【アーカイブ配信】Global Privacy Lounge ~世界各国の個人情報保護法対応実務の疑問に答える~

毎月配信のシリーズセミナー「Global Privacy Lounge」のアーカイブ配信です。

Global Privacy Lounge ~世界各国の個人情報保護法対応実務の疑問に答える~

お申込み

講演趣旨

国際的なデータ保護の潮流を踏まえ、各国で個人情報保護法の制定・改正が加速しています。EUのGDPRを起点に、中国、米国の州法、ブラジル・韓国・インド・ASEAN諸国など、ほぼ毎年のように新たな法令やガイドライン等が登場し、グローバルビジネスの拡大とともに、企業の法務・コンプライアンス担当者は常に“動く標的”への対応に追われています。

本シリーズでは、日本も含む世界各国のデータ保護法対応をテーマに、最新の法改正・執行動向をカバーしつつ、事前に寄せられた質問を題材に、実務経験豊富なパネラーが具体的な対応策や実務上の論点をディスカッション形式で解説します。

月1回30分の定期配信で、グローバルプライバシーの潮流を確実にフォローし、企業実務のアップデートを支援します。ラジオ感覚でお楽しみください。

各回 トークテーマ

第1回 2025年11月18日(火)開催

  • 当社にGDPRが適用されるか分かりません。当社には英国子会社があり、日本からの英国子会社への出向社員のデータを、日本の人事部と共有しています。他方で、英国子会社のお客様データは、現地営業部からメールベースで個別に紹介を受ける程度です。この場合、当社はGDPR対応をする必要がありますか?
  • 当社は日本語版と英語版のECサイトを持っており、お客様の多くは日本の方ですが、年間数件程度は海外のお客様に商品を販売することがあります。この場合、GDPR対応の必要はありますか?英語版サイトは持っているものの、特に海外販路の開拓を行っているわけではありませんので、どの程度までGDPR対応を行う必要があるのか、悩んでいます。
  • 当社は法人向けに商品を販売している商社です。幸いにも、米国、欧州、中国など世界各国からお引き合いを頂いており、実際にドイツやフランスのお取引様に商品を販売することもあります。この場合、当社のEU向け商品の販売については、GDPR適用があるのでしょうか?

第2回 2025年12月16日(火)開催

  • レジャー施設を運営しています。同施設の利用には施設HP(自社運営)を経由して予約サイト(外部事業者運営)で登録する必要があります。自社HPでは英語およびフランス語へ表記を切り替える機能があり、外部予約サイトでは更に多くの言語への言語切り替えが可能な状況です。一方でお客様の大半は日本人であり、外国人の方は年間で数件程度の予約を受け付ける程度です。EUに事業拠点はありませんし、言語切り替えを行っても料金表示は日本円で表記されます。この場合でもGDPRの対象となりますか?
  • 国内において宿泊施設運営を行っておりますが、海外からのお客様に多く宿泊いただいております。宿泊予約サイトとしてBooking.com等世界中でサービス展開するOTAも利用しております。グローバルプライバシーポリシーとして、様々な国の汎用的な内容を示し、プライバシーポリシーの確認・同意のチェック、DM送付についても可否をチェックできるようにする等対応は進めてはいるものの、細かい対応まではできていない点もあると思われ、実際問題としてどの程度までGDPRや各国個別法の対応を行う必要があるのか、また、やらない場合のリスクはどの程度あるのか、例えばどの国でも(orこの国なら(例えば中国))DMを送るならこのように同意をとるべき、など指針があれば教えていただきたいです。
  • 日本の親会社がクラウド型のメールセキュリティサービス(日本リージョンで稼働)を導入し、日本の親会社が管理者となって、EU子会社にも、そのメールセキュリティサービスが適用されるようにするという想定でのご質問です。この場合、EU子会社の従業員がメールを受信する前に、日本を経由し、その経由した(送)受信メールの件名とメールアドレスは日本の親会社で閲覧可能になります。また、メールセキュリティサービスで隔離されたメールは、その原本が日本に保持されることになり、メールの内容も管理権限を有する親会社が閲覧可能な状態となります。このような場合、日本の親会社にはGDPR(や各国データ保護法)が域外適用されるのでしょうか。それとも、あくまでEU子会社が管理者、日本の親会社が管理者又は処理者として、GDPR等の越境移転という整理になるのでしょうか。それとも、そもそもGDPR等は関係ないのでしょうか。また、域外適用や越境移転となると、日本の親会社とクラウドサービスの会社との関係はどのように整理するのでしょうか?
  • 外国人旅行者に対し、日本国内でアンケートを実施し、その際に、メールアドレスを取得して、後日謝礼を送付することを想定しています。この場合、GDPRの適用を考慮すべきでしょうか。旅行者が国内に滞在していて、①国内で謝礼を受領する場合と、②帰国済みで海外で謝礼を受領する場合で結論に差異は生じますか?

