2σ Guide

十分性認定国への提供と
簡易手続の実務

日本からEU・英国などへ個人データを提供する場面で、28条の上乗せがどこまで軽くなり、27条、委託、共同利用、契約、社内統制として何が残るのかを整理します。

27条 通常の第三者提供規制
28条 外国第三者提供の上乗せ
EU・英国 実務上の中心地域
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

十分性認定国への提供と 簡易手続の実務

28条対応が軽くなる場面と、なお残る個人情報保護法上の検討事項を最初に確認します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
十分性認定国への提供と 簡易手続の実務
28条対応が軽くなる場面と、なお残る個人情報保護法上の検討事項を最初に確認します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 十分性認定国への提供と 簡易手続の実務
  • 28条対応が軽くなる場面と、なお残る個人情報保護法上の検討事項を最初に確認します。

POINT 1

  • 十分性認定国への提供と簡易手続の全体像
  • 28条対応が軽くなる場面と、なお残る個人情報保護法上の検討事項を最初に確認します。
  • 28条対応は軽くなっても、個人データ提供そのものは自由化されません
  • 次の重要ポイントは、十分性認定国への提供で簡易化される範囲を一文で示しています。
  • 社内説明で誤解を防ぐために重要であり、28条対応と個人データ提供全体の適法性を分けて読むことが大切です。

POINT 2

  • 十分性認定国への提供を考えるための用語整理
  • 個人データ、第三者、外国にある第三者、簡易手続という言葉を、判断順序に沿って確認します。
  • 個人情報
  • 個人データ
  • 保有個人データ

POINT 3

  • 十分性認定国への提供は27条と28条を分けて見る
  • 1. 対象情報を確認:個人データ、個人関連情報、仮名加工情報、匿名加工情報、統計情報を区別します。
  • 2. 相手方の役割を整理:第三者、委託先、共同利用者、事業承継先のいずれかを確認します。
  • 3. 27条上の根拠を確認:本人同意、例外、委託、共同利用、事業承継などを検討します。
  • 4. 28条の上乗せを確認:相手方が外国にあり、かつ同等水準国か、基準適合体制が必要かを見ます。
  • 5. 証跡と運用に落とす:記録義務、契約、安全管理、本人対応、台帳、年次レビューを整備します。

POINT 4

  • 十分性認定国への提供で簡易化される手続と残る義務
  • 28条の負担軽減と、通常の個人情報保護対応として残る事項を同時に整理します。
  • 28条同意の簡略化
  • 外国制度情報の負担軽減
  • 基準適合体制の負担軽減

POINT 5

  • 十分性認定国への提供の実務チェック順序
  • 1. 提供対象データを特定します
  • 2. 提供先と所在国を確認します
  • 3. 27条上の整理を行います
  • 4. 28条の上乗せ要否を確認します
  • 5. 契約・規程・証跡を整備します

POINT 6

  • 十分性認定国への提供をケース別に見る
  • サブプロセッサ
  • 従業員データ

POINT 7

  • 十分性認定国への提供でも契約は簡略化しすぎない
  • 基準適合体制との違いを踏まえつつ、DPA、グループ契約、再委託条項を整えます。
  • DPAで定めるべき基本事項
  • 処理範囲の限定
  • 安全管理措置

POINT 8

  • プライバシーポリシーと同意画面への反映
  • 28条2項の詳細情報が不要になりやすい場合でも、透明性と27条上の根拠は別に整えます。
  • 記載例の考え方
  • 同意画面の設計
  • 十分性認定国への提供では、28条2項の外国制度情報等の詳細な事前提供は原則不要になりやすいです。

まとめ

  • 十分性認定国への提供と 簡易手続の実務
  • 十分性認定国への提供と簡易手続の全体像:28条対応が軽くなる場面と、なお残る個人情報保護法上の検討事項を最初に確認します。
  • 十分性認定国への提供を考えるための用語整理:個人データ、第三者、外国にある第三者、簡易手続という言葉を、判断順序に沿って確認します。
  • 十分性認定国への提供は27条と28条を分けて見る:国内外を問わない第三者提供規制と、外国にある第三者への上乗せ規制を二段階で確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

十分性認定国への提供と簡易手続の全体像

28条対応が軽くなる場面と、なお残る個人情報保護法上の検討事項を最初に確認します。

十分性認定国への提供と簡易手続とは、日本企業がEU・英国など一定の外国に所在する事業者へ個人データを提供する場合に、外国にある第三者への提供としての上乗せ手続がどこまで簡略化されるかという実務上の論点です。このページは、企業法務、個人情報保護、コンプライアンス、内部統制、情報セキュリティ、監査、M&A、労務、国際取引の担当者が横断的に確認できるように整理しています。

制度の核心は、十分性認定国への提供では個人情報保護法28条の外国移転に関する上乗せが原則として問題になりにくい一方で、個人情報保護法27条を中心とする通常の第三者提供規制、委託先監督、共同利用、記録義務、安全管理措置、本人対応、補完的ルールは残るという点です。

次の重要ポイントは、十分性認定国への提供で簡易化される範囲を一文で示しています。社内説明で誤解を防ぐために重要であり、28条対応と個人データ提供全体の適法性を分けて読むことが大切です。

28条対応は軽くなっても、個人データ提供そのものは自由化されません

十分性認定国への提供では、外国移転という理由による特別な同意や情報提供は簡略化されやすいです。ただし、提供目的、提供先の役割、委託・共同利用・第三者提供の整理、契約、安全管理、証跡管理は引き続き確認します。

次の比較表は、現場で起きやすい誤解と正確な整理を並べています。十分性認定国という言葉だけで判断すると、27条、委託、共同利用、GDPR側の契約措置を混同しやすいため、左列の理解を右列の考え方へ置き換えて確認します。

