2026年8月25日(火) 12:30〜13:00 Zoomによるウェビナー

Global Privacy Lounge 第11回~世界各国の個人情報保護法対応実務の疑問に答える~
※お申し込みの際は、ぜひ「パネラーへの質問」を記載ください。セミナー内のトークテーマとさせていただきます。
※お時間の都合で回答しきれなかったご質問についても次回以降のトークテーマにさせていただきます。
講演趣旨
国際的なデータ保護の潮流を踏まえ、各国で個人情報保護法の制定・改正が加速しています。EUのGDPRを起点に、中国、米国の州法、ブラジル・韓国・インド・ASEAN諸国など、ほぼ毎年のように新たな法令やガイドライン等が登場し、グローバルビジネスの拡大とともに、企業の法務・コンプライアンス担当者は常に“動く標的”への対応に追われています。
本シリーズでは、日本も含む世界各国のデータ保護法対応をテーマに、最新の法改正・執行動向をカバーしつつ、事前に寄せられた質問を題材に、実務経験豊富なパネラーが具体的な対応策や実務上の論点をディスカッション形式で解説します。
月1回30分の定期配信で、グローバルプライバシーの潮流を確実にフォローし、企業実務のアップデートを支援します。ラジオ感覚でお楽しみください。
第11回 トークテーマ
(取り上げる質問)
- Sensitive Dataを取り扱う場合GDPRではDPOの設定が必須ですが、法に規定がない国においてもDPOを設置するほうが良いのでしょうか。費用を考えなければDPOを置くほうが良いのはわかるのですが、費用が発生しても設置した方が良いと考えられる場合、その理由を教えて下さい。
- 代理人やDPOを置かなかった場合に摘発されるリスクはどの程度のものでしょうか。
お申し込みの際、日本も含む世界各国のデータ保護法 に関するご質問を是非ご記載ください。次回以降のGlobal Privacy Loungeでトークテーマにさせていただきます。欧州(GDPR・UK GDPR)、アメリカ、中国、タイ、ベトナム、シンガポール、台湾などの個人情報保護法へのご質問も大歓迎です。
参考条文
GDPRの地理的適用範囲に関する条文(第3条)
- 本規則(訳注:GDPRのこと)は、その処理がEU域内で行われるものであるか否かを問わず、EU域内のコントローラーまたはプロセッサーの拠点の活動の過程における個人データの処理に適用される。
- 個人データの処理活動が以下と関連する場合、本規則は、EU域内に拠点のないコントローラーまたはプロセッサーによるEU域内のデー タ主体の個人データ処理に適用される
- a.データ主体(訳注:個人データの本人のこと)による支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品もしくはサービスの提供,または
- b.データ主体の行動がEU域内で行われるものである限り、その行動の監視
※参考:GDPR前文(Recital)23条
EU域内のデータ主体に対して、コントローラーまたはプロセッサーが、物品またはサービスを提供しているか否かを判断するためには、EU域内の一または複数の加盟国内のデータ主体に対して、当該コントローラーまたはプロセッサーが、サービスを提供しようとする意図が明白かどうかを確認しなければならない。
単にコントローラー、プロセッサー、またはその媒介者のEU域内のWeb サイト、電子メールアドレスもしくはその他の連絡先にアクセスできるということ、または、コントローラーが拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分である。一つまたは複数の加盟国内で一般的に用いられている言語および通貨を用いて当該別の言語による物品及びサービスの注文ができること、またはEU域内にいる消費者もしくは利用者に関する言及があることといったような要素があれば、当該コントローラーがEU域内のデータ主体に対して物品またはサービスの提供を想定していることを明白にしうるものである。
GDPRの委託規制に関する条文(第28条)
- コントローラーの代わりの者によって個人データの処理が行われる場合、当該コントローラーは、当該処理がGDPRに定める義務に適合するような態様で、適切な技術上および組織上の保護措置を実装することについて十分な保証を提供できるプロセッサー(注:委託先)のみを用い、データ主体の権利の保護を確保しなければならない。
- (略)
- プロセッサーによる個人データの処理は、コントローラーとの関係に基づきプロセッサーを拘束し、かつ取扱いの対象、期間、性質、目的、個人データの種類、データ主体の類型、ならびにコントローラーの義務および権利を定める契約またはEU法もしくは加盟国法に基づく法律行為によって規律されなければならない。契約またはその他の法律行為においては、プロセッサーが以下のとおり(※)行うことを定めなければならない。
※「以下のとおり」の内容を要約すると次のとおり。
(a)コントローラーの文書化された指示にのみ基づいて取扱うこと、(b)守秘義務の確保、(c)適切な安全管理措置の実施、(d)再委託先(サブプロセッサー)の統制、(e)データ主体権利対応の支援、(f)コントローラーのGDPR各種義務遵守に関する支援、(g)処理終了時の個人データ返却・削除義務、(h)監査受入れ・情報提供義務
GDPRの域外移転規制に関する条文(第45~49条)
- 第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、国際機関が十分なデータ保護の水準を確保していると欧州委員会が決定した場合、当該第三国又は国際機関への個人データの移転を行うことができる(第45条第1項:十分性認定)。
- 第1項で定める適切な保護措置(訳注:第三国又は国際機関への個人データを移転が認められる保護措置のこと)は、監督機関から個別の承認を必要とせず、以下のいずれかによって講じることができる。(c)第93条第2項で定める審議手続に従って欧州委員会によって採択された標準データ保護条項(第46条第2項:SCCの締結)
