越境移転(APPI28条)の実装:同意・基準適合体制・指定国・情報提供を一気通貫で固めるー伊藤憲和

>100 Views

November 07, 25

スライド概要

要点:外国所在の第三者へ個人データを提供する際は、①同意(同意前に国制度・受領者措置を情報提供)②基準適合体制(規則16条:契約・内規・CBPR等で相当措置を継続担保)③指定国(規則15条:EU・英国)——のいずれかで根拠化し、移転後の継続監督と説明責任までログ化する。
制度:APPI28条・施行規則15/16/17条、PPC「外国にある第三者への提供編」。
実務:案件ごとに根拠選択→外部移転台帳(国・受領者・根拠・情報提供・相当措置・再移転)整備→同意UIで国名/制度/措置を同意前提示(未特定時は代替情報)→②では点検SOPと証憑記録→指定国でも29/30条記録(3年)を保持。
一次情報:PPCガイドライン https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/ /PDF https://www.ppc.go.jp/files/pdf/231227_guidelines02.pdf /通則編 https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ /法令(e-Gov)https://laws.e-gov.go.jp/law/415AC0000000057
検索耐性:条文・規則・GL・Q&Aと台帳/監督ログを相互参照し、「委託・共同利用」との層分けを明示した実装で再現可能性を確保。

profile-image
スライド一覧

伊藤憲和(いとう・のりかず/Norikazu Ito)。かつて、契約トラブルに遭いながら法律を知らず何もできなかった当事者でした。そこで痛感したのは「正しい手順と証拠があれば、同じ失敗は繰り返さない」という事実。今は、法律・行政・契約・消費者保護・個人情報・AI倫理を横断し、“不安や後悔を、制度理解と実務行動でプラスに転換する”ことを仕事にしています。 焦点は三つ。第一に誤情報で損をしない導線設計(定義→判定条件→例外→証跡)。第二に最低限守る線と、余裕があればやる線の二層運用。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

(ダウンロード不可)

関連スライド

slide-thumbnail

オプトアウトによる第三者提供を“安全運用”に再設計する(2025年版ー伊藤憲和)
user-img 伊藤憲和ItohNorikazu >100
slide-thumbnail

定期購入(サブスク)の「最終確認画面」表示義務と取消・ステマ規制の実務(2025年版ー伊藤憲和)
user-img 伊藤憲和ItohNorikazu >100
slide-thumbnail

越境移転(国外第三者提供|APPI28条)の実務ガイド:同意UI・相当措置・継続確認・DTIA(2025年版ー伊藤憲和)
user-img 伊藤憲和ItohNorikazu >100
slide-thumbnail

本人の権利行使フルガイド(開示・訂正・利用停止・第三者提供記録の開示|APPI 33~35条|2025年版ー伊藤憲和)
user-img 伊藤憲和ItohNorikazu >100
slide-thumbnail

生成AIの学習データ × 開示 × 記録を適法化する実務(APPI×著作権法30条の4×AI事業者GL×ISO 42001|2025年版ー伊藤憲和)
user-img 伊藤憲和ItohNorikazu >100
slide-thumbnail

安全管理措置(APPI23〜25条)の設計図:基本方針→規程→組織・人的・物理・技術→外的環境→公開範囲→監査ログまで“運用で語れる”状態にするー伊藤憲和
user-img 伊藤憲和ItohNorikazu >100
各ページのテキスト
1.

作成:伊藤憲和 越境移転(APPI28条)の実装:同意・基準適合 体制・指定国・情報提供を一気通貫で固めるー 伊藤憲和 先に結論(1文):外国にある第三者へ個人データを渡すときは、①本人同意(同 意前に外国制度・先方措置を情報提供)、②「基準に適合する体制」(契約・社内 規程・国際認証等で“相当措置”を担保)、③PPCが指定する国(EU・英国等)に 該当、のいずれかで根拠を確保し、移転後も継続監督と開示対応まで含めてロ グ化すれば崩れない。(警察庁) 作成:伊藤憲和 / Norikazu Ito(一般情報。個別案件は弁護士・士業へ) 0. 前提(実装の前に固定する条件) 対象:B2C/SaaS/EC/金融・保険/医療/研究/グローバル企業​ データ:個人データ(要配慮含む可能性)、ログ、顧客照会記録​ 処理:海外グループ会社・クラウド・BPO・再保険・CS支援等への移転​ 監査ログ:誰が/いつ/どの国の/どの受領者へ/どの根拠(①~③)で提供 し、どの情報を本人へ提示・提供したか 1. 定義(条文で足場を固める) ●​ 外国にある第三者=提供元と別法人の外国所在受領者。支店・事業所の 同一法人内移転は該当しない。一方、日本法人→外国の親会社・子会社 は該当。(警察庁)​ ●​ 28条の三本柱​ ① 本人同意(同意前に外国の制度・受領者の措置等を情報提供)​ ② 基準適合体制(規則16条:契約等で相当措置の継続実施を担保、また は国際枠組み認証)​ 1

2.

