越境移転(APPI28条)実務ガイド2025—同意UI・相当措置・継続確認・DTIAを台帳で固定(伊藤憲和)
yingban335
6 views
15 slides
Oct 24, 2025
Slide 1 of 15
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
About This Presentation
本稿は、国外の第三者に個人データを提供する際の日本法(個人情報保護法=APPI)に基づく“迷わない実装書”です。要点は三つ。①同意ルート(28条2項・規則17):同意前に国名/当該国の制度/受領者の保護措置を確実...
Slide Content
作成:伊藤憲和
2025年10月23日
越境移転(国外第三者提供|APPI28条)の実務ガイド:同意UI・相当措置・継続確認・
DTIA(2025年版ー伊藤憲和)
先に結論(1文):国外の第三者に個人データを提供するときは、APPI28条に基づき、①本
人同意時の情報提供(28条2項/規則17)または②相当措置(規則16)+継続確認・情報
提供(規則18)のどちらか適法ルートを選び、停止基準まで含めた運用台帳とログで再現
可能にしておけば、過剰防衛せずに適法・安定運用できます。(PPC)
作成:伊藤憲和 / Norikazu Ito(本稿は一般情報であり、法律相談ではありません。個別案
件は弁護士・士業へ)
0. 前提(読者の条件を先置き)
対象:B2C/SaaS/広告・分析/EC/グローバル連結決算・CS/クラウド委託/親子
会社間提供
データ種:個人データ(本人識別性のあるもの)。※個人関連情報は31条の確認・記録(受
領側が個人データとして取得する想定)に注意。(PPC)
処理:国外第三者提供/相当措置による提供/本人同意による提供/EU・英国等の指
定国への提供
1
作成:伊藤憲和
2025年10月23日
組織差:金融(基準適合体制の確認が実務的に重め)/公的機関・地方公共団体は別法
体系(適用除外)あり。(PPC)
監査ログ:誰が/いつ/どの国へ/どの根拠で提供し、何を確認・通知したか。停止判断
の経緯も残す。
1. 定義(条文で足場を固める)
国外第三者提供(APPI28条):外国にある第三者へ個人データを提供すること。**同一法
人格内の移転(支店・事業所)**は該当せず、**別法人格(親会社・子会社・グループ会社
含む)**は該当。(PPC)
適法ルート(28条1・2項/規則16〜18)
同意ルート:本人の同意を得る前に、国名/当該国の制度/受領者の保護措置を確実に
認識できる方法で情報提供(規則17)。(PPC)
相当措置ルート:契約等で「法4章2節趣旨」相当の措置を受領者に課し、実施状況と制度
の変化を定期的に確認し、本人の求めに応じて情報提供・継続困難なら提供停止(規則
16・18)。(PPC)
2
作成:伊藤憲和
2025年10月23日
同等水準国(告示):EUおよび英国は、我が国と同等水準の制度として個人情報保護委員
会告示で指定。(PPC)
2. 趣旨(立法目的を実務に翻訳)
グローバルなデータ流通で本人不知の移転リスクが高まるなか、本人への事前情報提供
と、国・受領者の保護水準を継続監視することで、権利利益を守りつつ事業の国際展開を
妨げないバランスを取るための規律。(PPC)
3. 来歴(改正経緯)
2015年改正(平成27年法):国外第三者提供ルールを新設(旧24条)。
2020年改正(令和2年法):同意時の情報提供の充実などを追加。
2022年全面施行以降:**ガイドライン改訂(令和5年12月改正)**で運用を明確化。(PPC)
3
作成:伊藤憲和
2025年10月23日
4. 適用条件(Yes/Noの芯)
4-1 まず「第三者」かどうか(法人格で判定)
別法人格(親会社・子会社・グループ他)=第三者 → 28条対象
同一法人格(現地支店・事業所)=第三者でない → 28条対象外(ただし安全管理の責任
は残る)(PPC)
4-2 適法ルートの選択
A:本人同意ルート(28条2項)
同意前に次を示す:①国名、②当該国の個人情報保護制度、③受領者の保護措置(契約
条項・技術的措置など)。UIで確実に認識できる方法(規則17)。(PPC)
B:相当措置ルート(28条1項・規則16/18)
契約・社内規程等で法4章2節趣旨相当の措置(目的限定/安全管理/再提供制限/開
示等への協力など)を担保し、定期確認+本人からの求めに応じた情報提供+継続困難
時の停止。(PPC)
4
作成:伊藤憲和
2025年10月23日
4-3 指定国(同等水準国)
EU/英国は同等水準として告示指定。ただし条件付与・見直しの可能性も踏まえ台帳で
根拠を保持。(PPC)
5. 例外・但し書き(誤解しやすい点)
委託(27条5項1号)は「第三者提供に当たらない」ため28条の『提供』規律は形式上は及
ばない。もっとも受託者の独自突合禁止・安全管理措置等の監督は必要。クラウド海外
リージョンは多くが委託に当たるが、受託者の目的外利用が起きる設計なら第三者提供に
該当し得る。根拠は27条/PPC解説を運用で担保。(PPC)
個人関連情報(31条):受領側が個人データとして取得する想定なら提供元に確認・記録
義務。国外提供との併存もあり得るため31条×28条の併走を台帳で明記。(PPC)
金融分野:相当措置の継続可能性や当該国制度の確認が実務的に厳格(監督も含む)。
