Japan APPI：個人情報保護コンプライアンス

日本の個人情報保護法 (APPI — 個人情報の保護規定) は、アジアで最も包括的なデータ保護枠組みの 1 つです。 2022 年に大幅に改正され (2022 年 4 月 1 日発効)、必須の 3 年間の見直しサイクルの対象となる APPI は、日本独自の規制アプローチを維持しながら、世界のデータ保護基準に徐々に収束してきました。

2022年の改正では、削除請求権、国境を越えた移転情報開示の義務化、匿名加工情報規則、企業の違反行為に対する最高1億円（66万米ドル）の罰金を伴う執行の強化などが導入された。日本の個人情報保護委員会（PPC）はますます活発化しており、国内外の主要企業に対して指導、調査の実施、強制執行の申し立てを行っている。

重要なポイント

• APPIは日本国内の個人情報取扱事業者に適用されます。域外適用は日本国内の人のデータを収集する海外事業者を対象としている
• 個人情報の収集、利用、第三者提供、安全管理などの取扱い規定
• 特別な注意が必要な個人情報 (機密データ) の収集には明示的な事前同意が必要です
• 国境を越えた転送は制限されています - 同等の保護が適用されている国の第三者、または明示的な個人の同意と情報開示がある国の第三者に許可されています
• 2022 年の新規定: 削除/停止を要求する権利、オプトアウトによる第三者提供のオプトアウト通知の義務化、匿名処理ルール
• PPC は広範な調査権限を持ち、業務停止命令を発行することができる
• 日本と EU は相互に十分性に関する決定を行っています - APPI 準拠の事業体は、合理化されたルールに基づいて EU との間で移転することができます
• APPI は 3 年ごとに必須の審査を受けます - 次の審査サイクルではさらに世界基準との整合性が高まります

---

APPI フレームワークとスコープ

地域適用

APPI は以下に適用されます。

• 国内の個人情報取扱事業者
• 商品またはサービスの提供に関連して日本の個人情報を取り扱う海外事業者 (第 180 条 - 2022 年改正で追加された域外適用)

域外適用は重要です。日本のユーザーを持つ海外企業は、日本の法人を持たずに直接 APPI の対象となるのです。 PPC は海外事業者に命令を出したり、外国当局に情報を提供したりすることができる。

「個人情報取扱事業者」とは何ですか?

ビジネス目的で個人情報のデータベースを使用する人。以前は、5,000 人未満の個人データを扱う事業者は免除されていましたが、2015 年の改正により、この小規模事業者の免除は廃止されました。個人情報データベースを商業目的で使用するすべての企業が対象となります。

主なカテゴリ:

• 個人情報 (個人情報): 名前、生年月日、またはその他の説明によって個人を識別できる生存する個人に関する情報。固有の識別子（マイナンバー、パスポート番号、運転免許証番号、生体認証データ）が含まれます。
• 個人データ (個人データ): データベースを構成する個人情報
• 保有個人データ（保有個人データ）：運営者が開示・訂正・追加・削除・利用停止・消去・第三者提供の停止等の権限を有する個人データ

---

コア APPI 義務

利用目的の特定

第17条では、事業者に対し、個人情報の利用目的をできる限り具体的に特定することを求めています。個人情報を収集する場合、その目的は次のとおりである必要があります。 ・事前に公表（プライバシーポリシー上）

• または収集時に個人に明確に伝えます
• または、書面で個人から直接収集した場合は、フォームに明記されています

利用目的の制限：個人情報は、ご本人の同意なしに特定の目的を超えて利用してはならない。

収集制限

個人情報は、公正かつ適正な手段によって収集しなければなりません。特定の制限: ・偽りその他不正の手段により個人情報を取得しないこと ・書面による直接収集の場合は、用紙に利用目的を明記してください。

• 特定の目的の範囲内で使用する。目的の変更には通知または同意が必要です

要配慮個人情報 (要配慮個人情報): 収集には事前の明示的な同意が必要です。これには以下が含まれます:

