2σ Guide

GDPR十分性認定と
日本企業の実務

EUから日本への個人データ移転を、十分性認定、補完的ルール、再移転、契約、監査、漏えい対応に分けて整理します。制度上の利点と、実務で残る管理義務を同時に確認できます。

2019日本十分性認定の採択年
第45条GDPR上の移転根拠
72時間侵害通知で問題になる目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

GDPR十分性認定と 日本企業の実務

EUから日本への個人データ移転を、十分性認定、補完的ルール、再移転、契約、監査、漏えい対応に分けて整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
GDPR十分性認定と 日本企業の実務
EUから日本への個人データ移転を、十分性認定、補完的ルール、再移転、契約、監査、漏えい対応に分けて整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • GDPR十分性認定と 日本企業の実務
  • EUから日本への個人データ移転を、十分性認定、補完的ルール、再移転、契約、監査、漏えい対応に分けて整理します。

POINT 1

  • GDPR十分性認定と日本企業の実務の全体像
  • 十分性認定を移転根拠として使える場面と、なお残るGDPR・日本法・契約上の対応を切り分けます。
  • 十分性認定は移転を容易にしますが、説明責任を消すものではありません
  • GDPRが直接適用されるか
  • EUから日本への移転根拠は何か

POINT 2

  • GDPR十分性認定と日本企業の実務で分ける基本用語
  • GDPR、個人データ、管理者・処理者、EU由来個人データ、再移転、補完的ルールを整理します。
  • 管理者と処理者
  • 個人情報取扱事業者
  • EU由来個人データと再移転

POINT 3

  • 日本十分性認定の対象範囲と限界
  • 1. GDPRの適用開始:EU域内外の事業者に対して、処理原則、管理者・処理者の義務、国際移転規制などが本格的に適用されました。
  • 2. 日本向け十分性認定の採択:EUから日本の対象事業者への個人データ移転について、GDPR第45条の移転根拠として整理できる制度基盤が整いました。
  • 3. 第1回レビュー報告:個人情報保護法改正、補完的ルール、漏えい報告、データ主体の権利、仮名加工情報、再移転などが確認されました。
  • 4. 範囲拡大に関する共同声明:学術・研究分野と公共部門への範囲拡大に向けた協議の進展が示されました。

POINT 4

  • 補完的ルールで変わるGDPR十分性認定の実務
  • 1. EU由来個人データを受領:十分性認定に基づく移転か、SCCなど別根拠かを確認します。
  • 2. 日本国外からアクセス可能か:海外クラウド、サポート、BPO、開発拠点、監査人を確認します。
  • 3. 再移転管理を追加:SCC、相当措置、APPI第28条、契約承認、ログを確認します。
  • 4. 国内管理を継続:補完的ルール、安全管理、権利行使、削除証跡を維持します。

POINT 5

  • GDPR十分性認定を使う前のデータ移転アセスメント
  • 1. EUから日本へ直接移転:日本側受領者と処理目的が十分性認定の対象に入るかを確認します。
  • 2. 日本から第三国へ再移転するか:クラウド、海外サポート、復処理者、グローバルCRMを確認します。
  • 3. SCC等を追加検討:継続保護、相当措置、APPI第28条、EU側承認を確認します。
  • 4. 第45条とDPAを整理:移転根拠、処理者契約、補完的ルール、監査証跡を整えます。

POINT 6

  • GDPR十分性認定を前提にした契約・委託先管理
  • DPA、データ移転条項、委託先監督、交渉論点を契約実務に落とします。
  • SCCを併用するか
  • 復処理者変更をどう扱うか
  • 監査権と責任制限を調整する

POINT 7

  • GDPR十分性認定を社内統制へ落とし込む
  • 台帳と契約
  • EU由来個人データ台帳、DPA一覧、委託先一覧、復処理者変更通知、再移転承認記録を確認します。
  • 本人対応と漏えい訓練
  • データ主体請求ログ、期限管理、漏えい訓練記録、初動連絡網、当局・本人通知文案を確認します。

POINT 8

  • ユースケース別に見るGDPR十分性認定と日本企業の実務
  • 人事、EC・SaaS、B2B、研究、M&A、クラウド・生成AIで注意点が変わります。
  • EU子会社から日本本社への人事データ
  • EU顧客向けEC・SaaS・アプリ
  • 展示会・リード情報

まとめ

  • GDPR十分性認定と 日本企業の実務
  • GDPR十分性認定と日本企業の実務の全体像:十分性認定を移転根拠として使える場面と、なお残るGDPR・日本法・契約上の対応を切り分けます。
  • GDPR十分性認定と日本企業の実務で分ける基本用語:GDPR、個人データ、管理者・処理者、EU由来個人データ、再移転、補完的ルールを整理します。
  • 日本十分性認定の対象範囲と限界:対象事業者、対象外類型、レビュー、将来の範囲拡大動向を確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

GDPR十分性認定と日本企業の実務の全体像

十分性認定を移転根拠として使える場面と、なお残るGDPR・日本法・契約上の対応を切り分けます。

GDPR十分性認定は、欧州委員会が第三国の個人データ保護水準を十分と判断した場合に、GDPR第45条に基づいてEU域外への個人データ移転を認める仕組みです。日本については2019年1月23日に十分性認定が採択され、EUから日本の一定の個人情報取扱事業者へ個人データを移転する場合、SCCなどの追加的な移転ツールを使わずに整理できる場面があります。