(PPC)
6. 証跡(監査可能性の設計図)
5
作成:伊藤憲和
2025年10月23日
**台帳(監査ログ一体)**に最低限これを持つ:
適法ルート:同意/相当措置/指定国の別、条・規則の紐づけ
相手先:法人名/所在国/受領者の措置(契約条項・技術的措置)
同意ルート:UI版ID、提示文面、国名・制度・措置の記載確認、タイムスタンプ(規則17)
相当措置ルート:**契約条項(再提供制限・安全管理・権利行使協力 等)**の要約、定期
確認サイクル、結果、是正・停止履歴(規則16・18)
指定国:告示・根拠資料の版と取得日
停止基準:制度変化/当局アクセスリスク/契約履行不能のいずれか発生時の停止SOP
(規則18:継続困難→停止)(PPC)
7. 今日から実践できる最小行動(迷わず着手)
6
作成:伊藤憲和
2025年10月23日
棚卸し(国×受領者×根拠):国/地域|受領者|処理目的|適法ルート(同意/相当/指定
国)|契約ID|次回確認日|停止基準 を表で作る。
同意UIの差し替え(28条2項/規則17に適合)
文例:「当社は、サービス提供・サポートのため、[国名]の[受領者名]へお客様の個人デー
タを提供します。[国名]の個人情報保護制度および**[受領者]が講じる保護措置**の概要
は[詳細]でご確認いただけます。同意はいつでも撤回できます。」(PPC)
相当措置の再契約(規則16):目的限定/再提供制限/安全管理措置/漏えい時の通報
協力/開示等の協力を契約条項で明示。年1回以上の継続確認と本人への情報提供体
制(規則18)をSLA化。(PPC)
継続確認のDTIA化:国の制度リスク(当局アクセス・救済可能性・救済手段)、受領者の実
装リスク(暗号化・鍵管理・多要素・再提供管理)をチェックリスト化し、停止判断を定量化。
公開情報の整合:プライバシーポリシーに**越境移転の有無/国名/根拠(同意/相当
措置/指定国)**を追記し、変更時は遅滞なく更新。
8. よくある誤解を一次資料で訂正
7
作成:伊藤憲和
2025年10月23日
「EUのSCC(標準契約条項)を結べば日本もOK」 → APPIの相当措置は“法4章2節趣旨”
相当を求める日本独自基準。**契約+運用(継続確認・停止)**が要件。(PPC)
「クラウドが海外なら全部28条」 → 委託は第三者提供に当たらず(27条5項1号)。ただし
受託者の目的外利用が起こる設計なら第三者提供になり得るため契約・監査で封じる。
(PPC)
「同意だけ取れば安全」 → 同意前情報提供(国名・制度・措置)が必須。文言が不足する
と同意の有効性が崩れる。(PPC)
「EU・英国は完全にノールックでOK」 → 同等水準国でも、告示の条件付与・見直しに備え
根拠管理と定期レビューが必要。(PPC)
「金融での越境は一般ルールで十分」 → 制度・継続可能性の確認が厳格(監督期待水
準)。相当措置の継続性に特に注意。(PPC)
9. 区別表(国外第三者提供/委託/共同利用)
論点国外第三者提供(APPI28)委託(27条5項1号)共同利用(27条5項3号)
法的性質第三者提供第三者に当たらず第三者に当たらず
適法根拠同意(規則17)/相当措置(規則16・18)/同等水準国(告示)監督・目的
外禁止 公表事項(項目・範囲・目的・責任者)
8
作成:伊藤憲和
2025年10月23日
継続確認必要(相当措置)受託者監督公表維持
停止義務継続困難なら停止(規則18)契約違反時の是正・停止目的変更時の通
知
代表的NG情報提供不足の同意/継続確認の不備/停止遅延受託者の独自突
合責任者・範囲の欠落
(根拠:APPI27〜31条、PPCガイドライン(外国第三者提供編・通則編))(PPC)
10. 証跡テンプレ(コピペで台帳化)
列セット:案件ID|提供目的|データ種|国/地域|受領者|適法ルート(同意/相当/指定
国)|同意UI版ID|契約ID(条項型)|最終確認日(規則18)|次回確認予定|停止基
準|担当/承認者|更新日
ログ最小要件:表示(同意前情報提供)のスクショ・版管理、契約条項抜粋、継続確認メモ
(制度・運用の両面)、本人からの情報提供求めへの回答履歴、停止判断の記録(日付・
理由・影響)。(PPC)
11. 失敗パターンと回避のコツ
9
作成:伊藤憲和
2025年10月23日
最低限守る線
同意ルート:国名・制度・措置を同意前に可視(リンク先の英語一次情報も用意)。(PPC)
相当措置ルート:条項+運用(年1回以上の継続確認、本人への情報提供体制、停止SOP
)。(PPC)
指定国:告示根拠と版を台帳に紐づけ。(PPC)
余裕があればやる線
DTIA(データ移転影響評価)を四半期更新:法制度変化と受領者の技術措置(鍵管理・ゼ
ロトラスト・再提供制御)。
PIMS(ISO/IEC 27701:2025)で越境移転のコントロール目標を常設化(監査と紐づけ)。
(ISO)
12. Q→Aショート(検索耐性)
10
作成:伊藤憲和
2025年10月23日
「どの国が“同等水準”?」 → EU・英国(告示)。見直しに注意。(PPC)
「同意前に何を出す?」 → 国名/当該国の制度/受領者の保護措置(規則17)。(PPC)
「相当措置の中身は?」 → 契約・運用で法4章2節趣旨に相当+継続確認・本人への情報
提供・停止(規則16・18)。(PPC)
