越境移転(国外第三者提供|APPI28条)の実務ガイド:同意UI・相当措置・継続確認・DTIA(2025年版ー伊藤憲和)
>100 Views
October 25, 25
スライド概要
国外の第三者へ個人データを提供するときに迷子にならないための、APPI28条“実装ガイド”完全版。本稿は、適法化の三本柱――①同意ルート(28条2項/規則17:国名・制度・受領者の保護措置を同意前に提示)、②相当措置ルート(規則16:契約・規程で法4章2節趣旨に相当するコントロールを担保)、③同等水準国(告示:EU・英国)――を一次資料に直結させ、継続確認(規則18)と停止SOPまで含めた“運用台帳×ログ”で再現可能に落とし込みます。
まず「第三者」該当性を法人格で判定(支店・事業所=対象外、親子会社=対象)。次に、選んだルートごとに証跡の最小集合を固定します。
同意ルート:UI版ID、表示文、国名/制度/保護措置の提示スクショ、タイムスタンプ。
相当措置ルート:契約条項(目的限定、再提供制限、安全管理、漏えい時協力、権利行使協力)、年1回以上の継続確認ログ、本人への情報提供体制、継続困難時の提供停止記録。
同等水準国:告示根拠の版管理と見直し監視。
併せて、委託(27条5項1号)は形式上「第三者提供でない」こと、ただし受託者の独自突合禁止と安全管理の監督が必須である点、個人関連情報(31条)が越境と併走し得る(受領側が個人データとして取得する想定なら提供元に確認・記録義務が生じる)ことも一枚の台帳で管理できるように設計しています。
実務ですぐ使える雛形を収録:
台帳の列セット:国/地域|受領者|処理目的|適法ルート(同意/相当/指定国)|同意UI版ID|契約ID|最終確認日(規則18)|次回確認日|停止基準|担当/承認者。
同意UI文例(規則17適合):同意前に国名・制度・受領者措置を可視化し、撤回導線を常設。
相当措置・契約条項雛形(規則16):目的限定/再提供禁止/暗号化・鍵管理・多要素/漏えい通報・是正協力/権利行使協力/継続確認/停止。
DTIAチェック(四半期):制度面(当局アクセス、救済可能性)、実装面(暗号・鍵管理・再提供管理)を定量化し停止判断を記録。
よくある誤解も一次資料で反証します。
「SCCを結べば日本もOK」→×:APPIの相当措置は**契約+運用(継続確認・停止)**が要件。
「海外クラウドは全部28条」→×:多くは委託。ただし目的外利用が生じる設計なら第三者提供に転ぶため契約・監査で封じる。
「同意だけで安全」→×:規則17の同意前情報提供が不足すると同意の有効性が揺らぐ。
「EU・英国はノールック」→×:告示の条件付与・見直しに備え根拠管理と定期レビューが必要。
金融や規制産業の読者向けには、継続可能性の審査深度(ガバナンス・監督期待)を上げた運用の“最低限”ラインを明示。さらに、ISO/IEC 29184(同意UI)、TS 27560(Consent Record)、27701:2025(PIMS)に沿った版管理と相互運用の型を示し、内部監査での指摘を減らす具体的手順を提供します。
この一式で、適法ルート選択→同意/UI→契約→継続確認→停止までを一本の手順に統合可能。結果として、苦情・事故の減少、監査時間の短縮、国際取引の安定化が同時に進みます。
※本稿は一般情報であり、最終判断は最新の法令・PPCガイドラインに照らして自社法務・DPO・弁護士と行ってください。
https://profile.hatena.ne.jp/itounorikazu/
https://www.docswell.com/s/4821618885/Z9MY31-itounorikazu_appp28_crossborder_guide2025-10-25-233341
https://www.docswell.com/s/4821618885/5LV2DL-itounorikazu_subscription_final_confirmation2025-10-25-233724
https://www.docswell.com/user/4821618885
https://itounorikazu.hatenablog.com/entry/2025/10/23/100000?_gl=1*16ivw5p*_gcl_au*MTkyMjYyNTY1OC4xNzYxMzkzMzYx
https://itounorikazu.hatenablog.com/entry/2025/10/21/100000?_gl=1*16ivw5p*_gcl_au*MTkyMjYyNTY1OC4xNzYxMzkzMzYx
伊藤憲和(いとう・のりかず/Norikazu Ito)。かつて、契約トラブルに遭いながら法律を知らず何もできなかった当事者でした。そこで痛感したのは「正しい手順と証拠があれば、同じ失敗は繰り返さない」という事実。今は、法律・行政・契約・消費者保護・個人情報・AI倫理を横断し、“不安や後悔を、制度理解と実務行動でプラスに転換する”ことを仕事にしています。 焦点は三つ。第一に誤情報で損をしない導線設計(定義→判定条件→例外→証跡)。第二に最低限守る線と、余裕があればやる線の二層運用。
