講演レポート「グローバルCBPRの概要紹介」（JIPDEC　大下　奈美）

一般財団法人日本情報経済社会推進協会
認定個人情報保護団体事務局
主任研究員　　大下　奈美

データの越境移転について

JIPDEC／ITRが今年1月に実施した「企業IT利活用動向調査」^※1で国内企業の越境移転の状況を調査したところ、多くの企業がAPEC、EU、他地域の国にデータの越境移転を行っていることがわかりました。
国内でのみ事業を展開している企業の場合、越境移転は自社には関係ないと捉えている企業も多いかと思いますが、たとえば外国企業が提供するサービスや、社員管理システムで使っているデータが外国のサーバーを利用している場合は越境移転を行っていることになりますので、越境移転状況のセルフチェックリストで確認してみるとよいでしょう。（図1）

※1　JIPDEC/ITR「企業IT利活用動向調査2024」

図1．越境移転状況のセルフチェック

越境移転を行う場合、グローバルの視点での個人情報の保護や管理が求められます。今回ご紹介するAPEC CBPR認証を取得することで、適切な個人情報の管理が行われていることを外部にPRでき、またデータの取り扱いに対する信用取得、個人データの越境移転が円滑に行える、国や認証機関からの手厚いフォローを受けられるなどのメリットがあります。

CBPR認証制度の概要

APEC CBPR（Cross Border Privacy Rules/APEC越境プライバシールールシステム）は2011年11月に日・米等９つのエコノミーにより運用が開始されました。本制度は現時点で5か国のアカウンタビリティ・エージェント（AA）が、CBPRシステムに参加する事業者の越境個人データの取り扱いについて、プライバシーポリシー等の文書整備、社内ルールの運用がCBPRシステムの要求事項を満たしているかを審査・認証を行っており、JIPDECは2016年に日本で唯一AAに認定されました。（図2）

図2．APEC CBPR参加エコノミー　
注）2024年、マレーシアがCBPRエコノミーに参加

現在のCBPR認証取得事業者数は、2024年9月時点で76社（グループ認証を含めれば約1,800社）が取得していますが、Appleなどの巨大ITを含め米国企業が半数以上を占めており、日本では4社が取得しています。（図3）

図3．APEC CBPR認証取得概況（2024/9時点）

グローバルCBPRについて

2022年4月、わが国を含むAPEC CBPR参加エコノミーにより、さらにグローバルで発展的な越境移転を行うためのグローバルCBPRが発足しました。2022年4月時点の参加国（正会員）である日本、米国、韓国等9か国に加え、2023年4月には英国が準会員として参加を表明しました。これまではAPEC域内に対象国を限定していましたが、今後は域内に捉われずグローバルな制度として広く開かれた制度として発展していこうとしています。

グローバルCBPRの認証については、2024年4月に経済産業省からCBPRグローバル越境プライバシールールシステムの稼働に向けたポリシー、ガイドラインが公表<sup>※2</sup>されましたが、実際にはCBPR認証取得事業者との契約等の調整に時間がかかっているため、少し遅れています。今年の後半あたりから開始されるのではないか、と想定しています。

現在はAPECの認証基準で審査を行っていますが、グローバルCBPR認証が開始された場合には円滑に移行できるよう審査プログラムを準備していますので、現在申請準備をされている事業者の方はぜひご申請ください。

※2　CBPRグローバル越境プライバシールールシステムの稼働に向けた文書（ポリシー、ルール及びガイドライン等）別ウインドウで開く

CBPR認証手続きの概要

CBPR認証手続きの概要、申請フロー、申請書類のダウンロードについてはJIPDECサイトに資料等を公開^※3しています。また、2024年1月に経済産業省／個人情報保護委員会共催「グローバルCBPRの展開・普及ワークショップ」の講演レポート「CBPR認証取得の紹介」^※4も公開していますので、ご参照ください。

申請書類として、認証申請書等の他、APEC認証基準の事前質問書（50問）（様式1－2）と日本の法律に準拠した追加の質問書（様式1－3）の回答が必要となります。「事前質問書（様式1－2　p4）」について図4に記載例を挙げていますが、国内から国外へのデータの移転の流れがわかるようになっているので、この資料を作成することでデータマッピングが可視化できるため、非常に重要でまた便利なものだと思います。

図4．事前質問書（様式1－2）　p4記載例

CBPR認証についてFAQやお問い合わせフォームを用意していますので、不明点などありましたらお問い合わせください。

FAQ

お問い合わせはこちら

本内容は、2024年9月20日に開催されたJIPDECセミナー「グローバルビジネスにおけるデータの利活用と保護　～データ越境移転ルールの最新動向～」講演内容を取りまとめたものです。

講師: JIPDEC　認定個人情報保護団体事務局　主任研究員　　大下　奈美

企業の情報システム部門の責任者として、インフラ管理、IT戦略、IT統制等に携わる。
Ｐマーク、ISMS等の第三者認証事務局業務を多数の企業で行う。
2020年からJIPDECプライバシーマーク審査員。ISO審査員捕資格等を複数保有。2024年より現職。
経済産業省、個人情報保護員会の受託事業に従事するほか、CBPR普及啓発事業に携わる。