外国にある第三者への個人データ提供について、同意、情報提供、基準適合体制、契約、証跡管理、変更対応を企業法務・プライバシー実務の順番で整理します。
本人が外国、提供先、保護水準を理解し得る状態を作り、後から説明できる証跡まで残すことが中核です。
本人が外国、提供先、保護水準を理解し得る状態を作り、後から説明できる証跡まで残すことが中核です。
越境移転の本人同意取得の実務で最も重要なのは、同意を取ったかという形式ではなく、本人がどの外国のどの提供先に、どのような保護水準の下で自分の個人データが移転されるのかを理解し得る状態で、実質的に同意したと評価できるかです。
このページは、企業法務、個人情報保護・プライバシー、コンプライアンス、情報セキュリティ、内部監査、海外法務、M&A、HR、IT・データ法務の担当者が、SaaS・クラウド利用、海外グループ会社との人事データ連携、海外委託先への提供、国際的な顧客管理、M&A、海外専門家との情報共有を検討するための一般的な整理です。
次の表は、越境移転の本人同意取得の実務で先に整えるべき5つの基盤を表します。どれか一つだけを整えても説明責任は果たしにくいため、読者は台帳、情報提供、同意手続、契約、継続監視を一体で読み取ることが重要です。
| 実務基盤 | 整える内容 | 確認する観点 |
|---|---|---|
| 越境移転台帳 | 提供先、国・地域、データ項目、目的、法的根拠、委託・共同利用・第三者提供の別、再委託、契約、同意取得状況を一元管理します。 | どの移転がどの根拠で行われているかを後から追える状態にします。 |
| 情報提供テンプレート | 国名、外国制度、提供先の保護措置、提供目的、データ項目、提供先類型、問い合わせ先を本人に理解可能な形で示します。 | 抽象的な海外提供ではなく、本人の判断材料になる情報を示します。 |
| 同意画面・同意書面 | チェックボックス、電子署名、申込書、契約書、会員登録画面等で、同意対象を分離し、未チェック初期値とします。 | 本人の能動的な意思表示と文面の版管理を残します。 |
| 契約・基準適合体制 | 海外提供先とのデータ処理契約、グループ内データ移転規程、再委託制限、監査・報告、漏えい通知、削除・返還等を整備します。 | 同意に依存しない実質的な保護措置も確保します。 |
| 継続モニタリング | 外国法制度、提供先の措置、再委託先、データ保管国、クラウド構成、改正法・FAQ更新を定期的に確認します。 | 同意取得後の変更を見落とさない仕組みにします。 |
提供すべき情報が多層的で、国・地域や再委託先が変動し、同意に頼るべきでない場面もあるためです。
越境移転の本人同意は、通常の国内第三者提供の同意より実務上の難度が高くなります。単に海外の委託先に提供すると書くだけでは、本人が外国制度や提供先措置を理解できず、同意判断に必要な情報を得たとは評価しにくい場合があります。
次の一覧は、越境移転の本人同意取得でつまずきやすい3つの理由を表します。問題の所在を先に分けることで、読者は同意文言を作る前に、国・提供先・代替設計のどこを確認すべきかを読み取ることが重要です。
提供先の所在国名、当該外国における個人情報保護制度、当該第三者が講ずる保護措置を、本人が判断できる粒度で示す必要があります。
従業員データ、B2B担当者情報、継続的なSaaS利用では、本人同意だけでなく、契約・内規・基準適合体制などの代替設計を検討します。
次の表は、個人情報、個人データ、越境移転、第三者、本人同意の違いを表します。法28条の対象は典型的に個人データの外国第三者提供であるため、読者は名刺1枚のやり取りと、CRMやHRシステムのデータ提供では検討の深さが変わる点を読み取る必要があります。
| 用語 | 意味 | 実務上の注意 |
|---|---|---|
| 個人情報 | 生存する個人に関する情報で、特定の個人を識別できるもの、または個人識別符号を含むものです。 | 単体の情報でも個人情報に該当する可能性があります。 |
| 個人データ | 個人情報データベース等を構成する個人情報です。 | CRM、HRIS、問い合わせ管理、SaaS、データレイクでは該当性を確認します。 |
| 越境移転 | 日本の個人情報取扱事業者が、個人データを外国にある第三者に提供することを指します。 | 物理的な送信だけでなく、海外拠点からの閲覧やクラウド上のアクセスも検討対象になります。 |
| 第三者 | 本人および当該個人情報取扱事業者以外の者です。 | 海外親会社、海外子会社、海外委託先、海外クラウド事業者は別法人であれば原則として第三者に該当し得ます。 |
| 本人の同意 | 本人が個人データの取扱いに関する一定事項について承諾する意思表示です。 | 越境移転では、外国第三者提供の意味を理解し得る情報提供が同意前に必要です。 |
個人情報保護法28条は、外国にある第三者への提供について、原則と例外を順番に確認する構造です。
個人情報保護法28条1項は、個人情報取扱事業者が外国にある第三者に個人データを提供する場合、原則として、あらかじめ外国第三者提供を認める旨の本人同意を得なければならないと定めています。ただし、同等水準国・地域、基準適合体制、法27条1項各号の例外などを確認する必要があります。
次の判断の流れは、同意取得に進む前に確認すべき順番を表します。上から順に対象情報、第三者性、外国該当性、例外、基準適合体制を確認することで、読者は同意フォームから作り始めるのではなく、移転の実態から判断する必要性を読み取ることが重要です。