ただし、十分性認定はGDPRの義務全体を免除する仕組みではありません。日本企業がEU向けサービスを提供する場合、EU域内の個人の行動を分析する場合、EU拠点の活動に関連して日本で処理する場合には、GDPR第3条の域外適用、処理原則、適法根拠、透明性、データ主体の権利、処理者契約、漏えい通知などが別途問題になります。

このページで最も重要な結論は、十分性認定を「安心材料」として扱うだけでは足りないという点です。EU由来個人データを識別し、補完的ルール、社内規程、契約、委託先管理、再移転管理、監査証跡へ落とし込むことが、日本企業の実務対応の中心になります。

次の強調部分は、このページ全体で読むべき制度の位置づけを示します。移転根拠と運用義務を混同しないことが、契約交渉、監査、インシデント対応で重要になるため、まず制度の効果と限界を一体で確認してください。

十分性認定は移転を容易にしますが、説明責任を消すものではありません

EUから日本への移転根拠として有用ですが、日本企業側には補完的ルール、目的限定、再移転管理、契約上の処理指示、安全管理、本人対応、監査証跡の整備が求められます。

日本企業の検討では、主に二つの問いを分けて見る必要があります。下の3つの項目は、十分性認定を使う前に社内で共通理解にしておくべき論点を並べています。どの項目が自社の契約・システム・部門責任に影響するかを読み取ってください。

Layer 01

GDPRが直接適用されるか

EU向けの商品・サービス、EU域内の行動監視、EU拠点活動に関連する処理では、日本企業自身が管理者または処理者としてGDPR本体の義務を負う可能性があります。

Layer 02

EUから日本への移転根拠は何か

日本十分性認定の対象範囲に入る場合、GDPR第45条の移転根拠として整理できます。対象外類型や再移転がある場合は追加検討が必要です。

Layer 03

移転後の運用をどう証明するか

補完的ルール、台帳、委託先管理、ログ、削除、権利行使対応、漏えい時連絡先を文書と運用の両面で残すことが重要です。

Section 01

GDPR十分性認定と日本企業の実務で分ける基本用語

GDPR、個人データ、管理者・処理者、EU由来個人データ、再移転、補完的ルールを整理します。

GDPRは、個人データの処理について、適法性、透明性、目的限定、データ最小化、正確性、保存期間制限、安全性、説明責任などを求めるEUの包括的な規則です。2018年5月25日から適用され、EU加盟国に直接適用されます。

日本法では「個人情報」「個人データ」「保有個人データ」「要配慮個人情報」「仮名加工情報」「匿名加工情報」などの概念が使われます。一方、GDPR上のpersonal dataは、識別された、または識別可能な自然人に関する情報を広く含みます。EU由来データでは、日本法上の分類だけでなく、GDPR上の個人データ性も確認します。

次の一覧は、実務で混同しやすい用語を役割別に並べたものです。用語の違いは契約の責任分担、本人対応、漏えい通知、再移転の承認に直結するため、自社がどの立場でデータを受けるかを読み取ってください。

GDPR

管理者と処理者

管理者は処理の目的・手段を決める者、処理者は管理者のために処理を行う者です。GDPR第28条契約の要否を判断する起点になります。

APPI

個人情報取扱事業者

日本法ではGDPRと同じ二分法ではなく、個人情報取扱事業者を中心に義務が課されます。補完的ルールの適用主体確認にも関係します。

Transfer

EU由来個人データと再移転

EUまたはEEA域内から日本へ十分性認定に基づいて移転されたデータと、その派生データを管理上区別します。日本から第三国へ移す場合は再移転の検討が必要です。

GDPR第3条と第5章は、同じGDPRの中でも問いが異なります。下の比較表は、直接適用の問題と国際移転の問題を並べたものです。列ごとに見ると、十分性認定が第3条や第6条の検討を置き換えないことが分かります。

論点主な条文日本企業が確認する問い
GDPRが直接適用されるかGDPR第3条EU拠点活動、EU向け商品・サービス、EU域内行動監視に関与しているかを確認します。
処理そのものが適法かGDPR第5条・第6条目的限定、透明性、同意、契約履行、正当利益などの処理根拠を確認します。
EUから日本への移転が適法かGDPR第5章・第45条日本十分性認定の対象に入るか、補完的ルールを守れるかを確認します。
注意GDPR第45条は国際移転の根拠です。EU顧客データを日本で分析・マーケティング利用する場合、処理目的、適法根拠、透明性、契約上の処理指示も別に確認します。
Section 02

日本十分性認定の対象範囲と限界

対象事業者、対象外類型、レビュー、将来の範囲拡大動向を確認します。

欧州委員会の日本十分性認定は、EUから日本の個人情報保護法の対象となる個人情報取扱事業者へ移転される個人データについて、日本が十分な保護水準を確保していると判断したものです。この判断は、個人情報保護法だけでなく、補完的ルール、日本政府の公的表明・保証・コミットメントを含む制度全体に基づいています。

次の時系列は、日本十分性認定の採択後もレビューと制度調整が続くことを示します。年次の動きは、契約ひな形、社内規程、監査項目の見直し時期を決めるうえで重要です。古い理解で固定せず、どの資料を定期確認すべきかを読み取ってください。

