2024.09.13
レポート
CBPR認証取得と今後への期待
~個人情報保護の困難さとひとつの解~
株式会社インターネットイニシアティブ
技術主幹
三膳 孝通氏
IIJの個人データ・プライバシーに係る取組
株式会社インターネットイニシアティブ(IIJ)は、1992年に設立され、日本初の商用インターネット接続サービスの提供を開始しました。インターネットに対する様々なニーズに対応し、国内外で、企業向け及び個人向けにもサービスを展開しており、アジアを中心に世界12の都市で事業展開をしています。また、ビジネスリスクのコンサルティングサービスも展開しています。
2021年9月には、IIJとして、GDPRに則って「拘束的企業準則(BCR)」の承認を取得しました。これにより、IIJグループが世界中で提供する全サービスは欧州と同等のプライバシー保護レベルにあると見なされ、グループ全体としてプライバシーガバナンスを構築する契機となりました。CBPR認証については、グローバルCBPRの動きも見据えて、認証の取得を決定し、2022年9月に認証を取得しました。
IIJとしては、その他、プライバシーマーク、ISMS、ISMAP等、複数の認証を取得していますが、認証毎にマネジメントシステムを構築すると、複数のマネジメントシステムを運用しなければならなくなるため、1つのマネジメントシステムで対応するようにしています。
国・地域で異なる個人データ・プライバシー法制への対応
個人データ・プライバシーを考える上で、文化的背景が国や地域によって大きく異なっていることを痛感しています。米国は、適切にプライバシーを守りつつ「ビックデータの共有は全世界の人々の利益になる」との考えから、活用していく考え方があるのに対し、欧州では、人種など、個人データに伴うものから人権侵害が生じた歴史的な経緯からも「個人データの管理は個人の基本的人権である」との発想がされています。さらに中国では、「自国域内のデータ管理は自国の国家安全保障の問題である」との発想がされています。
また、日本の個人情報保護法では、個人情報や個人データにどのようなものが該当するかがある程度明確ですが、EUにおいては、個人に関する情報というような形で書かれているのみであるなど、個人データ・プライバシーに関する各地域・国のルールは異なるので、ある程度柔軟に対応するしかありません。
CBPR認証取得の効果
「クラウド事業者としては、GDPRにもCBPRにも対応した世界で唯一の事業者である」という形でPRしています。各国の定める個別の対応は行わなければいけませんが、CBPR認証を取得していることで、組織としてある程度きちんとしていることを対外的に示すことができ、社内のガバナンスツールとしても有効です。
グローバルCBPRへの期待
今後、グループ会社全体としてのガバナンスなどの観点でも、CBPR認証の制度的な改善が進められるならば、アメリカやシンガポールで対応しているPrivacy Recognition for Processors(PRP)認証について、日本における対応を検討していただきたいと思います。弊社グループ内の企業には、コントローラーとしての役割を持つ企業と、プロセッサーとしての役割を持つ企業がいます。海外の競合他社がPRP認証を取得しているようなケースもあります。
今後、様々な関係者の参加のもと、グローバルCBPRの検討・取組が推進され、CBPR認証の認知度が高まり、認証取得も広がっていくとよいと考えています。
- 本内容は、2024年3月22日東京で開催された「グローバルCBPRの展開・普及ワークショップ」での講演内容を取りまとめたものです。
- 講師
- 株式会社インターネットイニシアティブ 技術主幹 三膳 孝通氏
東京工業大学大学院時代(1990年頃)より、インターネットの運用に関わる。1993年4月に株式会社インターネットイニシアティブ企画(現・インターネットイニシアティブ)に入社。
インターネットサービスの立ち上げ、及びサービス設備の運用に従事。その後、サービス開発、戦略企画担当等を経て、常務取締役(技術戦略担当)として総務省等の研究会に数多く参加。2015年6月より、現職。