一般財団法人日本情報経済社会推進協会
認定個人情報保護団体事務局　事務局長　奥原　早苗

• 「IT-Report 2025 Winter」全文はこちらから別ウインドウで開く

JIPDECが審査機関を務めるCBPRシステムのうち、正式な制度運用が待たれていたグローバルCBPR¹認証制度の開始がフォーラムよりリリースされ、当協会へも複数の企業からCBPRシステムに関する問合せをいただき、関心の高さがうかがえます。

本稿では、改めてグローバルCBPRの概要を概観し、直近で開催されたフォーラムのワークショップ（2025年5月26～28日：シンガポール／セントーサ島）で得られた情報をレポートします。

• 1　 グローバルCBPRフォーラム（以下、「フォーラム」という。）とAPECが運用する越境データプライバシールールシステムのうち、フォーラムが運営するCBPRシステムを指します。

IT-Report 2025 Spring号でのご案内から、グローバルCBPRの正式な運用の開始、審査機関や準会員に新しいメンバーが加わるなどのアップデートがあり、順調に拡大が進んでいます。

2025年6月2日、フォーラムは、グローバルCBPRシステムの運用を正式に開始しました。これは、越境する個人データの取り扱いを行う企業が、フォーラムの規定する「プライバシーフレームワーク」に準拠していることを示す国際標準の認証制度です。（表1）

CBPRシステムでは、企業が第三者認証機関（アカウンタビリティ・エージェント（以下、「AA」という。））による審査を受け、プライバシー保護の要件を満たしているとして認証されることで、国際的な信頼を獲得します。この認証により、消費者・企業・規制当局間での信頼構築が促進され、個人情報の安全な越境移転が可能となります。2025年9月末時点で、日本（JIPDEC）を含め、五つの法域に計九つのAAがあり、VeraSafeは2025年に新たに認定された審査機関です²。なお、制度の一貫性という点では、表2に示すとおり、全ての法域で対応認証制度、認証単位が異なるため、仕組みの整備が期待されており、日本企業からも、対応認証制度や認証単位の拡充に向けた要望が高まっています。

• 2　「Accountability Agents」（グローバルCBPRフォーラム）　別ウインドウで開く

正会員はAPEC CBPRのメンバーである十の国・地域で、準会員は新たにナイジェリアが加わり、四つの国・地域となりました。英国の準会員への加入を皮切りに、コモンウェルスの加盟国へグローバルCBPRの拡大が期待されていましたが、ナイジェリアの参加により、その他の加盟国への拡がりに弾みがつくことが望まれます。

最後に、認証取得に係る流れをご案内します。

認証取得には七つの段階を経る必要があります。
1） 事前相談（制度の概要説明、申請手続きの確認、様式の記入方法等）
2）申請書をJIPDECへ提出する
3） 審査料の見積り（申請内容に基づき算定：移転先・委託先・データ量・データ流・移転根拠等）
4）文書審査
5）現地審査
6）認証審査会を経て認証の決定
7）認証証の付与

認証審査に係る期間の目安は、3）審査料の見積り内容に合意をいただいてから審査を開始し、7）認証付与までで、およそ3か月です。ただし、初回申請時は、越境移転の業務内容や情報流の正確な把握が必要となるため、申請者から　提出された情報が十分でない場合等、さらに期間を要する場合があります。

審査の工程は2）～5）で、審査が終了した後、有識者、弁護士、消費者等の委員で構成される認証審査会を経て最終的に当協会が認証付与の決定を行います。なお、認証審査会には、CBPRの所管官庁である経済産業省、個人情報保護委員会事務局も出席され、適正に審査が行われたことを第三者の目で確認する仕組みとなっています。

申請にあたっては、CBPR認証のお問い合わせフォームから、お気軽にご相談ください。

• お問い合わせフォーム

ワークショップは、世界各国から政府関係者、規制当局者、データ保護・プライバシー機関、業界リーダーが一堂に会し、グローバルCBPRシステムの推進について議論を行うもので、春と秋に年2回開催されています。シンガポールでは、同時期にアジアを代表するテックイベント「Asia Tech x Singapore 2025（ATxSG 2025）」も開催されました³。

