一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

2018.06.25

レポート

自由で公正な情報の流通及び利活用と 個人情報の保護

~越境移転を促進する仕組みとしての APEC CBPRシステム~

2018年5月31日 経済産業省/JIPDEC共催セミナーより

本セミナーは国内企業の皆様にAPEC CBPRシステム*へのご理解を深めていただくことを目的として開催致しました。

本レポートは、セミナーの要旨をまとめたものです。

 *CBPRシステムとは、申請企業がAPEC 加盟国・地域(アジア太平洋の 21 カ国・地域)から移転を受ける個人情報をAPECのプライバシー枠組に則して適切に保護する体制を整えているか、APECから認定された認証機関が審査・認証する仕組みです。APEC 加盟各国・地域においても個人情報の保護への関心が高まる中、この認証システムについても、個人情報の越境移転を円滑化し利活用を推進していく仕組みとして加盟各国・地域の法制度のなかに位置づけられていくことが期待されております。

基調講演(1)「デジタルエコノミーにおけるデータローカライゼーションのインパクトと自由な情報流通を支援する米国政策」

米国商務省 国際通商局 サービス担当副次官補
ジェームス・サリバン氏

■CBPRの重要性
多くの国々がそれぞれ違った規制を導入しており、データローカライゼーションを避けるためにはさまざまな体制間の相互運用性が重要である。
データ流通の制限を緩和するためには、CBPR(Cross Border Privacy Rules)、またPRP (The Privacy Recognition for Processors) が重要である。

アメリカとシンガポールがPRPシステムをデータ処理機関において実施することが認められた最初の2つのエコノミーであり、アメリカの産業界はこれにより海外のパートナー企業が適切なプライバシー慣行を有することを確実にしている。

CBPRシステムは規制当局にとってもプラスになる。AA(Accountability Agent)が中核的な役割を果たし、監視や苦情処理をしているため、当局は情報共有、プライバシー侵害時や法執行においての捜査協力ができ、監視の負担も軽減される。また、プライバシーを適切に保護している企業はそれを立証することができる。私たちは現在、4つの企業をCBPR違反で捜査している。

APECはまた、EU加盟国当局に対してCBPRとEUのGDPRシステムとの相互運用性についても協議している。

基調講演(2)「改正個人情報保護法全面施行1年と 個人情報保護委員会の取組」

個人情報保護委員会 事務局長 其田 真理氏

■個人情報保護法改正から1年の振り返り

個人情報保護法改正のポイントは、1.個人情報保護委員会が設立され同委員会に監督機能が一元化されたこと、2.匿名加工情報に関する制度が導入されたことである。

匿名加工情報に関する制度というのは、委員会規則に定めるスタイルで匿名化すると、目的外あるいは第三者提供といった使い方ができるというものである。ただし、その際には透明性の観点から公表するよう定めている。我々は毎日ウェブサイトをチェックしており、今年4月23日時点で匿名加工利用例314件を確認した。このうち約6割を医薬品小売業、医療福祉系業界が占めている。
我々もこの匿名加工情報制度導入当時、広く国民の役に立つ分野として医療を想定しており、法の趣旨が少しずつ社会で実現していると思っている。

■十分性認定について 

欧州域内からのデータ移転を可能にする方法には、1.十分性認定、2.内部行動規範、3.本人同意という3つのオプションが用意されている。我が国の個人情報保護法にも同様の仕組みがあり、1.国、地域を指定する、2.基準に適合する体制整備、3.本人同意となっている。

欧州と日本の個人情報保護法制の中身は異なるものの、基準に適合する体制の整備については、それぞれの企業が責任を持って行えば良いとされており、フレームが非常に似ているためEUから日本を十分性認定し、日本からはEUを指定すれば相互に個人データのやり取りが可能ということで交渉を続けてきた。

パワーポイント13ページは、いずれEUから十分性認定が決定され、その決定に基づきデータが移転された場合、欧州からのデータについて守るべきことを示したガイドラインの案である。このガイドライン案については先週5月25日までパブリックコメントの手続きを行っており、約180件のご意見を頂いた。

我が国の個人情報保護法とGDPRにはたくさんの相違がある中で、論点をこの5つに絞れたことは非常に良い点であった。パワーポイント14ページにある「③相互の理解、連携及び協力が可能であること」というのは、EUから十分性認定が下りなければこちらもEUを指定しないということである。

パワーポイント15ページは、個人情報保護法のガイドラインに定めるCBPRの規定を紹介している。下のケースはAPEC参加エコノミーにあるY社がCBPRの認証を受けると日本にあるB社からY社へデータ移転して良い、ということ。上のケースは、日本にあるA社がCBPRの認証をとると、APEC参加エコノミーに限らず外国にデータを移転する際の1つのツールになる、という考え方である。CBPRの認証を受けるということは、これは、こういったアウトソーシングをするようなX社に対して、CBPR上適切な監督義務が課せられるためである。

