとして管理されることが多いです。
海外支店のような同一法人内の拠点と、海外子会社、海外SaaS、海外BPOのような別法人では、第三者性の検討が変わります。
外国第三者提供の根拠を整理しても、委託先選定、契約、取扱状況確認、再委託管理、監査、改善、終了時処理は残ります。
このテーマでは、ひとつの根拠だけで安心しないことが大切です。下の強調表示は、ページ全体で繰り返し確認する中心結論を示します。重要なのは、移転の根拠を選ぶだけでなく、その根拠が運用中も維持されていることを証跡で示せるかを読み取ることです。
海外委託先への越境移転と監督では、本人同意、同等水準国、相当措置、法定例外などの移転根拠と、委託先選定、契約、安全管理、再委託、監査、変更管理、漏えい対応、終了時削除という継続監督を並行して設計します。
個人データ、外国にある第三者、相当措置、安全管理措置を同じ地図に置きます。
海外委託先への越境移転と監督では、同じデータ処理を見ていても、個人情報、個人データ、外国にある第三者、委託、相当措置、外的環境という用語の理解がずれると、契約と運用の設計がぶれます。
次の一覧は、検討の出発点になる用語と実務上の見方をまとめたものです。用語をそろえることが重要なのは、後続の同意、相当措置、監査、本人対応の対象範囲が変わるためです。各行では、定義そのものだけでなく、企業内でどの資料やシステムを確認したいかを読み取ってください。
| 用語 | 実務上の意味 |
|---|---|
| 個人情報 | 氏名、住所、メールアドレス、電話番号、社員番号、会員ID、購入履歴、位置情報、端末識別子など、単独または他情報との照合で個人を識別できる情報です。 |
| 個人データ | 個人情報データベース等を構成する個人情報です。CRM、ERP、HRシステム、問い合わせ管理、ログ分析基盤、クラウドストレージ上の顧客リストが問題になりやすいです。 |
| 保有個人データ | 開示、訂正、利用停止等の本人請求の対象となる一定の個人データです。海外委託先で保管される場合も、本人対応の設計を契約と一体で考えます。 |
| 越境移転 | 国境を越えた移転、アクセス、保存、処理、閲覧、保守、分析、バックアップ、復元、サポートを含む実務上の概念です。 |
| 委託 | 入力、保管、配送、コールセンター対応、決済処理、給与計算、システム運用、データ分析、開発・保守、メール配信などを外部に行わせることです。 |
| 外国にある第三者 | 日本国外の国または地域にある第三者です。海外子会社はグループ内でも別法人であり、原則として別主体として確認します。 |
| 相当措置 | 外国にある第三者が、日本の個人情報取扱事業者に求められる措置に相当する措置を継続的に講ずる体制です。契約、内規、確認書、覚書等で確保します。 |
| 外的環境の把握 | 移転先国の制度、行政機関アクセス、監督当局、本人権利、漏えい報告、データローカライゼーション、政府要請対応などをリスクに応じて確認することです。 |
個人情報保護法では、安全管理措置、委託先監督、国内第三者提供、外国第三者提供を分けて確認します。これが重要なのは、外国第三者提供の根拠を満たしても委託先監督が残り、委託先監督を丁寧に行っても移転根拠の誤りが残るためです。次の比較では、条文ごとの役割と海外委託での読み方を確認してください。
| 条文領域 | 海外委託で確認すること |
|---|---|
| 安全管理措置 ― 23条 | 漏えい、滅失、毀損の防止その他の安全管理のため、組織的、人的、物理的、技術的な措置と外的環境の把握を実装します。 |
| 委託先監督 ― 25条 | 委託先選定、契約締結、取扱状況の把握、定期的な監査・確認、再委託時の報告・承認・監査を設計します。 |
| 国内第三者提供と委託 ― 27条 | 国内委託では一定の範囲で第三者に該当しない扱いがありますが、海外委託では28条の確認を別途行います。 |
| 外国第三者提供 ― 28条 | 本人同意、同等水準国、相当措置、法定例外のいずれで整理するかを検討し、本人向け情報提供にも備えます。 |
安全管理措置は抽象的な義務ではなく、管理領域ごとに実装へ落とします。下の一覧は、海外委託先への越境移転で最低限確認したい管理領域を示します。重要なのは、契約条項だけでなく、責任者、教育、アクセス、ログ、国別制度まで証跡として残すことです。
| 管理領域 | 具体例 |
|---|---|
| 組織的安全管理 | 取扱責任者、規程、台帳、承認手順、インシデント報告、監査を整えます。 |
| 人的安全管理 | 秘密保持、教育、退職時管理、アクセス権返却を確認します。 |
| 物理的安全管理 | 入退室、媒体管理、廃棄、盗難防止、バックアップ媒体保護を確認します。 |
| 技術的安全管理 | アクセス制御、認証、ログ、暗号化、脆弱性対策、マルウェア対策を確認します。 |
| 外的環境の把握 | 移転先国の制度、委託先の所在、データセンター、政府アクセス、再委託を確認します。 |
個人データ該当性から移転根拠、証跡化までを手順として確認します。
実務では、いきなり同意書やDPAを直すよりも、個人データ該当性、国・処理・受領者、法人格、移転根拠、委託先監督、証跡化の順に確認すると漏れを減らせます。
次の判断の流れは、海外委託先に個人データを渡す前の確認順序を示します。重要なのは、途中の分岐で「同一法人だから終わり」「同意があるから終わり」と止めず、最後に継続監督の証跡まで進めることです。分岐の左右は、別法人か同一法人かによって主に確認したい論点が変わることを表します。
顧客、従業員、会員、応募者、取引先担当者などのデータを確認します。
契約当事者、実処理者、データセンター、サポート拠点、再委託先を整理します。
海外支店と海外子会社では、第三者性の評価が変わります。
本人同意、同等水準国、相当措置、法定例外を検討します。