2018年5月25日

GDPRの適用開始

EU域内外の事業者に対して、処理原則、管理者・処理者の義務、国際移転規制などが本格的に適用されました。

2019年1月23日

日本向け十分性認定の採択

EUから日本の対象事業者への個人データ移転について、GDPR第45条の移転根拠として整理できる制度基盤が整いました。

2023年4月

第1回レビュー報告

個人情報保護法改正、補完的ルール、漏えい報告、データ主体の権利、仮名加工情報、再移転などが確認されました。

2025年9月18日

範囲拡大に関する共同声明

学術・研究分野と公共部門への範囲拡大に向けた協議の進展が示されました。実務で依拠する際は、採択済みの決定や告示を確認します。

対象範囲を判断するときは、受領者の属性だけでなく、処理目的、データ管理、再移転、役割分担を同時に見ます。下の表は、移転前の確認項目と実務への影響を整理したものです。各行を契約レビューやデータマップのチェック項目として読み替えてください。

確認項目実務上の意味
日本の個人情報取扱事業者か個人情報保護法と補完的ルールの適用主体になるかを確認します。
受領目的が対象外類型に当たらないか報道、著述、学術研究、宗教活動、政治活動などの対象外類型を確認します。
EU由来個人データを識別できるか補完的ルールを適用するため、タグ付けや高水準ルールの全体適用を検討します。
再移転予定があるか日本から第三国クラウド、海外サポート、BPO、海外子会社へ移る可能性を確認します。
管理者・処理者・共同管理者のどれかGDPR第28条契約、共同管理者取決め、通知、責任分担に影響します。

十分性認定は一度採択されれば永久に同じ内容で維持される制度ではありません。欧州委員会レビュー、個人情報保護法改正、個人情報保護委員会ガイドライン、EDPBの解釈、EU・日本間の共同声明を継続的に追い、社内規程と契約ひな形へ反映します。

Section 03

補完的ルールで変わるGDPR十分性認定の実務

EU・英国域内から十分性認定により移転を受けた個人データに上乗せされる実務要件です。

補完的ルールは、任意の参考資料ではありません。EUおよび英国域内から十分性認定により移転を受けた個人データについて、日本の個人情報取扱事業者に上乗せ的な義務を課す実務上の中核です。欧州委員会の十分性判断も、補完的ルールを含む制度全体を前提としています。

EU由来データの運用は、データを区別して管理する方式と、データベース全体に高い基準をかける方式で負担が変わります。次の比較表は、運用モデルごとの長所と短所を整理したものです。自社のシステム粒度、派生データの多さ、監査負荷を踏まえて読み取ってください。

運用モデル長所短所
EU由来データをタグ付けして個別管理適用範囲を限定でき、過剰対応を抑えられます。タグ漏れ、派生データ漏れ、システム改修負荷が問題になります。
データベース全体に高水準ルールを適用運用、教育、監査、説明が単純になります。国内データにも高い基準が及び、コストが増えます。
事業・システム単位でハイブリッド管理リスクの高い処理から優先して現実的に整備できます。境界管理が複雑になり、承認ルールの明確化が必要です。

補完的ルールで特に注意したい領域は、センシティブデータ、仮名加工・匿名加工、再移転です。次の一覧は、見落としが発生しやすいリスク要素を整理しています。どの項目が自社の人事、研究、クラウド、AI利用に当たるかを確認してください。

要配慮・特別カテゴリー

医療、ヘルスケア、採用、人事、労務、金融、位置情報、政治的意見、宗教・思想などは、GDPR第9条、日本法、補完的ルール、業法の交錯を確認します。

仮名加工・匿名加工

GDPR上の仮名化は通常、個人データ性を失わせません。匿名化も再識別リスク、契約制限、提供先での照合可能性を確認します。

再移転

日本から非十分性第三国へ移転・アクセス可能化する場合、EUレベルの保護継続性、日本法第28条、契約上の承認を併せて確認します。

再移転の判断は、データを物理的に送る場合だけではありません。海外サポートアクセス、海外復処理者、クラウド管理者、ログ送信、バックアップ、グローバルCRM統合でも問題になります。次の判断の流れでは、左から右へ検討を進め、どの段階で追加措置が必要になるかを読み取ってください。

再移転を検出する判断の流れ

EU由来個人データを受領

十分性認定に基づく移転か、SCCなど別根拠かを確認します。

日本国外からアクセス可能か

海外クラウド、サポート、BPO、開発拠点、監査人を確認します。

該当あり
再移転管理を追加

SCC、相当措置、APPI第28条、契約承認、ログを確認します。

該当なし
国内管理を継続

補完的ルール、安全管理、権利行使、削除証跡を維持します。

Section 04

GDPR十分性認定を使う前のデータ移転アセスメント

データマッピング、SCC併用、APPI第28条を実務の順番に並べます。

日本企業が最初に行うべきことは、抽象的な「EUデータあり」という把握ではなく、データ主体、所在地、取得者、移転経路、日本側受領者、処理目的、法的役割、再移転、保存期間、権利行使対応を単位として棚卸しすることです。

次の表は、データマッピングで最低限確認する観点をまとめたものです。列は監査・契約・システム設計で使う項目を示し、各行は台帳に残すべき確認内容です。漏えい対応や取引先照会で説明できる粒度になっているかを読み取ってください。

観点確認内容
データ主体顧客、従業員、役員、採用応募者、取引先担当者、アプリユーザー、研究参加者、患者、株主などを整理します。
移転経路API連携、SFTP、メール、CRM同期、クラウド共有、リモートアクセス、バックアップを確認します。
法的役割管理者、共同管理者、処理者、復処理者、独立管理者のどれに当たるかを確認します。
再移転第三国クラウド、海外サポート、海外子会社、BPO、開発委託、監査人のアクセスを確認します。
権利行使対応アクセス、訂正、削除、処理制限、異議、データポータビリティ、同意撤回の窓口と期限を確認します。