• レース
• 信条（宗教または宗教的信念） ・社会的身分（差別につながる正式な戸籍上の区別）
• 病歴
• 犯罪歴
• 犯罪の被害者としての立場
• 身体的または精神的な障害
• 病気や怪我の医療情報
• 遺伝性疾患の検査結果

安全管理措置

第二十三条では、事業者に対し、個人データの漏えい、滅失又はき損の防止のため、個人データの安全管理のために必要かつ適切な措置を講じなければならないこととしております。 PPC ガイドラインでは、次の 4 つのカテゴリの対策が指定されています。

1. 組織的施策：基本方針の制定。管理システムの組織化。取り扱い状況の把握。漏洩への対応
2. 人事措置: 従業員の教育。機密保持契約の締結
3. 物理的措置：個人データ取り扱いエリアへの出入りの管理。デバイスの管理。盗難・紛失防止
4. 技術的対策: アクセス制御。アクセス認証。ウイルス対策。情報システム監視

第三者提供の制限

第 27 条では、本人の事前の同意がない限り、個人データの第三者への提供を制限しています。例外:

• 法律で義務付けられている ・人の生命、身体または財産の保護のため、同意が得られない場合
• 同意が得られない場合の公衆衛生の改善 ・国や地方公共団体との連携
• オプトアウトベース: 運営者が PPC に通知し、個人にオプトアウトの機会を与える場合、同意なしの第三者提供が許可されます (重大な開示要件あり)。

海外法人への第三者提供: 追加の要件が適用される場合があります (「国境を越えた転送」セクションを参照)。

---

個人の権利

2022 年の改正により、個人の権利が大幅に拡大されました。

苦情処理：事業者は、個人情報の取扱いに関する苦情への適切かつ迅速な対応に努めなければなりません。 PPC によって認定された第三者の紛争解決機関は、代替解決を提供することができます。

応答要件: APPI は、特定の暦日の応答期間を設定しません (GDPR の 30 日間とは異なります)。オペレーターは「遅滞なく」応答する必要があります。PPC ガイドラインでは、複雑なリクエストに対しては通常、最長 2 ～ 3 か月以内に応答する必要があると示しています。

---

国境を越えたデータ転送

第 28 条は、個人データの海外提供を制限します。海外の受信者への第三者提供には、次のいずれかが必要です。

1. 本人の同意：海外渡航先や制度などの具体的な情報を提供した上で、事前に本人の同意を得る
2. 同等の保護を有する国：同等の保護レベルを有するとしてPPC政令で指定された国（現在：日EU十分性協定に基づくEU/EEA諸国）への移転
3. 同等の保護を備えたオペレーター: 海外の受信者は同等のデータ保護措置を実施しています (契約、拘束力のある企業規則、またはその他の手段を通じて文書化)

同意に必要な情報開示: 同意に基づく転送の場合、運営者は事前に以下を個人に提供する必要があります。

• 外国の名前
• その国の個人情報保護制度 ・第三者による個人情報の取扱いについての措置

PPC の国情報ページでは、他の国の保護制度に関する参考情報が提供されます。

日本と EU の十分性: 日本と EU は相互十分性協定を結んでいます。日本は ​​EU 委員会から十分性決定を受けており、日本は EU 加盟国が同等の保護を受けていると認めています。これにより、日本↔EU 間のデータ フローが大幅に簡素化されます。

海外転送のための仮名処理: 仮名処理された情報は、PPC 通知と個別のオプトアウトの機会を条件として、オプトアウト ベースで (同意を必要とするのではなく) 海外の第三者に提供できます。

---

仮名加工情報 (仮名加工情報)

2021 年の改正では、個人データと匿名加工情報の間の新しいカテゴリである仮名加工情報 (仮名加工情報) が導入されました。要件:

創作：個人情報を識別するための情報（氏名、生年月日、住所）を特定の符号に置き換える等、他の情報がなければ個人を識別できない状態に加工すること。

用途: 仮名処理された情報は、個人の同意なしに内部分析や研究目的に使用でき、プライバシー リスクを軽減しながらデータ分析が可能になります。

制限事項: ・第三者への提供は致しません（委託事業者や一定条件の企業グループ内を除く）

• 他の情報と照合して個人を特定することはできません
• 個人への連絡には使用できません

セキュリティ: 個人データと同様に安全に管理する必要があります。

---

匿名加工情報 (匿名加工情報)

他の情報があっても再識別できない、真に匿名化されたデータ。要件:

• PPC が指定する匿名化基準に従う (名前/アドレスの置き換え、詳細なデータの一般化、外れ値の抑制、リンク情報の削除を含む不可逆処理)
• 作成された匿名化情報のカテゴリーを公開する
• カテゴリの公開により第三者に提供可能
• 受信者は情報を再識別しようとすることはできません

---

違反通知 (2022 年修正)

2022 年の改正では、違反通知が 必須 になりました (以前は強く推奨されていました)。要件：

PPCへの通知（第26条）：以下のような個人の権利利益を害するおそれのある漏洩、紛失、破損が発生した場合に必要となります。 ・要配慮個人情報の漏洩 ・不正使用による財産的損害のおそれのある漏洩（財務情報・口座情報） ・不正な目的による漏洩（悪意のある内部関係者）

• 1,000人以上に影響を与える漏洩

タイムライン:

• 暫定レポート: 気づいてから 3 ～ 5 営業日以内
• 完全なレポート: 30 日以内 (悪意のある内部侵害の場合は 60 日)

個別通知: 同じ対象イベントには必須 — 個人には遅滞なく通​​知される必要があります。

お知らせ内容（PPCおよび個人宛）： ・事件の概要

• 影響を受けるデータ主体および個人データの種類と数
• 原因と状況 ・二次被害の恐れはないか
• 講じられた措置と計画された措置

---

PPC の執行と罰則

個人情報保護委員会 (PPC) (個人情報保護委員会) は、日本の独立したデータ保護機関です。 2016 年に設立された PPC は広範な監督権限を持っています。

管理権限: ・事業者からの報告・調査請求（第146条）

• 現場検査 ・指導及び助言（第147条） ・勧告（第148条）
• 命令（第 148 条第 2 項） - 事業者は遵守しなければなりません
• 不遵守の公表（第 148 条第 3 項）

罰則:

• PPC命令違反：法人1億円以下**、個人100万円以下** ・PPC調査に対する無報告・虚偽報告：最高50万円 ・第三者データベースの不正提供：最高100万円＋30万円（個人）＋1年以下の懲役（刑事）
• 違法な利益を目的とした個人情報の悪用: 刑事罰、最高 1 年の懲役

PPC はますます活発になってきており、最近の活動には、日本の大手企業に対する調査、海外事業者の義務に関する指導、外国の DPA との協力などが含まれます。

---

APPI コンプライアンス チェックリスト

• APPI 適用性を確認済み (日本運営または日本人ユーザーがいる海外運営者)
• すべての使用目的を明記したプライバシーポリシーを公開
• 収集目的はすべての収集ポイントで明確に指定されています
• 特定された特別な配慮が必要な個人情報 — 事前に明示的な同意を取得
• セキュリティ管理措置の実施（組織、人的、物理的、技術的）
• サードパーティ提供の評価: 共有ごとに文書化された同意または例外
• サードパーティ提供にオプトアウト ベースを使用する場合、PPC にオプトアウト通知が提出される
• 国境を越えた転送メカニズムの決定 (開示への同意、または同等の保護)
• 第三者提供記録の保管（開示請求用）
• 個人の権利対応手順を文書化 (開示、訂正、停止、消去)
• 苦情処理メカニズムの確立
• 侵害通知手順を文書化 (予備的に 3 ～ 5 日、完全に 30 日)
• 仮名/匿名処理手順が使用される場合に確立される
• APPI 義務に関する従業員トレーニングが完了しました
• 該当する場合、海外事業者の指定を確認 (PPC 通知)

---

よくある質問

APPI は日本のユーザーがいる海外の会社にも適用されますか?

