2024.01.25
レポート
CBPR認証の概要
個人情報保護委員会事務局国際室
CBPRシステムは、越境プライバシールール(CBPR)に基づく企業認証の制度です。個人情報保護法第28条では、
- ①外国にある第三者へ個人データを提供することについて、本人の同意を得た場合
- ②外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備している場合
- ③外国にある第三者が、個人情報保護委員会が認めた国に所在する場合
のいずれかの場合に、国内の第三者と同様に外国の第三者への個⼈データの提供が可能とされています。
CBPRは、保護措置のための要求事項を企業が遵守していることを証明するメカニズムであり、②の例として個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)に記載があります。CBPRは、企業からの申請に基づき、第三者の認証機関であるアカウンタビリティ・エージェントが審査を行い、認証を付与します。他方、③について、例えば、日EU相互認証等は、国と国とが相互の個人データ保護の水準が同等であると見なして、双方で認め合うものです。国レベルでの個人データの保護水準、すなわち法令の具体的な内容が問題となる③に対して、法令の内容にかかわらず企業単位で適切な水準の個人データ保護が確保することにより個人データの越境流通を促進する仕組みが②でありCBPRであるといえるでしょう。
CBPRシステムの概要
APECでは、2004年にAPECプライバシーフレームワークを策定しました(最新は2015年改正版)。APECプライバシーフレームワークは、現在世界各国の個人情報保護法制度の事実上の基礎となっているOECDプライバシーガイドラインに準拠するもので、9つの原則(被害の防止、通知、収集制限、個人情報の利用、選択、個人情報の完全性、安全管理、アクセス及び訂正、アカウンタビリティ)を示しています。
その後、経済のグローバル化に伴い、国境を越えて流通する個人情報の保護が課題として顕在化しました。この対応策として、2011年にAPEC参加国/地域の事業者がAPECプライバシーフレームワークに基づいて個人情報を保護していることを認証する仕組みであるAPEC CBPRシステムが構築されました。
認証取得のメリット
認証取得のメリットとしては、消費者からの信頼性向上、提供先事業者が取得することで越境移転時のモニタリングコスト低減が見込まれます。また、認証手続きを通じて、つまり第三者の目を入れることで、自社の実務が個人情報保護要件に適合しているか、自社の体制に不備がないかをチェックできる点が挙げられます。また、CBPRは国が関与する第三者認証であることも、利点の一つと言えます。
審査について
APEC CBPR認証取得を希望する事業者は、自社の越境個人情報の保護に関するルールや体制の自己審査を行い、その確認結果を以てアカウンタビリティ・エージェントの審査を受けます。CBPRでは、9つの原則のうち包括的な内容である「被害の防止」を除く8原則について、その詳細な要件を明確化したプログラムリクワイアメントが定められており、事業者は、このプログラムリクワイアメントに沿った50の質問に回答することで自己審査を行います。50の質問の内容はJIPDECのWebサイトで確認することができます。
参加状況
現在、APEC参加国及び地域21のうち9つがAPEC CBPRシステムに参加しています。日本は2014年より参加し、2016年にJIPDECがアカウンタビリティ・エージェントに認定されました。アカウンタビリティ・エージェントとなる組織は国によって異なり、米国や日本は民間団体、韓国やシンガポールは政府系機関が運営しています。2023年10月1日現在、CBPRシステム全体で、アカウンタビリティ・エージェントは7、認証事業者は71社で、日本における認証事業者は4社です。オンライン決済等サービス提供事業者の取得が多い傾向にはありますが、事業内容に関わらず自社の個人データの越境移転状況に沿って取得を検討いただければと思っています。
将来に向けた取組み
個人データ移転先の外国の事業者がCBPR認証を取得していることは、移転元となる日本の事業者にとっても越境移転の信頼性確保につながります。また、参加国や地域が増加し、それぞれの国内法制度の中でCBPRが位置付けられることで、各国間のデータ保護関連規律の相互運用性向上が期待されます。このため、2022年4月21日にわが国を含むAPEC CBPRシステム参加国及び地域により、APEC加盟国以外の国や地域のCBPRシステム参加の枠組みとして「グローバルCBPRフォーラム」が設立されました。
現在、同フォーラムでは新たな認証制度の整備と併せて、参加国及び地域の拡大に向けた仕組み作りや働きかけを行っており、2023年6月には、英国がAPEC参加エコノミー以外で初めて準会員として参加しました。新たな認証制度では、既存のAPEC CBPRアカウンタビリティ・エージェントや認証事業者が円滑に制度移行できるよう、新制度開始時点では求められる個人情報保護要件等はこれまでとほぼ同様になることが想定されますので、取得を検討される場合はまずは既存のAPEC CBPR認証の内容をご確認ください。
CBPR認証の個人情報保護要件は、CBPRシステムに関係する各国政府を中心に事業者団体を含むマルチステークホルダーによって定められた、適切な水準の個人情報保護を実現するものです。自社の個人情報保護実務にアカウンタビリティ・エージェントという第三者の視点を入れ、信頼性を持って自社の取組みを対外的に示すことは、ITの飛躍的な進展に伴い個人情報の取扱いが多様化する中で非常に意義があることだと言えます。CBPR認証に関心をお持ちいただいた方は、ぜひ個人情報保護委員会またはJIPDECにお問い合わせください。
- 本内容は、2023年12月14日福岡、2024年1月10日大阪で開催された「グローバルCBPRの展開・普及ワークショップ」での講演内容を取りまとめたものです。