サイバー速報
掲載日:2026.04.07
グローバルCBPR(越境プライバシールール)システムのプログラム要件が改訂、2027年4月から新基準適用へ 経産省/個人情報保護委員会
経済産業省と個人情報保護委員会は3月23日、国際的なデータ移転に関する個人情報保護の枠組み「グローバル越境プライバシールール(CBPR)フォーラム」において、事業者のプライバシー保護体制全般への適合性を審査するための「プログラム要件」が改訂されたと発表しました。改訂後の新要件は、2027年4月1日以降に新たに認証取得および再認証を希望する事業者の審査から適用されます。
日本を含む14の国・地域が参加する同フォーラムでは、グローバルCBPRシステムを国際的なデータ移転の標準枠組みとして位置づけ、より多くの国・地域が参画できる体制づくりを目指しています。その一環としてプログラム要件の見直しが協議され、今般、認証機関が審査に使用するプログラム要件(質問項目と評価基準)が正式に改訂されました。
改訂により、認証機関が実際の審査に使用する具体的な質問項目・評価基準は、従来の50項目から57項目へと拡大されました。データの悪用に伴う個人の被害防止を目的としており、大きく以下の主要テーマ3つに集約されます。
- (1)機微な個人情報および子どもの個人情報の取り扱いに関する手続き
- 機微情報(センシティブデータ)に対する適切な追加の保護措置や、子どもの個人情報を収集・処理する際の親の同意確認メカニズムの構築などが求められます。
- (2)漏えいリスクの評価および軽減のための手続き
- データ処理によって生じる個人情報の悪用リスクや、それに伴う個人の被害リスクを特定・評価し、被害の可能性や深刻さに比例したリスク軽減策を実施する手順の導入が規定されました。
- (3)本人に対するデータ侵害に係る通知手続き
- 個人情報の喪失や不正アクセス、破壊といったデータ侵害が発生し、重大な被害をもたらす可能性が高いと確認された場合、不当な遅滞なく影響を受ける個人に対して通知するプロセスを整備することが義務付けられました。
なお、日本国内におけるCBPR認証機関である日本情報経済社会推進協会(JIPDEC)はフォーラムの要件改訂を受け、2027年4月から新基準に基づく審査を開始すると発表しました。今後、JIPDECのWebサイトにて日本語版の改訂要件や具体的な審査フローなどが順次公開される見通しです。