個人データか、個人関連情報が提供先で個人データ化される可能性があるかを確認します。
同一法人内部か、別法人である第三者かを確認します。
所在国、保管国、アクセス国、再委託先国を確認します。
同等水準国、基準適合体制、法27条1項各号を確認します。
国名、外国制度、提供先措置を示し、明確な意思表示と証跡を残します。
基準適合体制や国内第三者提供の根拠を文書化し、継続確認します。
次の比較表は、法28条で確認する主な例外・代替根拠を表します。どの根拠を採るかにより、本人への情報提供、契約、監査、変更時対応が変わるため、読者は一つの移転ごとに根拠を明確にすることを読み取る必要があります。
| 根拠 | 内容 | 注意点 |
|---|---|---|
| 本人同意 | 外国にある第三者への提供を認める趣旨の同意をあらかじめ取得します。 | 一般的なプライバシーポリシー同意だけでは足りない可能性があります。 |
| 同等水準国・地域 | EUおよび英国など、我が国と同等水準とされる枠組みへの提供を確認します。 | 法28条の同意が不要でも、法27条上の提供根拠は別途必要です。 |
| 基準適合体制 | 契約、グループ内規程、CBPR等により、日本法上求められる水準の措置を継続的に確保します。 | 契約だけでなく、再委託、監査、本人請求、漏えい対応の実運用まで確認します。 |
| 法27条1項各号 | 法令、人の生命・身体・財産の保護、公衆衛生、国の機関等への協力などを個別に検討します。 | 業務上便利、海外本社から求められた、グローバル標準という理由だけでは広げにくいです。 |
データ、提供先、国・地域・再委託、同意以外の設計を順番に確認します。
越境移転の本人同意取得の実務では、同意フォームの作成から始めるべきではありません。まず移転の実態を把握し、同意ルートを採るべきか、基準適合体制や他の法的根拠を採るべきかを判断します。
次の表は、対象データの性質を確認するための項目を表します。どの情報を、どの頻度で、どのシステムに載せるかによってリスクと説明内容が変わるため、読者は個人データ該当性、要配慮性、個人関連情報、データ量を同時に見ることが重要です。
| 確認項目 | 実務上の問い | 注意点 |
|---|---|---|
| 情報の種類 | 氏名、住所、メールアドレス、電話番号、会員ID、端末ID、Cookie、位置情報、購買履歴、健康情報、従業員情報、金融情報等のどれかを確認します。 | 事業部単位ではなくシステム単位でも把握します。 |
| 個人データ該当性 | データベース、CRM、HRIS、問い合わせ管理、SaaS、データレイク等を構成しているかを確認します。 | 手元の一覧だけでなく外部サービス上の保存も確認します。 |
| 要配慮個人情報 | 健康情報、病歴、障害、犯罪歴、信条、社会的身分等を含むかを確認します。 | 同意やアクセス権限を分ける必要が高まります。 |
| 個人関連情報 | 広告ID、Cookie、端末情報、閲覧履歴などが提供先で個人データとして取得される可能性を確認します。 | 広告・分析ツールでは見落としやすい領域です。 |
| データ量・頻度 | 単発、継続、リアルタイム同期、API連携、一括移行、バックアップ、ログ閲覧のいずれかを確認します。 | 継続移転では変更管理と監査が重要になります。 |
次の比較表は、提供先が第三者に該当するかを典型例で整理したものです。同じ海外関連でも、同一法人内部か別法人か、委託か共同利用かによって判断が変わるため、読者は法人単位と契約関係を切り分けて読み取る必要があります。
| 事例 | 第三者該当性の考え方 | 追加で見る点 |
|---|---|---|
| 日本法人の海外支店が日本本社のデータにアクセスする | 同一法人内部であれば通常は第三者ではありません。 | 外国での取扱いに伴う安全管理措置と外的環境把握を確認します。 |
| 日本子会社が海外親会社に従業員データを提供する | 別法人であり、原則として第三者提供となります。 | 同意の任意性、グループ内規程、データ移転契約を確認します。 |
| 日本法人が海外クラウド事業者に顧客データを保存する | 委託であっても、外国にある第三者への提供として法28条の検討が必要です。 | リージョン、サポートアクセス国、サブプロセッサを確認します。 |
| 日本法人が海外専門家に訴訟資料を送る | 別主体であれば外国第三者提供となり得ます。 | 秘密保持、目的限定、データ最小化、法的例外を確認します。 |
| 日本法人が国内専門家に資料を送る | 国内第三者提供・委託・共同利用等の問題です。 | 法28条とは別に国内提供根拠を確認します。 |
次の表は、同意ではなく基準適合体制などを優先して検討しやすい場面を表します。同意拒否者だけ別運用にすることが難しい場面や、従業員同意の任意性が問題になる場面では、読者は契約・内規・アクセス制御を組み合わせる設計を読み取ることが重要です。
| 場面 | 同意ルートの課題 | 代替設計 |
|---|---|---|
| 海外クラウド基盤への継続保存 | 同意拒否者を除外しにくいです。 | データ処理契約、再委託管理、監査、削除・返還、セキュリティ措置を含む基準適合体制を検討します。 |