- 第 45 条第 3 項による十分性認定がない場合、又は拘束的企業準則を含め、第 46 条による適切な保護措置がない場合、以下の条件中のいずれかを満たしている場合においてのみ、第三国又は国際機関への個人データの移転又は個人データ移転の集合を行うことができる。(a) 十分性認定及び適切な保護措置が存在しないために、そのような移転がそのデータ主体に対して発生させる可能性のあるリスクの情報提供を受けた後に、そのデータ主体が、提案された移転に明示的に同意した場合(第49条第1項(a):本人の同意)
ベトナム個人データ保護法の適用範囲と域外移転
■ベトナム個人データ保護法の適用範囲に関する条文(第1条2項)
本法(注:ベトナム個人データ保護法)は以下について適用する。
- a)ベトナムの機関、組織、個人
- b)ベトナム国内に所在する外国の機関、組織、個人
- c)ベトナム国民またはベトナムに居住し身分証明書を付与されたベトナム出身者の個人データの処理に直接関与しまたは関連する、外国の機関・組織・個人
■ベトナム個人データ保護法の越境移転の定義に関する条文(第20条1項)
個人データの越境移転に該当する場合:
- a)ベトナム国内に保存された個人データを、ベトナム国外にある保存システムへ移転する場合
- b)ベトナム国内の機関、組織又は個人が、個人データを海外の組織または個人へ移転する場合
- c)ベトナム国内または国外の機関・組織・個人が、ベトナムで収集された個人データを処理するために、ベトナム国外にあるプラットフォームを使用する場合
■GDPRにおける個人情報の取扱い法的根拠に関する条文(第6条1項)※カッコ内はパネラーによる追記
個人情報の取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で適法である。
- (a) データ主体が、一つまたは複数の特定目的のための自己の個人情報の取扱いに関し、同意を与えた場合(同意)
- (b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、または契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合(契約履行)
- (c) コントローラーが服する法的義務を遵守するために個人情報の取扱いが必要となる場合(法的義務)
- (d) データ主体または他の自然人の生命に関する利益を保護するために取扱いが必要となる場合(生命利益)
- (e) 公共の利益において、またはコントローラーに与えられた公的な権限の行使において行われる職務の遂行のために個人情報の取扱いが必要となる場合(公的権限)
- (f) コントローラーによって、または第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、当該利益よりも、個人情報の保護を求めるデータ主体の利益ならびに基本的な権利および自由のほうが優先する場合、特にそのデータ主体が子どもである場合を除く(正当な利益)
■GDPRにおける子どもの同意に適用される要件(第8条1項)
子どもに対する直接的な情報社会サービスの提供との関係において、第6条第1項(a)(注意:法的根拠として同意を用いる場合)が適用される場合、その子どもが16歳以上であるときは、その子どもの個人データの取扱いは適法である。
その子どもが16歳未満の場合、そのような取扱いは、その子どもの親権上の責任のある者によって同意が与えられた場合、またはその者によってそれが承認された場合に限り、かつその範囲内に限り適法である。
加盟国は、その年齢が13 歳を下回らない限り、法律によって、それらの目的のためのより低い年齢を定めることができる。
パネラー
TMI総合法律事務所 弁護士
2016年弁護士登録後、TMI総合法律事務所勤務。2019年から2021年までバンコクオフィス駐在、2022年米国コロンビア大学ロースクール修了、2023年ニューヨーク州弁護士登録。
近著として、「データ利活用のビジネスと法務」(共著、2024年5月、中央経済社)、「サイバーセキュリティ対応の企業実務 -平時・有事における組織的・法的対策の進め方-」(共著、2023年9月、中央経済社)等。
TMI総合法律事務所 弁護士
2016年中央大学法学部法律学科卒業。2019年一橋大学法科大学院修了。2020年弁護士登録。2021年TMI総合法律事務所勤務。個人情報保護法・海外データ保護法制を中心に、データ利活用、セキュリティインシデント対応、IT・通信・アプリ法務、税務、一般企業法務等を幅広く取り扱っている。「個人情報管理ハンドブック〔第5版〕」(共著、商事法務、2022年)、「ここがポイント!改正個人情報保護法の留意点(Vol.3 個人情報の安全管理措置)」(共著、ニッキンONLINE、2022年)ほか。
開催日時
2026年8月25日(火) 12:30〜13:00
Zoomによる配信
料金
無料
主催
TMIプライバシー&セキュリティコンサルティング株式会社
TMI総合法律事務所
※お申し込みの際は、ぜひ「パネラーへの質問」を記載ください。セミナー内のトークテーマとさせていただきます。
※お時間の都合で回答しきれなかったご質問についても次回以降のトークテーマにさせていただきます。
過去の Global Privacy Lounge はこちら
関連記事
世界のデータ保護規制 最新アップデート 第1回 米国テキサス州SB2420(アプリストア責任法)
2026年1月1日より、アメリカ・テキサス州で新たな法律「SB2420」(以下「SB2420」)が施行されます。この法律は、アプリストアにおける未成年者保護の強化を目的とし……..続きを読む
関連記事
IGDTAとは何か グローバル企業が注目する「グループ内データ移転契約」
IGDTAとは、同一企業グループ内の各国現地拠点間で個人データを国境を越えて移転する際に、各社間の責任分担や保護措置を明確に規定するための契約のことをいいます。……..続きを読む