よくある理解正確な理解
EUや英国なら自由に個人データを渡せます外国移転規制の上乗せは軽くなりますが、通常の第三者提供規制は残ります。
EUの十分性認定国なら日本法上も十分性認定国ですGDPR上の十分性認定と、日本の個人情報保護法上の同等水準国指定は別制度です。
委託なら海外でも特に手続は不要です非十分性国への委託では28条の基準適合体制等を検討します。十分性認定国でも委託先監督は残ります。
グループ会社間なら自由に移転できますグループ会社も原則として別法人であり、第三者提供、共同利用、委託、労務・税務目的などの整理が必要です。
GDPR対応のDPAを結べば日本法も十分ですGDPRの契約措置と、日本法上の提供根拠、本人対応、記録義務は別に確認します。
確認時点このページは2026年6月7日時点の法令・公表資料を前提にしています。十分性認定国、個人情報保護委員会の告示・ガイドライン、外国制度調査資料、EU側の認定状況は変更される可能性があるため、実際の案件では提供時点の資料確認が欠かせません。
Section 01

十分性認定国への提供を考えるための用語整理

個人データ、第三者、外国にある第三者、簡易手続という言葉を、判断順序に沿って確認します。

十分性認定国への提供では、まず対象情報が個人データか、相手方が第三者か、相手方が外国にあるかを分けます。用語を曖昧にしたまま「海外移転」と呼ぶと、実際には委託なのか、第三者提供なのか、共同利用なのかが見えなくなります。

次の一覧は、越境移転の検討で最初に使う基本概念を並べています。どの概念に当たるかで、27条の根拠、28条の上乗せ、本人請求対応の範囲が変わるため、社内の相談票や台帳でも同じ粒度で分類しておくことが重要です。

DATA

個人情報

生存する個人に関する情報で、氏名、生年月日その他の記述等により特定の個人を識別できるもの、または個人識別符号が含まれるものです。

DATABASE

個人データ

個人情報データベース等を構成する個人情報です。CRM、会員DB、従業員DB、購買履歴、アプリ利用ログなどは個人データとして扱う前提で設計することが多いです。

CONTROL

保有個人データ

個人情報取扱事業者が開示、訂正、利用停止等の権限を有する個人データです。海外提供先が関与する場合、本人請求に対応できる検索・訂正・削除の協力体制も確認します。

第三者と提供

第三者とは、個人データを提供する事業者および本人以外の者です。親会社、子会社、関連会社、海外現地法人、業務委託先、販売代理店、共同研究先、M&A候補会社、外部専門家、クラウド事業者等は、場面によって第三者となり得ます。

提供とは、相手方が個人データを利用できる状態に置くことです。メール送信、ファイル共有、API連携、管理画面へのアクセス権限付与、クラウド上の閲覧権限、海外拠点からのリモートアクセスなども、実質的に相手方が利用可能であれば提供として検討します。

次の比較表は、個人情報保護法28条で通常の外国第三者提供と異なる扱いになり得る三つの入口を示しています。十分性認定国への提供はこのうち一つのルートであり、基準適合体制や27条例外とは別に検討します。

入口意味実務上の見方
日本法上の同等水準国日本と同等水準の制度を有すると規則・告示で指定された国・地域にある第三者への提供です。28条の上乗せは簡略化されやすいですが、27条や契約は残ります。
基準適合体制提供先が日本法上求められる措置に相当する措置を継続的に講ずる体制を整備している場合です。非十分性国向けで重要になり、契約・規程・定期確認が問題になります。
27条1項各号の例外法令、人の生命・身体・財産の保護、公衆衛生、国・地方公共団体への協力、学術研究等の例外です。例外に依拠できるかは個別事情で変わるため、根拠資料と判断メモを残します。

簡易手続という言葉の使い方

簡易手続は、個人情報保護法上の独立した正式制度名ではありません。このページでは、提供先が日本法上の同等水準国にある場合、28条の本人同意取得、外国制度情報・提供先措置情報の事前提供、基準適合体制の構築・定期確認といった上乗せ手続を、非十分性国向け移転ほど要求されない形で整理できることを指します。

用語の注意十分性認定国という表現は、GDPRのadequacy decisionと日本側の同等水準国指定が混在しやすい言葉です。日本から外国へ提供する案件では、日本の個人情報保護委員会による指定の有無を確認します。
Section 02

十分性認定国への提供は27条と28条を分けて見る

国内外を問わない第三者提供規制と、外国にある第三者への上乗せ規制を二段階で確認します。

十分性認定国への提供を考える基本順序は、個人データ該当性、相手方の役割、27条上の提供根拠、28条の追加要件、記録義務や安全管理措置の順に進みます。28条の簡易化から先に考えると、第三者提供同意、共同利用公表、委託先監督を見落としやすくなります。

次の判断の流れは、十分性認定国への提供を検討するときの順序を表しています。上から順に確認することで、28条の簡易化に入る前に、個人データ性と27条上の根拠を落とさずに確認できます。

十分性認定国への提供を確認する順序

対象情報を確認

個人データ、個人関連情報、仮名加工情報、匿名加工情報、統計情報を区別します。

相手方の役割を整理

第三者、委託先、共同利用者、事業承継先のいずれかを確認します。

27条上の根拠を確認

本人同意、例外、委託、共同利用、事業承継などを検討します。

28条の上乗せを確認

相手方が外国にあり、かつ同等水準国か、基準適合体制が必要かを見ます。

証跡と運用に落とす

記録義務、契約、安全管理、本人対応、台帳、年次レビューを整備します。

27条は国内外を問わない通常の第三者提供規制です

個人情報保護法27条は、個人データを第三者に提供する場合、原則として本人の同意を得ることを求めます。ただし、法令に基づく場合、人の生命・身体・財産の保護、公衆衛生、国・地方公共団体への協力、学術研究等の例外があります。

