2026年2月18日(水) 12:30〜13:00 Zoomによるウェビナー
Global Privacy Lounge 第4回~世界各国の個人情報保護法対応実務の疑問に答える~
クラウド(SaaS)利用と海外個人情報保護法
※お申し込みの際は、ぜひ「パネラーへの質問」を記載ください。セミナー内のトークテーマとさせていただきます。
※お時間の都合で回答しきれなかったご質問についても次回以降のトークテーマにさせていただきます。
講演趣旨
国際的なデータ保護の潮流を踏まえ、各国で個人情報保護法の制定・改正が加速しています。EUのGDPRを起点に、中国、米国の州法、ブラジル・韓国・インド・ASEAN諸国など、ほぼ毎年のように新たな法令やガイドライン等が登場し、グローバルビジネスの拡大とともに、企業の法務・コンプライアンス担当者は常に“動く標的”への対応に追われています。
本シリーズでは、日本も含む世界各国のデータ保護法対応をテーマに、最新の法改正・執行動向をカバーしつつ、事前に寄せられた質問を題材に、実務経験豊富なパネラーが具体的な対応策や実務上の論点をディスカッション形式で解説します。
月1回30分の定期配信で、グローバルプライバシーの潮流を確実にフォローし、企業実務のアップデートを支援します。ラジオ感覚でお楽しみください。
第4回 トークテーマ
(取り上げる質問)
- 前提として、日本の親会社がクラウド型のメールセキュリティサービス(日本リージョンで稼働)を導入し、日本の親会社が管理者となって、EU子会社にも、そのメールセキュリティサービスが適用されるようにするという想定でのご質問です。この場合、EU子会社の従業員がメールを受信する前に、日本を経由し、その経由した(送)受信メールの件名とメールアドレスは日本の親会社で閲覧可能になります。また、メールセキュリティサービスで隔離されたメールは、その原本が日本に保持されることになり、メールの内容も管理権限を有する親会社が閲覧可能な状態となります。このような場合、日本の親会社にはGDPR(や各国データ保護法)が域外適用されるのでしょうか。それとも、あくまでEU子会社が管理者、日本の親会社が管理者又は処理者として、GDPR等の越境移転という整理になるのでしょうか。それとも、そもそもGDPR等は関係ないのでしょうか。また、域外適用や越境移転となると、日本の親会社とクラウドサービスの会社との関係はどのように整理するのでしょうか?
- 国内外の取引先の名刺情報をクラウドサービスを用いて全社で一括管理したり、そこから更に活用(A部署が取得した名称情報の取引先にB部署がダイレクトマーケティングを行う等)したりする場合に、GDPR上どのような対応が必要でしょうか。また、GDPR以外では、名刺情報の管理・活用について注意すべき国はありますでしょうか。
- ドイツにサーバを設置するクラウド環境上に、同じくドイツの子会社が取得し保存している個人データが保存されているとします。この状況において、日本のベンダーにドイツの子会社の業務システムの改修作業を依頼し、当該クラウド環境へのアクセス権付与することについて、GDPR上ドイツから日本への越境移転に該当するものでしょうか。業務システムの改修作業にあたってドイツの子会社が保有する個人データそのものの取扱いは生じないものの、個人データへのアクセス権をブロックするような設定ができず、当該日本のベンダーはアクセスしようと思えばに容易にアクセスできる権限で当該クラウド環境にアクセスします。このように、個人データそのものの取扱いがないとしても、個人データ保存環境へのアクセス権を付与するまででも、GDPR上、当該日本のベンダーによるアクセスについては、ドイツから日本への個人データの越境移転に該当するとの解釈となり得ますでしょうか。
お申し込みの際、「GDPR適用の該否判断について」やデータマッピング、日本も含む世界各国のデータ保護法 に関するご質問を是非ご記載ください。次回以降のGlobal Privacy Loungeでトークテーマにさせていただきます。
参考条文
GDPRの地理的適用範囲に関する条文(第3条)
- 本規則(訳注:GDPRのこと)は、その処理がEU域内で行われるものであるか否かを問わず、EU域内のコントローラーまたはプロセッサーの拠点の活動の過程における個人データの処理に適用される。
- 個人データの処理活動が以下と関連する場合、本規則は、EU域内に拠点のないコントローラーまたはプロセッサーによるEU域内のデー タ主体の個人データ処理に適用される
- a.データ主体(訳注:個人データの本人のこと)による支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品もしくはサービスの提供,または
- b.データ主体の行動がEU域内で行われるものである限り、その行動の監視
※参考:GDPR前文(Recital)23条
EU域内のデータ主体に対して、コントローラーまたはプロセッサーが、物品またはサービスを提供しているか否かを判断するためには、EU域内の一または複数の加盟国内のデータ主体に対して、当該コントローラーまたはプロセッサーが、サービスを提供しようとする意図が明白かどうかを確認しなければならない。
単にコントローラー、プロセッサー、またはその媒介者のEU域内のWeb サイト、電子メールアドレスもしくはその他の連絡先にアクセスできるということ、または、コントローラーが拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分である。一つまたは複数の加盟国内で一般的に用いられている言語および通貨を用いて当該別の言語による物品及びサービスの注文ができること、またはEU域内にいる消費者もしくは利用者に関する言及があることといったような要素があれば、当該コントローラーがEU域内のデータ主体に対して物品またはサービスの提供を想定していることを明白にしうるものである。
パネラー
TMI総合法律事務所 弁護士
2016年弁護士登録後、TMI総合法律事務所勤務。2019年から2021年までバンコクオフィス駐在、2022年米国コロンビア大学ロースクール修了、2023年ニューヨーク州弁護士登録。
近著として、「データ利活用のビジネスと法務」(共著、2024年5月、中央経済社)、「サイバーセキュリティ対応の企業実務 -平時・有事における組織的・法的対策の進め方-」(共著、2023年9月、中央経済社)等。
TMI総合法律事務所 弁護士
2016年中央大学法学部法律学科卒業。2019年一橋大学法科大学院修了。2020年弁護士登録。2021年TMI総合法律事務所勤務。個人情報保護法・海外データ保護法制を中心に、データ利活用、セキュリティインシデント対応、IT・通信・アプリ法務、税務、一般企業法務等を幅広く取り扱っている。「個人情報管理ハンドブック〔第5版〕」(共著、商事法務、2022年)、「ここがポイント!改正個人情報保護法の留意点(Vol.3 個人情報の安全管理措置)」(共著、ニッキンONLINE、2022年)ほか。
開催日時
2026年2月18日(水) 12:30〜13:00
Zoomによる配信
料金
無料
主催
TMIプライバシー&セキュリティコンサルティング株式会社
TMI総合法律事務所
※お申し込みの際は、ぜひ「パネラーへの質問」を記載ください。セミナー内のトークテーマとさせていただきます。
※お時間の都合で回答しきれなかったご質問についても次回以降のトークテーマにさせていただきます。
関連記事
世界のデータ保護規制 最新アップデート 第1回 米国テキサス州SB2420(アプリストア責任法)
2026年1月1日より、アメリカ・テキサス州で新たな法律「SB2420」(以下「SB2420」)が施行されます。この法律は、アプリストアにおける未成年者保護の強化を目的とし……..続きを読む
関連記事
IGDTAとは何か グローバル企業が注目する「グループ内データ移転契約」
IGDTAとは、同一企業グループ内の各国現地拠点間で個人データを国境を越えて移転する際に、各社間の責任分担や保護措置を明確に規定するための契約のことをいいます。……..続きを読む