十分性認定を使うか、SCCを併用するかは、移転の向きと契約相手の標準運用で変わります。次の判断の流れは、移転根拠だけでなく、DPA、復処理者、再移転、日本法第28条も同時に見るための順番です。分岐ごとの追加確認を読み取ってください。

移転根拠を確認する判断の流れ

EUから日本へ直接移転

日本側受領者と処理目的が十分性認定の対象に入るかを確認します。

日本から第三国へ再移転するか

クラウド、海外サポート、復処理者、グローバルCRMを確認します。

再移転あり
SCC等を追加検討

継続保護、相当措置、APPI第28条、EU側承認を確認します。

再移転なし
第45条とDPAを整理

移転根拠、処理者契約、補完的ルール、監査証跡を整えます。

日本から外国にある第三者へ個人データを提供する場合は、日本の個人情報保護法第28条も問題になります。下の比較表は、十分性認定だけでは足りない場面を整理しています。EU側と日本側の規制を別々に満たす必要がある点を確認してください。

場面移転根拠の考え方契約上の留意点
EU管理者から日本の対象事業者へ直接移転日本十分性認定を検討します。DPA、補完的ルール遵守条項、再移転制限を定めます。
EU管理者から日本処理者へ委託十分性認定とGDPR第28条契約を併せて整理します。処理指示、復処理者、監査権、漏えい通知、削除・返還を定めます。
日本から非十分性第三国へ再移転十分性認定だけでは足りません。SCC、相当措置、継続保護、日本法第28条対応を検討します。
M&A後のデータ統合買収前後で移転根拠が変わる可能性があります。DD、表明保証、誓約事項、PMI計画へ落とし込みます。
Section 05

GDPR十分性認定を前提にした契約・委託先管理

DPA、データ移転条項、委託先監督、交渉論点を契約実務に落とします。

十分性認定が使える場合でも、契約書レビューは不可欠です。EU側当事者が管理者、日本側当事者が処理者となる場合には、GDPR第28条に適合するデータ処理契約が必要になります。十分性認定は移転根拠であり、処理者契約や委託先管理を不要にするものではありません。

次の表は、DPAまたはデータ移転条項で検討すべき基本事項を整理しています。条項名の列は契約上の見出し、実務上のポイントの列は社内で確認すべき運用内容を示します。文言だけでなく、実際に運用できるかを読み取ってください。

条項実務上のポイント
役割定義管理者、共同管理者、処理者、復処理者、独立管理者の別を明示します。
処理目的・データ類型目的外利用を防ぎ、顧客、従業員、応募者、特別カテゴリーなどを列挙します。
移転根拠と補完的ルール日本十分性認定に依拠すること、適用範囲外の場合の代替措置を定めます。
再移転・復処理者承認手続、変更通知、異議申立て、同等義務の流し込みを定めます。
安全管理・漏えい通知暗号化、アクセス制御、ログ、通知期限、初動調査、当局・本人通知支援を定めます。
終了時処理・監査権返還、削除、バックアップ削除、削除証明、書面監査、第三者認証、是正期限を定めます。

EU企業との交渉では、SCCの要否、復処理者開示、漏えい通知期限、監査権、責任制限などが頻出します。次の一覧は、契約交渉で早めに確認すると手戻りを減らせる項目です。どの論点が自社の標準条項に入っているかを読み取ってください。

DPA

SCCを併用するか

十分性認定で足りる場面でも、相手方のグローバル標準や再移転の有無により、SCCや別紙を求められることがあります。

Subprocessor

復処理者変更をどう扱うか

一覧開示、事前承認、変更通知、異議申立て期間、同等義務の流し込みを運用可能な形にします。

Audit

監査権と責任制限を調整する

実地監査、第三者認証、監査報告書、漏えい費用、制裁金、本人請求、フォレンジック費用の扱いを確認します。

条項例を入れるだけでは、実務上の説明責任は満たせません。次の強調部分は、契約文言と運用証跡を接続する要点を示します。契約、データマップ、復処理者一覧、アクセスログ、削除証跡が同じ説明に乗るかを確認してください。

契約条項は、データフローと監査証跡で支えます

再移転先、委託先、アクセス権限、ログ、削除、本人対応、漏えい時連絡先が運用されている状態まで整えて、初めてDPAの条項が実効性を持ちます。

Section 06

GDPR十分性認定を社内統制へ落とし込む

法務、プライバシー、情報システム、内部監査、経営の役割を分けます。

GDPR十分性認定は法務だけの論点ではありません。補完的ルールを実装するには、法務、プライバシー、情報システム、情報セキュリティ、内部監査、経営が、契約・規程・システム・監査を一体で動かす必要があります。

次の一覧は、部門ごとの主な役割を並べたものです。左の番号は担当領域、右側の説明は最低限の実務タスクを示します。自社で責任者が空白になっている領域を読み取ってください。

01

法務・企業内弁護士

DPA、SCC、補完的ルール条項、再移転条項、プライバシーポリシー、外部専門家との役割分担を整えます。

契約当局対応
02

プライバシー担当

EU由来データの台帳、本人対応、保持・削除手順、透明性通知、権利行使期限を管理します。

台帳本人対応
03

情報システム・セキュリティ

保存場所、アクセス権、海外アクセス、ログ、暗号化、バックアップ、クラウド設定を把握します。

統制ログ
04

内部監査・経営

台帳、契約、委託先、再移転承認、漏えい訓練、削除証跡を確認し、重要リスクを経営へ報告します。

監査経営報告

情報システム統制は、十分性認定の実効性を支える基盤です。次の表は、EU由来個人データを扱うシステムで確認すべき統制を示します。列ごとに、契約条項だけではなく、実際の設定や証跡が残っているかを読み取ってください。