| 海外親会社とのHR統合 | 従業員同意の任意性が問題になりやすいです。 | グループ内規程、データ移転契約、アクセス制限、利用目的限定を組み合わせます。 |
| グローバルCRM | 顧客ごとの同意管理が複雑です。 | 契約、共同利用、同意をセグメント別に組み合わせます。 |
| B2B担当者情報の海外共有 | 取引先担当者全員の同意取得が非現実的な場合があります。 | 利用目的通知、契約上の安全管理、必要最小限化、基準適合体制を検討します。 |
| M&Aデータルーム | 対象者全員の事前同意が困難な場合があります。 | 匿名化・仮名化、閲覧制限、NDA、法的例外を個別検討します。 |
国・地域は、契約相手方の所在地だけでなく、個人データの主たる保管国、バックアップ国、運用・保守・サポートでアクセスする国、再委託先の国まで四層で把握します。日本リージョンに保存されると説明されていても、海外サポート担当者が管理画面から閲覧できる場合には、越境移転の検討が必要となる可能性があります。
国名、外国制度、提供先の保護措置を、本人が判断できる粒度で示します。
法28条2項・施行規則17条の実務上の中心は、本人同意を取得する前に、本人に対して必要な情報を明確かつ理解しやすく提供することです。抽象的な海外提供では、本人が権利利益への影響を判断しにくくなります。
次の表は、本人同意前に示す三つの基本情報を表します。列ごとに、何を示すか、どのように伝えるかが異なるため、読者は国名、制度情報、提供先措置を混同せず、別々に整えることを読み取る必要があります。
| 情報項目 | 実務上の内容 | 本人向けの見せ方 |
|---|---|---|
| 外国の名称 | 提供先が所在する国名です。必要に応じて州・地域名も示します。 | 米国、シンガポール、ドイツなど、本人が通常認識できる表記にします。 |
| 外国制度に関する情報 | 日本法と比較して本人が権利利益への影響を理解できる程度の情報です。 | 包括法の有無、本人権利、監督機関、政府アクセス等を要約します。 |
| 第三者が講ずる措置 | 目的限定、安全管理、第三者提供制限、本人権利対応、漏えい対応、削除・返還、再委託管理等です。 | 提供先が何を守るのかを具体的な措置として示します。 |
次の表は、国名の示し方を状況別に整理したものです。提供先国が確定しているか、候補国にとどまるか、現時点で特定できないかによって記載の仕方が変わるため、読者は曖昧な地域表現だけにしないことを読み取る必要があります。
| 状況 | 記載例 | 読み方 |
|---|---|---|
| 提供先国が一つ | 提供先は米国です。 | 国名を明示し、制度情報と提供先措置を続けます。 |
| 複数国が確定 | 提供先は米国、シンガポール、ドイツです。 | 国ごとに必要な制度情報を管理します。 |
| 候補国が限定される | 提供先は、米国、シンガポール、オーストラリア、インドのいずれかです。実際の担当拠点は問い合わせ内容・時間帯により異なります。 | 候補国と変動理由を併記します。 |
| 現時点で特定不能 | 提供先国を現時点で特定できません。その理由は、サポート拠点が契約期間中に変更される可能性があるためです。現在想定される主な国は、米国、シンガポール、インドです。 | 特定できない理由と代替情報を示します。 |
次の比較表は、外国制度を調査するときの情報源と留意点を表します。情報源の信頼性と更新管理が本人への説明の土台になるため、読者は公式情報、専門家確認、提供先資料、認証情報を組み合わせ、一般ブログや生成AI回答だけに依存しないことを読み取る必要があります。
| 優先度 | 調査ソース | 留意点 |
|---|---|---|
| 高 | 個人情報保護委員会の外国制度調査、外国当局の公式情報、日本の公的機関資料 | 公式性が高いため、更新日を記録します。 |
| 高 | 現地専門家のメモ、国際的な専門家のアップデート | 専門性が高い一方、依頼範囲と基準日を明確にします。 |
| 中 | 提供先事業者のDPA、セキュリティホワイトペーパー、プライバシーポリシー、サブプロセッサ一覧 | 事業者の自己申告であるため、契約拘束力と更新管理を確認します。 |
| 中 | 業界団体、認証機関、CBPR等の公開情報 | 認証範囲が対象処理に及ぶかを確認します。 |
| 低 | 一般ブログ、古い解説記事、生成AIの回答 | 根拠としては弱いため、一次情報や専門家確認で補強します。 |
次の表は、本人に伝える外国制度情報の粒度を表します。法律論文のような全条文説明までは不要でも、日本法との差異が分からない説明では同意判断に役立たないため、読者は本人権利、監督機関、政府アクセス、救済手段などを要点化することを読み取る必要があります。
| 観点 | 本人向け説明に反映すべき例 |
|---|---|
| 包括的な個人情報保護法の有無 | 民間部門を包括的に規律する個人情報保護法制が存在するか、存在しない場合があるかを示します。 |
| 利用目的・目的外利用制限 | 日本法と同様の目的外利用制限があるか、分野別規制にとどまるかを示します。 |
| 第三者提供規制 | 本人同意、契約、法令根拠など、第三者提供に関する制限があるかを示します。 |
| 本人の権利 | 開示、訂正、削除、利用停止等の請求権が日本法と同程度に認められるかを示します。 |
| 監督機関 | 独立した監督機関が存在するかを示します。 |
