グローバル越境プライバシールール(CBPR)システムの運用を開始 経産省/個人情報保護委員会
経済産業省と個人情報保護委員会は6月2日、グローバル越境プライバシールール(CBPR: Cross-Border Privacy Rules)システムの運用を開始すると発表しました。グローバルCBPRフォーラムが同日からグローバルCBPRシステムの運用を開始し、認証機関による認証付与を始めることをうけたもの。日本では日本情報経済社会推進協会(JIPDEC)が、承認を受けたグローバルCBPRシステムの認証機関として、企業からの申請に基づく審査を実施し、認証付与を行います。
グローバルCBPRシステムは越境する個人データに関して、企業などが個人情報保護に係る一定の要件を満たしていることを国際的に認証する制度です。かつてはAPEC(アジア太平洋経済協力)における制度として域内に限定されていましたが、2022年にAPECの枠外にも広げる方針が打ち出され、グローバルCBPRフォーラムの設立につながりました。APEC枠に捉われない制度となったことに伴い、名称もグローバルCBPRシステムと呼ばれるようになりました。
グローバルCBPRシステムに参加しているのは13カ国・地域です。具体的には、正会員としてオーストラリア、カナダ、日本、韓国、メキシコ、フィリピン、シンガポール、台湾、米国が、準会員として英国、バミューダ、ドバイ国際金融センター、モーリシャスが参加しています。また、グローバルCBPRフォーラムの公式サイトによると、タイやナイジェリアもフォーラムへの参加を表明しています。
選ばれた認証機関(AA:アカウンタビリティ・エージェント)のみが要求事項を満たしているかといった適合性を審査し認証します。グローバルCBPRフォーラムのウェブサイトによるとAAは世界で8団体、日本では唯一、JIPDECがAAを務めています(6月9日現在)。
JIPDECが公開している資料によると、認証取得までのフローは①申請②文書審査③ヒアリング④現地審査⑤外部の認証審査会⑥認証付与となります。なお、日本でのグローバルCBPR認証取得事業者は4社(インタセクト・コミュニケーションズ株式会社、株式会社Paidy、株式会社インターネットイニシアティブ、PayPay株式会社)となっています(初回認証日は6月2日)。