統制実務上の確認事項
アクセス制御最小権限、職務分掌、特権ID管理、多要素認証を確認します。
ログ管理閲覧、抽出、ダウンロード、管理者操作、外部共有の記録を確認します。
暗号化保存時・通信時暗号化、鍵管理、バックアップ暗号化を確認します。
DLP・クラウド設定外部送信、クラウド同期、リージョン、復処理者、海外サポートアクセスを確認します。
削除とインシデント論理削除、物理削除、バックアップ削除、初動検知、証拠保全を確認します。

内部監査では、規程が存在するかだけでなく、実際に運用されているかを確認します。次の一覧は、サンプリング対象として有用な証跡を整理しています。どの証跡が取引先説明や当局照会で提示できるかを確認してください。

台帳と契約

EU由来個人データ台帳、DPA一覧、委託先一覧、復処理者変更通知、再移転承認記録を確認します。

本人対応と漏えい訓練

データ主体請求ログ、期限管理、漏えい訓練記録、初動連絡網、当局・本人通知文案を確認します。

アクセスと削除

アクセス権棚卸し、特権IDレビュー、抽出ログ、バックアップ削除、削除証明を確認します。

Section 07

ユースケース別に見るGDPR十分性認定と日本企業の実務

人事、EC・SaaS、B2B、研究、M&A、クラウド・生成AIで注意点が変わります。

十分性認定の使い方は、データの種類と利用場面で変わります。EU子会社の人事データ、EU顧客向けEC、B2Bリード、研究・医療データ、M&A対象会社のデータ、クラウド・生成AI利用では、問題になる法令、契約、監査項目が異なります。

次の一覧は、主要なユースケースごとの注意点を並べています。各項目では、データ主体、処理目的、再移転、契約制限、本人通知のどれが重くなるかを読み取ってください。

HR

EU子会社から日本本社への人事データ

給与、評価、配置、内部通報、懲戒、ハラスメント調査、メンタルヘルスは機微性が高く、目的限定、アクセス権限、保存期間を慎重に管理します。

Digital

EU顧客向けEC・SaaS・アプリ

EU向け言語、通貨、配送、広告、サポート、行動分析、Cookie、SDK、解析ツールの同意管理を確認します。

B2B

展示会・リード情報

法人名だけでなく、担当者メール、電話番号、商談履歴、問い合わせ内容、ウェブ行動ログが個人データになり得ます。

Research

研究・医療・ヘルスケア

健康データ、遺伝情報、臨床試験データ、研究参加者データでは、匿名化、二次利用、AI学習、倫理指針との整合性を確認します。

M&A

M&A・事業譲渡・グループ再編

顧客DB、CRM、HRシステム、研究データ、ログデータを、DD、表明保証、PMI、本人通知の観点で確認します。

AI

クラウド・SaaS・生成AI

海外サポート、復処理者、障害解析、ログ送信、モデル学習、削除可能性、契約上の禁止を確認します。

M&Aでは、データは資産であると同時に潜在債務にもなります。次の表は、デューデリジェンスで確認する資料と、見るべきポイントをまとめたものです。買収後のデータ統合前に何を再確認すべきかを読み取ってください。

資料確認事項
プライバシーポリシーEU移転、十分性認定、再移転、利用目的の記載を確認します。
データマップEU由来データ、第三国移転、委託先、クラウドを確認します。
DPA・SCC締結状況、復処理者、監査権、責任条項を確認します。
インシデント・同意管理漏えい、本人請求、当局照会、同意取得、撤回、証跡を確認します。
保存・削除・社内規程保存期間、削除不能データ、補完的ルール、外国移転、漏えい対応を確認します。
Section 08

EU由来個人データの漏えい対応

GDPR、日本法、契約上の通知期限を同時に確認します。

EU由来個人データの漏えいが疑われる場合、GDPR上のpersonal data breach、日本法上の報告対象事態、契約上の通知期限を並行して確認します。GDPRでは、一定の場合、監督当局への通知で認識後72時間以内という目安が問題になります。日本法の報告・本人通知も別途検討します。

次の表は、インシデント時に同時並行で見る判断項目です。左の列は法務・セキュリティ・事業部が確認する論点、右の列は実務で必要になる対応です。どの担当がどの時間軸で動くかを読み取ってください。

判断項目実務対応
GDPR上の侵害に該当するか個人データの滅失、破壊、改ざん、漏えい、不正アクセスの有無を確認します。
日本法上の報告対象か個人の権利利益を害するおそれが大きい事態に当たるかを確認します。
通知主体は誰かEU側管理者、日本企業の役割、処理者としての通知義務を確認します。
契約上の期限は何時間かDPA、委託契約、連絡先、通知文案、責任分担を確認します。
証拠保全をどう行うかログ、端末、クラウド監査証跡、メール、設定変更履歴を保全します。

初動は時間との競争です。次の時系列は、検知直後から事後検証までの実務対応を示します。上から順に、封じ込め、評価、通知、是正、再発防止へ進む流れを確認してください。