| 政府アクセス | 行政機関・捜査機関によるアクセス権限が広く認められる可能性があるかを示します。 |
| データローカライゼーション | 国内保存義務や国外移転制限があるかを示します。 |
| 救済手段 | 苦情申立て、行政救済、司法救済が整備されているかを示します。 |
次の表は、提供先が講ずる保護措置の説明項目を表します。同じ国でも提供先の契約・セキュリティ・運用体制でリスクが変わるため、読者は外国制度だけでなく提供先自身の目的限定、安全管理、再委託、漏えい時対応を確認することを読み取る必要があります。
| 項目 | 本人向け説明例 |
|---|---|
| 利用目的の限定 | 提供先は、当社から委託された問い合わせ対応、システム運用、顧客管理の目的に限って個人データを取り扱います。 |
| 安全管理措置 | アクセス制御、暗号化、ログ管理、従業員教育、インシデント対応手順を整備しています。 |
| 再委託管理 | 再委託先を利用する場合、契約により同等の保護措置を義務付けます。 |
| 第三者提供制限 | 法令に基づく場合等を除き、当社の承諾なく第三者に提供しません。 |
| 本人権利対応 | 開示、訂正、利用停止等の請求があった場合、当社を通じて必要な対応を行います。 |
| 漏えい等対応 | 漏えい等が発生した場合、速やかに当社へ通知し、原因調査・被害拡大防止を行います。 |
| 保存期間・削除 | 委託終了時または不要となった場合、個人データを返還または削除します。 |
特定できないという説明は例外的に扱い、理由と代替情報をできる限り示します。
クラウドやグローバルサポートでは、提供先国を契約時に完全には特定できないことがあります。ただし、事業者が調査を尽くさずに特定できないと記載することは適切ではありません。契約書、DPA、管理画面、サブプロセッサ一覧、サポート拠点、変更通知条項を確認する必要があります。
次の重要ポイントは、提供先国を特定できない場合に最低限説明すべき内容を表します。本人の判断材料をなくさないことが重要なため、読者は不明という結論だけでなく、特定できない理由、候補国、変更通知、保護措置をセットで示すことを読み取る必要があります。
本人同意を得ようとする時点で提供先国を特定できない場合には、特定できない旨とその理由、本人の参考となる情報を示す必要があります。候補国、主要拠点、サブプロセッサ一覧、変更通知方法、提供先措置を可能な限り整理します。
次の表は、国名を特定できない場面で本人に示す代替情報の例を表します。状況によって提供できる情報が異なるため、読者は現在分かっている範囲、変更時の通知方法、アクセス制御などを組み合わせて説明することを読み取る必要があります。
| 状況 | 代替情報の例 |
|---|---|
| グローバルクラウドのサブプロセッサが変更され得る | 現在公表されている主要サブプロセッサの国、変更通知ページ、契約上の通知手続、主な保護措置を示します。 |
| 国際配送・海外サポートで担当拠点が変わる | 問い合わせ内容、時間帯、言語に応じて担当する可能性のある国、担当会社の保護措置を示します。 |
| M&Aデータルームで入札者所在地が未確定 | 想定される入札者の地域、データルーム運営者の所在国、アクセス制御、閲覧者限定措置を示します。 |
| 研究・共同開発で参加機関が追加される | 現時点の参加予定国、追加時の本人通知・再同意方針、データ最小化措置を示します。 |
実務上は、契約書、DPA、注文書、管理画面、リージョン設定、サブプロセッサ一覧、サポート・保守アクセス国を確認します。提供先に問い合わせた記録や、国の追加・変更時に通知される契約になっているかも、台帳と証跡に残します。
見せただけではなく、理解可能性と意思表示を証明できる設計にします。
越境移転の同意取得では、プライバシーポリシーの末尾に抽象的な記載を置くだけでは不十分となるおそれがあります。本人が同意判断に必要な情報を認識できる導線を設計し、同意対象を明確に区別し、同意した事実を証跡として保存する必要があります。
次の表は、Web・アプリで同意取得する場合の推奨実務を表します。表示位置、情報量、初期値、同意文言、他同意との分離、証跡、変更対応の各列が相互に関係するため、読者は本人の能動的な操作と文面の版管理をセットで読み取ることが重要です。
| 項目 | 推奨実務 |
|---|---|
| 表示位置 | 会員登録、申込、問い合わせ、応募、契約締結、サービス利用開始の直前に表示します。 |
| 情報量 | 画面上に要約を表示し、詳細ページへリンクします。リンク先情報を確認すべきことも明示します。 |
| チェックボックス | 初期値は未チェックとし、本人が能動的にチェックします。 |
| 同意文言 | 外国にある第三者への提供に同意します、という趣旨を明示します。 |
| 他同意との分離 | 利用規約、マーケティング同意、要配慮個人情報同意、外国第三者提供同意を区別します。 |
| 証跡 | 同意日時、同意者ID、画面文面のバージョン、国リストのバージョン、IPアドレス等を記録します。 |
| 変更対応 | 提供先国や提供先措置に重要な変更があった場合の再通知・再同意方針を定めます。 |
次の表は、越境移転の本人同意取得としてリスクが高い設計例を表します。本人の認識や能動的意思表示が弱いほど後日の説明が難しくなるため、読者は一括同意、チェック済み初期値、みなし同意、国名の曖昧表示を避けることを読み取る必要があります。