第三者提供ではない場合も、外国での取扱いの管理は残ります。
台帳、DPA、監査票、承認記録、本人向け情報、ログをそろえます。
顧客、従業員、役員、採用応募者、取引先担当者、株主、問い合わせ者、ウェブ会員、患者、利用者、アプリユーザーなどに関するデータは、広く個人情報になり得ます。氏名、住所、本人確認書類、顔写真、顧客ID、会員ID、社員番号、端末ID、Cookie ID、広告ID、購入履歴、問い合わせ履歴、通話録音、チャットログ、給与、評価、勤怠、健康診断、ハラスメント相談、位置情報、IPアドレス、操作ログ、健康・病歴・信条・犯罪歴などは特に注意します。
個人データに当たらないと整理する場合でも、営業秘密、秘密情報、サイバーセキュリティ、契約上の秘密保持、業法上の守秘義務、労務上の配慮は残ります。越境移転管理は、個人情報だけでなく企業情報管理の一部として設計します。
海外委託先という言葉だけでは、法的評価に必要な情報が足りません。次の比較表は、契約前に最低限特定する事項を示します。重要なのは、契約当事者名だけでなく、実際にデータを見る拠点、保存される国、再委託先、目的外利用の有無まで確認することです。各行を、質問票やデータ移転台帳に落とす項目として読み取ってください。
| 確認事項 | 実務上の質問 |
|---|---|
| 受領者 | 契約当事者は誰か、実際に処理する法人・部署は誰かを確認します。 |
| 所在地 | 契約当事者、データセンター、サポート拠点、再委託先がどの国にあるかを確認します。 |
| 処理内容 | 保管、閲覧、編集、分析、削除、バックアップ、障害対応のどれに当たるかを確認します。 |
| データ範囲 | どのデータ項目、どの本人群、何件、どの期間かを確認します。 |
| アクセス権 | 海外要員が平時にアクセスできるか、緊急時だけかを確認します。 |
| 再委託 | クラウド、サブプロセッサ、外部サポート、グループ会社利用があるかを確認します。 |
| 目的 | 委託元の利用目的内か、委託先の独自利用があるかを確認します。 |
SaaSやクラウドでは、契約当事者が日本法人でも、サポート、監視、バックアップ、障害解析、AI学習、品質改善、サブプロセッサ利用により、外国で個人データが取り扱われる場合があります。契約書の表紙だけで判断せず、DPA、サブプロセッサ一覧、データセンター所在地、サポートモデル、ログ利用方針を確認します。
日本本社の海外支店が同一法人の一部として個人データを取り扱う場合、通常は第三者提供ではありません。一方、海外子会社や海外関連会社は、グループ内であっても別法人です。共同利用として整理する場合でも、本人向け公表事項、管理責任者、利用目的、範囲、外国での取扱い、安全管理を別途検討します。
外国にある別法人へ個人データを提供する場合は、根拠ごとの使いどころと限界を比較します。次の一覧は、本人同意、同等水準国、相当措置、法定例外の違いを示します。重要なのは、どの根拠を選んでも委託先監督が消えない点です。各行では、典型場面と実務上の注意をセットで確認してください。
| ルート | 典型場面 | 実務上の注意 |
|---|---|---|
| 本人同意 | 相当措置を整備できない場合や第三者の独自利用がある場合です。 | 事前の情報提供が必要です。包括同意だけでは不足する可能性があります。 |
| 同等水準国 | EU・英国等、個人情報保護委員会が認める国・地域への提供です。 | 同等水準国という整理だけで委託先監督が不要になるわけではありません。 |
| 相当措置 | 海外BPO、海外SaaS、海外開発会社、海外子会社への委託で中心になります。 | 契約、内規、確認書等により継続的実施を確保し、本人請求への情報提供に備えます。 |
| 法定例外 | 生命、身体、財産保護や法令対応などの例外場面です。 | 日常的な業務委託の根拠として安易に使わない整理が必要です。 |
移転根拠の整理が終わったら、データ移転台帳、リスク評価票、契約・DPA、監査・確認記録、本人・当局対応資料へ落とし込みます。移転先、国、データ項目、本人類型、目的、保存期間、再委託先、データ感度、委託先リスク、技術的リスク、監査票、証明書、SOCレポート、是正記録、アクセスレビューをひとつの管理プロセスとして扱います。
移転根拠ごとの使いどころと限界を比較します。
本人同意を根拠にする場合、同意取得前に、外国の個人情報保護制度、外国第三者が講ずる個人情報保護措置、その他本人の参考となる情報を、本人が判断できる程度に提供します。単に「海外に提供することがあります」と記載するだけでは、個別事情により不足する可能性があります。
同意の撤回、不同意者の管理、サービス提供可否、契約履行との関係も設計します。BtoCサービスで海外処理が不可欠な場合、同意しない本人にサービスを提供できるか、代替手段があるか、約款・プライバシーポリシー・申込画面が整合するかが問題になります。委託先や再委託先の変更時には、既存同意の範囲や追加情報提供の要否も確認します。
個人情報保護委員会が日本と同等の水準にあると認める国・地域への提供では、外国第三者提供に関する本人同意が不要となる場合があります。ガイドラインではEU及び英国が同等水準国として示されています。EU側でも、十分性認定によりEUから当該国への個人データ移転を可能にする制度があります。
ただし、EUや英国の委託先であっても、委託契約、DPA、監査、再委託承認、漏えい通知、削除証明は必要です。同等水準国ルートは移転根拠の問題を軽くするもので、委託先監督、契約、安全管理、再委託管理を免除するものではありません。
相当措置ルートでは、委託元が契約等により、外国の委託先が日本の個人情報取扱事業者に求められる措置に相当する措置を継続的に講ずる体制を確保します。本人同意に依存せずに移転根拠を整理しやすい一方、継続性、実効性、本人への情報提供可能性が重要です。
