This document discusses several questions regarding complying with personal information protection regulations in various countries when operating services and sharing data internationally. It addresses questions about managing user/customer data from overseas in Japan, sharing employee data globally in a cloud system, and ensuring proper procedures for reporting and decision-making processes that involve personal data from foreign branches. The expert emphasizes the need to carefully research and understand regulations in all relevant countries to identify risk, ensure proper data handling, and establish global policies in compliance with local rules.

1. 0
（公開版）
世界各国の『個人情報保護法』対応
－ポストGDPRの各国規制対応－
TMI総合法律事務所 弁護士大井哲也

2. 1
受講により解決すべき課題

3. 2
Q.当社は日本でインターネットサービス提供していますが、海外でもサー
ビス展開する計画があります。その際にユーザ情報を日本（サーバは日本
国内）で管理できますか？その際にケアすべき法令は何ですか？
Q.日本の親会社が、海外子会社と共同して、海外の法人顧客と取引をする
際に法人の担当者名刺情報を共有することができますか？当社は法人顧客
しかいないのであまり個人情報保護規制をケアしていません。
例：トヨタJPがトヨタUSと共同でテスラと取引をする際に、トヨタUSが
保有するテスラの担当者名刺情報をトヨタJPに共有できますか？
受講により解決すべき課題（１）

4. 3
Q.当社は世界 60カ国の海外拠点を持つ商社です。この度、グローバルで
人事管理クラウドを導入し、世界各国の社員の情報管理を一括管理したい
と思っています。その際には、どのような規制をクリアする必要がありま
すか？
Q.世界各国の個人情報保護法には、個人データの国外移転規制があると聞
いています。しかし、当社法務部では、海外法令を対応する機能がありま
せん。どのように海外の弁護士を起用し、海外法令の対応を実施していけ
ばよいですか？
受講により解決すべき課題（２）

5. 4
Q.当社はEU地域に拠点があり、日本本社にて、EUの個人データを取扱っ
ているためGDPR対応を日本法人で実施しました。もっとも、中国、イン
ド、シンガポール、タイ、ベトナムなどのアジア圏、US、ブラジルなどの
北米・南米地域にも拠点があり、個人データを取扱っていますが、何も対
応していません。これらの国の個人情報保護法は、日本本社には域外適用
されないのでしょうか？
Q.また、これらの海外拠点から個人データを共有していますが各国の個人
情報保護法（国外移転規制）の対応は不要でしょうか？特に海外拠点から
は何も言われていませんが心配です。
受講により解決すべき課題（3）

6. 5
Q.当社は、海外拠点での内部不正行為を日本本社にて設置した内部通報窓
口で受け付けています。日本では公益通報者保護法があり、同法に従った
内部通報規程を策定しています。EUでも同様の内部通報規制があると聞い
ていますが、EUの内部通報規制に対応した規程はなく、日本の内部通報規
程を英訳したものを流用しています。EUの内部通報規制に対応しなくてよ
いでしょうか？
Q.内部通報に限らず、海外拠点からの報告や稟議・決裁事項が日本本社に
上がってきます。これらには、社員や取引先の個人データが含まれていま
すが、各国の個人情報保護法（国外移転規制）の対応は不要でしょうか？
受講により解決すべき課題（4）

7. 6
Q.当社は、EU地域の拠点のほか、アジア、北米・南米、アフリカに合計で
60か国に現地法人・支店と店舗を有しています。GDPR以外でも海外の個
人情報保護規制に対応する必要があることは分かっていますが、具体的に
どのようなアクションが必要なのか、どこまでの対応をすべきかの勘所が
ありません。また、そもそも、各国の個人情報保護法をリサーチする機能
もなく、海外法令対応が止まっています。
Q.令和2年の改正個人情報保護法では、「外国にある第三者への提供規制
」が強化され、移転先の国の個人情報保護法の制度を説明する必要があり
ます。60か国の法制度をどのようにリサーチすればよいですか？
受講により解決すべき課題（5）