■GDPRについて  

パワーポイント17ページにある通り、個人情報保護委員会ウェブサイトにもGDPR関連情報を掲載している。また、個人情報保護委員会はEEAの協定国を含め31ヵ国のDPA(データ保護機関)や現地の経済団体や企業と対話を行ってきた。
その中でわかったことは、日本では制裁金の話で非常に賑わっているが、EU側の説明によると制裁金は確かに上がったがenforcementレベルが上がったわけではないということである。

EU、EEAのデータ保護機関、情報コミッショナーによると、一般的にはまず企業と対話をし、指導、助言といったプロセスを通じて、どうしても問題があるという時に是正命令を出したり罰金を科すとのことである。

また、GDPRについてはヨーロッパの企業も大変苦労していて、大企業では7割程度対応が進んでいるが、中小企業ではまったく手付かずという回答が多い。EU各国のDPAも5月25日に全ての対応が完了していなければいけないというわけではなく、自社にとって一番のリスクはどこか、どこが関係があるかを検証し、順次対応を進めていって欲しいと言っていた。
 
また、十分性認定と個人情報保護法第24条指定によって、個人データの越境移転は相互に可能となるが、ヨーロッパでビジネスをするならばGDPRは守らなければならない。その時にどこをどう守るか、という点については弁護士やコンサルタントに相談することも良いが、必ず、自社の役員なり、現地スタッフ等自社の社員が自分の目でルールを見て、どうしてもわからないときはDPAに問い合わせることを勧めている。

基調講演(3)「APEC/CBPRシステムと個人情報の域外移転」

経済産業省 商務情報政策局 国際室長
<APEC/電子商取引運営グループ(ECSG)副議長> 角野 慎治氏

■APECについて 

APECはオーストラリア、我が国などの主導の下、1989年にアジア太平洋地域の持続可能な経済開発及び地域協力を目的として設立され、事務局はシンガポールに設置されている。
現在21の国と地域が参加しており、メンバーエコノミーすべてのGDPを足し合わせると全世界の55%、貿易については44%、生産についても全世界の40%を占める。

特筆すべきはそのメンバー構成である。日本、米国、カナダ等の先進国だけではなく、今年の秋にAPECの首脳会議を主催するパプアニューギニアやペルーのような発展途上国もメンバーとして加入している。
また、中国についてはメインランドチャイナだけではなく、香港及びチャイニーズ台北、台湾についても正式なメンバーとして認められていること、また、APECの決定は多数決ではなく、原則コンセンサスで行われるのも特徴の1つと言える。

■CBPRについて 

CBPRシステムは国境を越える個人情報を扱う民間企業のプライバシー保護の枠組みやルールを評価し、これを認証するボランタリーなシステムで、認証に係る審査についてはAccountability Agent(AA)と呼ばれるECSG(Electronic Commerce Steering Group)に承認された認証機関によって行われることになっている。また認証は企業の持つプライバシーポリシーと社内ルールや体制がAPECのプライバシーフレームワークに適合しているかどうかの評価結果に基づき付与されることになっている。

CBPRは2011年にスタートを切って以来、現在までに米国、メキシコ、日本、カナダ、韓国、シンガポールがすでに参加している。また、フィリピン、チャイニーズ台北、台湾、オーストラリアが公式にCBPRへの参加を表明しており、現在、参加申請に向けて準備を続けているところである。これらすべてのエコノミーの参加が実現すればトータルで10のエコノミーが参加し、21あるAPECエコノミーの約半数に至りさらなるネットワーク効果も期待される。

CBPR認証機関は現在のところ米国と日本で1つずつ、日本の認証機関はJIPDECである。
尚、昨年6月にCBPRに加盟した韓国は、KISA(韓国インターネット振興院)を認証機関とする申請書をすでにECSGに対して提出しており、現在CBPR運営パネルメンバーがその審査を行っている。

米国においては現在承認を受けた企業は約20、一方わが国では2016年12月以降、長らくCBPR認証を受けた企業はインタセクトコミュニケーション1社だけであったが、先週GMOグローバルサイン社が新たに加わり2社となった。

パワーポイント8ページはCBPRへの参加要件となっているAPEC越境プライバシー執行のための協力取決めについて説明したものである。Cross-border Privacy Enforcement Arrangement (CPEA)はAPECのメンバーエコノミーのプライバシー法執行機関、日本でいうと個人情報保護委員会だが、国境を越える越境執行協力の促進のための取決めで、プライバシー法執行機関はこの取り組みに参加することで他国のメンバーエコノミーに移転された個人情報に漏洩事案が発生した際、移転先のエコノミーのプライバシー法執行機関に対して情報提供や調査協力の要請を行うことが可能になっている。