次の3つの項目は、相当措置ルートの実効性を点検する視点です。重要なのは、契約締結時の文言だけでは十分ではなく、変更時・事故時・本人請求時にも説明できる状態を保つことです。各項目では、何を証跡として残したいかを確認してください。
契約締結時だけでなく、再委託先追加、データセンター変更、セキュリティ事故、法令変更、買収、担当部署変更のたびに再評価します。
アクセス制御、ログ、暗号化、削除、監査、再委託承認、従業者教育、インシデント通知について、運用証跡が残る形にします。
本人から求められた場合に、継続的実施確保のために講じている措置を説明できる文書を準備します。
EU域内の個人データを日本または第三国で処理する場合、GDPRの適用が問題になることがあります。GDPR28条は、管理者が十分な保証を提供する処理者のみを利用すること、処理者の処理を契約等で規律すること、処理目的、処理期間、個人データの種類、データ主体の類型、管理者の義務と権利などを定めることを求めます。再処理者の利用では、事前の個別承認または一般的承認と同等義務の付与が重要です。
GDPR44条以下は、EU域外または国際機関への個人データ移転について、保護水準が損なわれないようにする一般原則を定めています。十分性認定、標準契約条項、拘束的企業準則、認証、行動規範、例外的移転などが検討対象になります。日本企業がEUデータをさらに非十分性国のクラウド、コールセンター、開発会社、分析会社に処理させる場合、日本法上の相当措置だけでなく、GDPR上の移転根拠、補完的措置、第三国法評価、処理者契約を検討します。
次の比較表は、日本法とGDPRの実務的な違いを示します。重要なのは、GDPR準拠だけで日本法の外国第三者提供規制や本人向け情報提供が当然に満たされるわけではない点です。各行では、両制度を別表でマッピングする必要がある論点を読み取ってください。
| 観点 | 日本法の実務 | GDPRの実務 |
|---|---|---|
| 委託先監督 | 委託元が必要かつ適切な監督を行います。 | 管理者が十分な保証を提供する処理者を利用し、契約で詳細に規律します。 |
| 海外移転 | 本人同意、同等水準国、相当措置等を検討します。 | 十分性認定、SCC、BCR、認証、例外等を検討します。 |
| 再委託 | 報告、承認、監査を契約で確保するのが基本です。 | 事前承認と同等義務付けが明示的に重要です。 |
| 本人対応 | 開示、訂正、利用停止等、外国提供情報への対応を設計します。 | データ主体権利と処理者による支援義務を設計します。 |
| 安全管理 | 組織的、人的、物理的、技術的安全管理と外的環境を確認します。 | リスクに応じた技術的・組織的措置、暗号化等を確認します。 |
契約構造、目的外利用、再委託、監査、事故通知、終了時削除を具体化します。
海外委託先との契約は、主契約、データ処理契約・個人情報保護条項、セキュリティ別紙・移転別紙の三層で整理します。ひとつの契約書にまとめてもよいですが、SaaSのようにデータセンターや再委託先が変わる取引では、別紙やオンラインDPAで変更を把握し、必要に応じて異議を述べ、契約を終了できる仕組みを置きます。
次の一覧は、契約書を三層に分けたときの役割を示します。重要なのは、業務条件と個人データ保護条件を混在させず、変更が起きやすい事項を別紙で管理できるようにすることです。各層では、どの資料を更新管理するかを読み取ってください。
| 契約層 | 主な内容 |
|---|---|
| 主契約 | 業務内容、納期、費用、成果物、責任、解除、準拠法、紛争解決を定めます。 |
| DPA・個人情報保護条項 | 個人データの取扱い、委託先監督、再委託、安全管理、漏えい通知を定めます。 |
| セキュリティ別紙・移転別紙 | 技術的措置、データ項目、国・地域、再委託先、監査方法、削除手順を定めます。 |
目的・範囲条項では、委託先が取り扱う個人データの種類、本人の類型、処理目的、処理行為の種類、処理期間、取扱国・地域、保存場所・バックアップ場所、アクセス可能者、再委託先を定めます。委託先は、委託者の文書による指示に従い、別紙で定める目的、範囲、期間、国・地域及び方法に限って個人データを取り扱うものと整理します。
海外SaaSやAI分析サービスでは、品質改善、統計分析、モデル学習、広告、ベンチマーキング、不正検知などの名目で、委託先がデータを独自利用する規約になっていないかを確認します。独自利用がある場合、単なる委託ではなく、第三者提供、共同利用、共同管理、委託先による取得などとして再整理します。
安全管理措置条項では、「適切に管理します」という抽象表現にとどめず、アクセス、認証、暗号化、ログ、脆弱性、マルウェア、データ分離、媒体、バックアップ、BCPを具体化します。次の表は、契約化したい技術・運用項目を示します。重要なのは、委託先に何を求め、どの証跡で確認するかを読み取れる状態にすることです。
| 項目 | 契約化したい内容 |
|---|---|
| アクセス制御 | 最小権限、MFA、管理者権限管理、退職者削除を定めます。 |
| 認証 | パスワード基準、SSO、MFA、特権ID管理を定めます。 |
| 暗号化 | 通信経路、保存時、バックアップ、鍵管理を定めます。 |
| ログ | アクセスログ、操作ログ、保管期間、改ざん防止、提出義務を定めます。 |
| 脆弱性 | パッチ適用、脆弱性診断、ペネトレーションテスト、是正期限を定めます。 |
| マルウェア | EDR、アンチマルウェア、メール防御、端末管理を定めます。 |
| データ分離 | テナント分離、開発・本番分離、テストデータ管理を定めます。 |
| 媒体管理 | ダウンロード制限、USB制限、印刷制限、廃棄を定めます。 |