一定の要件を満たす委託、事業承継、共同利用は、形式的には別法人への移転であっても第三者提供として扱われない類型です。EUの子会社、英国の親会社、ドイツのSaaSベンダー、フランスの販売代理店、アイルランドのクラウド運営会社に個人データを渡す場合でも、まずこの整理を行います。

28条は外国にある第三者への上乗せ規制です

28条は、外国にある第三者への個人データ提供について、国内提供よりも高い透明性と保護措置を求める規定です。非十分性国への提供では、本人同意、基準適合体制、27条1項各号の例外のいずれかを検討します。

次の比較表は、非十分性国への提供と十分性認定国への提供で、何が軽くなり、何が残るかを示しています。行ごとに28条対応と27条・安全管理・契約対応を分けて読むことが重要です。

論点非十分性国への提供十分性認定国への提供
28条の外国第三者提供同意原則として検討します。原則として不要になりやすいです。
外国制度・提供先措置情報の事前提供同意取得時に必要になります。原則として不要になりやすいです。
基準適合体制の整備同意によらない場合の主要な対応策です。28条対策としては通常不要です。
定期確認・支障時対応基準適合体制に依拠する場合に必要です。28条対策としては通常不要です。
27条の第三者提供同意・例外・委託等必要です。必要です。
記録義務該当する場合は必要です。該当する場合は必要です。
安全管理措置・委託先監督必要です。必要です。
契約・内部統制必要です。必要です。

EU・英国の位置づけ

日本とEUの間では、2019年1月23日に相互の円滑な個人データ移転を可能にする枠組みが発効しました。日本側はEUを個人情報保護法上の同等水準国として指定し、EU側は日本をGDPR上の十分性認定国として認定しました。英国についても、EU離脱後に日英間のデータ越境移転の枠組みが維持されています。

次の表は、移転方向ごとに主に見る制度を整理しています。日本からEU・英国へ提供する場面と、EU・英国から日本へ移転される場面では見る制度が異なるため、双方向のデータ処理では行を分けて確認します。

移転方向主に見る制度実務上のポイント
日本からEU・EEA日本の個人情報保護法28条日本法上の同等水準国への提供として、28条上の上乗せは簡略化されます。
日本から英国日本の個人情報保護法28条英国も日本側の指定対象として扱われます。
EU・EEAから日本GDPR45条の十分性認定EU側では日本への移転について追加的移転措置が不要となるのが基本です。
英国から日本英国データ保護法制上の十分性・移転枠組み英国側の国内法・ICO等の実務も確認します。
EU・英国由来データを日本で受け、さらに第三国へ移す日本法、補完的ルール、EU・英国側の移転規制再移転を個別に検討します。
Section 03

十分性認定国への提供で簡易化される手続と残る義務

28条の負担軽減と、通常の個人情報保護対応として残る事項を同時に整理します。

十分性認定国への提供では、当該国・地域が日本と同等水準の個人情報保護制度を有すると評価されているため、外国移転という理由による28条同意、外国制度情報・提供先措置情報の事前提供、基準適合体制の構築・定期確認の負担が軽くなります。

次の一覧は、簡易化される主な効果を三つに分けています。どの効果も28条対応に関するものであり、通常の第三者提供、委託先監督、契約管理まで不要にするものではない点を読み取ります。

CONSENT

28条同意の簡略化

外国にある第三者への提供という理由による28条上の同意は、原則として不要になりやすいです。ただし、27条の第三者提供同意が必要な場面は残ります。

NOTICE

外国制度情報の負担軽減

非十分性国への提供で求められやすい外国名、外国制度、提供先措置の詳細な事前情報提供は、十分性認定国では原則として不要になりやすいです。

CONTROL

基準適合体制の負担軽減

28条対策としての契約・規程・認証・定期確認は通常不要です。ただし、委託契約や安全管理措置としての契約管理は引き続き有用です。

簡易化されるのは28条対応です

同意画面では、28条2項に基づく外国制度情報の詳細表示が不要となりやすくなります。契約審査では、非十分性国向けの基準適合体制条項を一律に要求する必要性が下がります。移転判断では、EU・英国向けの標準的な委託、グループ共有、SaaS利用について、通常の第三者提供・委託・共同利用の整理に集中しやすくなります。

次の手段一覧は、十分性認定国への提供でも残る義務を示しています。項目が多く見えますが、利用目的、提供根拠、委託先監督、安全管理、本人対応、補完的ルールのどこに関係するかを分けて読むと、実務の担当部署へ割り振りやすくなります。

利用目的の特定・通知・公表

提供先での利用目的が自社の利用目的の範囲内に収まるかを確認します。従業員評価情報や顧客情報では、目的の具体性が重要です。

27条前提

通常の第三者提供同意または例外根拠

相手方が第三者に該当する場合、本人同意、法令上の例外、オプトアウト、委託、共同利用、事業承継などの根拠を検討します。

提供根拠

委託先監督

SaaS、給与計算、カスタマーサポート、データ分析、クラウドホスティングなどでは、選定基準、再委託、目的外利用禁止、ログ、漏えい時報告を確認します。

契約管理

共同利用の要件

共同利用をする旨、個人データの項目、共同利用者の範囲、利用目的、管理責任者の名称・住所・代表者氏名等を本人が確認できる状態にします。

公表事項

第三者提供記録・確認義務

提供年月日、本人、データ項目、提供先、同意の有無などを、契約書、同意ログ、システムログ、APIログ、台帳で説明できるようにします。

証跡

安全管理措置と本人対応

通信、認証、暗号化、アクセス権限、保管期間、削除、ログ監査、インシデント対応、本人請求対応への協力を契約と運用で確保します。

継続運用
要注意要配慮個人情報、医療・ヘルスケア、人事労務、内部通報、ハラスメント調査、障害者雇用、健康診断、犯罪歴等に関するデータを海外グループ会社や海外委託先に共有する場合、十分性認定国であっても慎重な検討が必要です。