現在のところ、この枠組みにはCBPRに参加している6つのエコノミーに加えてオーストラリア、ニュージーランド、香港、シンガポール、フィリピン、チャイニーズ台北の6つのエコノミーが参加している。

また、昨年2月、ベトナムで開催されたECSG会合でGDPRとCBPRの相互運用性を追求すべきという議論があり、昨年8月にGDPR working party29とECSGとの間で第1回会合が開催され、第2回会合は今年8月の開催を予定している。

現在、一部の国においては個人情報の保護を名目に情報の自由な流通を損ねかねないような独自の個人情報保護の枠組みの導入も進められており、このような政策や取り組みが広がることは情報の自由かつ円滑な流通の障害になるとの懸念も高まってきている。

このような過度なデータ保護主義的政策や取り組みに対抗していくためには、情報の自由な流通の確保とプライバシーの適切な保護を両立させる自主的な解決策として、国際的なプライバシーフレームワークやガイドラインに基づく個人情報保護システムの確立と採用を促進していくことが有効な手段として考えられる。

このような状況の下、CBPRシステムはそのようなシステムのベースになりうる大きな可能性を持った主要な解決策であると考えており、米国を含む他のメンバーエコノミーと積極的にその普及に取り組んでいく所存である。

パネルディスカッション「自由で公正な情報の越境流通と個人情報の保護」

<パネリスト>

経済産業省 商務情報政策局 情報経済課長 松田 洋平氏

筑波大学 図書館情報メディア系 准教授 石井 夏生利氏

GMOグローバルサイン株式会社 内部監査室長 兼 Data Protection Officer 木戸 啓介氏

キャタピラージャパン合同会社 代表執行役員 渉外・広報室長 塚本 恵氏

米国商務省 国際通商局 サービス担当副次官補 ジェームス・サリバン氏

個人情報保護委員会 事務局 企画官 石井 純一氏

<モデレータ>

京都大学 客員教授/ 野村総合研究所 上席研究員 横澤 誠氏

■データの活用を円滑にする有効な手段としてのCBPR 

横澤氏)
CBPR認証はデータの活用を円滑にするための強力な手段である。各国で法制度、特にプライバシー保護に関する法制度が変わっていく中で、協調、あるいは相互運用性を図ることは世界的な関心の高いところ。

OECDが1980年にプライバシー8原則を出し、それが今日の各国の法制度の礎となっているが、欧州においてはGDPR、アジアにおいてはCBPRという2つのコンセプトがある。本日のパネルでは、CBPRについて議論を掘り下げて進めて頂く。

石井 夏生利氏)
本日のテーマと関わる越境データ移転について各国の法制度を紹介する。
オーストラリアには1988年プライバシー法があり、プライバシー原則の中の第8原則で「個人情報の越境的開示」があり、移転元事業者が移転先に対して責任を負うというのが越境的なデータ流通に対する一つのルールとなっている。

中国は包括的な個人情報保護法制がないが、データローカライゼーション規制がある。

インドは包括的なデータ保護法は今のところないが、機微情報については移転規制が一部あり、データローカライゼーション規制については政府情報、金融情報、電気通信サービスなどで一部存在する(詳細は講演資料参照)。

CBPR取得のメリットは、アジア各国がそれぞれの法制度を設けている状況下で、第三国における認証制度、それからプライバシーシール、トラストマークというのをその国の国内法に基づく越境データ移転の適法な根拠に用いることが出来る可能性があるという点が挙げられる。

■十分性認定について 

日本が十分性認定を受けることでアジアにも十分性のルールが拡大していくという方向性ができるのでは、と思う。日本が十分性認定を受け、EU加盟国を個人情報保護法第24条に基づき指定すると、日本の法制度がハーモナイゼーションに役立つのではないか。

しかし、十分性認定を受けてもまだ残存する問題がある。GDPRの同意というのは非常に厳格に解釈されており、日本のような包括的な同意やオプトアウトといった同意を擬制するようなスタイル、それから黙示的な同意、こういったものはすべてGDPR上の同意としては有効ではないと評価される可能性が高いということが、企業の懸念として残る点だと思う。
また、契約と混同させる、契約の条項の一つに個人情報の取扱いについての同意を求めるといったような形も認められていないという点も企業が注意する点であろう。