| 避けるべき例 | 問題点 |
|---|---|
| 利用規約とプライバシーポリシーに同意します、という一括チェックのみ | 外国第三者提供への同意が明確に識別できません。 |
| チェック済みの初期値 | 本人の能動的意思表示が弱くなります。 |
| サービス利用で同意したものとみなす設計 | 外国第三者提供の内容を認識した同意と評価しにくくなります。 |
| 長文ポリシーだけに外国提供記載を置く設計 | 情報提供の実質性が問題となる可能性があります。 |
| 国名を海外とだけ表示 | 外国制度に関する情報提供につながりません。 |
| 提供先の措置を適切に管理しますとだけ表示 | 具体的な保護措置が本人に伝わりません。 |
書面で同意取得する場合は、外国第三者提供の有無を独立した見出しで示し、提供先国、提供先類型、提供目的、データ項目を表形式で記載します。外国制度情報は要約を本文に置き、詳細は別紙またはQRコード・URLで提供し、同意欄への署名・押印・チェック、版番号、交付日、取得日、担当者を記録します。
QRコードやURLによる情報提供も、本人が当該情報を閲覧するよう明確に示されているなど、合理的かつ適切な方法であれば認められ得ます。ただし、同意欄の直前で詳細情報の確認を促し、リンク先が同意取得時点の情報と一致し、版管理により過去文面を再現できる状態にします。
同意日時だけではなく、同意時点で本人に何を示したかを保存します。
越境移転の本人同意は、取得時点の情報提供内容とセットで証明できなければなりません。本人、監督当局、取引先、監査役、内部監査、外部専門家、裁判所に説明する可能性を考えると、同意ログと版管理を分けて設計する必要があります。
次の表は、同意ログとして保存すべき項目を表します。誰が、いつ、どの方法で、どの国・提供先・文面に同意したかを結び付けるため、読者はログと文面・国リスト・提供先措置説明を一体で保存することを読み取る必要があります。
| 証跡 | 内容 |
|---|---|
| 同意者情報 | 会員ID、顧客番号、従業員番号、メールアドレス等を記録します。 |
| 同意日時 | タイムスタンプを保存し、タイムゾーンも明確にします。 |
| 同意方法 | Webチェック、電子署名、紙署名、口頭録音、メール返信等を記録します。 |
| 表示文面 | 同意取得画面、プライバシーポリシー、別紙、国リスト、提供先措置説明の版を保存します。 |
| 対象国・提供先 | 同意取得時点での国名、提供先類型、具体的提供先名またはカテゴリを記録します。 |
| データ項目 | 氏名、連絡先、購買履歴、ログ、従業員情報等を記録します。 |
| 利用目的 | サービス提供、サポート、決済、配送、人事管理、分析等を記録します。 |
| 技術ログ | IPアドレス、ユーザーエージェント、画面遷移、チェック操作ログを保存します。 |
| 同意撤回 | 撤回日時、撤回対象、停止措置、例外処理を記録します。 |
次の一覧は、版管理で残すべき情報を表します。プライバシーポリシーや同意文面を更新すると過去の同意時点の表示内容が分からなくなるため、読者は契約書と同じようにプライバシー同意にも版管理を適用することを読み取る必要があります。
同意文面のバージョン番号、承認日、承認者を残します。
国リストのバージョン番号、更新日、変更理由を残します。
調査日、参照資料、確認範囲、更新日を残します。
提供先措置説明の更新日、契約・DPAとの対応関係を残します。
提供先、再委託先、処理目的、データ項目の変更履歴を残します。
同意画面、ログ、変更時審査、撤回処理の監査結果を残します。
内部監査では、実際の同意画面と承認済み文面が一致しているか、未チェック初期値が維持されているか、同意ログが改ざん不能または追跡可能な形で保存されているか、国リスト変更時に再通知・再同意判定が行われているかを確認します。
委託・クラウド・グループ共有では、契約、内規、監査による継続的な保護措置が実務上の中核になります。
すべての越境移転を本人同意で処理するのは現実的ではありません。委託、クラウド、グループ内共有、人事データ、B2B担当者情報、継続的システム運用では、基準適合体制を整備することが、より安定した法務設計となる場合があります。
次の表は、海外提供先とのデータ処理契約に入れるべき条項を表します。契約条項は本人向け説明や基準適合体制の裏付けになるため、読者は目的限定、再委託、安全管理、漏えい通知、返還・削除、停止権限を一体で確認することが重要です。
| 条項 | 実務上の目的 |
|---|---|
| 目的限定 | 委託・契約目的以外の利用を禁止します。 |
| データ項目限定 | 受領する個人データの範囲を明確化します。 |
| 安全管理措置 | アクセス制御、暗号化、ログ、教育、物理的管理、ネットワーク管理等を義務付けます。 |
| 再委託制限 | 再委託の事前承認、再委託先への同等義務、サブプロセッサ一覧の更新通知を求めます。 |
| 第三者提供制限 | 法令上必要な場合等を除き、第三者提供を禁止します。 |
| 漏えい等通知 | 漏えい、滅失、毀損、不正アクセスを認識した場合の通知期限・内容を定めます。 |
| 本人請求対応 | 開示、訂正、削除、利用停止等の請求に協力させます。 |