「いつから?」 → ルールは既に施行、最新GLは令和5年12月改正。直ちに棚卸し→UI/契
約→ログ。(PPC)
13. 公共的価値(なぜやるか)
苦情・事故の減少/監査時間の短縮/権利行使の円滑化に直結。誤情報に左右されな
い透明な越境移転は、公正な取引と国際連携の基盤になる。
14. 責任と限界
11
作成:伊藤憲和
2025年10月23日
本記事は一般情報であり法律相談ではありません。事業・自治体・業界で運用差があり得
ます。最終判断は自社法務・DPO・顧問弁護士と行ってください。
作成:伊藤憲和 / Norikazu Ito
参考・リンク(一次資料中心・年次付き)
※はてなブログでは以下をそのまま貼り付け可(一次情報優先)。
【法令(e-Gov)】
- 個人情報の保護に関する法律(APPI|28条:国外第三者提供ほか)
https://laws.e-gov.go.jp/law/415AC0000000057
- 個人情報の保護に関する法律施行規則(規則16〜18:相当措置・同意時情報提供・継続
確認) https://laws.e-gov.go.jp/law/428M60020000003
【個人情報保護委員会(PPC)】
- ガイドライン(外国にある第三者への提供編|令和5年12月一部改正)PDF
https://www.ppc.go.jp/files/pdf/231227_guidelines02.pdf
- 同(HTML/新旧対照表一覧)
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
12
作成:伊藤憲和
2025年10月23日
- Q&A:相当措置(金融分野の留意点) https://www.ppc.go.jp/all_faq_index/faq2-q5-10
- 法令・GL総合ページ https://www.ppc.go.jp/personalinfo/legal/
【経済産業省(参考資料)】
- 改正越境移転ルールの施行に向けて(概要スライド)
https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pd
f
【国際規格(実装の型)】
- ISO/IEC 29184:2020(オンライン同意・通知)
https://www.iso.org/standard/70331.html
- ISO/IEC TS 27560:2023(Consent Record構造)
https://www.iso.org/standard/80392.html
- ISO/IEC 27701:2025(PIMS:最新版) https://www.iso.org/standard/27701
更新履歴(追記方式で記録)
v1.0(2025-10-20):初版。APPI28条の同意ルート/相当措置ルート/指定国を一次資
料で統合し、規則17・18のUI・継続確認・停止まで実装形に落とし込んだ。PPC GL(令和5
年12月改正)とISO/IEC 27701:2025の位置づけを反映。(PPC)
13
作成:伊藤憲和
2025年10月23日
付録:コピペで使える最小テンプレ
A. 同意UI(28条2項/規則17)
「当社は、【目的】のため、**【国名】の【受領者名】**へお客様の個人データを提供します。
**【国名の個人情報保護制度の概要】および【受領者が講じる保護措置(例:目的限定、暗
号化、再提供制限)】については[詳細]**でご確認いただけます。
同意はいつでも撤回できます。」
B. 相当措置・契約条項(規則16/18)(抜粋雛形)
目的限定・再提供禁止・安全管理(暗号化/鍵管理/多要素)
権利行使協力(開示・訂正・利用停止・消去の実施)
漏えい等の通報・是正協力、継続確認(年1回以上)、本人への情報提供
14
作成:伊藤憲和
2025年10月23日
継続困難時の提供停止/停止後の返却・消去手順
C. DTIAチェック(四半期レビュー)
制度面:当局アクセス/救済可能性/越境関連の新法令
運用面:実装(暗号・鍵管理・アクセス制御)/再提供管理/監査結果
判断:維持/是正要求/停止(基準に抵触時)
このページだけで、迷わない適法ルート選択→UI/契約→継続確認→停止まで行動可能で
す。次は**「共同利用の公表完全版テンプレ」または「個人関連情報31条の確認・記録
シート(国外版)」**に進めます。
15
Categories
TechnologyDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 6
- Slides 15
- Age 44 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
53 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
50 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
40 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
39 views
21
Know for Certain
DaveSinNM
24 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
28 views