EU・英国由来データの補完的ルール

日本がEU・英国から十分性認定を受けるに当たり、EU・英国から十分性認定に基づいて移転された個人データについて補完的ルールが設けられています。日本企業がEU・英国から個人データを受け取った後、日本国内で利用し、さらに第三国へ移転する場合には、日本法、補完的ルール、EU・英国側の移転規制、契約上の制限、グループ内規程を確認します。

Section 04

十分性認定国への提供の実務チェック順序

提供対象、提供先、27条、28条、文書化の順に確認すると、社内承認で抜け漏れを抑えやすくなります。

企業法務部門、個人情報保護担当、プライバシーオフィサー、IT部門、経営企画部門、海外事業部門は、同じ確認順序を使うと案件の説明がしやすくなります。特に契約相手方の本社所在地だけでなく、実際のアクセス者、サブプロセッサ、保管・処理場所を確認することが重要です。

次の時系列は、十分性認定国への提供を社内で確認する順番を表しています。前の段階で対象や相手方を具体化しておくほど、後の27条・28条・契約審査で判断材料がそろいます。

ステップ1

提供対象データを特定します

顧客氏名、会員ID、Cookie ID、広告ID、購買履歴、問い合わせ履歴、従業員情報、採用候補者情報、取引先担当者情報、株主情報、研究参加者・患者・利用者情報、ログデータ、プロファイリング結果を洗い出します。

ステップ2

提供先と所在国を確認します

契約相手方、実際にアクセスする部署・担当者、データセンター、管理者権限者、再委託先、サポート拠点、グループ会社共有か外部委託かを確認します。

ステップ3

27条上の整理を行います

委託、共同利用、事業承継、それ以外の第三者提供のどれに当たるかを整理し、本人同意、例外根拠、委託先監督契約、公表事項を確認します。

ステップ4

28条の上乗せ要否を確認します

提供先国が日本法上の同等水準国か、非十分性国なら本人同意・基準適合体制・例外のどれに依拠するか、外国制度情報や提供先措置情報を説明できるかを見ます。

ステップ5

契約・規程・証跡を整備します

プライバシーポリシー、同意画面、共同利用公表事項、委託契約・DPA、グループ内規程、ベンダー審査票、データ移転台帳、第三者提供記録、本人請求対応手順を整備します。

次の一覧は、ステップごとの確認内容をより実務的に分けたものです。列ごとに、事業部から集める情報、法務・プライバシー担当が判断する情報、契約・証跡に落とす情報を読み分けます。

段階主な確認事項残すべき証跡
データ特定個人データ、個人関連情報、仮名加工情報、匿名加工情報、統計情報の区別を行います。データ項目一覧、システム名、本人類型、利用目的メモ
提供先確認法人、所在国、アクセス国、データセンター、サブプロセッサ、サポート拠点を確認します。契約書、DPA、サブプロセッサ一覧、クラウドリージョン情報
27条整理委託、共同利用、事業承継、第三者提供、本人同意または例外根拠を確認します。判断メモ、同意ログ、共同利用公表事項、委託契約
28条整理同等水準国該当性、本人同意、基準適合体制、外国制度情報の要否を確認します。指定国確認記録、基準適合体制チェック、本人向け説明文
運用整備契約、台帳、記録義務、安全管理、本人請求、インシデント対応を設計します。データ移転台帳、承認履歴、年次レビュー記録、監査証跡
Section 05

十分性認定国への提供をケース別に見る

SaaS、英国親会社、販売代理店、クラウド、EU由来データの再移転を分けて確認します。

十分性認定国への提供は、相手方の国だけでなく、相手方の役割とデータ利用目的によって整理が変わります。委託先なのか、独自目的で利用する第三者なのか、グループ内の共同利用なのかをケースごとに確認します。

次の比較表は、代表的な五つの場面で、28条の簡易化と残る確認事項を整理しています。結論欄だけでなく、注意点欄にあるサブプロセッサ、労務情報、再提供、再移転を読み落とさないことが重要です。

ケース基本整理注意点
ドイツのSaaSを利用委託先と整理できる場合、27条の第三者提供同意は不要となり得ます。ドイツは同等水準国に含まれるため、28条の上乗せは通常問題になりにくいです。DPA、自社目的での二次利用、サブプロセッサ、データ保管場所、サポートアクセス国、漏えい時通知、削除・返却、本人請求協力を確認します。
英国親会社に従業員データを提供英国は日本法上の指定対象として扱われ、28条の上乗せは軽くなります。人事評価、給与、懲戒歴、内部通報関連情報などは、共同利用、委託、第三者提供、同意任意性、労務法務を総合的に確認します。
フランス販売代理店へ顧客リストを提供販売代理店が自らの営業活動に使う場合、独自目的で利用する第三者となる可能性があります。28条上の外国移転同意は簡略化されやすいです。27条上の本人同意等、再提供制限、保存期間、削除、苦情対応、漏えい時報告、監査、再委託・再提供の承認を検討します。
アイルランドのクラウドを使い米国サポートがアクセス契約相手方やデータセンターが同等水準国でも、非十分性国からのアクセスやサブプロセッサを別に確認します。日本企業からアイルランド法人への提供、米国等への再移転、リモートアクセス、サブプロセッサ管理、承認範囲を分けて見ます。
EUから日本に受けたデータを第三国へ移転日本法上の越境移転規制に加え、補完的ルール、EU・英国側の契約制限、GDPR側の移転措置を確認します。インド、米国、シンガポール等の委託先へ分析・サポート目的で提供する場合、再移転の全体設計が必要です。

次の注意要素は、ケース検討で結論を左右しやすいポイントを集めています。提供先の国名だけでは足りず、データの種類、相手方の利用目的、再移転、雇用関係、契約上の制限を併せて読む必要があります。