| 監査・報告 | 監査権、第三者認証、SOCレポート、年次報告、是正報告を定めます。 |
| 外国法変更通知 | 所在国法・政府アクセス・データ移転制限に重大変更があった場合の通知を求めます。 |
| 返還・削除 | 契約終了時・目的達成時の返還・削除・証明書提出を定めます。 |
| 越境再移転 | 他国への再移転条件を明確化します。 |
| 違反時停止 | 相当措置の継続実施が困難になった場合の提供停止・契約解除を定めます。 |
次の時系列は、基準適合体制を継続的に確保するための実務サイクルを表します。契約締結時だけで終わらせると再委託や国変更を見落とすため、読者は契約前、運用中、変更時、問題発生時、終了時の順番で確認を続けることを読み取る必要があります。
セキュリティ評価、国・再委託先確認、DPAレビューを行います。
再委託管理、監査・通知条項、返還・削除、違反時停止を契約に入れます。
年1回以上、サブプロセッサ変更、SOCレポート、インシデント履歴を確認します。
国、再委託先、処理目的、データ項目の変更時に審査します。
提供停止、是正要求、本人通知、委員会報告、契約解除を判断します。
データ返還・削除、証明書取得、アクセス権削除を確認します。
金融分野など高リスク領域では、基準適合体制を用いる場合でも、外国制度の影響確認、定期的な確認、本人請求時の情報提供、対象国の公表等について、より慎重な実務が求められる可能性があります。
クラウド、人事、サポート、CRM、M&A、不祥事調査では、同じ法28条でも実装方法が変わります。
越境移転は、海外クラウド・SaaS、海外親会社との人事データ連携、海外委託先へのサポート委託、グローバルCRM、M&A、不祥事調査・国際訴訟で日常的に発生します。場面ごとに同意取得の現実性、契約の重要性、データ最小化の必要性が異なります。
次の一覧は、主要場面ごとの確認ポイントを表します。各項目は、提供先、データ項目、法的根拠、契約、安全管理のどこに重点を置くかが異なるため、読者は自社の取引やシステムに近い場面から確認することが重要です。
法人所在地、データ保管リージョン、サポートアクセス国、サブプロセッサ、DPA、監査レポート、削除機能、政府アクセス方針を確認します。
委託基準適合体制従業員同意の任意性、同意拒否時の不利益、グループ内規程、データ移転契約、アクセス制限、要配慮個人情報の最小化を確認します。
人事任意性画面閲覧、ローカル保存、私物端末、生成AI入力、再委託、夜間アクセス、退職者アカウント、ログ監査を確認します。
委託先管理ログB2B担当者情報でも個人データに該当し得ます。共同利用、基準適合体制、同意、マーケティング同意との区別を確認します。
営業情報アクセス制御個人データを含まない加工、仮名化、マスキング、閲覧者限定、NDA、ダウンロード制限、法的例外を検討します。
データルーム最小化メール、チャット、会計データ、従業員情報、取引先情報を必要最小限に限定し、秘密保持、目的限定、暗号化、アクセス制御を行います。
調査個別検討M&Aや不祥事調査では、スピードが重視される一方で、データ保護の初動設計を誤ると、取引後のPMI、表明保証違反、補償、当局対応、信用リスクに波及します。データの最小化、閲覧制限、NDA、DPA、アクセスログ、法的例外の確認を早い段階で組み込みます。
実務例はそのまま使うのではなく、事業内容、提供先、国、データ項目、本人との関係に合わせて修正します。
同意文言は、外国にある第三者への提供、提供目的、データ項目、提供先類型、詳細情報の確認、本人の同意意思が読み取れる構成にします。実際には、事業内容、データ項目、提供先、国、契約、業法、既存プライバシーポリシーに合わせて修正する必要があります。
次の表は、本人向けの外国制度情報を作るときのテンプレート項目を表します。専門的すぎると理解が難しく、抽象的すぎると判断材料にならないため、読者は制度概要、日本法との差異、本人への影響、提供先の補完措置、情報源・更新日をセットで整理することを読み取る必要があります。
| 項目 | 記載内容 |
|---|---|
| 国名 | 米国、シンガポール、インド等を示し、必要に応じて州・地域も記載します。 |
| 制度の概要 | 包括的な個人情報保護法の有無、分野別規制の有無を示します。 |
| 日本法との差異 | 利用目的制限、第三者提供制限、本人権利、監督機関、政府アクセス等の差異を示します。 |
| 本人の権利利益への影響 | 開示・削除等の権利行使、苦情申立て、行政救済、政府アクセス可能性等を示します。 |
| 提供先の補完措置 | 契約、安全管理措置、再委託管理、監査、削除等を示します。 |
| 情報源・更新日 | 参照した公的資料、提供先資料、専門家資料、更新日を記録します。 |
プライバシーポリシーは、利用目的、公表事項、安全管理措置、共同利用、第三者提供、外国第三者提供、開示等請求窓口を整理する重要文書です。ただし、同意取得が必要な場面では、プライバシーポリシーに記載しただけで本人同意を取得したことになるわけではありません。
次の表は、階層型通知の使い分けを表します。すべてを同意画面に長文で置くと読みづらくなるため、読者は同意画面で要点を示し、詳細ページと資料で国別制度・提供先措置を確認できる構造にすることを読み取る必要があります。
| 階層 | 内容 |
|---|---|
| 第1層 ― 同意画面 | 外国提供の有無、提供先国、提供先類型、データ項目、目的、詳細リンク、同意チェックを示します。 |
