インタセクト・コミュニケーションズ株式会社
リスク管理室　室長　甘利　友朗氏

• 印刷用PDFファイルをダウンロード

• 講演資料

• ディスカッションレポート（PDFのみ）ファイルをダウンロード

CBPR（Cross Border Privacy Rules/APEC越境プライバシーシステム）認証とは、企業等の越境個人データの保護に関して、APECプライバシー原則への適合性を認証するシステムです。
21のエコノミーからなるAPECのうち、日本のほか、アメリカ、カナダ、オーストラリア、韓国など現在9ヶ国が参加しており、イギリスも参加に意欲的です。認証取得事業者は9ヶ国合わせて71社（日本は5社）あり、インタセクト・コミュニケーションズも取得しています。※1。

• CBPR（Cross Border Privacy Rules/APEC越境プライバシーシステム）

• ※1.CBPR認証事業者一覧（日本）

当社は、アジア各国の各種決済サービスに対応したQRマルチ決済「IntaPay」事業を拡大する中で、越境ECやインバウンド対応等含めサービスのエコシステムを推進する必要がありました。

例えば、中国の消費者と日本の事業者（ECサイト、土産店、百貨店など）間で行う越境ECの場合、個人情報の授受が発生します。実際、決済サービス自体では個人情報の授受は発生しませんが、問い合わせ対応や荷物発送時などエコシステム全体で考えた場合には授受が考えられ、越境時の個人情報流通に対する策を考える必要がありました。そこで、アジアエリアの事業拡大のため、CBPR認証を取得する判断に至り、日本第一号認証事業者として2016年に初回取得をしています。

申請方法の詳細は、JIPDECのWEBサイト（CBPR認証を申請される事業者へ）をご覧いただきたいのですが、簡単に言うと、プライバシーマーク付与事業者であれば問題ないレベルの認証基準を満たした上で、CBPR用の50の質問に回答し、根拠となる文書を事務局に提出することで取得可能です。

50の質問に関しては、ドキュメント「APEC越境プライバシールールシステム事前質問書（JIPDEC）」が公開されており、質問内容を知ることができます。通知や取得の制限、個人情報の利用や、セキュリティに関する具体的な対策などに回答することで、APEC基準の越境データ移転に自社がどの程度対応できているのかレベル感を把握することができ、取得の際の調査・計画策定等の省力化にもつながります。

なお、当社が初回取得した際は、事務局1.5人で対応し、その後の運用・更新等も同じ人数で対応しています。前提として、当社がPマーク認証を取得済みであったため、申請時の根拠資料を用意しやすい環境だったこともあります。越境ビジネスを重視している取引先への信頼向上、競合他社との差別化、リスクの最小化などCBPR認証取得のメリットを多く感じています。

また、クラウド環境でデータ越境移転する/しないはリージョン（データセンター設置エリア）をベースに考え、準拠法が日本になるようにすると対策が検討しやすくなります。さらに、クラウドの環境チェックサービス、多要素認証サービス、暗号化サービスなど様々なサービスを組み合わせることで、セキュリティ対策と説明の労力が省力化できました。

違う側面では、災害対策や脱炭素という視点においても、調査等の作業時間の削減、企業が被る被害の最小化などにも活用できると考えています。　

越境での個人情報の授受が発生するビジネスモデルをお持ちの企業であれば、CBPR認証の取得やクラウドを利用することで、多くのことを省力化できるためとても効率的になります。ぜひご検討いただくと良いと思います。

• CBPR認証を申請される事業者へ
• JIPDEC「APEC越境プライバシールールシステム事前質問書」（Wordをダウンロード）