◆開催概要◆
1． 件名：Global CBPR: From Regional to Global（米国・シンガポール政府機関共催）
2．日時：2025年5月26日（月）～5月28日（水）
3． 場所：Village Hotel Sentosa（ Sentosa Island, Singapore）
4．開催：シンガポール情報メディア開発庁（IMDA）

初日は、冒頭にフォーラム議長の米国商務省シャノン・コー氏より活動方針として、グローバルCBPRシステムの運用開始、プログラム要求事項の更新、参加メンバーの拡大等の報告があり、メンバーの拡大においては、年2回のワークショップ以外でステークホルダーに貢献する機会を提供したい旨の発言がありました。

その後、当日のパネル1「越境データの拡大に向けたグローバルCBPRの役割」では、米国国務省サイバースペース・デジタル政策局のカミーユ・フォード氏より、CBPRを支持する理由の一つとして、「政権交代の際、上層部から得た明確な許可と指針のうち、特にグローバルCBPRは政権が表明した優先事項の多くに合致している」点が挙げられ、以下が具体的な例として示されました。

• イノベーションと成長を重要視する
  
• 経済の大半は何らかの形でデジタル化されている。適切に機能するためには、安全で信頼できる国境を越えたデータの流れが必須である
• 海外のデジタル規制に焦点を当て、デジタル貿易や一般的なデータの流れを阻む障壁に対する解決策を提案したい（CBPRは、自主的で柔軟性があり、法的強制力はあるが規制がない解決策として提案可）
• 他の政府機関の要望（データローカライゼーション等の課題）に積極的に関与し前進させる

日本の政府機関からは、ビジネストレンドやビジネスセクターの要望を把握することの重要性と、それらが新たなCBPRメンバーとして戦略的パートナーを招聘するために必要である旨の発言がありました。また、日本のAI開発者のニーズとして、インドやインドネシア等、他のAIエコシステムとパートナーシップを結ぶことが挙げられ、CBPRと合わせて進めていくことも示されました。最後に、大きな課題としての相互運用性についても言及がありまし
た。

今後わが国でも他の認証制度とのマッピング調査等を通じ、すでに何らかの認証制度を取得している企業に対し、認証申請へのハードルを下げる検討も進めていくことが求められると思われ、JIPDECとしても、企業のニーズをキャッチアップしてグローバルCBPRの拡大に寄与したいと考えています。

企業事例としては、米国で認証を受けた企業の発表がありました。CBPR認証制度が米国で開始された当初は普及するかどうか分からないため俯瞰していましたが、3年程度の期間を経て取り組みを開始された企業です。認証取得の理由は、①自社の企業価値と一致していたこと、②顧客やパートナー企業、政府機関に対して自社のデータの取り扱いが国際的なデータ保護基準に適合していることを保証する証として示すことができること、③対外的な相手や顧客との議論、コンプライアンス監査等で取得が役立つこと等が挙げられました。それらの具体例として、個人情報保護に関する契約上の問題で行き詰まった際、CBPRにより課題が解決したことが示され、CBPRを信頼の証として活用している事例として参加者からも複数の質問が寄せられていました。

JIPDECは、「アカウンタビリティ・エージェントの設立と審査工程、事例と課題」というテーマで、シンガポール、米国、チャイニーズ・タイペイのAAと共にAAパネルに登壇しました。プレゼンテーションの内容は、①審査工程（審査ステップ、重要ポイント、一貫性のある審査体系に向けて）、②AA間における認証レベルの統一（文書審査の標準化、審査期間と審査内容の整合性）、③AA設立に向けて（運営母体の特徴と戦略）等を主要ポイントとして説明しました。会場からは、異なる法域で制度を実施するにあたり、制度内容が正確に反映されたシステム文書に基づく運用が可能なのか、申請企業のコストに関する質問等が寄せられ、規制当局や企業の関心の高さがうかがえました。

次回のグローバルCBPRワークショップは、10月にフィリピンのボラカイ島で開催されることが決定しており、今回もJIPDECはAAパネルに登壇することが決まっています。引き続き、IT-Reportを通じて参加報告等最新情報をお伝えしていきます。

• 3　 日本からは岸デジタル大臣政務官が出席されるなど、55か国から約3,000人が参加する国際的な一大テクノロジーイベント。