サブプロセッサ

契約相手方がEU・英国に所在していても、サポート、障害対応、バックアップ、分析、AI学習、ログ監視で非十分性国の事業者が関与することがあります。

従業員データ

人事評価、懲戒、健康、内部通報、ハラスメント、労組、障害、休職、メンタルヘルスを含む場合、不利益の大きさに応じた慎重な整理が必要です。

販売代理店の独自利用

販売代理店が自ら営業活動を行う場合、単なる委託先ではなく第三者として扱う可能性があります。27条上の根拠を別に確認します。

EU・英国由来データ

日本で受けた後に第三国へ移す場合、補完的ルール、DPAの再移転制限、SCC、BCR、プライバシーノーティスとの整合を確認します。

Section 06

十分性認定国への提供でも契約は簡略化しすぎない

基準適合体制との違いを踏まえつつ、DPA、グループ契約、再委託条項を整えます。

十分性認定国への提供と、基準適合体制に基づく非十分性国への提供は、いずれも外国移転を可能にするルートですが、実務上の意味は大きく異なります。十分性認定国では28条対応としての契約負担は軽くなりますが、委託先監督、安全管理、責任分担、本人対応のための契約は引き続き重要です。

次の比較表は、十分性認定国への提供と基準適合体制による提供を並べています。契約の役割と定期確認の行を読むと、28条対応として軽くなる部分と、契約実務として残る部分の違いが分かります。

比較項目十分性認定国への提供基準適合体制による提供
根拠国・地域の保護制度が日本と同等水準と評価されています。個別の提供先が相当措置を継続的に講ずる体制を有しています。
主な対象EU・英国など指定国所在の提供先です。非十分性国所在の委託先、グループ会社、取引先などです。
契約の役割委託先監督、安全管理、責任分担のため重要です。28条対応の中核手段となることが多いです。
定期確認28条対応としては通常不要です。年1回以上などの定期確認が問題になります。
本人への情報提供28条2項対応としては通常不要です。本人から求められた場合の情報提供等が問題になります。
実務負担相対的に軽いです。相対的に重いです。

DPAで定めるべき基本事項

十分性認定国への提供でも、DPAまたは個人データ取扱条項では、提供先が何をしてよいのか、何をしてはいけないのかを明確にします。対象データ、本人類型、処理目的、処理期間、処理方法、目的外利用禁止、秘密保持、安全管理措置、アクセス権限、再委託、漏えい時通知、本人請求対応、監査、削除・返却、データ移転・保管場所、法令遵守、責任制限、準拠法・紛争解決を確認します。

次の一覧は、DPAやグループ内データ共有契約で重点的に見る項目を示しています。各項目は契約条項だけでなく、台帳、ベンダー審査、情報セキュリティチェックと対応づけて読むことが重要です。

DPA

処理範囲の限定

対象データ、本人類型、処理目的、処理期間、処理方法、目的外利用禁止を明確にします。

SECURITY

安全管理措置

秘密保持、アクセス権限、ログ、暗号化、MFA、脆弱性管理、漏えい時通知、本人請求対応への協力を定めます。

TRANSFER

再委託・再移転

サブプロセッサ一覧、重要変更時の通知、異議申立て、同等以上の義務の引継ぎ、非十分性国への再移転時の保護措置を確認します。

グループ会社間契約

グローバル企業では、親会社・子会社・関連会社間でデータ共有契約、グループプライバシーポリシー、グローバルDPA、グループ内規程を整備することが多いです。日本法人が管理責任を負うデータか、EU・英国法人が独立の管理者として利用するのか処理者として扱うのか、共同利用公表の範囲と一致しているか、さらに非十分性国へ移転する可能性があるかを確認します。

契約条項で検討する表現

以下のような条項は、個別案件では法域、契約類型、交渉力、リスクに応じて修正します。一般的には、個人データの取扱目的、安全管理措置、再委託、本人請求対応、漏えい等発生時の通知を分けて規定すると、後の監査や本人対応で説明しやすくなります。

  • 個人データの取扱い受領者は、提供者から提供を受けた個人データを、契約に定める目的および提供者が書面で指示した範囲内でのみ取り扱います。
  • 安全管理措置受領者は、漏えい、滅失、毀損、不正アクセス、目的外利用、無断提供を防止するため、組織的、人的、物理的、技術的安全管理措置を講じます。
  • 再委託受領者は、個人データの取扱いを第三者に再委託する場合、再委託先、取扱内容、所在国、安全管理措置の概要を通知し、合理的な異議がある場合には協議します。
  • 本人請求対応受領者は、開示、訂正、利用停止、第三者提供停止その他の請求について、提供者が合理的に要請する範囲で協力します。
  • 漏えい等発生時の通知受領者は、問題となり得る事態を認識した場合、遅滞なく提供者に通知し、原因調査、影響範囲特定、本人・当局対応、再発防止策に協力します。
Section 07

プライバシーポリシーと同意画面への反映

28条2項の詳細情報が不要になりやすい場合でも、透明性と27条上の根拠は別に整えます。

十分性認定国への提供では、28条2項の外国制度情報等の詳細な事前提供は原則不要になりやすいです。ただし、透明性確保、顧客信頼、本人請求対応の観点から、プライバシーポリシーには海外グループ会社、委託先、クラウド事業者への提供可能性、国・地域の例、提供目的、データ項目、安全管理措置、本人請求窓口を記載しておくことが有益です。

次の一覧は、十分性認定国への提供がある場合にプライバシーポリシーへ反映しやすい項目を示しています。各項目は、本人がどの国・地域、どの目的、どの相手方類型に関する提供なのかを理解するために重要です。

