1. CBPR概要

CBPR（Cross Border Privacy Rules）とは、2011年にAPEC電子商取引運営グループ（ECSG：Electronic Commerce Steering Group）で策定された、APEC域内において国境を越えて流通する個人情報に対する消費者や事業者、行政機関における信用を構築するシステムのこと。

2. 加盟国

APEC加盟国への展開を図っているものの、現在米国、メキシコ、カナダ、日本、韓国だけが参加している。

また、現在のアカウンタビリティ・エージェント（AA）は、米国（TRUST Arc）、日本（JIPDEC）の２か国のみ。

3. CBPR認証のメリット

CBPRに基づく認証取得に関する事業者としてのメリットは、APECのプライバシー原則を遵守していることが認められること（いわばPマークのAPEC版）。 APEC域内で個人情報保護体制を整えられている旨の「信頼性の証」となることが期待される。

認証を受けた事業者は、APEC各国間のデータ移転についての十分性が認証された上、個人データを海外（APEC各国：豪州、ブルネイ、カナダ、チリ、中国、中国香港、インドネシア、日本、韓国、マレーシア、メキシコ、ニュージーランド、パプアニューギニア、ペルー、フィリピン、ロシア、シンガポール、台湾、タイ、米国、ベトナム）に自由に移転することが可能となる。

日本の個人情報保護法上では、越境移転に関する24条が適用されないという効果あり、具体的には本人の同意なく委託により個人データを移転することができる。

4. CBPRの認証

APECから認定を受けたアカウンタビリティ・エージェント（AA）が、自国の企業等を審査・認証する。Self-Checkリストに自社の状況を記載し、認証機関がその内容を審査して認証の可否を決定する。

同認証の為の認証機関は、現時点では米国と日本（2016年1月）のみ（韓国は準備中）である。
現段階では同認証取得企業は米国21（Apple、Cisco、HP、IBM等）、日本2と非常に少ない。
日本の2社は、インタセクト・コミュニケーションズ（事業内容：ソフトウェア開発、インターネット関連サービス、中国ビジネス支援サービス）とGMOグローバルサイン（事業内容：情報セキュリティおよび電子認証業務事業・ID管理事業）。

5. 世界的な法制度整備の動向とAPEC・CBPRの関係

EUは、GDPRを2018年5月25日に適用開始したが、GDPRに基づくBinding Corporate RuleとCBPRとの相互運用性が仮に認められれば（現状では認められていない）、今後利用のメリットが大きくなることも予想される。

米国は、IT業界のイノベーションを促進させる観点からも、連邦レベルでの法規制はなく、憲法上もプライバシーを基本的人権とすることについて規定していない。しかしながら、FacebookのCambridge Analyticaスキャンダルを受けて、プライバシー保護やプライバシー規制についての関心が高まった結果、カリフォルニア州法が先行してCCPA（California Consumer Privacy Act）を制定、2020年1月より施行される。CCPAは、個人の特定が可能な情報（PII）に加えて、家庭を識別する情報も含まれるのが特徴。米国では、今後、CCPAを機に連邦レベルでも立法化する動きが出ており、注目される。

中国は、中国サイバーセキュリティ法（中华人民共和国网络安全法）を2017年6月1日に年施行している。同法はサイバーテロリズムによる攻撃や、ネット詐欺等の行為の防止を主旨とするものの、内容の多くは個人情報漏洩などのサイバー空間上で発生し得る新たな危険性に対処するものである。また、個人情報の越境移転については、『個人情報輸出セキュリティ評価法（个人信息出境安全评估办法）』についての草稿がインターネット上で公開され、現在、意見募集中である。

中国当局自身が個人情報を収集してネット監視をしており、いささか矛盾しているようにも思えるが、国内的にはネット詐欺の取り締まりを目的にネット実名制を義務付け、国外への情報流出や国外からのサイバーテロを防止すべく、監督機関の業務への協力を求める内容となっている。

ロシアについては、別記事にまとめている。

東南アジアについては、シンガポールが「Personal Data Protection Act 2012」、フィリピンが「Data Protection Act 2012」、マレーシアが「Personal Data Protection Act 2010」と、英語圏・準英語圏の各国が2010年～2012年に掛けて法整備を進めている。

一方、ベトナムは、包括的統一法はないものの、「Law on Cyber Information Security no. 86/2015/QH13」及び「Law on Cybersecurity no. 24/2018/QH14」等のサイバーセキュリティ関連法により個人情報保護をカバーしている。

インドネシアは、データの国内保管を義務付ける法令「Minister of Communication and Informatics（the“MOCI）Regulation No. 20 of 2016」があるが、現在、包括的な法律の制定手続中である。

インドは、アメリカのICT業界やコールセンターのオフショア需要を受けて、2000年に現行法である「The Information Technology Act, 2000 （“IT Act”）」が成立。プライバシー関連では、機微情報に特化した「the Information Technology（Reasonable Security Practices and Procedures and Sensitive Personal Data or Information）Rules, 2011 （“Privacy Rules”）」があるものの、包括的な個人情報保護に関する法律はなかった。現在、「The Personal Data Protection Bill, 2018」が制定作業中である。

オーストラリアは、「1988年連邦プライバシー法（Privacy Act 1988）」の成立以降、法改正や下位法である規則の発効により、適用範囲が当初の政府機関から、1991年に消費者信用情報を扱う組織、2001年には個人情報を扱う民間機関等へと拡大してきた。

タイでは、2014年のクーデターによる軍政から民政への移管を実現する総選挙を目前にした2019年2月末、個人情報保護法とサイバーセキュリティ法が制定された。GDPRを下敷きにしたとされる個人情報保護法は、2020年5月27日に施行開始されることになっている。

APEC/CBPRは、多様な状況である各国のお互いの主権を尊重した越境移転の合意ルールとして、益々重要性が増していく見込みである。

6. 総論

CBPRには罰則はなく、PマークのAPEC版でありPマークを保持することで個人情報保護体制が整備されていることの信頼性が高まるというもの。現時点では、APEC域内のみに地域が限定されており、また、日本での認証済企業数が2社と非常に少ないため、CBPRに基づく認証の導入を考慮するには時期尚早である。しかし、今後のCBPR普及の動向は引き続き注視が必要であろう。