APEC越境プライバシールール(CBPR)

1. CBPR概要

CBPR(Cross Border Privacy Rules)とは、2011年にAPEC電子商取引運営グループ(ECSG:Electronic Commerce Steering Group)で策定された、APEC域内において国境を越えて流通する個人情報に対する消費者や事業者、行政機関における信用を構築するシステムのこと。

2. 加盟国

APEC加盟国への展開を図っているものの、現在米国、メキシコ、カナダ、日本、韓国だけが参加している。

また、現在のアカウンタビリティ・エージェント(AA)は、米国(TRUST Arc)、日本(JIPDEC)の2か国のみ。

3. CBPR認証のメリット

CBPRに基づく認証取得に関する事業者としてのメリットは、APECのプライバシー原則を遵守していることが認められること(いわばPマークのAPEC版)。 APEC域内で個人情報保護体制を整えられている旨の「信頼性の証」となることが期待される。

認証を受けた事業者は、APEC各国間のデータ移転についての十分性が認証された上、個人データを海外(APEC各国:豪州、ブルネイ、カナダ、チリ、中国、中国香港、インドネシア、日本、韓国、マレーシア、メキシコ、ニュージーランド、パプアニューギニア、ペルー、フィリピン、ロシア、シンガポール、台湾、タイ、米国、ベトナム)に自由に移転することが可能となる。

日本の個人情報保護法上では、越境移転に関する24条が適用されないという効果あり、具体的には本人の同意なく委託により個人データを移転することができる。

4. CBPRの認証

APECから認定を受けたアカウンタビリティ・エージェント(AA)が、自国の企業等を審査・認証する。Self-Checkリストに自社の状況を記載し、認証機関がその内容を審査して認証の可否を決定する。

同認証の為の認証機関は、現時点では米国と日本(2016年1月)のみ(韓国は準備中)である。
現段階では同認証取得企業は米国21(Apple、Cisco、HP、IBM等)、日本2と非常に少ない。
日本の2社は、インタセクト・コミュニケーションズ(事業内容:ソフトウェア開発、インターネット関連サービス、中国ビジネス支援サービス)とGMOグローバルサイン(事業内容:情報セキュリティおよび電子認証業務事業・ID管理事業)。

5. 世界的な法制度整備の動向とAPEC・CBPRの関係

EUはGDPRを本年5月25日に施行しているところ、GDPRに基づくBinding Corporate RuleとCBPRとの相互運用性が仮に認められれば(現状では認められていない)、今後利用のメリットが大きくなることも予想される。
中国はサイバーセキュリティ法を成立させ、2019年施行予定。
米国でもプライバシー保護とプライバシー規制の関心が高まっている。米国の個人情報保護に関する法律は、現段階では州法(カリフォルニア州法等)レベルであるが、連邦法レベルで立法する機運が出てきている。
APEC/CBPRは、互いの主権を尊重した越境移転の合意ルールとして、益々重要性が増していく見込みである。

6. 総論

CBPRには罰則はなく、PマークのAPEC版でありPマークを保持することで個人情報保護体制が整備されていることの信頼性が高まるというもの。現時点では、APEC域内のみに地域が限定されており、また、日本での認証済企業数が2社と非常に少ないため、CBPRに基づく認証の導入を考慮するには時期尚早である。しかし、今後のCBPR普及の動向は引き続き注視が必要であろう。

この続きをみるには

この続き:0文字
この記事が含まれているマガジンを購入する
不定期更新です。過去の関連記事を無制限でご覧になりたい方向けになります。

サイバーセキュリティについての自分なりのまとめ記事です。無自覚なうちに機微な情報に触れているリスクを考えて有料マガジン内に格納しております。

または、記事単体で購入する

APEC越境プライバシールール(CBPR)

マンボウ

100円

この記事が気に入ったら、サポートをしてみませんか?気軽にクリエイターを支援できます。

写真ばかりでなく、たまには固い記事も書くんですよっ(^^)
9

マンボウ

サイバーセキュリティについて

サイバーセキュリティについての自分なりのまとめ記事です。無自覚なうちに機微な情報に触れているリスクを考えて有料マガジン内に格納しております。
コメントを投稿するには、 ログイン または 会員登録 をする必要があります。