特集

APEC越境プライバシールールシステム

日本の個人情報保護法の改正に関連して、EUが独自の基準に照らしてパーソナルデータの保護が十分でないと判断される国へのデータ移転を原則的に認めない「データの越境移転規制」について昨今話題になっていますが、アジア太平洋域に目を移すと、2016年1月に注目すべき動きがありました。

APEC域内の国境を越える個人情報の保護に認証が与えられるようになります ~我が国初のAPEC越境プライバシールールシステムの認証団体が認定されました~
http://www.meti.go.jp/press/2015/01/20160125005/20160125005.html

経済産業省は、APECより、「APEC越境プライバシールールシステム」における認証団体として、一般財団法人日本情報経済社会推進協会(JIPDEC)が認定された旨の通知を受理しました。
この受理により、JIPDECがAPEC域内における企業等の国境を越えて移転する個人情報を、APECプライバシー原則に適合していると認証できるようになりました。

この前段として、APEC越境プライバシールールシステム(CBPR システム:Cross Border Privacy Rulessystem)への日本の参加があります。

日本国政府のAPEC越境プライバシールールシステムへの参加が認められました
http://www.meti.go.jp/press/2014/04/20140428003/20140428003.html

日本国政府はAPEC越境プライバシールールシステムへ参加申請しましたhttp://www.meti.go.jp/press/2013/06/20130607003/20130607003.html

APEC越境プライバシールールシステムとは、企業等の越境個人情報保護に関する取り組みに対してAPECプライバシー原則への適合性を認証する制度のことです。
今年1月に公表された認証団体の認定は、一昨年のCBPRシステムへの参加から、また一歩、日本が越境データの保護と本格的な活用に前進したことを意味します。APECに参加する「国・地域」のレイヤーで作られた仕組みが、「国内の企業等」のレイヤーまで下りて具体的に機能し始めたわけです。

ちなみに、現在APECに参加しているのは、以下の21の国・地域です。
オーストラリア、ブルネイ、カナダ、チリ、中国、中国香港、インドネシア、日本、韓国、マレーシア、メキシコ、ニュージーランド、パプアニューギニア、ペルー、フィリピン、ロシア、シンガポール、チャイニーズ・タイペイ、タイ、アメリカ、ベトナム

国をまたぐ越境データの取り扱いにあたっては、国内の法令等に加えて、他国の法令等の理解が求められ、さらに国同士の外交的な関係性も絡むだけに、非常に複雑な諸事情を考慮しなければなりません。他国に進出して事業を営む企業等は、越境データを適切に取り扱うことができなければ、当該国から締め出しを食らうことになりかねません。冒頭のEUの「データの越境移転規制」は、事業者単位ではなく国単位で締め出しを行う内容となっており、大きな議論を呼んでいるのも頷けます。

そういった企業等の一つの選択肢となる可能性があるのが「APEC越境プライバシールールシステム」の認証です。JIPDECが10数年に渡って推進してきたプライバシーマーク制度は、あくまでも国内に限った認証でした。
プライバシーマークの認定基準や取得の意義については疑問の声がありますが、APEC域に事業を展開する企業等にとって有用な認証を広められるようJIPDECに期待したいと思います。

今回認定されたJIPDECは、今年4月からCBPR認証審査の受付を開始するそうです。
http://www.jipdec.or.jp/protection_org/cbpr/application.html