| 第2層 ― 外国第三者提供ページ | 国ごとの制度概要、提供先措置、候補国、再委託、問い合わせ先を示します。 |
| 第3層 ― 詳細資料 | 国別制度表、提供先一覧、サブプロセッサ、監査情報、FAQを整理します。 |
未成年者、高齢者、成年被後見人等については、本人が同意の意味を理解できるかが問題となります。教育、ゲーム、SNS、EC、医療、金融、採用、位置情報サービス、子ども向けアプリでは、年齢確認、親権者同意の基準、親権者向け説明、撤回・削除請求、分かりやすい説明、要配慮個人情報やプロファイリングの追加審査を整えます。
次の表は、同意撤回を受けた場合の対応項目を表します。撤回の効果は、同意文言、契約、提供目的、保存義務、提供先の処理状況によって変わるため、読者は将来停止、既提供データ、サービス影響、ログを分けて管理することを読み取る必要があります。
| 項目 | 実務対応 |
|---|---|
| 撤回受付窓口 | Webフォーム、マイページ、メール、書面等を用意します。 |
| 本人確認 | なりすまし防止のための本人確認を行います。 |
| 停止対象 | 将来の外国提供、特定提供先、マーケティング目的等を整理します。 |
| 既提供データ | 提供先への削除依頼、保存義務、バックアップ削除時期を整理します。 |
| サービス影響 | 撤回によりサービス提供が困難になる場合の説明を準備します。 |
| ログ | 撤回日時、処理内容、担当者、提供先通知の記録を残します。 |
法務だけでなく、プライバシー、情報セキュリティ、IT、調達、HR、M&A、内部監査、経営層が連携します。
越境移転の本人同意取得の実務は、法務部だけでは完結しません。データフロー、システム設定、契約、本人対応、内部監査、海外法、事業上の必要性を横断して確認するため、役割分担を事前に明確化します。
次の一覧は、よくある不備と是正策を表します。実務上の事故は、海外という一語、委託だから不要という誤解、ログだけ保存、グループ会社の第三者性の見落とし、契約未整備から起きやすいため、読者は自社の弱点を読み取ることが重要です。
国名、外国制度、提供先措置が分からないため、提供先国リスト、制度概要、措置、特定不能時の理由を記載します。
外国にある委託先への提供には法28条の検討が必要です。同等水準国、基準適合体制、同意の要否を確認します。
同意日時だけでは足りません。同意文面、画面、国リスト、提供先措置説明、承認記録を保存します。
別法人であれば第三者に該当し得ます。共同利用、委託、基準適合体制、同意のいずれで処理するか整理します。
本人向け説明と契約実態がずれるため、DPA、再委託制限、監査、漏えい通知、削除・返還を契約化します。
次の表は、社内外の役割分担を表します。役割が曖昧だと台帳更新、契約審査、同意画面管理、監査が止まりやすいため、読者は誰がどの情報を持ち、誰が最終承認するかを読み取ることが重要です。
| 役割 | 担当事項 |
|---|---|
| 法務・企業内弁護士 | 法28条該当性、同意文言、契約、例外該当性、ガイドライン適合性を判断します。 |
| 外部弁護士 | 複雑案件、海外法、M&A、不祥事、訴訟、当局対応、業法規制を助言します。 |
| 個人情報保護・プライバシー担当 | 越境移転台帳、PIA、同意管理、本人対応、委員会ガイドライン更新確認を担います。 |
| 情報セキュリティ担当 | アクセス制御、暗号化、ログ、クラウド設定、インシデント対応を確認します。 |
| IT・システム担当 | データフロー、API連携、リージョン、サブプロセッサ、権限設定を把握します。 |
| 調達・購買 | SaaS・委託先選定、契約締結、ベンダー質問票を管理します。 |
| HR | 従業員データ、海外親会社連携、従業員通知、労務対応を担います。 |
| M&A担当 | データルーム、DD情報、買主・アドバイザー管理を行います。 |
| 内部監査 | 台帳、同意ログ、契約、運用実態を監査します。 |
| 経営層 | リスク許容度、グローバルデータ戦略、重大インシデント時の判断を行います。 |
次の表は、越境移転台帳に持たせる項目を表します。台帳は単なる棚卸しではなく、新規ツール導入、委託先変更、海外グループ連携、データ分析、M&A、インシデント対応の入口になるため、読者は法的根拠、契約、同意、リスク評価、承認者を一つの行で追うことを読み取る必要があります。
| 項目 | 内容 |
|---|---|
| 管理番号・業務名 | 移転案件ごとのID、CRM、HR、問い合わせ、決済、配送、分析等を記録します。 |
| データ主体・データ項目 | 顧客、会員、取引先担当者、従業員、応募者、患者、株主等と、氏名、連絡先、履歴、評価、健康情報等を記録します。 |
| 提供元・提供先 | 日本法人、部署、システム、法人名、サービス名、担当拠点、再委託先を記録します。 |
| 国・地域 | 契約国、保管国、アクセス国、再委託国を記録します。 |
| 提供形態・法的根拠 | 委託、第三者提供、共同利用、事業承継、法令対応、法28条同意、同等水準国、基準適合体制、法27条例外等を記録します。 |
| 同意取得状況・契約 | 対象者、文面版、取得方法、ログ保存場所、DPA、グループ規程、NDA、監査条項を記録します。 |