提供先の国・地域の例

EU・EEA・英国など、対象範囲を分かる表現で示します。英国はEUではないため、必要に応じて別に記載します。

透明性

提供目的とデータ項目

CRM管理、給与計算、分析、サポートなどの目的と、顧客情報、従業員情報、購買履歴などの概要を記載します。

利用目的

委託・共同利用・第三者提供の別

相手方の役割を分けることで、27条上の根拠や本人請求対応の説明がしやすくなります。

27条

安全管理措置と窓口

提供先の選定、契約、アクセス管理、再委託管理、漏えい等発生時の対応、本人請求窓口を示します。

運用

記載例の考え方

たとえば、個人データを海外のグループ会社、業務委託先またはクラウドサービス提供事業者に提供することがあり、提供先には日本の個人情報保護法上、個人の権利利益を保護する上で日本と同等の水準にあると認められる国・地域に所在する事業者が含まれる場合がある、といった説明が考えられます。そのうえで、提供先の選定、契約、アクセス管理、再委託管理、漏えい等発生時の対応等を通じて、個人データの適切な取扱いを確保する旨を示します。

限界このような記載だけで、あらゆる第三者提供が適法になるわけではありません。個別の提供について、27条上の本人同意、共同利用公表、委託先監督等を別途確認します。

同意画面の設計

第三者提供同意が必要な場合、本人が何に同意しているのかを明確にする必要があります。十分性認定国への提供であれば、非十分性国向けの外国制度情報を詳細に表示する必要性は低くなりますが、提供先、提供目的、提供データ項目、同意撤回の可否・方法、サービス利用との関係は明確にします。

金融分野、医療・ヘルスケア、人事労務、未成年者、要配慮個人情報、プロファイリング、信用評価、広告配信など、本人の権利利益への影響が大きい場面では、十分性認定国であっても、同意の明確性、任意性、粒度を高める必要があります。

Section 08

十分性認定国への提供を社内統制で管理する

データ移転台帳、承認段階、年次レビュー、部門別役割で継続管理します。

十分性認定国への提供と簡易手続を安定運用するには、個別案件ごとに法務部門へ相談するだけでは不十分です。データ移転を組織的に管理し、誰が、どのデータを、どの国・地域の誰に、どの根拠で、どの契約と安全管理の下で提供しているかを説明できる仕組みが必要です。

次の表は、データ移転台帳に入れるべき主な項目を示しています。項目ごとに、法的根拠、契約、安全管理、記録義務、レビュー日を結びつけることで、十分性認定国への提供でも説明責任を果たしやすくなります。

項目記載例
移転IDXFER-2026-001
主管部署マーケティング部、人事部、経営企画部等
提供元・提供先日本法人、事業部、システム名、法人名、国・地域、担当部署
提供先区分委託先、共同利用者、第三者、グループ会社、サブプロセッサ
所在国区分日本、十分性認定国、非十分性国
データ項目・本人類型顧客情報、従業員情報、購買履歴、顧客、従業員、取引先担当者、採用候補者等
利用目的・法的根拠CRM管理、給与計算、分析、サポート、同意、委託、共同利用、法令、基準適合体制等
28条対応・契約不要、同意、基準適合体制、例外、DPA、委託契約、共同利用規程等
再委託・セキュリティ国・地域、管理方法、暗号化、MFA、ログ、アクセス制限等
記録義務・レビュー要否、記録保管場所、年次レビュー日、次回更新日、リスク評価

次の承認区分は、十分性認定国への提供でも審査強度を変えるための目安です。リスク区分が高いほど、データの性質、本人への影響、非十分性国への再移転、当局・M&A・プロファイリングの要素を重く見ます。

リスク区分承認レベル
低リスク十分性認定国の標準SaaS、一般的な取引先担当者情報、委託型主管部署とプライバシー担当の簡易確認
中リスク顧客DB、広告ID、行動履歴、グループ会社共有法務・情報セキュリティ確認
高リスク要配慮個人情報、従業員評価、内部通報、医療情報、大量データ法務責任者、DPO相当者、経営承認
重大リスク非十分性国再移転、プロファイリング、当局調査、M&A DD外部弁護士・専門家レビュー

年次レビュー

十分性認定国への提供であっても、少なくとも年1回程度、提供先国の指定状況、提供先法人・契約相手方、サブプロセッサ、データ項目、利用目的、共同利用公表事項、DPA・委託契約、インシデントや監査指摘、本人請求対応の実効性を確認します。

次の役割一覧は、部門・専門職ごとの着眼点を表しています。法務だけに集約せず、IT、内部監査、経営、M&A担当まで役割を明確にすると、十分性認定国への提供でも統制が空洞化しにくくなります。

法務担当・企業内弁護士

27条と28条を混同せず、第三者提供同意、委託、共同利用、目的外利用、記録義務、契約責任を確認します。

提供根拠

外部弁護士・外国法事務弁護士

日本法、GDPR、英国法、現地法、業法、制裁・輸出管理、政府アクセス、訴訟・ディスカバリを含めて整理します。

複合法域

プライバシー担当

データ移転台帳、プライバシーポリシー、同意管理、本人請求対応、インシデント対応、社内研修を担います。

運用
IT

情報セキュリティ・IT部門

アクセス権限、ログ、暗号化、ID管理、MFA、クラウドリージョン、サポートアクセス、バックアップ保管場所を確認します。

安全管理

内部監査・内部統制担当

移転台帳の網羅性、SaaS利用実態、シャドーIT、サブプロセッサ確認、共同利用公表、委託契約、記録義務を監査します。

監査

経営者・M&A担当

越境移転を顧客信頼、サイバーリスク、当局対応、M&A、ESG、レピュテーションに関わる経営課題として扱います。

経営判断
Section 09

十分性認定国への提供でよくある質問

一般的な制度整理として回答します。個別案件の結論はデータ項目、契約、提供先、時点により変わります。

Q1. 十分性認定国への提供なら本人同意は不要ですか。

一般的には、28条上の外国第三者提供同意は原則として不要になりやすいとされています。ただし、27条上の第三者提供同意が必要な場合があります。委託、共同利用、事業承継、法令上の例外などに該当するかで結論が変わる可能性があります。具体的な対応は、提供目的、提供先の役割、データ項目を整理したうえで弁護士等の専門家へ相談する必要があります。