関連スライド
各ページのテキスト
作成:伊藤憲和 2025年10月25日 越境移転(国外第三者提供|APPI28条)の実務ガイド:同意UI・相当措置・継続確認・ DTIA(2025年版ー伊藤憲和) 先に結論(1文):国外の第三者に個人データを提供するときは、APPI28条に基づき、①本 人同意時の情報提供(28条2項/規則17)または②相当措置(規則16)+継続確認・情報 提供(規則18)のどちらか適法ルートを選び、停止基準まで含めた運用台帳とログで再現 可能にしておけば、過剰防衛せずに適法・安定運用できます。(PPC) 作成:伊藤憲和 / Norikazu Ito(本稿は一般情報であり、法律相談ではありません。個別案 件は弁護士・士業へ) 0. 前提(読者の条件を先置き) 対象:B2C/SaaS/広告・分析/EC/グローバル連結決算・CS/クラウド委託/親子 会社間提供 データ種:個人データ(本人識別性のあるもの)。※個人関連情報は31条の確認・記録(受 領側が個人データとして取得する想定)に注意。(PPC) 処理:国外第三者提供/相当措置による提供/本人同意による提供/EU・英国等の指 定国への提供 1
作成:伊藤憲和 2025年10月25日 組織差:金融(基準適合体制の確認が実務的に重め)/公的機関・地方公共団体は別法 体系(適用除外)あり。(PPC) 監査ログ:誰が/いつ/どの国へ/どの根拠で提供し、何を確認・通知したか。停止判断 の経緯も残す。 1. 定義(条文で足場を固める) 国外第三者提供(APPI28条):外国にある第三者へ個人データを提供すること。**同一法 人格内の移転(支店・事業所)**は該当せず、**別法人格(親会社・子会社・グループ会社 含む)**は該当。(PPC) 適法ルート(28条1・2項/規則16〜18) 同意ルート:本人の同意を得る前に、国名/当該国の制度/受領者の保護措置を確実に 認識できる方法で情報提供(規則17)。(PPC) 相当措置ルート:契約等で「法4章2節趣旨」相当の措置を受領者に課し、実施状況と制度 の変化を定期的に確認し、本人の求めに応じて情報提供・継続困難なら提供停止(規則 16・18)。(PPC) 2
作成:伊藤憲和 2025年10月25日 同等水準国(告示):EUおよび英国は、我が国と同等水準の制度として個人情報保護委員 会告示で指定。(PPC) 2. 趣旨(立法目的を実務に翻訳) グローバルなデータ流通で本人不知の移転リスクが高まるなか、本人への事前情報提供 と、国・受領者の保護水準を継続監視することで、権利利益を守りつつ事業の国際展開を 妨げないバランスを取るための規律。(PPC) 3. 来歴(改正経緯) 2015年改正(平成27年法):国外第三者提供ルールを新設(旧24条)。 2020年改正(令和2年法):同意時の情報提供の充実などを追加。 2022年全面施行以降:**ガイドライン改訂(令和5年12月改正)**で運用を明確化。(PPC) 3
作成:伊藤憲和 2025年10月25日 4. 適用条件(Yes/Noの芯) 4-1 まず「第三者」かどうか(法人格で判定) 別法人格(親会社・子会社・グループ他)=第三者 → 28条対象 同一法人格(現地支店・事業所)=第三者でない → 28条対象外(ただし安全管理の責任 は残る)(PPC) 4-2 適法ルートの選択 A:本人同意ルート(28条2項) 同意前に次を示す:①国名、②当該国の個人情報保護制度、③受領者の保護措置(契約 条項・技術的措置など)。UIで確実に認識できる方法(規則17)。(PPC) B:相当措置ルート(28条1項・規則16/18) 契約・社内規程等で法4章2節趣旨相当の措置(目的限定/安全管理/再提供制限/開 示等への協力など)を担保し、定期確認+本人からの求めに応じた情報提供+継続困難 時の停止。(PPC) 4
作成:伊藤憲和 2025年10月25日 4-3 指定国(同等水準国) EU/英国は同等水準として告示指定。ただし条件付与・見直しの可能性も踏まえ台帳で 根拠を保持。(PPC) 5. 例外・但し書き(誤解しやすい点) 委託(27条5項1号)は「第三者提供に当たらない」ため28条の『提供』規律は形式上は及 ばない。もっとも受託者の独自突合禁止・安全管理措置等の監督は必要。クラウド海外 リージョンは多くが委託に当たるが、受託者の目的外利用が起きる設計なら第三者提供に 該当し得る。根拠は27条/PPC解説を運用で担保。(PPC) 個人関連情報(31条):受領側が個人データとして取得する想定なら提供元に確認・記録 義務。国外提供との併存もあり得るため31条×28条の併走を台帳で明記。(PPC) 金融分野:相当措置の継続可能性や当該国制度の確認が実務的に厳格(監督も含む)。 (PPC) 6. 証跡(監査可能性の設計図) 5