| バックアップ | 暗号化、保管国、復元テスト、削除期限を定めます。 |
| BCP | 障害時復旧、RTO/RPO、代替手段、連絡体制を定めます。 |
再委託は、委託元が直接審査していない第三者へデータが流れるため、最重要論点です。事前個別承認または包括承認と変更通知、再委託先一覧の開示、国・地域、処理内容、データ項目、同等義務、責任、再々委託、異議申立、停止・解除権、監査資料の提供を定めます。
監査権は現地立入だけを意味しません。下の一覧は、SaaSなどで現地監査が難しい場合に組み合わせる代替証跡を示します。重要なのは、監査を実施すること自体ではなく、不備を見つけて是正させることです。各項目では、どの資料がどのリスクを補完するかを読み取ってください。
セキュリティ質問票、独立監査報告書、認証書、経営陣による証明書を組み合わせます。
ペネトレーションテスト概要、脆弱性管理レポート、アクセスログ抜粋、インシデント報告書を確認します。
再委託先一覧、是正計画、是正完了証跡、契約更新時レビューを残します。
海外委託先の漏えい等は、時差、言語、法令、休日、報告文化の違いにより初動が遅れやすいです。契約では、疑い段階での通知、通知期限、通知先、初報事項、原因調査、影響範囲特定、証拠保全、当局報告・本人通知への協力、再発防止策、費用負担、広報・公表の調整を定めます。
終了時条項では、返却形式、削除期限、バックアップ削除の時期、削除証明書、再委託先からの削除証明、ログ・証跡の保存、法令上保存義務がある場合の隔離管理、解除後のサポートアクセス停止を定めます。削除証明は、相当措置と委託先監督の最後の証跡です。
委託前、契約時、運用時、変更時、終了時の管理を一続きで整理します。
海外委託先への越境移転と監督は、契約締結前の審査、契約時の別紙整備、運用時の継続監督、変更時の再評価、終了時の削除・移行まで続きます。途中で担当部門が変わっても、台帳と証跡で追えるようにします。
次の時系列は、委託先監督のライフサイクルを示します。重要なのは、契約時点だけでなく、変更・事故・終了という実務上の揺れが起きる場面で相当措置を維持できるかです。順番に沿って、どの段階で何を確認するかを読み取ってください。
契約当事者、処理地、データ、独自利用、セキュリティ、再委託、移転先国法令、監査、終了処理を確認します。
主契約の責任制限とDPA違反時の責任が矛盾しないようにし、処理範囲、国、再委託、安全管理、削除を別紙化します。
リスク区分に応じて質問票、監査報告書、証明書、アクセスレビュー、是正フォローを実施します。
データセンター追加、サポート拠点増加、再委託先変更、AI機能追加、DPA改定、法令変更を再評価します。
本番環境、バックアップ、再委託先、ログ、旧アカウント、APIキー、VPN、管理者IDの処理を確認します。
委託前審査では、法務、プライバシー、情報セキュリティ、調達、事業部門が連携します。次の表は、海外委託先を選ぶ前に確認する項目を示します。重要なのは、国・地域とデータ処理だけでなく、独自利用、再委託、事故履歴、終了時処理まで見て、委託可否や条件を決めることです。
| 項目 | 確認内容 |
|---|---|
| 法人格 | 契約当事者、実処理者、グループ会社、再委託先を確認します。 |
| 国・地域 | 契約当事者所在地、処理地、保管地、サポート地、バックアップ地を確認します。 |
| データ | 項目、件数、本人類型、要配慮情報の有無、保存期間を確認します。 |
| 処理 | 閲覧、編集、分析、学習、保守、バックアップ、削除を確認します。 |
| 独自利用 | サービス改善、広告、AI学習、統計化、第三者提供の有無を確認します。 |
| セキュリティ | 認証、暗号化、ログ、脆弱性、端末管理、物理管理を確認します。 |
| 組織体制 | 責任者、教育、秘密保持、内部監査、インシデント体制を確認します。 |
| 再委託 | サブプロセッサ一覧、変更通知、承認権、国・地域を確認します。 |
| 法令 | 移転先国の個人情報保護法、政府アクセス、データ保存義務を確認します。 |
| 監査 | 監査報告書、認証、質問票、是正履歴、事故履歴を確認します。 |
| 終了 | 削除、返却、バックアップ、証明書、移行支援を確認します。 |
低リスクSaaSと、大量の顧客データを扱う海外コールセンターを同じ頻度で監査する必要はありません。次の表は、リスク区分ごとの監督方法を示します。重要なのは、データ感度、件数、国、再委託、業種規制を見て、監査の深さを調整することです。
| リスク区分 | 例 | 監督方法 |
|---|---|---|
| 高 | 要配慮情報、大量顧客情報、金融・医療・従業員情報、海外再委託多数です。 | 年1回以上の詳細監査、経営報告、再委託承認、ログ確認を行います。 |
| 中 | 一般顧客情報、会員管理、問い合わせ、配送、給与計算です。 | 年1回の質問票、証明書確認、契約更新時レビューを行います。 |
| 低 | 限定的な担当者情報、匿名化済みに近いデータ、短期処理です。 | 契約管理、変更時確認、簡易質問票を行います。 |
終了時は削除証明書だけで安心しません。本番環境から削除されたか、バックアップから削除される時期、再委託先への削除指示、ログや監査証跡の残存範囲、法令保存義務による隔離管理、旧アカウント・APIキー・VPN・管理者IDの停止、移行先へのデータ移行を確認します。
国別制度調査、データ最小化、暗号化、アクセス、ログを確認します。
個人データが外国で取り扱われる場合、その外国の制度が委託先の行動を制約します。委託先が契約で秘密保持や削除を約束していても、その国の法令に基づき行政機関、裁判所、捜査機関から開示を求められる場合があります。労働法、税務、会計、通信、サイバーセキュリティ、データローカライゼーション、輸出管理、暗号規制もデータ管理に影響します。