Q2. EUの十分性認定国なら、日本からの提供も簡易手続になりますか。

一般的には、EUがGDPR上十分性認定している国と、日本の個人情報保護法28条上の同等水準国は別制度とされています。日本から提供する場合は、日本の個人情報保護委員会が指定しているかを確認します。具体的には、移転方向と適用法域により判断が変わる可能性があります。

Q3. 英国はEUではありませんが、十分性認定国として扱えますか。

一般的には、日本法上、英国はEUとは別に指定対象として扱われるとされています。そのため、日本から英国への提供では28条上の上乗せが問題になりにくい場合があります。ただし、27条、契約、安全管理措置、英国側の制度確認は別に必要です。

Q4. 委託先が十分性認定国にある場合、契約は不要ですか。

一般的には、契約が不要になるわけではないとされています。委託先監督義務、安全管理措置、責任分担、本人請求対応、漏えい時報告、再委託管理のため、委託契約またはDPAを確認します。具体的な条項は、処理内容とリスクにより調整する必要があります。

Q5. 海外クラウドを使うだけで外国第三者提供になりますか。

一般的には、一律には判断できないとされています。クラウド事業者が個人データを取り扱う実態、契約上の権限、アクセス可能性、サポート体制、サブプロセッサ、保管場所によって判断が変わります。実務上は、委託または第三者提供として整理し、所在国と28条対応を確認します。

Q6. 十分性認定国にあるグループ会社への提供は自由ですか。

一般的には、自由に提供できるわけではないとされています。グループ会社は原則として別法人であり、第三者提供、共同利用、委託、事業承継のいずれかとして整理します。共同利用なら公表事項、委託なら委託先監督、第三者提供なら本人同意等が問題になります。

Q7. サブプロセッサが非十分性国にある場合はどうなりますか。

一般的には、提供先本体が十分性認定国にあっても、サブプロセッサやサポート拠点が非十分性国にある場合は再移転リスクを確認するとされています。契約上の義務の引継ぎ、再委託承認、サブプロセッサ一覧、非十分性国移転時の措置を確認します。

Q8. SCCやBCRがあれば日本法上も十分ですか。

一般的には、SCCやBCRはGDPR上の移転措置として重要ですが、日本の個人情報保護法27条・28条の提供根拠、本人対応、記録義務を自動的に満たすものではないとされています。日本法上の整理は別に確認します。

Q9. プライバシーポリシーに海外に提供すると書けば足りますか。

一般的には、それだけでは足りないことが多いとされています。提供先、提供目的、データ項目、共同利用の要件、同意の有無、委託先監督、本人請求窓口、安全管理措置等を個別に整理します。

Q10. M&Aのデータルームに海外買主候補を入れる場合はどう考えますか。

一般的には、買主候補やアドバイザーがEU・英国に所在する場合、28条上の上乗せは簡略化される可能性があります。ただし、第三者提供、秘密保持、目的限定、閲覧権限、マスキング、要配慮情報、従業員情報、競争法、インサイダー情報、契約上の守秘義務を別途検討します。

Q11. 従業員データを海外本社へ提供する場合、同意を取れば十分ですか。

一般的には、同意だけに依存すると慎重な検討が必要になる場合があります。雇用関係では同意の任意性が問題となり得るため、利用目的、就業規則、社内通知、共同利用、職務上必要な範囲、アクセス制限、労務法務を総合的に確認します。

Q12. 十分性認定国への提供では記録義務も不要ですか。

一般的には、不要とは限らないとされています。第三者提供に該当する場合、提供者・受領者の確認・記録義務が問題になります。委託、共同利用、法令上の例外など、記録義務が不要または軽減される場合もあるため、個別に確認します。

Q13. 個人関連情報の提供も同じですか。

一般的には、個人関連情報は、受領者が個人データとして取得することが想定される場合などに特別な規制があるとされています。Cookie、広告ID、端末ID、閲覧履歴等の提供では、個人データの第三者提供と似た検討が必要になることがあります。

Q14. 匿名加工情報なら自由ですか。

一般的には、匿名加工情報にも作成、提供、公表、識別行為禁止などのルールがあるとされています。実質的に個人が再識別可能なデータを匿名と扱うことは問題になり得ます。具体的には加工方法、提供方法、再識別リスクにより判断が変わります。

Q15. 十分性認定国の指定が取り消されたらどうなりますか。

一般的には、指定が取り消されると、以後の提供について28条の外国第三者提供規制が問題になるとされています。既存契約、移転台帳、プライバシーポリシー、同意、基準適合体制への切替えを確認する必要があります。年次レビューや法改正モニタリングが重要です。

Section 10

十分性認定国への提供のチェックリストと社内規程モデル

初期確認、契約、情報セキュリティ、経営・監査の観点を実務で使える形にまとめます。

次の比較表は、十分性認定国への提供を開始する前に確認する項目を、担当領域ごとにまとめたものです。法務だけでなく、契約、情報セキュリティ、経営・監査の列を分けて見ることで、承認前にどの部門が何を確認すべきかが分かります。

領域確認項目
法務・プライバシー初期確認提供対象が個人データか、本人類型は誰か、要配慮個人情報を含むか、提供先法人はどこか、所在国は同等水準国か、アクセス国・保管国・サブプロセッサ国を確認したか、第三者提供・委託・共同利用・事業承継のどれか、27条・28条・記録義務・プライバシーポリシー・DPA・台帳を確認したかを見ます。
契約確認目的外利用禁止、安全管理措置、秘密保持、再委託・サブプロセッサ、漏えい時通知、本人請求対応への協力、削除・返却、監査・報告、データ保管場所・アクセス国、責任制限を確認します。
情報セキュリティ確認通信・保存時の暗号化、MFA、管理者権限、アクセスログ、ログ保存期間、退職者・異動者の権限削除、脆弱性管理、バックアップ所在地、インシデント対応、サポートアクセス制御を確認します。
経営・監査確認重要な越境移転を経営層が把握しているか、高リスクデータ移転の承認プロセス、年次レビュー、法改正・指定国変更モニタリング、内部監査項目、インシデント訓練、委託先管理の監査証跡を確認します。