作成:伊藤憲和 ③ 指定国(我が国と同等水準の制度を有する国=EU・英国)​ いずれかで移転可能とする。(警察庁)​ 2. 趣旨(立法目的を実務に翻訳) 本人の予測可能性を高め、越境後の保護レベル低下を抑止するため、同意前 情報提供と受領者側の体制担保をセットで求める設計。単発の“同意取り”では なく、移転後の継続監督と説明責任までが28条の射程です。(警察庁) 3. 来歴(改正経緯の要点) ●​ 令和2年改正で同意前の情報提供義務を拡充(外国制度・受領者の措置 等の明示)。ガイドラインで方法・内容が細化。(警察庁)​ ●​ 規則15条で指定国の仕組みを整備、EU・英国を指定。相互の円滑な移 転と保護水準の同等性を根拠付け。(警察庁)​ ●​ 規則16条で基準適合体制の要件を整備(契約・内規・APEC CBPR等の 国際認証)。(警察庁)​ 4. 適用条件(Yes/Noの芯) 4-1 これは「外国にある第三者」か? ●​ 別法人×外国所在なら該当。国内支店等の同一法人内は非該当。外国親 会社・子会社は該当。(警察庁)​ 2

3.

作成:伊藤憲和 ●​ 外国法人でも日本で事業の用に供する個情DBを運用していれば国内事 業者扱いとなり、28条の「外国にある第三者」には当たらない。(警察庁)​ 4-2 どの根拠で移転できる? ●​ ①本人同意:同意前に国名/外国制度の要点/受領者の措置を適切か つ合理的方法で提供。移転先未特定のときは未特定の旨と理由等の代 替情報を提供。(警察庁)​ ●​ ②基準適合体制:規則16条。契約・規程等で相当措置の継続実施を担 保、または国際枠組みの認証(例:APEC CBPR)を根拠化。(警察庁)​ ●​ ③指定国:EU・英国は指定国として同意なく移転可(ただし他要件は適切 に)。(警察庁)​ 4-3 移転後の義務 ●​ 基準適合体制を根拠に移転した場合、相当措置の継続確保と本人からの 求めに応じた情報提供が必要(28条3項)。(警察庁)​ 5. 例外・但し書き(誤解しやすい境界) ●​ 委託だから28条は不要は誤り。外国にある第三者への委託でも28条の 枠(①〜③)が必要。(警察庁)​ ●​ 受領者にとって個人情報でなければ28条外になり得るが、復元禁止等を 契約で担保し、元データとの結合不能が実質的に確保されていることが 前提。安易なラベリングは危険。(警察庁)​ ●​ 国内向け第三者提供の除外(委託・共同利用等)と越境28条の根拠は別 レイヤー。委託に当たっても、相手が外国所在なら28条での正当化が要 る。(警察庁)​ 3

4.

作成:伊藤憲和 6. 証跡(監査可能性の設計図) 外部移転台帳(28条版・最小列)​ 案件ID|移転根拠(①同意/②基準適合体制/③指定国)|相手国|受領者 (名称・住所・代表者)|個人データ項目|本人への情報提供(方法・URL/文書 ID)|相当措置の内容(契約/規程/認証)|継続監督方法(点検頻度・指標)| 再移転の有無|問い合わせ対応窓口|証憑リンク 継続監督ログ(②の場合)​ timestamp/点検者/対象措置(安全管理・再委託管理 等)/結果/是正チ ケットID/本人向け説明更新の有無 ※29・30条の提供・受領記録も通常どおり運用(3年保存)。越境案件は28条台 帳⇔29/30条記録を相互参照させる。(警察庁) 7. 今日からできる最小実装 1.​ 棚卸し:相手国・受領者・項目・再移転の有無を洗い出し、案件ごとに①〜 ③を選択。​ 2.​ 同意ルートなら:国名・外国制度の概況・受領者の措置を同意前に提示 (未特定なら代替情報)。ひな形は下記。(警察庁)​ 3.​ 基準適合体制ルートなら:契約条項と点検SOPで相当措置を継続担保( APEC CBPR/企業内規程の活用)。(警察庁)​ 4.​ 指定国ルートでも:29/30条の記録と本人への分かりやすい説明を整備。 (警察庁)​ 8. よくある誤解を一次資料で訂正 4

5.

作成:伊藤憲和 ●​ 「同意さえ取れば何でもOK」→同意前情報提供の内容・方法が要件。未 特定時の代替情報や受領者の措置の説明も忘れずに。(警察庁)​ ●​ 「社内グループ移転は全部OK」→別法人×外国なら28条。同一法人内だ け非該当。(警察庁)​ ●​ 「委託は28条外」→外国委託でも28条。(警察庁)​ 9. 区別表(28条の三ルートと要点) ルー ト 要件の芯 本人への説明 移転後の義務 ①同 意 同意前に国名・制度・受 領者措置を提供し、本人 が理解できる方法で同 意取得 規則17条の各項目 一般の安全管理 (国名/制度情報/措 等(28条3項は対 置)を提示。未特定時 象外) は代替情報 ②基 準適 合体 制 規則16条(契約・内規・ CBPR等で相当措置を 継続担保) 必要に応じ説明。本人 からの求めには必要 情報を提供 相当措置の継続 確保と本人への情 報提供義務(28条 3項) 5

6.