次の表は、国別調査で見る項目を示します。重要なのは、すべての国を同じ深度で調べるのではなく、高リスクデータ、高リスク国、大量データ、長期保存、再委託多数、政府アクセスリスクに応じて深度を変えることです。各行では、国別調査メモに残す確認ポイントを読み取ってください。
| 項目 | 確認ポイント |
|---|---|
| 個人情報保護法制 | 包括法の有無、適用対象、域外適用、処理者規制、本人権利を確認します。 |
| 監督当局 | 独立性、権限、制裁、ガイドライン、執行傾向を確認します。 |
| 漏えい報告 | 報告要件、期限、本人通知、委託先から委託元への通知義務を確認します。 |
| 政府アクセス | 捜査・情報機関・行政機関による開示要請、秘密保持命令を確認します。 |
| データ保存義務 | 通信ログ、会計資料、雇用記録、医療・金融記録の保存義務を確認します。 |
| データローカライゼーション | 国内保存義務、国外移転許可、重要データ規制を確認します。 |
| 暗号規制 | 暗号利用制限、鍵提出義務、輸出入規制を確認します。 |
| 再移転規制 | 委託先から第三国への再移転制限を確認します。 |
| 紛争・証拠開示 | 民事訴訟、ディスカバリ、仲裁、開示命令を確認します。 |
| 制裁・輸出管理 | 経済制裁、輸出管理、クラウド利用制限を確認します。 |
外国法調査メモでは、移転先国、委託先法人、データセンター、サポート拠点、再委託先、個人データの種類・件数・本人類型、移転先国の制度、本人権利、漏えい報告、政府アクセス、保存義務、補完したいリスク、技術的補完措置、移転可否、条件、再評価時期、作成者、レビュー者、承認者、日付を残します。
契約書に暗号化と書くだけでは、どのデータが、どの場面で、誰の鍵で、どの強度で暗号化されるのかが不明です。データ最小化、仮名化、トークナイゼーション、暗号化、鍵管理、アクセス管理、ログ、開発・テスト環境の管理を、契約と運用の両方で確認します。
次の一覧は、技術的安全管理の主要論点をまとめたものです。重要なのは、法務が専門用語を暗記することではなく、委託先に何を質問し、どの証跡を受け取り、どのリスクを減らすのかを理解することです。各項目では、契約別紙や質問票に落とす確認内容を読み取ってください。
氏名ではなく顧客IDで足りるか、住所全体ではなく都道府県で足りるか、本番データではなくマスキング済みデータで開発できるかを検討します。
影響低減識別テーブルや復号鍵を日本側または信頼できる環境に保持し、海外委託先が直接本人を識別しにくい設計を検討します。
識別抑制再識別注意通信経路、保存時、バックアップ、端末、ログ、媒体ごとに暗号化を確認し、鍵の保管国、管理者、ローテーション、復号権限を確認します。
保護措置最小権限、MFA、特権ID管理、職務分掌、定期レビュー、退職時停止、共有ID禁止、異常アクセス検知を契約化します。
権限制御ログの種類、保存期間、タイムゾーン、改ざん防止、提出期限、調査協力を定め、UTCまたは委託元指定時刻で統一します。
証跡管理本番データ持出し禁止、匿名化・マスキング、リポジトリへの混入防止、生成AI・外部ツールへの入力禁止または承認制を定めます。
開発管理外部入力注意暗号化は場面ごとに確認が変わります。下の表は、暗号化と鍵管理で具体的に見る項目を示します。重要なのは、通信、保存、鍵、運用のどこに弱点があるかを分けて確認することです。
| 場面 | 確認事項 |
|---|---|
| 通信時 | TLS、API認証、証明書、SFTP、VPN、メール添付禁止を確認します。 |
| 保存時 | データベース暗号化、ストレージ暗号化、バックアップ暗号化を確認します。 |
| 鍵管理 | 鍵の保管国、鍵管理者、ローテーション、HSM、委託先アクセス可否を確認します。 |
| 運用 | 復号権限、緊急時アクセス、監査ログ、鍵漏えい時対応を確認します。 |
役割分担、RACI、プライバシーポリシー、本人対応を整理します。
海外委託先への越境移転と監督では、事業部門、法務、プライバシー、情報セキュリティ、調達、内部監査、経営層、取締役会・監査役等が役割を分担します。契約承認手順に「個人データの海外取扱い有無」を必須項目として入れるだけでも、見落としを減らせます。
次の表は、社内の役割ごとの主な責任を示します。重要なのは、ひとつの部門に丸投げせず、データ、契約、技術、監査、経営判断をつなぐことです。各行では、承認手順や台帳にどの部署を関与させるかを読み取ってください。
| 役割 | 主な責任 |
|---|---|
| 事業部門 | 委託目的、データ範囲、業務要件、委託先との日常管理を担います。 |
| 法務部門 | 移転根拠、契約、DPA、本人同意、紛争・責任制限を担います。 |
| プライバシー担当 | 個人データ台帳、プライバシーポリシー、本人対応、PPC対応を担います。 |
| 情報セキュリティ | 技術評価、アクセス管理、暗号化、監査、インシデント対応を担います。 |
| 調達部門 | 委託先選定、契約手順、サプライヤー管理を担います。 |
| 内部監査 | 委託先管理プロセスの独立評価、証跡確認、改善勧告を担います。 |
| 経営層 | 高リスク移転の承認、リスク受容、予算、人員配置を担います。 |
| 取締役会・監査役等 | 重要リスクの監督、不祥事時の対応、内部統制評価を担います。 |
RACIは、実行責任、最終責任、協議、報告先を分ける整理です。次の表は、海外委託先への越境移転と監督で想定される責任分担を示します。重要なのは、誰が最終判断を持つか、誰が実務を進めるか、誰へ報告するかをあらかじめ決めることです。
| タスク | 事業 | 法務 | プライバシー | セキュリティ | 調達 | 経営 |
|---|---|---|---|---|---|---|
