4月21日、APEC(アジア太平洋経済協力)のCBPR(越境プライバシールール)に参加する国・地域が、より広い地域における個人データの円滑な越境移転促進を目的として、「Global CBPRフォーラム」の設立に向けた宣言に合意した。一方、わが国の個人情報保護委員会は、信頼性のある自由な個人データの国際流通(DFFT=Data Free Flow with Trust)推進のため、関係各国等との議論を重ねている。こうした状況のもと、わが国が提唱するDFFTを実現する観点からも、既存のAPECを含む越境データ移転に関する最新の動向を把握することは極めて重要である。
そこで、経団連は9月21日、デジタルエコノミー推進委員会企画部会国際戦略ワーキング・グループ(横澤誠主査)をオンラインで開催し、個人情報保護委員会事務局の石井純一企画官から、Global CBPRフォーラムをはじめ国際的な取り組み状況等について説明を聴いた。概要は次のとおり。
■ APEC CBPRの認証を通じた越境データ移転の仕組み
APECでは、企業における個人情報の保護水準がAPECプライバシーフレームワーク(注1)を満たしているかどうか、その適合性を認証する仕組みとして、CBPRを実施している。CBPRの認証を希望する事業者は、個人情報の保護に関するルール・体制等に関して自己審査を行ったうえで、APECの認定を受けた認証機関から審査を受ける。
日本の個人情報保護法では、ガイドラインにおいて、個人データの越境移転規制に対応する手段としてCBPRを明示している。同法ガイドラインでは、「外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備している」ことの例として、提供元や提供先がCBPRの認証を得ていることを定めている。提供先がCBPRの認証を取得している場合のほか、同認証を取得した国内の事業者も、自らに代わって個人データを取り扱わせるために海外の事業者に移転することが可能である。
■ Global CBPRフォーラムの設立
APECにおけるCBPRの普及・推進に向けた取り組みにもかかわらず、2022年9月現在、CBPRの認証を取得した企業は米国で41社、日本は4社にとどまっている。こうしたなか、「非APEC参加国・地域も企業認証制度としてCBPRを活用できるように、グローバル化すべき」との意見を踏まえ、22年4月21日、日本を含む7カ国・地域(注2)が新たに「Global CBPRフォーラム」の設立を宣言した。
同フォーラムでは、認証の対象をAPEC参加国・地域に限定していた現行のCBPRから、非APEC参加国・地域も認証を取得できる「Global CBPRシステム」への移行に向け、具体的な施策を議論している。引き続き、CBPR認証機関の認証基準のあり方等に関する検討を深め、「Global CBPRシステム」が欧州も含む広範な国・地域において、信頼性のある越境データ流通のための実効あるツールとして利用されることを目指していく。
(注1)アジア太平洋地域における電子商取引の促進を目的として、04年にAPECが策定したプライバシーに関する共通ルール。APECは加盟国・地域に対し、同ルールに基づく国内個人情報保護制度の策定を勧奨
(注2)22年4月21日のGlobal CBPRフォーラムの設立に向けた宣言合意時の参加は、日本、米国、カナダ、シンガポール、韓国、台湾、フィリピンの7カ国・地域。9月現在、オーストラリアとメキシコが新たに加わり、合計9カ国・地域
【産業技術本部】