はい、2022 年の改正以降です。 APPI 第 180 条は、商品またはサービスの提供に関連して日本の個人情報を取り扱う海外事業者に APPI を適用します。これには、日本のユーザーからデータを収集する海外のウェブサイト、アプリ、サービスが含まれます。海外の通信事業者は、適用されるすべての APPI 規定に準拠する必要があり、PPC の監督の対象となります。 PPC は海外の事業者に命令を出し、相互支援協定に基づいて日本の海外の事業者と情報を共有することができます。

「要配慮個人情報」とは何ですか?なぜ重要ですか?

特別な配慮が必要な個人情報 (要配慮個人情報) は、APPI の機密データに相当し、その収集が不当な差別や偏見につながる可能性のある情報です。人種、信条、社会的身分、病歴、犯罪歴、障害の有無、犯罪被害者としての地位などが含まれます。重要な義務: これらのカテゴリを収集する前に、たとえ収集する根拠がある場合でも、事前に明示的な同意を得る必要があります。黙示の同意、オプトアウト基準、およびその他の下位同意基準は、特別な注意が必要な情報には適用されません。

相互十分性協定の下では、日本と EU 間のデータ フローはどのように機能しますか?

日本とEUは2019年に相互十分性を確立しました。これはユニークな二国間協定です。欧州委員会は日本の十分性に関する決定を採択し、日本は既存の枠組み（補足規則付き）にEUの個人データを含めるようAPPIを修正した。これは、EU→日本の移転は追加のメカニズムなしで許可されることを意味します（ECの十分性決定に基づいて）。日本はEU諸国を同等の保護先として扱うため、日本→EUの移転は認められる。どちらの方向でも、すべての APPI 義務 (日本→EU) およびすべての EU GDPR 義務 (EU→日本) に準拠する必要があります。日本における EU 個人データの補足規則には、GDPR 要件に一致する追加の保護が含まれています。

APPI ではサードパーティの提供にどのような記録が必要ですか?

APPIでは、事業者に対し、個人データを第三者に提供する場合、および第三者から個人データを受け取る場合には、記録の作成を義務付けています。提供の記録には、提供日、第三者の氏名およびその他の詳細、提供された個人データのカテゴリー、提供の状況（法的根拠）、および第三者から取得した場合には個人に関する情報が含まれなければなりません。これらの記録は、指定された期間保存する必要があります（ほとんどの場合は作成から 3 年間、要求に応じて記録を個人と共有できる場合は 1 年間）。個人は、これらの第三者提供記録の開示を請求することができます。

APPI に基づいて DPIA またはプライバシー影響評価が必要になるのはどのような場合ですか?

APPI は、EU GDPR のようにデータ保護影響評価 (DPIA) を特に義務付けていません。しかし、PPC は、高リスクの処理活動、特に大規模な個人データ収集、国境を越えた転送プロジェクト、機密データの新たな使用、プロファイリングや自動化された意思決定を伴う新しいシステムやサービスについて、自主的な PIA を奨励するガイドラインを発行しました。 PIA の実施は PPC によってベストプラクティスとみなされ、組織の説明責任を示します。 APPI と GDPR の両方の対象となる企業の場合、GDPR の必須の DPIA 要件が EU 関連の処理活動に適用されます。

---

次のステップ

日本の APPI は、義務付けられている 3 年間の見直しサイクルを通じて進化を続けており、2025 年の見直しでは、APPI を国際標準とさらに整合させることが期待されています。現在の義務を満たしながら、継続的な更新に対応するコンプライアンス プログラムを構築するには、技術的な専門知識と法的知識の両方が必要です。

ECOSIRE のチームは、日本市場に参入および拡大する企業が APPI 準拠のデータ慣行、日本のユーザー向けのプライバシー ポリシー、および国境を越えたデータ転送メカニズムを実装するのを支援します。

始めましょう: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。 APPI は定期的な見直しと修正の対象となります。あなたの組織に特有のアドバイスについては、資格のある日本の法律顧問にご相談ください。