| データ項目特定 | R | C | A | C | C | I |
| 移転根拠判断 | C | A | R | C | I | I |
| 委託先セキュリティ評価 | C | C | C | A/R | C | I |
| 契約交渉 | C | A/R | C | C | R | I |
| 再委託承認 | C | A | R | C | C | I |
| 高リスク移転承認 | R | C | C | C | C | A |
| 監査・改善 | C | C | R | R | C | I |
| 漏えい対応 | R | C | A | R | I | A |
本人同意ルートだけでなく、相当措置ルートや同等水準国ルートでも、企業は本人に対して個人データ取扱いを分かりやすく説明することが望まれます。特にBtoCサービス、採用、人事、医療、金融、教育、子ども関連サービスでは、海外委託の存在を理解可能な形で説明することが信頼につながります。
本人同意を取得する場合、説明には、提供先の所在国・地域、提供先の名称または類型、提供する個人データの項目、利用目的、提供先の個人情報保護措置、外国の個人情報保護制度に関する情報、再委託・再移転の有無、同意しない場合の取扱い、問い合わせ先を含めます。
相当措置ルートでは、本人から求められた場合に必要な情報を提供できるようにします。説明文では、外国に所在する委託先に対し、利用目的の達成に必要な範囲で個人データの取扱いを委託することがあること、契約等により安全管理、目的外利用禁止、秘密保持、再委託管理、漏えい時の報告、返却・削除、監査又は報告等の措置を講じること、法令上提供可能な範囲で国・地域や措置の概要に回答することを示します。
事故対応の順序、経営報告、業種別の注意点を整理します。
海外委託先での漏えい等は、委託先が事故を確定するまで通知しない、時差と休日で連絡が遅れる、契約上の通知期限が曖昧、再委託先から委託先への報告が遅れる、ログが不十分、言語が違う、現地法上の守秘義務や捜査制約がある、といった理由で初動が遅れやすいです。
次の時系列は、海外委託先で漏えいが起きた場合の対応順序を示します。重要なのは、初報、封じ込め、法的評価、当局・本人・取引先対応、再発防止、証跡保存を分け、誰がどの時点で動くかを決めておくことです。順番を追いながら、契約条項と社内手順で不足している部分を読み取ってください。
委託先、再委託先、監視システム、顧客通報、外部機関からの検知を受けます。
発生日、検知日、対象データ、件数、影響国、原因仮説、現在の措置を確認します。
アクセス停止、アカウント無効化、APIキー無効化、ネットワーク遮断を行います。
対象本人、項目、件数、要配慮情報、二次被害可能性、再委託先関与を確認します。
個人情報保護法上の報告・本人通知要否、GDPR、現地法、業法の要否を確認します。
報告書、通知文、FAQ、コールセンター、広報、取締役会報告を準備します。
根本原因分析、契約見直し、技術対策、再委託停止、監査強化を行います。
ログ、メール、会議記録、調査報告、判断メモ、是正完了証拠を保存します。
重大な海外委託先事故では、経営層、取締役会、監査役等への報告も必要になります。事故概要、影響人数・影響国、漏えい情報の種類、二次被害リスク、法定報告・本人通知の要否、報道・信用リスク、委託先の契約違反、損害賠償・求償可能性、再発防止策、既存委託先管理体制の構造的問題を整理します。
同じ海外委託でも、扱うデータと業種規制によってリスクの重さが変わります。次の一覧は、業種別に注意しやすい点を示します。重要なのは、個人情報保護法だけでなく、雇用、金融、医療、広告、研究、AI、職業倫理などの隣接規制と接続して確認することです。
給与計算、勤怠、人事評価、採用、福利厚生、健康診断、ハラスメント相談、内部通報では、従業員同意の自由と相当措置、就業規則、プライバシー通知を組み合わせます。
金融分野ガイドライン、監督指針、外部委託管理、システムリスク管理、AML/CFT、制裁対応、顧客情報管理を確認します。
医療・健康情報、検査データ、ゲノム情報、オンライン診療、治験・臨床研究では、要配慮個人情報、研究倫理、同意文書、匿名加工・仮名化、再移転を慎重に確認します。
EC、CRM、広告配信、MAツール、カスタマーサポート、配送、決済、レビュー分析では、Cookie ID、広告ID、購買履歴、閲覧履歴、問い合わせ履歴を確認します。
本番データ持出し、ログ外部送信、生成AIへの入力、モデル学習、プロンプト履歴保存、API経由の第三国処理を確認します。
落とし穴を先に把握し、企画から監査までの確認項目に落とします。
海外委託先への越境移転と監督で最も危険なのは、ひとつの説明だけで安心してしまうことです。次の一覧は、実務上起きやすい誤解と落とし穴を示します。重要なのは、各誤解がどの論点を抜け落とすかを理解し、チェックリストや契約レビューで検知できるようにすることです。
国内の27条5項の感覚だけで処理すると、28条の外国第三者提供規制を見落とします。海外委託では移転根拠と委託先監督を分けます。
契約相手が日本法人でも、データ保管、アクセス、サポート、再委託が外国で行われる場合があります。
同意には事前情報提供、撤回・不同意管理、変更時対応が必要です。同意があっても安全管理措置と委託先監督は残ります。
相当措置は継続的実施が核心です。契約、運用、監査、再委託管理、本人対応、変更管理の証跡が必要です。
再委託先で事故が起きても委託元の監督体制が問われる可能性があります。承認、同等義務、一覧、変更通知、監査可能性を確保します。
同一法人内で第三者提供に当たらない場合でも、外国での取扱いには外的環境、安全管理、従業者監督が必要です。
氏名を削除しても、ID、購買履歴、位置情報、希少属性、ログ、照合テーブルにより再識別できる場合があります。
