2026年3月23日

　グローバルCBPRフォーラムによるグローバル越境プライバシールール（CBPR）システムの新プログラム要件公表を受け、新たなプログラム要件に基づくグローバルCBPRの審査を2027年4月より開始する予定です。

　今回の改訂により、グローバルCBPR認証の対象となるプログラム要件は50項目から57項目に拡大され、3つの項目が更新されます。新たなプログラム要件の全文は、グローバルCBPRフォーラムウェブサイトで閲覧可能です。

• グローバルCBPRフォーラム（Global CBPR Forum）別ウインドウで開く
• 新プログラム要件（Global CBPR Forum）（PDF）別ウインドウで開く

今回の改訂により新たに追加となった主な項目は以下のとおりです。

・Sensitive personal information（機微な個人情報）及びChildren's personal information（子どもの個人情報）の取扱いにおいて必要となる手続
・個人情報の漏えいリスクの評価及び軽減のための手続
・本人に対するデータ侵害に係る通知手続

■ 新プログラム要件の実施スケジュール

2027年4月1日以降、初回認証を受ける企業及び再認証を受ける企業は、再認証日までに改訂された新プログラム要件への認証を取得する必要があります。現行プログラム要件で認証を受けた企業は、再認証申請前にプロセスを見直し、改訂されたプログラム要件を実施する猶予期間が設けられます。

※新プログラム要件に対応する認証基準および審査フロー等は確定次第ご案内します。

■ グローバルCBPRシステムとAPEC CBPRシステムの関係

2027年3月31日まで、グローバルCBPRシステムとAPEC CBPRシステムのプログラム要件は同一であり、2027年3月31日までは、両システムの認証が付与されます。

グローバルCBPRシステムプログラム要件において、初めてグローバルCBPRプライバシーフレームワークの核心原則である　「危害防止原則」　を実施するために企業が講じるべき具体的な要件5 項目が明文化されました。これらの新たな要件は以下の通りです：

【危害の防止】
・Sensitive personal information（機微な個人情報）の処理に対する説明責任の強化
・Children's personal information（子どもの個人情報）の処理に対する説明責任の強化
・Children's personal information（子どもの個人情報）取得時の親権者による同意確認
・リスク評価と軽減の手順を義務化
・影響を受ける個人への侵害通知プロセスを義務化

【選択権】
・企業が個人に対しダイレクトマーケティングの受信可否を選択させることを義務化
・企業が個人データ処理の目的達成後、当該データが不要となった場合に、個人が同意を撤回できる仕組みを提供することを義務化

既存のプログラム要件を一部強化した項目
【選択権】
・個人の選択を記録することを義務化

【説明責任】
・企業に対し、処理活動の記録を維持することを義務化
・企業のデータ保護プログラムの遵守責任者は、データ処理活動の性質に応じた適切な資格を有している必要があることを強調