8. IT 分野における主な取扱分野
ＥＵ一般データ保護規則・個人情報保護法･不正競争防止法に基づく情
報管理体制の構築及びその監査
ビッグデータの利･活用のプロセス監査、適法性監査
ベンダ及びユーザ間のシステム･アプリ開発訴訟
フォレンジック調査を伴う情報セキュリティ･インシデント対応、
第三者調査委員会の組成
クラウド･コンピューティング導入･利用契約
インターネット･インフラ、コンテンツ、SNS に関する法務
マイナンバー法対応、マイナンバー法に対応した個人情報管理体制の
見直し
7

9. 8
目次

10. 9
目 次
世界各国において調査すべき法令の選別
１．世界主要国の個人情報保護規制の概観
（１）個人情報保護規制違反リスクの考え方
・要求事項の厳格度
・制裁・罰則の金額
（２）各国規制のリスク・マッピング
（３）個人情報保護規制の準拠法の考え方
２．個人情報保護規制の類型
（１）個人の権利保護目的の個人情報保護法
（２）データ・ローカライゼーション規制
３．世界各国の個人情報保護規制のクリアランス・アプローチ
（１）データ・マッピング
（２）データ活用手法とマーケット・スケールの分析
（３）各国ローカル規制対応とグローバル方針策定の手順

11. 10
目 次
４．世界主要国の個人情報保護規制の解説
（１）インド
（２）シンガポール
（３）韓国
（４）香港
（５）タイ
（６）マレーシア
（７）台湾
（８）フィリピン
（９）オーストラリア
（１０）アメリカ（カリフォルニア州個人情報保護法）
（１１）ロシア
（１２）中国

12. 11
個人情報に関連する法令

13. ◼個人情報保護法
◼データ・ローカライゼーション規制
◼輸出管理規制（日本の場合の外為法・USなどの輸出管理規制）
例：武器転用可能な技術情報の移転の場合
◼電気通信事業に関する業法規制（ライセンス･許認可）
◼IT 法
◼地図情報に関する業法規制
◼消費者保護法
12
個人情報に関連する調査すべき法令の選別

14. 13
個人情報保護規制違反リスク

15. 14
海外居住者を情報主体とするビッグデータの規制
個人情報保護規制違反リスクの考え方
👁個人情報保護規制の違反リスクの判断視点は、４軸
視点①：個人情報保護規制内容からの厳格度
－行為規制の精緻度・厳格度から見た各国規制を俯瞰する
GDPR、USのFTCなど業界ルール
インド、シンガポール・香港、韓国・台湾
※日本は緩い
－罰則の高さから見た各国規制を俯瞰する
GDPRが突出して高い EU各国は、GDPRと同水準
US CCPAは、民事集団訴訟＋損害賠償の予定
中国などデータローカライゼーション規制は、事業自体が阻害
※日本は緩い

16. 15
海外居住者を情報主体とするビッグデータの規制
各国規制のリスク・マッピング
視点②：保有・管理・利用する個人情報のボリューム・数量
視点③：保有・管理・利用する個人情報の性質・機微性の度合い
－機微性の考え方＝「機微情報」「特別の保護必要な個人情報」
・不変性（生涯にわたって変わらない情報か？）
例：虹彩・指紋・顔認証画像・生年月日⇔住所・氏名・職業⇔デバイ
ス識別子・Cookieデータ）
・ひとたび漏れてしまうと取り返しがつかないか？
例：美容整形履歴・犯罪歴
・不正利用に使われやすいか？
例：子供の属性・クレジットカード情報・マイナンバー
視点④：個人情報の利用形態
契約の履行のために必要な利用形態か、ビッグデータ利活用やマーケティ
ングでの活用か？

17. 16
海外居住者を情報主体とするビッグデータの規制
個人情報保護規制の準拠法の考え方
（原則）海外の現地法人が当該国の個人情報保護規制を遵守すれば足りる
（例外）
（i）日本企業に「域外適用」される場合
例：GDPRの域外適用条項、CCPA、タイ、中国、ベトナムなど少数
(ii) 域外移転規制の効果として日本企業に移転元国の個人情報保護法の遵
守義務が課される場合
例：GDPR域外移転規制条項、シンガポール国外移転規制など多数

