行政書士 一般知識 問47：情報通信・個人情報保護

正答はイです。個人情報保護委員会が「日本と同等の水準にある個人情報保護制度を有する国・地域」と認定した場合（現時点ではEUおよび英国が対象）、その国・地域にある第三者への提供は国内の第三者提供と同様の扱いとなり、原則として27条（第三者提供の制限・本人同意原則）が適用されます（通常の同意原則で処理できる）。ア（誤）：国外の第三者への提供には、原則として本人の同意（または特定の例外措置）が必要です（28条1項）。相手国の法制のレベルを問わず同意不要というのは誤りです。ウ（誤）：2022年改正により、本人の同意を得る際には、①当該外国の名称、②当該外国における個人情報保護に関する制度に関する情報、③当該第三者が講ずる個人情報保護のための措置等を本人に提供することが義務付けられました（28条2項）。包括的な説明では不十分です。エ（正確に近いですが）：基準適合体制（28条3項・委員会規則3条）の要件を満たす契約締結等の場合、本人同意なく提供できますが、イの方がより基本的な制度理解を問う正答です。オ（誤）：越境移転規制は2022年改正前から存在しており（旧法24条）、2022年改正で情報提供義務が強化・詳細化されました。

イが正答です。28条1項但書は「個人情報保護委員会規則で定める基準に適合する体制を整備している者（第3号）」および「個人の権利利益の保護に関する我が国の水準と同等の水準にあると認められる個人情報保護制度を有している外国の地域（委員会規則で指定）にある第三者（第1号）」への提供を例外として本人同意なく認めています。現在EU・英国が第1号の「十分性認定国」として委員会規則で指定されており、これらへの提供は28条の特則ではなく通常の27条の第三者提供規律が適用される（国内移転と同等扱い）となります。ウ（誤）：2022年改正（令和3年改正）により28条2項が新設・強化され、本人から同意を得る際に「①外国の名称、②制度情報、③当該第三者の措置に関する情報」の提供が義務化されました。「名称不要・包括的説明で足りる」とするウは2022年改正後の現行法に照らして誤りです。エについて：基準適合体制（契約・CBPRs等）による提供（28条3項・委員会規則3条）は本人同意なく可能ですが、その場合は委員会規則の要件を満たす必要があります。

【越境移転規制の制度構造（28条の全体像）】

28条の越境移転規制は原則と例外の構造を持ちます。原則（28条1項）：外国にある第三者に個人データを提供する際は本人の同意が必要。例外：①十分性認定国・地域への提供（委員会規則が指定する国・地域：現在EUおよび英国）、②基準適合体制を整備している第三者への提供（28条3項・委員会規則3条）、③その他の27条の例外（法令に基づく場合・生命身体財産保護等）。2022年改正の主要変更点は、同意取得時に「相手国名・制度情報・措置情報」の提供義務（28条2項）と、基準適合体制（例外②）を利用して提供した場合の継続的な適切取扱い確保義務（28条4項）・委員会への報告義務（28条5項）が加わったことです。

【十分性認定と日EU相互認証】

EUおよび英国が委員会規則で指定された背景には、日本とEUの相互承認（2019年1月発効）があります。EUはGDPRに基づき「十分性認定」（第三国が適切な保護水準を確保していると判断した場合に移転を許可）を日本に対して行い、日本も個人情報保護委員会規則でEU・英国を指定しています。この相互承認は、日EU間のデータ移転を円滑にするための国際的枠組みです。日本→EU方向のデータ移転（GDPRの十分性認定）では、日本の個人情報保護法の規律がGDPR水準と同等と認められています。ただしこの十分性認定は更新が必要であり、一方が認定を撤回した場合は相互認証の効力が失われます。

【基準適合体制（委員会規則3条）の実務的対応】

十分性認定国以外（米国・中国・東南アジア諸国等）への個人データ移転を本人同意なく行うためには「基準適合体制」が必要です。具体的には①外国の第三者が個人情報保護法の規定に相当する措置を継続的に講ずるために必要な体制（委員会規則3条1号）、②APECの越境プライバシールール（CBPRs：Cross Border Privacy Rules）に対応する体制（委員会規則3条2号）が認められています。実務的には、外国の受領者との間に適切なデータ処理契約（DPA：Data Processing Agreement）を締結し、日本の個人情報保護法の基準に相当する内容を約定することが主要な対応方法です。2022年改正後は提供後も継続的な確保義務（28条4項）と委員会報告義務（28条5項）があり、「締結して終わり」ではなく継続管理が求められます。

【上位資格・実務への接続】

越境移転規制はグローバルビジネスを行う企業にとって最も実務的インパクトが大きい規律の一つです。米国・中国・インド等の主要拠点との間でのデータ移転（従業員情報・顧客情報・マーケティングデータ等）を適法に行うためには、28条の規律の正確な理解と対応が不可欠です。中国では「データセキュリティ法」「個人情報保護法」（PIPL：2021年施行）により中国国内で収集したデータの国外移転に厳格な規制が設けられており、日本→中国のデータ移転は日本法に加えて中国PIPLへの対応も必要です。行政書士として企業の国際取引支援・外国人在留資格申請等を行う際、個人情報の越境移転が発生するケースを適切に把握・対応するための基礎知識として本論点は重要です。

【根拠条文】

個人情報の保護に関する法律 第28条第1項（外国の第三者への提供の原則：本人同意）・第28条第2項（本人同意時の情報提供義務：外国名・制度情報・措置情報）・第28条第3項（基準適合体制による例外）・第28条第4項・第5項（2022年改正：継続確保義務・委員会報告）

※条番号は令和3年改正後（2022年4月全面施行）の現行条文に基づく。

【補足】

越境移転は原則本人同意（28条1項）。例外：①十分性認定国（現在EU・英国）は国内移転と同等扱い、②基準適合体制（28条3項）。2022年改正で同意取得時の外国名・制度情報提供が義務化（28条2項）。