作成:伊藤憲和 2025年10月25日 **台帳(監査ログ一体)**に最低限これを持つ: 適法ルート:同意/相当措置/指定国の別、条・規則の紐づけ 相手先:法人名/所在国/受領者の措置(契約条項・技術的措置) 同意ルート:UI版ID、提示文面、国名・制度・措置の記載確認、タイムスタンプ(規則17) 相当措置ルート:**契約条項(再提供制限・安全管理・権利行使協力 等)**の要約、定期 確認サイクル、結果、是正・停止履歴(規則16・18) 指定国:告示・根拠資料の版と取得日 停止基準:制度変化/当局アクセスリスク/契約履行不能のいずれか発生時の停止SOP (規則18:継続困難→停止)(PPC) 7. 今日から実践できる最小行動(迷わず着手) 6
作成:伊藤憲和 2025年10月25日 棚卸し(国×受領者×根拠):国/地域|受領者|処理目的|適法ルート(同意/相当/指定 国)|契約ID|次回確認日|停止基準 を表で作る。 同意UIの差し替え(28条2項/規則17に適合) 文例:「当社は、サービス提供・サポートのため、[国名]の[受領者名]へお客様の個人デー タを提供します。[国名]の個人情報保護制度および**[受領者]が講じる保護措置**の概要 は[詳細]でご確認いただけます。同意はいつでも撤回できます。」(PPC) 相当措置の再契約(規則16):目的限定/再提供制限/安全管理措置/漏えい時の通報 協力/開示等の協力を契約条項で明示。年1回以上の継続確認と本人への情報提供体 制(規則18)をSLA化。(PPC) 継続確認のDTIA化:国の制度リスク(当局アクセス・救済可能性・救済手段)、受領者の実 装リスク(暗号化・鍵管理・多要素・再提供管理)をチェックリスト化し、停止判断を定量化。 公開情報の整合:プライバシーポリシーに**越境移転の有無/国名/根拠(同意/相当 措置/指定国)**を追記し、変更時は遅滞なく更新。 8. よくある誤解を一次資料で訂正 7
作成:伊藤憲和 2025年10月25日 「EUのSCC(標準契約条項)を結べば日本もOK」 → APPIの相当措置は“法4章2節趣旨” 相当を求める日本独自基準。**契約+運用(継続確認・停止)**が要件。(PPC) 「クラウドが海外なら全部28条」 → 委託は第三者提供に当たらず(27条5項1号)。ただし 受託者の目的外利用が起こる設計なら第三者提供になり得るため契約・監査で封じる。 (PPC) 「同意だけ取れば安全」 → 同意前情報提供(国名・制度・措置)が必須。文言が不足する と同意の有効性が崩れる。(PPC) 「EU・英国は完全にノールックでOK」 → 同等水準国でも、告示の条件付与・見直しに備え 根拠管理と定期レビューが必要。(PPC) 「金融での越境は一般ルールで十分」 → 制度・継続可能性の確認が厳格(監督期待水 準)。相当措置の継続性に特に注意。(PPC) 9. 区別表(国外第三者提供/委託/共同利用) 論点 国外第三者提供(APPI28) 委託(27条5項1号) 共同利用(27条5項3号) 法的性質 第三者提供 第三者に当たらず 第三者に当たらず 適法根拠 外禁止 同意(規則17)/相当措置(規則16・18)/同等水準国(告示) 監督・目的 公表事項(項目・範囲・目的・責任者) 8
作成:伊藤憲和 2025年10月25日 継続確認 必要(相当措置) 受託者監督 公表維持 停止義務 知 継続困難なら停止(規則18)契約違反時の是正・停止 目的変更時の通 代表的NG 情報提供不足の同意/継続確認の不備/停止遅延 合 責任者・範囲の欠落 受託者の独自突 (根拠:APPI27〜31条、PPCガイドライン(外国第三者提供編・通則編))(PPC) 10. 証跡テンプレ(コピペで台帳化) 列セット:案件ID|提供目的|データ種|国/地域|受領者|適法ルート(同意/相当/指定 国)|同意UI版ID|契約ID(条項型)|最終確認日(規則18)|次回確認予定|停止基 準|担当/承認者|更新日 ログ最小要件:表示(同意前情報提供)のスクショ・版管理、契約条項抜粋、継続確認メモ (制度・運用の両面)、本人からの情報提供求めへの回答履歴、停止判断の記録(日付・ 理由・影響)。(PPC) 11. 失敗パターンと回避のコツ 9
作成:伊藤憲和 2025年10月25日 最低限守る線 同意ルート:国名・制度・措置を同意前に可視(リンク先の英語一次情報も用意)。(PPC) 相当措置ルート:条項+運用(年1回以上の継続確認、本人への情報提供体制、停止SOP )。(PPC) 指定国:告示根拠と版を台帳に紐づけ。(PPC) 余裕があればやる線 DTIA(データ移転影響評価)を四半期更新:法制度変化と受領者の技術措置(鍵管理・ゼ ロトラスト・再提供制御)。 PIMS(ISO/IEC 27701:2025)で越境移転のコントロール目標を常設化(監査と紐づけ)。 (ISO) 12. Q→Aショート(検索耐性) 10