チェックリストは、担当者が抜け漏れなく確認するための作業表です。次の一覧は、企画、法務判断、契約、セキュリティ、運用・監査の段階ごとに確認事項をまとめています。重要なのは、各項目を単なる確認済みにせず、台帳、契約、質問票、承認記録、監査証跡へ接続することです。
| 段階 | 確認事項 |
|---|---|
| 企画段階 | 委託目的、個人データの項目・件数・本人類型、要配慮個人情報、個人関連情報・仮名加工情報・匿名加工情報、海外アクセス・保存・保守・バックアップ、委託先・再委託先・データセンター・サポート拠点の国、独自利用、AI学習、広告利用、統計利用、国内処理・データ最小化・仮名化・暗号化の代替案を確認します。 |
| 法務判断 | 同一法人か別法人か、外国にある第三者該当性、本人同意・同等水準国・相当措置・法定例外、本人同意時の事前情報提供、相当措置ルートの継続的実施確保、27条5項の委託整理、第三者提供記録・確認義務、プライバシーポリシー・利用規約・就業規則との整合性を確認します。 |
| 契約 | 処理目的、範囲、期間、国・地域の別紙化、目的外利用禁止、安全管理措置、再委託の承認・通知・同等義務、監査・報告・資料提出権、インシデント通知、本人請求・当局対応協力、終了時返却・削除・削除証明、責任制限、補償、保険、準拠法、紛争解決、言語を確認します。 |
| セキュリティ | MFA、SSO、最小権限、特権ID管理、通信時・保存時・バックアップの暗号化、暗号鍵の管理主体と所在、アクセスログ・操作ログ・保存期間、脆弱性管理、パッチ、EDR、マルウェア対策、開発・テスト環境で本番データを使わない仕組み、削除、媒体廃棄、インシデント連絡体制を確認します。 |
| 運用・監査 | 委託先管理台帳、リスク区分、監査頻度、監査質問票または第三者監査報告書、再委託先変更通知の担当者、アクセス権棚卸し、是正事項の期限と責任者、法令・国・再委託先・利用目的変更時の再評価、経営層への報告基準を確認します。 |
文書テンプレートと専門職別の確認視点を実務資料へ落とします。
海外委託先への越境移転と監督では、審査票、データ移転台帳、相当措置マッピング表を用意しておくと、契約レビュー、監査、本人対応、経営報告がつながります。
次の表は、海外委託先審査票の主要項目を示します。重要なのは、質問と回答だけで終わらせず、証跡欄で確認資料を結び付けることです。各行では、委託先から受け取る資料や社内で作成する資料を読み取ってください。
| 質問 | 回答欄 | 証跡 |
|---|---|---|
| 契約当事者名・所在地 | 登記情報、契約書 | |
| 実際に処理する拠点 | データの流れを示す資料 | |
| データセンター所在地 | サービス仕様書 | |
| サポート拠点所在地 | DPA、サポート規約 | |
| 再委託先一覧 | サブプロセッサ一覧 | |
| 取り扱う個人データ | データ項目表 | |
| 要配慮情報の有無 | データ分類表 | |
| 独自利用の有無 | 利用規約、DPA | |
| 安全管理措置 | セキュリティ別紙 | |
| 監査証跡 | 監査報告書、認証 | |
| 漏えい通知体制 | インシデント手順書 | |
| 終了時削除 | 削除手順、証明書ひな形 | |
| 国別制度調査 | 外的環境調査メモ | |
| 総合評価 | 承認記録 |
次の台帳は、個々の移転を一覧で管理するための項目例です。重要なのは、委託先名だけでなく、国・地域、データ、目的、根拠、再委託、リスク、次回レビューを並べ、相当措置の継続性を後から確認できるようにすることです。
| 管理番号 | 委託先 | 国・地域 | データ | 目的 | 根拠 | 再委託 | リスク | 次回レビュー |
|---|---|---|---|---|---|---|---|---|
| XBO-001 | 相当措置・同意・同等水準国 | 高・中・低 |
相当措置マッピング表は、日本法上の観点と契約・運用上の対応、証跡を対応させる資料です。重要なのは、「相当措置があります」という抽象説明を、どの契約条項や運用証跡で支えるかを明確にすることです。
| 日本法上の観点 | 契約・運用上の対応 | 証跡 |
|---|---|---|
| 利用目的の範囲内取扱い | 文書化された指示、目的外利用禁止 | DPA条項 |
| 安全管理措置 | セキュリティ別紙、暗号化、アクセス制御 | 監査報告書 |
| 従業者監督 | 秘密保持、教育、権限管理 | 教育記録、NDA |
| 委託先監督 | 報告、監査、是正 | 質問票、是正記録 |
| 再委託管理 | 事前承認、同等義務 | サブプロセッサ一覧 |
| 本人権利対応 | 開示・削除・苦情対応支援 | 手順書 |
| 漏えい対応 | 直ちに通知、調査協力 | インシデント条項 |
| 終了時措置 | 返却、削除、証明 | 削除証明書 |
| 継続確認 | 年次レビュー、変更管理 | レビュー記録 |
同じ海外委託案件でも、専門職ごとに確認したいリスクが異なります。次の一覧は、関与者別の主な視点を示します。重要なのは、契約、プライバシー、セキュリティ、内部監査、経営、職業倫理の観点をひとつの審査に統合することです。
データマッピング、外国第三者提供の根拠整理、本人向け情報提供、プライバシーポリシー、本人請求対応、PPC対応、教育を担当します。
暗号化、アクセス制御、ログ、脆弱性、クラウド設定、再委託先セキュリティ、インシデント対応を評価します。
台帳にない海外SaaS、事業部が独自に契約したシャドーIT、契約更新時レビュー未実施、再委託先変更未確認、削除証明未取得を確認します。
情報漏えい、不祥事、当局対応、信用毀損、訴訟、事業停止につながる経営リスクとして、高リスク移転を承認・監督します。