作成:伊藤憲和 ③指 定国 EU・英国等の指定国 わかる形での周知が 望ましい 通常運用(記録・ 安全管理) (警察庁) 10. コピペで使える同意UI・契約条項 A. 同意UI(短文例:同意前情報提供を満たす) 第三者提供(外国移転)のご案内​ 当社は下記の国に所在する受領者へ、会員情報等を提供する場合があります。​ [国名]:米国/シンガポール(例)​ [当該外国の制度]:個人情報の保護に関する監督機関の有無、本人の権利行 使の方法 等(要点を要約)​ [受領者の措置]:目的限定/安全管理/再提供管理/苦情処理 等​ 上記をご確認のうえ、提供に同意いただける場合は「同意する」を選択してくださ い。​ [同意する]/[同意しない]/[詳しい説明を見る] (移転先未特定のときは「未特定の旨・理由」と参考情報を表示)。(警察庁) B. 基準適合体制ルートの契約条項(抜粋) 受領者は、当該個人データの取扱いにつき、法第4章第2節の趣旨に沿った相 当措置(目的限定、適正取得、安全管理、従業者・委託先監督、本人の権利救 済、苦情対応 等)を継続的に講ずる。提供者は適切かつ合理的な方法により当 該措置の実施状況を定期点検できる。受領者は再提供管理とインシデント通知 を約し、求めがあれば相当措置の情報を提供する。(警察庁) 11. 監査チェックリスト(貼って使える) 6

7.

作成:伊藤憲和 ●​ ルート選択:案件ごとに①②③のどれかが明示され、証憑が紐づいている​ ●​ 同意UI:国名/制度情報/受領者措置が同意前に表示され、未特定時 の代替情報運用がある(警察庁)​ ●​ 基準適合体制:契約or内規or認証で相当措置の継続担保、と点検ログが ある(CBPR活用可)(警察庁)​ ●​ 指定国:EU・英国の指定根拠の把握と記録がある(警察庁)​ ●​ 記録:29/30条の提供・受領記録(3年)が越境案件と相互参照されている (警察庁)​ 12. Q→Aショート Q:グローバル本社(海外)への共有は?​ A:別法人×外国なら28条。①〜③いずれかの根拠が必要。(警察庁) Q:委託先が海外クラウドでも必要?​ A:委託でも28条。①〜③のいずれかで正当化。(警察庁) Q:移転先が未確定の時に同意は?​ A:未特定の旨・理由と参考情報を示した上で同意可(規則17条3項)。(警察庁) 公共的価値 越境の見える化と継続監督は、苦情・事故の減少、監査時間の短縮、国際取引 の信頼性向上に直結する。過剰でも無防備でもない“ちょうどよい”設計が現場を 救う。 7

8.

作成:伊藤憲和 責任と限界 本記事は一般情報であり、法律相談ではありません。業態・自治体・業界で運用 差があり得ます。最終判断は自社法務・DPO・顧問弁護士と行ってください。​ 作成:伊藤憲和 / Norikazu Ito 参考・リンク(一次資料中心|そのまま貼付OK) 【法令・一次資料】 - 個人情報保護委員会「ガイドライン(外国にある第三者への提供編)」※同意前 情報提供/基準適合体制/指定国 EU・英国 等 https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/ PDF(231227版) https://www.ppc.go.jp/files/pdf/231227_guidelines02.pdf - ガイドライン(通則編:関連編の案内) https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - Q&A「外国委託でも28条同意等が必要か」Q12-1 https://www.ppc.go.jp/all_faq_index/faq1-q12-1 - Q&A「受領者にとって個人情報でない取扱いと委託」Q12-8 https://www.ppc.go.jp/all_faq_index/faq1-q12-8 8

9.

作成:伊藤憲和 本文はガイドライン・Q&A・規則の要件に整合し、同意前情報提供(規則17)、基 準適合体制(規則16)、指定国の三ルートと、移転後の継続監督までを実装ベー スで整理しました。(警察庁) https://profile.hatena.ne.jp/itounorikazu/ https://www.docswell.com/s/4821618885/Z9MY31-itounorikazu_appp28_cr ossborder_guide2025-10-25-233341 https://www.docswell.com/s/4821618885/5LV2DL-itounorikazu_subscriptio n_final_confirmation2025-10-25-233724 https://www.docswell.com/user/4821618885 https://itounorikazu.hatenablog.com/entry/2025/10/23/100000?_gl=1*16ivw 5p*_gcl_au*MTkyMjYyNTY1OC4xNzYxMzkzMzYx https://itounorikazu.hatenablog.com/entry/2025/10/21/100000?_gl=1*16ivw 5p*_gcl_au*MTkyMjYyNTY1OC4xNzYxMzkzMzYx 9