検知直後

影響範囲の特定と封じ込め

影響システム、関係者、ログ保全、アクセス停止、関係者限定共有を行います。

初期評価

EU由来データとリスクの確認

データ主体数、データ類型、漏えい経路、第三国アクセス、権利自由へのリスクを確認します。

通知判断

契約・当局・本人対応を整理

DPA、通知期限、管轄当局、本人通知、FAQ、問い合わせ窓口を整備します。

事後検証

是正と経営報告

原因分析、再発防止、規程改訂、委託先改善、取締役会報告、内部監査を行います。

証拠保全では、ログの上書きや端末初期化に注意します。次の判断の流れは、法務、セキュリティ、外部専門家が連携する順番を示します。原因究明と説明責任の両方を満たすため、何を先に止め、何を残すかを読み取ってください。

証拠保全と調査の判断の流れ

ログと証跡を保全

クラウド監査ログ、端末、メール、権限変更履歴を保全します。

外部専門家の関与を判断

デジタルフォレンジック、外部弁護士、セキュリティベンダーを検討します。

重大性あり
経営・当局対応へ接続

通知文案、本人対応、広報、IR、サイバー保険、警察相談を調整します。

限定的
是正と再発防止を実施

アクセス権見直し、脆弱性修正、教育、委託先改善を行います。

Section 09

GDPR十分性認定を支える内部規程と台帳

規程体系、EU由来個人データ台帳、承認手順を実務文書へ落とします。

GDPR十分性認定を実務で機能させるには、個人情報保護規程だけでは足りません。EU由来個人データ取扱細則、外国移転管理規程、委託先管理規程、情報セキュリティ規程、インシデント対応規程、データ保持・削除基準、AI・データ利用規程、M&Aデータ移転手順を組み合わせます。

次の表は、整備すべき規程・文書と主な内容を整理したものです。左の列は文書名、右の列は実務で規定すべき対象を示します。既存規程に追記するか、独立した細則にするかを検討してください。

文書主な内容
個人情報保護規程個人情報保護法、GDPR、補完的ルールの基本方針を定めます。
EU由来個人データ取扱細則EU由来データの識別、利用、保存、削除、再移転を定めます。
外国移転管理規程日本から外国第三者提供を行う場合の承認・記録を定めます。
委託先管理規程委託先選定、契約、監査、再委託、終了時削除を定めます。
AI・データ利用規程生成AI入力、匿名化、研究利用、モデル学習、再移転を定めます。

台帳は監査、契約、インシデント対応の基礎資料です。次の表は、EU由来個人データ台帳に含める項目をまとめたものです。どの項目が不足すると、本人請求、取引先照会、漏えい時評価で説明が難しくなるかを読み取ってください。

台帳項目記録する内容
データセット名・提供者EU側提供者、日本側受領部署、契約番号、DPA番号を記録します。
データ主体・種類データ主体の類型、個人データの種類、特別カテゴリー・要配慮情報の有無を記録します。
目的・移転根拠取得・移転の目的、日本十分性認定、SCC、同意などの根拠を記録します。
システム・委託先日本側処理システム、委託先、復処理者、再移転先を記録します。
保存・本人対応保存期間、権利行使窓口、最終レビュー日、削除証跡を記録します。

EU由来個人データでは、新規取得、新目的利用、第三者提供、外国再移転、クラウド保存、AI利用、研究二次利用、復処理者追加などを承認制にすることが有用です。次の判断の流れは、申請から承認、監査証跡化までの順番を示します。承認者と記録項目を読み取ってください。

社内承認の判断の流れ

新規利用・変更を申請

データ主体、目的、移転元、システム、委託先、再移転先を記載します。

法務・プライバシー・セキュリティで確認

十分性認定、補完的ルール、契約、APPI第28条、DPIA要否を確認します。

承認内容を台帳へ反映

承認者、条件、期限、見直し日、証跡、差戻し理由を記録します。

Section 10

日本企業の実務チェックリストと90日ロードマップ

入口、十分性認定、再移転、契約、運用監査を確認し、30日・60日・90日に分けて実装します。

チェックリストは、単に該当有無を確認するだけでなく、対応の優先順位を付けるために使います。EU・EEA・英国由来データの有無、EU向けサービス、行動監視、EU拠点活動、Cookie ID、広告ID、B2B担当者情報を入口で確認します。

次の一覧は、入口確認から監査までの主要チェック項目をまとめたものです。各項目は社内の責任部署と証跡に結び付けて運用することが重要です。自社で未整備の項目を読み取ってください。

入口チェック

EU・EEA・英国由来データ、EU向け商品・サービス、行動監視、EU拠点活動、取引先担当者情報、Cookie ID、広告IDを確認します。

十分性認定チェック

日本側受領者、対象外類型、契約・通知の整合、補完的ルール、EU由来データ識別を確認します。

再移転チェック

海外クラウド、サポート、BPO、開発拠点、復処理者、SCC、相当措置、APPI第28条対応を確認します。

契約・監査チェック

DPA、処理者契約、復処理者一覧、漏えい通知期限、監査権、責任制限、削除証跡、法改正監視を確認します。

中小企業やスタートアップでは、すべてを一度に整えるよりも、リスクの高い処理単位から実装する方が現実的です。次の時系列は、最初の30日、60日、90日、継続運用で行う対応を示します。順番に進めることで、最低限の台帳と契約・規程・訓練を接続できます。