■CBPR認証のメリットについて 
木戸氏)
ルート認証局である当社は、日本国内のシェア46.4%(2018年4月時点)、EU域内2ヵ所(ベルギー、イギリス)を含む世界10ヵ所に拠点を有している。
そのためGDPR対応は不可欠であり、データ保護機関のお墨付きをもらうBCRsか、本社と支店といったグループ内でSCRという契約を結ぶか、いずれかの方法をとらなければならない。BCR Approvalを取るには2年程度、費用も3千万~7千万円程度かかると聞いて困っていたところ、CBPRを取ると合法性が証明されるということで認証を取得することとした。

認証局は毎年、WebTrustもしくはETSIによる外部監査を受けるよう定められており、セキュリティへの対応には元々自信があった。そういった意味では従来からの取組みに大きな変更はなく、対応費用も数百万円程度で済んだ。

塚本氏)
キャタピラージャパン合同会社は建設機械や鉱山機械を作っているアメリカ中西部にある製造業である。本日はキャタピラーという立場以外に在日アメリカ商工会議所(ACCJ)のデジタルcommitteeの共同議長という立場でお話させていただく。

ACCJは日本にある外国系商工会議所の中では最大規模であり、現在のメンバーは日米企業のみならずヨーロッパ系企業の従業員を含め約3,500人に上る。
アメリカ商工会議所は、個人情報が適正に保護されていること自体が市場を健全にする基盤であり、そのうえで自由なデータの流通というのが必要、つまり保護と利用のバランスが重要と常に言っている。

CBPRについては、参加エコノミーも増え、アジア太平洋地域における非常に信頼できるフレームワークだと考えており、ACCJとしてもアメリカ政府に働きかけていくとともに日本のリーダーシップにも期待しつつ、要望するだけではなく私たちも働いていきたいと考えている。

横澤氏)適法性の確保、コスト/リスクの削減というお話に加え、加入社数、参加エコノミーの増加によってメリットが増すというお話を頂いた。
最後に、政府の立場からお話頂きたい。

石井 純一氏)移転先においても移転元と同等の保護が確保されて初めて、移転元の国の法的効力が及ばない他国への個人データの移転が認められるべきではないか、という考え方が個人データの越境移転規制の根底にあると思う。

我が国の個人情報保護法にもこの考え方に基づいて越境移転規制の規定が存在する。個人情報保護委員会は二つの地域の政策、特徴に合わせてそれぞれ政策を推進していく。
まず日本とEUの間では、十分性認定によって国単位で適切な個人情報保護を確保することにより相互に円滑な個人データの移転を実現する枠組みに取組んでいるところである。

アメリカやアジア諸国、地域とは、国単位の保護というよりも個別企業単位による適切な保護を指向しており、そのためAPEC CBPRシステムを促進する政策をとっているところである。
アジア地域は法制度、考え方が多様であり、アジア諸国/地域とともにCBPRシステムを推進しているのは非常に適切であると考えている。

松田氏)アジア太平洋地域の電子商取引市場(BtoC)は2016年に7640億ドルであったが、2020年には1.7倍、1.3兆ドル規模になると予測されている。
このようにデータ流通の重要性が増す中、先ほど石井夏生利先生からご紹介があった通り、APEC域内の個人情報保護法のルール整備は各国がさまざまな形で進めており、データローカライゼーションというべき政策を進めている国もある。

また越境ルールを含めかなり厳格な規律であるEU GDPRが適用され、我が国にとってCBPRの意義、可能性がますます増していると考えている。
他方、参加エコノミーはまだ限られており、アメリカのCBPR認証企業約20社に対して我が国ではまだ2社にとどまっている。ビジネス上の魅力、参加エコノミー数の増加を推進していくことが重要である。

サリバン氏)石井夏生利先生よりDLA PIPERの地図をご提示いただき、アメリカが非常に堅牢なプライバシー法を執行していることを示していただいてよかった。アメリカはプライバシー保護がまったくされていないと一部の人たちが考えているが、連邦、州、産業と多岐にわたる複雑なセクターアプローチをとっていることから生じる誤解である。

横澤氏)日本の個人情報保護法制におけるポジションというのは、CBPRとGDPR両方にうまく対応しているという点でアメリカ同様ユニークだと思う。日本の取り組みが一つのモデルとなって日本型の個人情報保護フレームワークのハーモナイゼーションが世界的に広がることによって、日本企業のメリットも拡大すると思うが。

松田氏)まさにおっしゃる通りで、CBPRの推進と、個人情報保護委員会が行っているGDPRの十分性認定はアジアにおけるルールメイキングのうえで非常に重要だと考えている。
 アジア諸国、地域で個人情報保護に関するさまざまなルール整備が行われているなかで、それが自由かつ公正なものでありCBPRを制度として取り込んでいって頂ければ、CBPR取得メリットが企業にとっても魅力的なものとなり、かつ複数の国々のバラバラなものに対応しなくて良いというメリットが生まれる。