よくある質問を一般情報として整理し、個別判断が必要な点を明示します。
一般的には、海外の委託先または外国で個人データを取り扱う委託先に対し、個人データを提供・アクセス・保存・処理させる際に、外国第三者提供の移転根拠を確認し、委託先の安全管理措置を選定・契約・監査・改善・終了処理により監督する実務とされています。ただし、データの内容、国、契約構造、再委託、業法によって整理は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、国内の第三者提供規制では委託先が第三者に当たらないものと扱われる場面がありますが、外国にある別法人の委託先に個人データを提供する場合は、外国第三者提供規制の検討が必要とされています。ただし、同一法人内の支店、海外子会社、共同利用、相当措置の有無で結論は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、海外子会社はグループ会社であっても別法人のため、外国にある第三者として整理する必要が生じる可能性があります。ただし、共同利用の設計、本人向け公表事項、管理責任者、利用目的、取扱範囲、安全管理の内容によって対応は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、海外支店が日本本社と同一法人であれば第三者提供には当たりにくいとされています。ただし、外国で個人データを取り扱う以上、外的環境の把握、安全管理措置、従業者監督、アクセス管理は必要になります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、契約相手が日本法人であっても、データセンター、サポート、バックアップ、障害対応、再委託先が外国にある場合は、海外委託や外国での取扱いとして検討が必要になる可能性があります。ただし、サービス仕様、DPA、サブプロセッサ一覧、データ所在、サポートアクセス、ログ利用、AI学習の有無によって整理は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、本人同意は外国第三者提供の根拠になり得ますが、個人データの安全管理措置と委託先監督は別途必要とされています。ただし、同意の内容、提供先、データ項目、再委託、独自利用、変更の有無によって対応は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、外国の委託先が、日本の個人情報取扱事業者に求められる措置に相当する措置を継続的に講ずる体制を指すとされています。契約、内規、確認書、覚書、監査、報告、再委託管理、安全管理措置などを組み合わせて実効性を確保します。ただし、委託先の体制、移転国、データの感度、再委託構造によって必要な措置は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、EU・英国は同等水準国として整理しやすいものの、委託先監督、安全管理措置、契約、再委託管理、本人対応は必要とされています。また、EU域内の個人データを扱う場合は、GDPRの処理者契約や国際移転規制も検討対象になります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、再委託先が個人データを取り扱う場合、承認、通知、同等義務、再委託先一覧、監査・報告を契約で確保することが重要とされています。ただし、再委託先の役割、アクセス範囲、データの感度、国・地域、委託先の管理体制によって確認の深さは変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、監査の深さはリスクに応じて決まるとされています。大量データ、要配慮情報、金融・医療・人事情報、高リスク国、再委託多数の場合は、詳細監査、独立監査報告書、アクセスログ確認、是正フォローが重要になります。ただし、事業規模、データ内容、委託先体制、契約条件によって適切な水準は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
最後に、事業上必要な越境処理を説明可能で監査可能にする考え方をまとめます。
海外委託先への越境移転と監督で最も危険なのは、論点をひとつだけ見て安心することです。「委託だから第三者提供ではありません」「同意を取ったから大丈夫です」「EUだから大丈夫です」「契約書に個人情報条項があるから大丈夫です」「大手SaaSだから大丈夫です」という単線的な判断は、実務上の事故につながります。
正しいアプローチは、個人データか、外国にある第三者か、本人同意・同等水準国・相当措置・法定例外のどのルートかを確認する移転根拠の整理と、委託先選定、契約、安全管理、再委託、監査、変更管理、漏えい対応、終了時削除を証跡化する継続監督の二輪です。
この二輪を支えるのが、データマッピング、外的環境の把握、技術的安全管理、社内ガバナンス、経営監督です。海外委託は、コスト削減や専門性活用の有力な手段である一方、個人データが国境を越えることで、法令、文化、技術、監督、紛争解決の複雑性が増します。企業法務の役割は、海外委託を止めることではなく、事業上必要な越境処理を、本人の権利利益を守りながら、説明可能で監査可能な形に設計することです。
最後に、実務で確認する全体像をまとめます。次の一覧は、移転根拠と継続監督を支える要素を対応づけたものです。重要なのは、各要素が単独ではなく、台帳、契約、監査、本人対応、経営報告としてつながることです。
個人データ該当性、外国第三者該当性、本人同意、同等水準国、相当措置、法定例外を確認します。
委託先選定、契約、安全管理、再委託、監査、変更管理、漏えい対応、終了時削除を証跡化します。
データマッピング、外的環境調査、技術的安全管理、社内役割分担、経営監督を整えます。