最初の30日

棚卸しと暫定責任者の設定

EU・EEA・英国由来データ、EU向けサービス、主要クラウド、DPA、個人データ管理責任者を確認します。

60日以内

台帳・再移転先・初動連絡網を整備

EU由来個人データ台帳、復処理者一覧、補完的ルール手順、漏えい時連絡網を整えます。

90日以内

委託先・権利行使・訓練をテスト

アクセス権限、DPAテンプレート、権利行使対応、インシデント訓練、経営報告を実施します。

継続運用

半期・年次で更新

台帳更新、新規システム審査、M&A・AI・研究利用の事前レビュー、公的資料の定期確認を続けます。

対応の深さは、企業規模だけで決まりません。処理の性質、規模、データ類型、取引先要求、再移転の有無によって優先順位が変わります。次の表は、優先度を決めるための視点を整理したものです。どの処理から先に改善するかを読み取ってください。

優先度を上げる要素理由
EU従業員・健康データ・採用データ機微性が高く、透明性、目的限定、労務法制、アクセス制御が問題になりやすいためです。
海外クラウド・海外サポート再移転、復処理者、サポートアクセス、ログ保管場所の確認が必要になるためです。
EU顧客向けEC・SaaSGDPR第3条、Cookie同意、プライバシーポリシー、本人権利対応が重なるためです。
M&A・事業譲渡買収前後で移転根拠、本人通知、データ統合、表明保証が変わる可能性があるためです。
Section 11

グローバル企業の高度論点

BCR・SCC併用、DPIA、DPO、EU代理人、専門職連携を整理します。

大企業やグローバル企業では、十分性認定を個別契約の問題として処理するだけでは不十分です。グループ全体で、データ分類、移転根拠、SCC、BCR、DPA、DPIA、処理記録、委託先管理、インシデント対応を統合管理します。

次の一覧は、グローバル企業で検討が深くなりやすい論点を整理しています。各項目は単独ではなく、データフロー図、契約マトリクス、リスク評価、監督当局対応と結び付きます。自社グループの国際移転構造に当てはめて読み取ってください。

Governance

グローバルデータガバナンス

英国、スイス、米国、ブラジル、韓国、ASEAN各国、中国などの法制も含め、データ保護を横断的に管理します。

Transfers

BCR・SCCとの併用

EUから日本へは十分性認定、日本から非十分性第三国へはSCCやBCRを使う構成では、移転ごとの根拠を明確にします。

Risk

DPIAと高リスク処理

AIスコアリング、採用AI、信用評価、医療データ解析、顔認証、位置情報分析、従業員監視ではリスク評価を行います。

EU Contact

DPO・EU代理人・監督当局

日本企業がGDPRの直接適用を受ける場合、EU代理人、DPO、主監督当局、苦情対応を検討します。

実務では、複数の専門職・部門が同じデータフローを別の視点から確認します。次の表は、主な関与ポイントを一覧にしたものです。どの専門性を社内で持ち、どこを外部専門家へ依頼するかを読み取ってください。

専門職・部門主な関与ポイント
法務・外部専門家GDPR、個人情報保護法、補完的ルール、契約、当局対応、紛争対応を確認します。
企業内法務経営判断、社内調整、契約審査、規程整備、海外拠点連携を担います。
プライバシー・セキュリティ担当データマップ、本人対応、アクセス制御、暗号化、ログ、クラウド統制を担います。
M&A・知財・労務・会計DD、PMI、AI学習、共同研究、EU従業員データ、J-SOX、内部統制を確認します。
デジタルフォレンジック専門家漏えい調査、証拠保全、ログ解析、原因究明を支援します。
Section 12

GDPR十分性認定のFAQ

よくある誤解と質問を、一般的な制度説明として整理します。

十分性認定では、「SCCが不要なら契約も不要」「日本国内サーバーなら再移転はない」「匿名化すれば自由に使える」といった誤解が起きやすくなります。次の比較表は、誤解と確認すべき正しい理解を並べたものです。どの誤解が自社の運用に残っていないかを読み取ってください。

よくある誤解確認すべき理解
日本は十分性認定国なのでGDPRは関係ありません十分性認定は移転根拠であり、GDPR第3条やGDPR本体の義務を消すものではありません。
SCCが不要なら契約も不要ですDPA、処理者契約、委託契約、再移転制限、監査条項、漏えい通知条項は必要になる可能性があります。
日本国内サーバーなら再移転はありません海外サポート、復処理者、ログ解析、バックアップ、遠隔保守により再移転が生じる可能性があります。
匿名化・仮名加工をすれば自由に使えますGDPR上の仮名化は原則として個人データ性を失わせません。匿名化も再識別リスクを確認します。
B2B担当者情報は法人情報です担当者個人に紐づくメール、電話番号、商談履歴、行動ログは個人データになり得ます。

日本十分性認定がある場合、EU企業とのSCCは不要ですか。

一般的には、EUから日本の対象事業者への移転については、GDPR第45条の十分性認定を移転根拠として利用できる場面があります。ただし、契約相手がグローバル標準としてSCCまたはDPAを求める場合や、日本から非十分性第三国への再移転がある場合には、追加の契約措置が必要となる可能性があります。具体的な契約判断は、データフローと契約条件を整理したうえで専門家へ相談する必要があります。

日本企業がEU向けサービスを提供していない場合でも問題になりますか。

一般的には、EU向けサービスを提供していない場合でも、EUから個人データを受領していればGDPR第5章の移転規制と日本側の補完的ルールが問題となる可能性があります。EU子会社の従業員データ、EU取引先担当者データ、EU展示会リード、EU顧客データなどでは、個別事情によって検討範囲が変わります。具体的な対応は、受領経路と役割分担を整理したうえで専門家へ相談する必要があります。