第3回 2026年1月27日(火)開催

  • 海外グループ会社各社(GDPR)を含む情報システム基盤(Microsoft365等)を構築する場合、そこにEU圏内の従業者を含む際の制約事項(SCC締結要否、システム構築上の考慮事項等)があればご教示ください。
  • GDPR3条においてビジネス要件(B to B)であれば適用外になるという解釈がありうるのか
  • EEA拠点はないのですが、IR活動として英国へ出張して現地の方と名刺交換などをしています。その後、日本へ帰国して質疑応答結果や当社の会社案内などを送ったりと、日本と英国でコンタクトを行いますが、それはGDPRの規制対象となるのでしょうか。なる場合に、どこまで何をする必要がありますか。
  • 海外子会社の所属者の氏名・連絡先(社用)を日本の社内において共有することおよび逆は何らかの手当をすべきでしょうか。

第4回 2026年2月18日(水)開催

  • 当社(日本法人)は、EUに子会社を有しており、この度、グループ全体で、クラウドのメールセキュリティサービスを導入しようと考えています。メールセキュリティサービスを導入すると、 EU子会社の従業員がメールを受信する前に、日本を経由し、その経由した(送)受信メールの件名とメールアドレスは日本の親会社で閲覧可能となります。また、メールセキュリティサービスで隔離されたメールは、その原本が日本に保持されることになり、メールの内容も管理権限を有する親会社が閲覧可能な状態となります。このような場合、日本の親会社にはGDPR(や各国データ保護法)が域外適用されるのでしょうか。GDPR等の越境移転という整理になるのでしょうか。また、当社とメールセキュリティサービスのベンダーとの関係はどのように整理するのでしょうか。
  • EUの取引先の名刺情報(日本のベンダー)をクラウドサービスを用いて全社で一括管理したり、そこから更に活用(A部署(EU現地法人)が取得した名称情報の取引先にB部署(日本本社)がダイレクトマーケティングを行う等)したりする場合に、GDPR上どのような対応が必要でしょうか。また、GDPR以外では、名刺情報の管理・活用について注意すべき国はありますでしょうか。

第5回 2026年3月10日(火)開催

  • 当社のドイツ子会社は、クラウドサーバー(ドイツに設置)上のデータベースに、個人データを保存しています。この状況で、日本のベンダーにドイツの子会社の業務システムの改修作業を依頼する予定です。改修にあたって、個人データそのものを閲覧・編集することはないのですが、個人データが含まれるデータベースへのアクセス権をブロックするような設定ができず、当該データベースへのアクセス権付与する必要があります。このような場合でも、GDPR上、ドイツから日本のベンダーへの個人データの越境移転に該当するでしょうか。
  • クラウドサービスのデータ保管先について、EU圏の支社のデータ保管先を日本とした場合のリスクを知りたいです。日本は十分性認定を受けていると認識している一方で、クラウドサービスでEU圏の支社とデータ共有する場合、当該支社のデータ保管場所はEU圏内とすべきでしょうか。
  • 複数国に拠点を置く海外子会社のIT環境、とりわけSaaS利用においてGDPRや各国個別法の対応の適合性を効率的に維持する方法、手段を知りたい

第6回 2026年3月31日(火)開催

  • ヨーロッパに本社を有し、日本拠点において業務を行う当社が、ITベンダーに業務委託を行うにあたり、当該ITベンダーが十分性認定のない国(かつプライバシー保護法がまだそれ程発達していない国)に所在するエンジニアを利用するケースについてお伺いしたいです。DPAの締結およびPIAの実施を前提とした場合に、
    • 当社とITベンダーとの契約書において、追加的に規定すべき事項や留意点(例:再委託、国外アクセス、責任分担等)
    • 当該スキームにおいて想定される主なリスク
    • それらのリスクに対する実務上有効と考えられる対策
    • について、GDPRおよび日本の個人情報保護法の観点からご教示いただけますと幸いです。
  • ベトナムで新たに施行予定の個人情報保護法令について、現地に拠点をもたない日本法人が留意するべき点があればご教示いただきたいです。
  • 2026年1月より施行されたベトナムの個人情報保護法について、ベトナムの拠点有無にかかわらず、在ベトナム企業との取引等により個人情報(ベトナム在住の方(国籍は問わない))を取得する場合は、越境移転や取扱にかかる影響評価が必要となるのでしょうか。
  • 当社はSansaを利用して顧客名刺情報をグループ間で共有しています。近時、ベトナムの個人情報保護法が施行されたためベトナムからの情報共有について注意すべきことを教えてください。

参考条文

GDPRの地理的適用範囲に関する条文(第3条)

  1. 本規則(訳注:GDPRのこと)は、その処理がEU域内で行われるものであるか否かを問わず、EU域内のコントローラーまたはプロセッサーの拠点の活動の過程における個人データの処理に適用される。
  2. 個人データの処理活動が以下と関連する場合、本規則は、EU域内に拠点のないコントローラーまたはプロセッサーによるEU域内のデー タ主体の個人データ処理に適用される
    • a.データ主体(訳注:個人データの本人のこと)による支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品もしくはサービスの提供,または
    • b.データ主体の行動がEU域内で行われるものである限り、その行動の監視