ミニ規程モデル

次の一覧は、社内規程に組み込む場合の簡易モデルです。条文ごとに、目的、定義、基本原則、簡易確認、高リスク移転、台帳管理、見直しを分けておくと、十分性認定国への提供を迅速に扱いつつ、重要リスクを上位審査へ回しやすくなります。

第1条

目的

個人データを外国にある第三者、委託先、共同利用者その他の者に提供し、または利用可能な状態に置く場合に、本人の権利利益を保護しつつ適切な業務遂行を確保します。

第2条

定義

十分性認定国とは、個人情報保護法28条に基づき、日本と同等の水準にあると認められる個人情報保護制度を有する外国として定められた国または地域を指します。

第3条

基本原則

十分性認定国に所在する者に提供する場合でも、利用目的、第三者提供の根拠、委託先監督、共同利用要件、記録義務、安全管理措置、本人対応を確認します。

第4条

簡易確認

提供先が十分性認定国に所在し、標準的な委託または公表済みの共同利用の範囲内に収まる場合、主管部署は所定の簡易チェックシートで個人情報保護担当部門の確認を受けます。

第5条

高リスク移転

要配慮個人情報、大量の顧客情報、従業員評価情報、内部通報情報、医療・ヘルスケア情報、未成年者情報、プロファイリング情報、非十分性国への再移転を伴う移転は、法務部門と情報セキュリティ部門の審査を受けます。

第6条

台帳管理

主管部署は、提供先、所在国、データ項目、本人類型、利用目的、提供根拠、契約、再委託、安全管理措置、レビュー日をデータ移転台帳に記録します。

第7条

見直し

個人情報保護担当部門は、指定状況、法令・ガイドライン、提供先、サブプロセッサ、インシデント発生状況等を踏まえ、少なくとも年1回、規程と台帳を見直します。

Section 11

十分性認定国への提供で起きやすい失敗と結論

国の制度水準と事業者単位のリスクを分け、28条対応の簡易化を過大評価しないことが重要です。

日本法上の同等水準国指定は、個別事業者の安全性を保証するものではありません。国・地域の制度水準について一般的に日本と同等水準と評価するものであり、当該国のすべての事業者が常に適切な取扱いを行うことを意味しません。そのため、提供先の選定、契約、セキュリティ、再委託、監査、インシデント対応が必要です。

次の判断表は、十分性認定国への提供と簡易手続で、どの問いにYesまたはNoと答えたときに次へ進むかを整理しています。Yesの場合でも、右側の対応がすべて不要になるわけではなく、次の確認へ進むための分岐として読みます。

判断項目Yesの場合Noの場合
個人データを提供しますか27条・28条を検討します。個人情報・個人関連情報等として別途検討します。
相手方は外国にありますか28条を検討します。国内提供として27条中心に検討します。
相手方所在地は日本法上の十分性認定国ですか28条上の上乗せは原則簡略化されます。同意・基準適合体制・例外を検討します。
相手方は委託先ですか委託先監督・契約を整備します。第三者提供・共同利用等を検討します。
共同利用ですか公表事項を確認します。第三者提供同意等を検討します。
要配慮個人情報を含みますか高リスク審査を行います。通常審査を行います。
サブプロセッサが非十分性国にありますか再移転管理を強化します。通常の委託先管理を行います。
EU・英国由来データですか補完的ルール・契約制限を確認します。日本法中心に確認します。

次の失敗例は、実務で起きやすい思い込みを集めています。どれも28条の簡易化を個人情報保護対応全体の簡易化と取り違える点に共通しており、社内研修やチェックシートで先に潰しておくことが有効です。

EUだから同意不要と説明する

28条上の外国移転同意と、27条上の第三者提供同意を混同しています。社内説明では、28条上の上乗せが不要になりやすいと表現します。

EU側のリストを日本法に流用する

GDPR上の十分性認定リストと日本の同等水準国指定は一致しません。日本法人は日本側の指定を確認します。

サブプロセッサを見ない

契約相手方の国だけを見て、サポート、障害対応、バックアップ、分析、AI学習、ログ監視で関与する非十分性国を見落とすことがあります。

共同利用公表を更新しない

グループ会社、利用目的、データ項目、管理責任者が変わったにもかかわらず、公表事項を更新しないと要件不備が問題になります。

従業員データを軽視する

人事評価、懲戒、健康、内部通報、ハラスメント、休職、メンタルヘルス等を含む場合、本人の不利益が大きくなり得ます。

次の重要ポイントは、十分性認定国への提供の結論を短くまとめたものです。実務では、この一文を前提に、データ移転台帳、標準DPA、サブプロセッサ管理、共同利用公表、プライバシーポリシー、本人請求対応、年次レビューを整備します。

十分性認定国への提供は、28条対応を簡易化する制度です

個人データ提供そのものを自由化する制度ではありません。通常の第三者提供規制、委託先監督、共同利用、利用目的、記録義務、安全管理措置、本人対応、契約、内部統制、補完的ルールは残ります。

Reference

参考資料

公的機関・中立的資料を中心に、制度確認に使う資料名を整理します。

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」
  • 個人情報保護委員会「日EU間・日英間のデータ越境移転について」
  • European Commission, “Adequacy decisions”
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人データの第三者提供時の確認・記録義務編」
  • 個人情報保護委員会「外国における個人情報保護制度に係る情報」