英国データはどう扱いますか。

一般的には、英国はEU離脱後、EU GDPRとは別のデータ保護法制を有します。一方で、補完的ルールはEUおよび英国域内から十分性認定により移転を受けた個人データを対象として掲げています。実務では同じ運用で管理することもありますが、法令根拠、契約、移転説明、監督当局は区別して確認する必要があります。

EU由来個人データと日本国内データを区別できない場合はどう考えますか。

一般的には、区別管理が困難な場合、EU由来データを含むデータベース全体に高い保護基準を適用する方法があります。ただし、コストや業務負担が増える可能性があります。システム単位、事業単位、リスク単位で現実的な管理範囲を設計し、具体的な方針は専門家や関係部門と検討する必要があります。

日本のクラウドに保存していれば十分ですか。

一般的には、データ保管リージョンが日本でも、海外サポート、復処理者、バックアップ、監視ログ、障害解析、管理者アクセスにより再移転が生じる可能性があります。クラウド契約、復処理者一覧、サポートアクセス、暗号鍵管理を確認し、具体的な対応はシステム構成と契約条件を踏まえて検討する必要があります。

EUから受領したデータをAI学習に使えますか。

一般的には、十分性認定により移転されたことだけでAI学習への二次利用が自由になるわけではありません。利用目的、適法根拠、透明性、契約上の処理指示、補完的ルール、再移転、匿名化・仮名化、知財、営業秘密、倫理、本人権利への影響を確認する必要があります。具体的な可否は、データ類型と契約制限を整理して専門家へ相談する必要があります。

漏えい時は日本の個人情報保護委員会だけに報告すればよいですか。

一般的には、日本法上の報告だけで足りるとは限りません。GDPR上の管理者・処理者関係、EU側当事者、監督当局、本人通知、契約上の通知義務を確認する必要があります。一定の場合、GDPRでは監督当局への72時間以内の通知が問題となる可能性があります。具体的な通知方針は、事案の内容と契約を踏まえて専門家へ相談する必要があります。

APEC CBPR認証があればEU由来データの再移転は問題ありませんか。

一般的には、APEC CBPRだけで十分と機械的に判断することは慎重に避ける必要があります。EU由来個人データの日本からの再移転では、EUレベルの保護継続性、契約、SCC、日本法第28条対応を確認します。具体的な再移転根拠は、移転先、契約、データ類型、アクセス態様を整理して専門家へ相談する必要があります。

大学・研究機関との共同研究は日本十分性認定で処理できますか。

一般的には、日本十分性認定の対象範囲や対象外類型との関係を個別に確認する必要があります。2025年の共同声明では学術・研究分野への範囲拡大に関する協議進展が示されていますが、実務で依拠する際には、採択済みの決定、告示、ガイドラインを確認する必要があります。具体的な研究データ移転は、倫理、同意、契約、匿名化・仮名化も含めて専門家へ相談する必要があります。

中小企業でも対応が必要ですか。

一般的には、EU顧客、EU従業員、EU展示会リード、EU向けEC、EUユーザーを含むアプリ、EU企業からの委託処理があれば、企業規模にかかわらず検討が必要となる可能性があります。ただし、対応の深さは、処理の性質、規模、リスク、データ類型、取引先要求に応じて調整されます。具体的な優先順位は、データ棚卸しを行ったうえで専門家へ相談する必要があります。

Section 13

GDPR十分性認定と日本企業の実務の結論

十分性認定の制度的利点を活かしながら、説明責任と運用証跡を整えることが重要です。

GDPR十分性認定を正しく理解するには、EUから日本への個人データ移転を円滑にする制度として評価しつつ、それを「GDPR対応不要」や「再移転自由」と誤解しないことが重要です。

日本十分性認定は、日本企業にとって大きな制度的利点です。EU企業との取引、グローバル人事、研究開発、M&A、クラウド利用、デジタルサービス展開において、SCC等を常に必要とせず、EUから日本へのデータ移転を整理しやすくします。しかし、その前提には、日本の個人情報保護法、補完的ルール、契約、再移転管理、安全管理、データ主体対応、漏えい対応、監査証跡があります。

最後に、次の強調部分は、企業法務の現場で共有しておきたい実務上のまとめです。制度の効果と残る義務を一文で捉え、社内のデータフロー、契約、監査、セキュリティの改善につなげてください。

日本十分性認定は移転を容易にしますが、運用管理を不要にしません

日本企業には、EU由来個人データの識別、補完的ルール遵守、再移転管理、契約・監査・セキュリティ対応を、部門横断で継続する体制が求められます。

Reference

この記事の参考情報源

公的機関、法令、公式ガイドラインを中心に整理しています。

EU・欧州委員会関連

  • Regulation (EU) 2016/679, General Data Protection Regulation
  • European Commission, Adequacy decisions
  • European Commission Implementing Decision on the adequate protection of personal data by Japan under the Act on the Protection of Personal Information
  • European Commission, first review of the functioning of the adequacy decision for Japan
  • European Commission, joint press statement on EU・Japan data protection cooperation

日本の公的資料

  • 個人情報保護委員会「法令・ガイドライン等」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「GDPR(General Data Protection Regulation ― 一般データ保護規則)」
  • 個人情報の保護に関する法律
  • Japanese Law Translation, Act on the Protection of Personal Information

実務解説・公的情報

  • JETRO「EU一般データ保護規則(GDPR)について」
  • GDPR Article 3, Territorial scope
  • GDPR Chapter V, Articles 45, 46 and 49
  • GDPR Articles 33 and 34, personal data breach notification and communication
  • GDPR Article 35, Data protection impact assessment