作成:伊藤憲和 2025年10月25日 「どの国が“同等水準”?」 → EU・英国(告示)。見直しに注意。(PPC) 「同意前に何を出す?」 → 国名/当該国の制度/受領者の保護措置(規則17)。(PPC) 「相当措置の中身は?」 → 契約・運用で法4章2節趣旨に相当+継続確認・本人への情報 提供・停止(規則16・18)。(PPC) 「いつから?」 → ルールは既に施行、最新GLは令和5年12月改正。直ちに棚卸し→UI/契 約→ログ。(PPC) 13. 公共的価値(なぜやるか) 苦情・事故の減少/監査時間の短縮/権利行使の円滑化に直結。誤情報に左右されな い透明な越境移転は、公正な取引と国際連携の基盤になる。 14. 責任と限界 11
作成:伊藤憲和 2025年10月25日 本記事は一般情報であり法律相談ではありません。事業・自治体・業界で運用差があり得 ます。最終判断は自社法務・DPO・顧問弁護士と行ってください。 作成:伊藤憲和 / Norikazu Ito 参考・リンク(一次資料中心・年次付き) ※はてなブログでは以下をそのまま貼り付け可(一次情報優先)。 【法令(e-Gov)】 - 個人情報の保護に関する法律(APPI|28条:国外第三者提供ほか) https://laws.e-gov.go.jp/law/415AC0000000057 - 個人情報の保護に関する法律施行規則(規則16〜18:相当措置・同意時情報提供・継続 確認) https://laws.e-gov.go.jp/law/428M60020000003 【個人情報保護委員会(PPC)】 - ガイドライン(外国にある第三者への提供編|令和5年12月一部改正)PDF https://www.ppc.go.jp/files/pdf/231227_guidelines02.pdf - 同(HTML/新旧対照表一覧) https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/ 12
作成:伊藤憲和 2025年10月25日 - Q&A:相当措置(金融分野の留意点) https://www.ppc.go.jp/all_faq_index/faq2-q5-10 - 法令・GL総合ページ https://www.ppc.go.jp/personalinfo/legal/ 【経済産業省(参考資料)】 - 改正越境移転ルールの施行に向けて(概要スライド) https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pd f 【国際規格(実装の型)】 - ISO/IEC 29184:2020(オンライン同意・通知) https://www.iso.org/standard/70331.html - ISO/IEC TS 27560:2023(Consent Record構造) https://www.iso.org/standard/80392.html - ISO/IEC 27701:2025(PIMS:最新版) https://www.iso.org/standard/27701 更新履歴(追記方式で記録) v1.0(2025-10-20):初版。APPI28条の同意ルート/相当措置ルート/指定国を一次資 料で統合し、規則17・18のUI・継続確認・停止まで実装形に落とし込んだ。PPC GL(令和5 年12月改正)とISO/IEC 27701:2025の位置づけを反映。(PPC) 13
作成:伊藤憲和 2025年10月25日 付録:コピペで使える最小テンプレ A. 同意UI(28条2項/規則17) 「当社は、【目的】のため、**【国名】の【受領者名】**へお客様の個人データを提供します。 **【国名の個人情報保護制度の概要】および【受領者が講じる保護措置(例:目的限定、暗 号化、再提供制限)】については[詳細]**でご確認いただけます。 同意はいつでも撤回できます。」 B. 相当措置・契約条項(規則16/18)(抜粋雛形) 目的限定・再提供禁止・安全管理(暗号化/鍵管理/多要素) 権利行使協力(開示・訂正・利用停止・消去の実施) 漏えい等の通報・是正協力、継続確認(年1回以上)、本人への情報提供 14
作成:伊藤憲和 2025年10月25日 継続困難時の提供停止/停止後の返却・消去手順 C. DTIAチェック(四半期レビュー) 制度面:当局アクセス/救済可能性/越境関連の新法令 運用面:実装(暗号・鍵管理・アクセス制御)/再提供管理/監査結果 判断:維持/是正要求/停止(基準に抵触時) このページだけで、迷わない適法ルート選択→UI/契約→継続確認→停止まで行動可能で す。次は**「共同利用の公表完全版テンプレ」または「個人関連情報31条の確認・記録 シート(国外版)」**に進めます。 15