18. 17
案件事例紹介

19. 18
１．顧客・ユーザ情報の保有事例
①ソーシャル･サービスのグローバル展開
Q.中国･台湾･韓国でのソーシャルサービスのユーザ情報を日本（サーバは
日本国内）で管理できるか？
②日本の事業者の海外子会社との顧客情報の共有
Q.日本の親会社が、海外子会社と共同して、海外の顧客と取引をする際に
法人の担当者名刺情報を共有することができるか？
例：トヨタJPがトヨタUSと共同でテスラと取引をする際に、トヨタUSが
保有するテスラの担当者名刺情報をトヨタJPに共有できるか？
案件事例紹介（1）

20. 19
２．社員情報の保有事例
グローバルに拠点を持つ日本の商社の基幹システム統合。
Q.世界 60カ国に拠点を持つ商社の人事管理システムをシステム統合し、
日本（サーバは日本国内）で一括管理できるか？
Q.その際には、どのような手段で各国の個人情報保護法のパーソナル･デ
ータ国外移転規制をクリアできるか？
案件事例紹介（2）

21. 20
２．グローバル内部通報制度・稟議フローの導入
グローバルに拠点を持つ日本の事業会社の内部通報制度導入。
従前は、拠点（国）単位で内部通報窓口を設置
Q.各拠点社員が、国を超えて日本の事業会社の内部通報窓口に社内不祥事
情報を通報できるか？
Q.その際にどのような法令のケアが必要となるか？
◼各国の個人情報保護法を遵守 通報者・被通報者の個人情報の移転
◼内部通報制度関連法令を遵守 制度設計に対する縛り
◼労働法 労働者としての通報者の不利益的取扱いの禁止
案件事例紹介（3）
案件事例紹介（3）

22. 個人情報保護規制
日本の個人情報保護法対応
匿名加工手続き規程・ガイドライン
作成
ビッグデータ取扱いの法令・規制調査
匿名加工手続の手法・粒度の適法性
監査
データ保護規制支援メニュー
21

23. 世界のデータ保護規制
GDPR対応
アジア・ヨーロッパ・アフリカ・
US・南米各国・オセアニア・ロシア
の個人情報保護法対応
データ・ローカライゼーション規制
地図データ保護規制
データ保護規制支援メニュー
22

24. データの収集・
匿名加工
データ収集プライバシーポリシーの
作成
匿名加工手続き規程・ガイドライン
作成
ビッグデータ取扱いの法令・規制調査
匿名加工手続の手法・粒度の適法性
監査
ビッグデータ活用支援メニュー①
23

25. データの第三者提供
データ提供契約の作成
提供するデータセットの適法性監査
データの不正利用の防止措置
データの不正利用に対する法的措置
ビッグデータ活用支援メニュー②
24

26. 25
講師紹介

27. TMI 総合法律事務所パートナー弁護士 大井 哲也
- TMIプライバシー＆セキュリティコンサルティング代表取締役
- 経済産業省商務情報政策局情報セキュリティ政策室有識者ワーキンググループ委員
- クラウド利用促進機構（ＣＵＰＡ）法律アドバイザー
- プライスウォーターハウスクーパース株式会社サイバーセキュリティセンターアドバイ
ザリーボード
Tel：03-6438-5554
Mail：toi@tmi.gr.jp
www.tetsuyaoi.com Facebook,Twitter “大井哲也”
講師紹介
26

28. 主な取扱分野
M&A、IPO、企業間紛争･訴訟。
クラウドコンピューティング、インターネット･インフラ/コンテンツ、
SNS、アプリ･システム開発、情報セキュリティーの各産業分野における
実務に精通し、情報セキュリティマネジメントシステム（ISMS）認証
機関公平性委員会委員長、社団法人クラウド利用促進機構（CUPA）
法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォー
ス委員を歴任する。
情報漏えい対応、ビッグデータ活用、情報管理体制の整備を専門とする。
日本経済新聞社 2015年、2016年、2019年弁護士ランキング選出
27