海外プライバシー法への対応手順

GDPR、CCPA/CPRA、UK GDPR、LGPD、PDPAなど主要法の多くは域外適用規定を持っています。海外に拠点がなくても、海外ユーザーにサービスを提供していれば適用される可能性があります。また、利用しているSaaSが海外にデータを保管している場合には越境移転の問題が生じます（関連：SaaS・クラウド利用時の個人データ管理）。

データ主体（どの国のユーザー・従業員・取引先担当者か）、データの種類、収集方法、保管場所、処理の内容、共有先を整理します。PIAの実施と連動させると効率的です（関連：PIAの始め方）。

データフローに基づき適用の可能性がある法令をリストアップします。全てを詳細に調査する必要はなく、次のステップで優先順位を付けます。

執行リスク、データの量と種類、事業上の重要性を基準に優先順位を付け、短期（1〜3ヶ月）・中期（3〜6ヶ月）・長期（6ヶ月〜）のロードマップを作成します。

現地法律事務所への相談時は、データフロー図、具体的な質問リスト、自社の想定対応案を提供すると実務に落とし込みやすい回答が得られます。AIサービス利用に伴う越境移転の論点については社内AIガイドラインの作り方のチェック③もご覧ください。

法律事務所LEACTには、CIPP/E、CIPM、CISSPを保有する弁護士が在籍しています。法律の解釈だけでなく、現地法律事務所との連携、社内への実装までを一貫して支援します。