| 安全管理措置・更新日 | 暗号化、アクセス制御、ログ、削除、監査、最終確認日、次回レビュー日を記録します。 |
| リスク評価・承認者 | 高・中・低、要是正事項、法務、プライバシー、情報セキュリティ、事業責任者を記録します。 |
海外提供先・海外SaaSを審査する質問票では、契約主体、グループ会社、保管国、バックアップ国、サポート・保守アクセス国、サブプロセッサ一覧、変更通知方法、利用目的の限定、アクセス権限、暗号化、ログ保存期間、従業員教育、インシデント通知期限、データ返還・削除方法、監査レポート、認証範囲、違反時の是正・解除、削除証明を確認します。
金融、医療、ヘルスケア、信用、保険、未成年者、位置情報、要配慮個人情報、大量プロファイリングを扱う分野では、外国第三者提供同意を他の同意から分離し、要配慮個人情報の同意を別途取得し、平易な説明資料、質問対応FAQ、同意拒否時の代替手段、PIA、専門家確認を検討します。
2026年の個人情報保護法改正動向では、本人関与、漏えい等対応、課徴金・罰則、統計作成等のための第三者提供に関する見直しなどが企業実務に影響し得ます。成立・施行時期、政令、規則、ガイドラインの内容を確認し、同意を形式化せず、情報提供、契約、安全管理、監査、証跡を継続的に見直します。
初期判断、情報提供、同意取得、契約・運用の4つに分けて確認します。
チェックリストは、越境移転の有無を一度確認して終わるものではありません。新規SaaS、海外委託、グループ内データ連携、M&A、広告・分析ツール導入、サブプロセッサ変更のたびに見直します。
次の一覧は、4つの確認領域を並べたものです。各領域は、判断、説明、同意、契約・運用という順番でつながっているため、読者は後工程の同意文面だけでなく、前工程のデータ把握と後工程の監査まで確認することが重要です。
一般的な制度理解として整理します。具体的な対応はデータ、契約、国、提供先、業法によって変わります。
一般的には、海外クラウド事業者が外国にある第三者に該当し、個人データが提供される場合には、個人情報保護法28条の検討が必要とされています。ただし、同等水準国、基準適合体制、法27条1項例外などに該当するかによって結論が変わる可能性があります。具体的な対応は、契約、リージョン、アクセス国、再委託先を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、国内第三者提供規制では委託が第三者提供から除かれる場面がありますが、外国にある委託先への提供については法28条の検討が必要とされています。ただし、同等水準国や基準適合体制などの例外に該当する可能性があります。具体的には、委託契約、提供先の所在国、保護措置、再委託を確認する必要があります。
一般的には、プライバシーポリシーに記載するだけでは、外国第三者提供への本人同意を取得したことになるとは限らないと考えられます。本人が必要情報を確認し、外国第三者提供に同意した意思表示を示す手続が必要になる可能性があります。具体的な同意設計は、同意画面、文面、ログ、詳細情報の提示方法を確認して検討する必要があります。
一般的には、EUおよび英国は同等水準の枠組みとして扱われるため、法28条の本人同意が不要となる場合があります。ただし、国内第三者提供と同様に、法27条上の根拠は別途必要です。具体的な提供可否は、提供形態、利用目的、共同利用、委託、契約内容によって変わります。
一般的には、特定できない旨とその理由を本人に示し、本人の参考となる情報を提供する必要があるとされています。候補国、主要拠点、サブプロセッサ一覧、変更通知方法、提供先措置を可能な限り示します。具体的には、契約書、DPA、管理画面、提供先回答を確認する必要があります。
一般的には、提供先の措置について情報提供できない場合には、その旨および理由を本人に示す必要があるとされています。ただし、措置が分からないまま個人データを移転することは、委託先管理、安全管理、説明責任の観点から高リスクになる可能性があります。契約、質問票、監査資料で確認する必要があります。
一般的には、従業員同意を取得しても、海外親会社に人事データを自由に提供できるわけではありません。雇用関係では、同意の任意性や同意拒否時の不利益が問題となる可能性があります。具体的には、グループ内データ移転規程、契約、安全管理、アクセス制限、従業員向け通知、必要最小限化を検討する必要があります。
一般的には、追加される国や制度変更が本人の権利利益に重要な影響を与える場合、追加情報提供や再同意を検討する必要があります。少なくとも、同意取得時に示した範囲を超える提供先国、提供目的、データ項目の変更がある場合には、法務・プライバシー審査を行う必要があります。
一般的には、撤回の効果は同意文言、契約、提供目的、保存義務、提供先の処理状況によって変わります。将来の提供停止、提供先への削除・利用停止依頼、サービス提供への影響説明、記録保存を検討する必要があります。具体的な対応は、契約とデータ処理実態を確認して判断する必要があります。
一般的には、全条文の網羅的調査が常に必要というわけではありませんが、本人が同意判断を行うために必要な情報を、適切かつ合理的な方法で確認する必要があります。個人情報保護委員会の外国制度調査、外国当局の公式情報、専門家資料、提供先資料を組み合わせ、更新日と根拠を管理することが望ましいとされています。
公的機関・監督当局の資料名を中心に整理しています。