2022年4月1日に施行された改正個人情報保護法において、外国の個人情報の保護に関する制度等の調査が必要となるケースが多くあります。例えば、外国のクラウドサービスやデータセンターの利用、外国のベンダへの委託、外国のグループ会社との情報共有、外国の会社や政府機関への情報提供などが典型的な場面です。
民間企業が独自に外国の法制度を調査することは難しいため、個人情報保護委員会は「諸外国・地域の法制度」のページで、以下の40か国について法制度の調査結果を公表しています。

□米国（連邦）、□米国（イリノイ州）、□米国（カリフォルニア州）、□米国（ニューヨーク州）、□アラブ首長国連邦（連邦）、□アラブ首長国連邦（ADGM）、□アラブ首長国連邦（DHC）、□ アラブ首長国連邦（DIFC）、□インド、□インドネシア、□ウクライナ、□オーストラリア、□カナダ、□カンボジア、□シンガポール、□スイス、□タイ、□韓国、□台湾、□中国、□トルコ、□ニュージーランド、□フィリピン、□ブラジル、□ベトナム、□香港、□マレーシア、□ミャンマー、□メキシコ、□ラオス、□ロシア、□イスラエル、□カタール、□コスタリカ、□チュニジア、□パナマ、□ペルー、□南アフリカ、□モロッコ、□モンゴル

これらの調査は、定期的にアップデートしていく必要があります（施行規則18条1項1号参照）。そこで、牛島総合法律事務所では、外国の法律事務所に依頼して、個人情報保護委員会の調査報告にアップデートがあるかを順次確認し、本ウェブページで公開しております。

また、上記40か国以外の国について、民間企業が独自に外国の法制度を調査することは更に難しいように思われます。
そこで、これらの国についても、外国の法律事務所に依頼して、当該外国の個人情報保護法その他の個人情報の保護に関する制度について調査を行い、本ウェブページで公表しております。
（最終更新：2024年4月10日）

個人情報保護委員会による「諸外国・地域の法制度」のアップデート

赤字部分が個人情報保護委員会の原文からのアップデート箇所です。
なお、アップデートの確認は順次行っておりますので、本項に記載がない国について、アップデートがないことは意味しておりません。

• オーストラリア連邦（macpherson kelley）2023.9.15
  　法制度アップデート版（日本語）、英語版、原文の出典：個人情報保護委員会ウェブサイト
• カナダ（Miller Thomson LLP）2023.9.21
  　原文にアップデートがないことを確認済み、原文：個人情報保護委員会ウェブサイト
• シンガポール共和国（Quahe Woo & Palmer LLC）2023.9.13
  　法制度アップデート版（日本語）、英語版、原文の出典：個人情報保護委員会ウェブサイト
• 中華人民共和国（北京市中倫律師事務所）2023.10.4
  　法制度アップデート版（日本語）、英語版、原文の出典：個人情報保護委員会ウェブサイト
• ブラジル（Lobo De Rizzo）2023.10.14
  　原文にアップデートがないことを確認済み、原文：個人情報保護委員会ウェブサイト
• 香港（北京市中倫律師事務所香港オフィス）2023.10.10
  　法制度アップデート版（日本語）、英語版、原文の出典：個人情報保護委員会ウェブサイト
• メキシコ合衆国（Ritch, Mueller y Nicolau, S.C.）2023.9.30
  　原文にアップデートがないことを確認済み、原文：個人情報保護委員会ウェブサイト

個人情報保護委員会が情報提供していない国の法制度

• 米国 テキサス州（Polsinelli）2022.6.17
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• 米国 マサチューセッツ州（Polsinelli）2022.6.17（アップデートがないことを2023.9.14に確認）
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• 米国 ワシントン州（Polsinelli）2022.6.17
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• アルゼンチン（Zang, Bergel & Viñes Abogados）2022.4.1
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• イラク（Iraq Law Alliance, PLLCs）2022.7.15
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• イラン（Torossian, Avanessian and Associates）2022.4.5
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• ウズベキスタン（Dentons Tashkent）2022.8.16
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• ウルグアイ（Guyer & Regules）2022.7.20
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• エクアドル（Pérez Bustamante & Ponce）2022.8.6
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• エジプト（Marghany Advocates）2022.7.7
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• エチオピア（Mesfin Tafesse & Associates Law Office）2022.4.4
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• オマーン（Addleshaw Goddard Oman）2022.11.21
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• カザフスタン（Grata Law Firm）2022.4.4
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• キューバ（Specialized Law Office (BES)）2022.10.25
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• グアテマラ（Lexincorp）2022.5.13
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• ケイマン諸島（Mourant Ozannes (Cayman) LLP）2022.5.13
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• ケニア（WAMAE & ALLEN ADVOCATES）2022.11.11
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• コートジボワール（Chauveau & Associés）2022.10.4
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• コロンビア（Lloreda Camacho & Co.）2022.4.4（2024.1.17アップデート）
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• サウジアラビア（Omar Alrasheed Law Firm）2022.4.4
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• スリランカ（Varners）2022.11.8
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• セルビア（Serbia）2024.3.6
  　サマリー（日本語）　レポート英語本文　日本語仮訳
• タンザニア（Hilton Law Group）2022.9.16
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• チリ（Urenda, Rencoret, Orrego & Dörr）2022.4.8
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• トルクメニスタン（Medet Company Ltd.）2022.7.25
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• ナイジェリア（Udo Udoma and Belo-Osagie）2022.4.6
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• パキスタン（Kabraji & Talibuddin）2022.8.4
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• バミューダ諸島（Conyers Dill & Pearman Limited）2022.4.5（2024.4.10アップデート）
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• バングラデシュ（Doulah & Doulah）2022.4.1
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• ブルネイ（Messrs. Pengiran Izad & Lee）2022.6.24
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• ベネズエラ（LEGA Abogados）2022.4.15
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• マーシャル諸島（Reeder & Simpson, P.C.）2022.7.13
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• モザンビーク（JLA – Jamal Advogados, Sociedade Unipessoal, Lda）2022.4.4
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• モーリシャス（Appleby）2022.3.30
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• ヨルダン（Aljazy & Co）2022.4.28
  　サマリー（日本語）　レポート英語原文　日本語仮訳
• リビア（Zahaf & Partners Law Firm）2022.9.18
  　サマリー（日本語）　レポート英語原文　日本語仮訳