※参考:GDPR前文(Recital)23条

EU域内のデータ主体に対して、コントローラーまたはプロセッサーが、物品またはサービスを提供しているか否かを判断するためには、EU域内の一または複数の加盟国内のデータ主体に対して、当該コントローラーまたはプロセッサーが、サービスを提供しようとする意図が明白かどうかを確認しなければならない。

単にコントローラー、プロセッサー、またはその媒介者のEU域内のWeb サイト、電子メールアドレスもしくはその他の連絡先にアクセスできるということ、または、コントローラーが拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分である。一つまたは複数の加盟国内で一般的に用いられている言語および通貨を用いて当該別の言語による物品及びサービスの注文ができること、またはEU域内にいる消費者もしくは利用者に関する言及があることといったような要素があれば、当該コントローラーがEU域内のデータ主体に対して物品またはサービスの提供を想定していることを明白にしうるものである。

GDPRの委託規制に関する条文(第28条)

  1. コントローラーの代わりの者によって個人データの処理が行われる場合、当該コントローラーは、当該処理がGDPRに定める義務に適合するような態様で、適切な技術上および組織上の保護措置を実装することについて十分な保証を提供できるプロセッサー(訳注:委託先)のみを用い、データ主体の権利の保護を確保しなければならない。
  2. (略) 
  3. プロセッサーによる個人データの処理は、コントローラーとの関係に基づきプロセッサーを拘束し、かつ取扱いの対象、期間、性質、目的、個人データの種類、データ主体の類型、ならびにコントローラーの義務および権利を定める契約またはEU法もしくは加盟国法に基づく法律行為によって規律されなければならない。契約またはその他の法律行為においては、プロセッサーが以下のとおり(※)行うことを定めなければならない。
    • ※「以下のとおり」の内容を要約すると次のとおり。
    • (a)コントローラーの文書化された指示にのみ基づいて取扱うこと、(b)守秘義務の確保、(c)適切な安全管理措置の実施、(d)再委託先(サブプロセッサー)の統制、(e)データ主体権利対応の支援、(f)コントローラーのGDPR各種義務遵守に関する支援、(g)処理終了時の個人データ返却・削除義務、(h)監査受入れ・情報提供義務

GDPRの域外移転規制に関する条文(第45~49条)

  1. 第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、国際機関が十分なデータ保護の水準を確保していると欧州委員会が決定した場合、当該第三国又は国際機関への個人データの移転を行うことができる(第45条第1項:十分性認定)。
  2. 第1項で定める適切な保護措置(訳注:第三国又は国際機関への個人データを移転が認められる保護措置のこと)は、監督機関から個別の承認を必要とせず、以下のいずれかによって講じることができる。
  3. (c)第93条第2項で定める審議手続に従って欧州委員会によって採択された標準データ保護条項(第46条第2項:SCCの締結)
  4. 第 45 条第 3 項による十分性認定がない場合、又は拘束的企業準則を含め、第 46 条による適切な保護措置がない場合、以下の条件中のいずれかを満たしている場合においてのみ、第三国又は国際機関への個人データの移転又は個人データ移転の集合を行うことができる。
    • (a) 十分性認定及び適切な保護措置が存在しないために、そのような移転がそのデータ主体に対して発生させる可能性のあるリスクの情報提供を受けた後に、そのデータ主体が、提案された移転に明示的に同意した場合(第49条第1項(a):本人の同意)

参照条文:ベトナム個人データ保護法の適用範囲と域外移転

■ベトナム個人データ保護法の適用範囲に関する条文(第1条2項)

本法(注:ベトナム個人データ保護法)は以下について適用する。

  • a)ベトナムの機関、組織、個人
  • b)ベトナム国内に所在する外国の機関、組織、個人
  • c)ベトナム国民またはベトナムに居住し身分証明書を付与されたベトナム出身者の個人データの処理に直接関与しまたは関連する、外国の機関・組織・個人

■ベトナム個人データ保護法の越境移転の定義に関する条文(第20条1項)

個人データの越境移転に該当する場合:

  • a)ベトナム国内に保存された個人データを、ベトナム国外にある保存システムへ移転する場合
  • b)ベトナム国内の機関、組織又は個人が、個人データを海外の組織または個人へ移転する場合
  • c)ベトナム国内または国外の機関・組織・個人が、ベトナムで収集された個人データを処理するために、ベトナム国外にあるプラットフォームを使用する場合

パネラー

料金

無料

主催

TMIプライバシー&セキュリティコンサルティング株式会社
TMI総合法律事務所

お申込み

関連記事

世界のデータ保護規制 最新アップデート 第1回 米国テキサス州SB2420(アプリストア責任法)

2026年1月1日より、アメリカ・テキサス州で新たな法律「SB2420」(以下「SB2420」)が施行されます。この法律は、アプリストアにおける未成年者保護の強化を目的とし……..続きを読む

関連記事

IGDTAとは何か グローバル企業が注目する「グループ内データ移転契約」

IGDTAとは、同一企業グループ内の各国現地拠点間で個人データを国境を越えて移転する際に、各社間の責任分担や保護措置を明確に規定するための契約のことをいいます。……..続きを読む