本調査の背景事情等は、以下のとおりです。

外国の法制度を調査する義務

2022年4月1日に施行された令和2年改正個人情報保護法において、外国の個人情報の保護に関する制度を把握する必要が生じています。
具体的には、以下の場面です。

• 23条（安全管理措置）：通則ガイドライン（別添）10-7
  10-7 外的環境の把握
  個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
• 32条（保有個人データに関する事項の公表等）：通則ガイドライン3-8-1(1)
  （外的環境の把握）
  事例）個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施
• 28条2項（「同意」に基づく外国にある第三者への個人データの提供）
  （規則17条2項）
  法第28条第2項又は法第31条第1項第2号の規定による情報の提供は、次に掲げる事項について行うものとする。
  (1)当該外国の名称
  (2)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
  (3)当該第三者が講ずる個人情報の保護のための措置に関する情報
• 28条3項（「相当措置」（体制整備）に基づく外国にある第三者への個人データの提供）
  （規則18条1項）
  法第28条第3項（法第31条第2項において読み替えて準用する場合を含む。）の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
  (1) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
  (2) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ（法第31条第2項において読み替えて準用する場合にあっては、個人関連情報）の当該第三者への提供を停止すること。

個人情報保護委員会による情報提供と牛島総合法律事務所による調査

冒頭で述べたとおり、以下の40か国については、個人情報保護委員会がウェブサイトで調査結果を公表しています。
□米国（連邦）、□米国（イリノイ州）、□米国（カリフォルニア州）、□米国（ニューヨーク州）、□アラブ首長国連邦（連邦）、□アラブ首長国連邦（ADGM）、□アラブ首長国連邦（DHC）、□ アラブ首長国連邦（DIFC）、□インド、□インドネシア、□ウクライナ、□オーストラリア、□カナダ、□カンボジア、□シンガポール、□スイス、□タイ、□韓国、□台湾、□中国、□トルコ、□ニュージーランド、□フィリピン、□ブラジル、□ベトナム、□香港、□マレーシア、□ミャンマー、□メキシコ、□ラオス、□ロシア、□イスラエル、□カタール、□コスタリカ、□チュニジア、□パナマ、□ペルー、□南アフリカ、□モロッコ、□モンゴル

しかしながら、この調査結果はアップデートされておりません。また、個人情報保護委員会の調査ではカバーされていない国に個人データを移転する際には、独自の調査が必要となります。
そこで、当事務所がクライアントからご依頼を受けた国について、現地の法律事務所によるアップデートの有無の確認及び調査結果を公表することとした次第です。公表を了承して下さったクライアント及び各国の法律事務所に厚く御礼申し上げます。
なお、当事務所は、調査結果の正確性や妥当性について責任を負いませんので、調査結果のご利用は自らのご判断で行っていただきますようお願い申し上げます。

本調査でカバーできるものと、カバーできていないもの

個人情報保護委員会の調査及び当事務所の調査は、前述の個人情報保護法23条及び32条の外的環境の把握、並びに28条の制度の調査をカバーすることを目的としております。これは、日本の個人情報取扱事業者が海外に個人データを移転した際に、本人がどのような保護が受けられるのか、また本人にどのようなリスクがあるのかを明らかにするものであり、(1)日本から外国への移転するために必要な調査ということになります。
しかしながら、企業が海外で個人情報を取り扱うための対応としては、これではカバーし切れていません。(2)現地で企業が個人情報を取り扱うために必要な現地法の規制をクリアすることと、(3)現地から日本への移転の規制をクリアすることが必要となるためです。

(2)では、例えば、プライバシーポリシーやプライバシーノーティス等で、どのような情報を提供する必要があるか、個人情報の処理に同意が必要か法的根拠が必要か、当局への届出等が必要かなどが典型的に問題となります。
(3)では、外国に移転する際の規制をクリアするための契約（Data Transfer Agreement等）を締結したり、本人の同意を得たりする必要がある国が多く存在します。

牛島総合法律事務所では、これらの外国法制に対応したグローバルな情報管理体制の構築について、多数の経験を有しております。
データマッピングの支援から、グローバルなプライバシーポリシー、個人情報管理規程、各種細則やひな形等のドラフト、従業員教育までを、世界各国の法律事務所とのネットワークを活かして、各国弁護士のレビューを含めてワンストップで1つのプロジェクトとして遂行可能です。

お問い合わせ

外国の個人情報の保護に関する制度、グループ企業内でのグローバルな情報管理体制の構築、GDPR・CCPA・中国個人情報保護法をはじめとする世界各国の個人情報保護法対応につきまして、以下からお気軽にお問い合わせ下さい。
お問い合わせ（担当：影島広泰・辻晃平）

※本稿は一般的な法令情報を提供するものであり、日本法以外の法に関するアドバイスや法的意見を提供するものではありません。

ニューズレターのメール配信はこちら

関連セミナー

• 中国個人情報保護法（データ3法）の下での越境移転の実務｜無料U&Pリーガルセミナー

• ベトナム個人情報保護政令への実務対応｜無料U&Pリーガルセミナー