一般財団法人日本情報経済社会推進協会
認定個人情報保護団体事務局　事務局長　奥原　早苗

• 「IT-Report2023 Winter」全文はこちらから

2023年6月に「第3回G7データ保護・プライバシー機関ラウンドテーブル会合」が個人情報保護委員会（以下、PPC）によって開催された。このラウンドテーブルは、個人データの保護を図りつつ、利活用を進めるDFFT（Data Free Flow with Trust）（以下、DFFT）の推進に向けて、G7各国のデータ保護・プライバシー機関の委員長級による議論が行われるものである。DFFT、生成AIを始めとする先端技術及び執行協力の3つの柱¹に基づいた議論が行われ、データ保護・プライバシーに関するグローバルな共通課題の解決に向けた具体的な方策などが合意された²。この方策の内容を示した「G7 DPAコミュニケ」（以下、コミュニケ）では、第1の柱-DFFTにおいて、本稿で取り上げる越境移転ツールについて触れており、越境移転ツールの選択肢を創出することの必要性と、それらを開発することについて、更なる提唱・促進・助言することを目指すとしている。

現在、EUとの間でデータを越境移転する場合は、GDPRに則した対応となるが、数十・数百の国と取引があるグローバルな活動を行っている企業等は、越境移転に莫大なコストや時間、労力等が必要となり、大企業には良いがとりわけ中小企業にとっては経済合理性と相反する状況となっている。世界各国の異なる法域で、データ保護・プライバシーの要件や法制度等を遵守する上で、今後越境移転ツールの新たな開発は重要な役割を果たすことに違いない。

また、コミュニケを具体的に推進するために策定された「G7 DPA行動計画」（以下、行動計画）の「移転ツール」の項では、「安全かつ信頼性のある移転ツールに関する知識を、とりわけ、グローバル越境プライバシールール（以下、グローバルCBPR）及びEU認証の要件の比較や、既存のモデル契約条項の比較を通じて、共有する。本作業は、異なる認証メカニズムその他の移転ツール間の相互運用性及び収斂の水準を評価し、共通点、考えられる相違点及び更なる改善のための領域をマッピングする。」ことが行動計画の一つとして示された。これまでわが国では、PPCのガイドラインに記載のある³APECのCBPRシステムが越境移転ツールとして知られているが、多様な選択肢があるとは言えない中、グローバルCBPRは、コミュニケにあった越境移転ツールの有力な選択肢候補として期待できるものである。具体的には、安全かつ信頼性のある移転ツールに関する知識を共有するために、グローバル CBPR及びEU認証の要件比較や、既存のモデル契約条項の比較等が行われる⁴が、これらが行動計画に明示的に盛り込まれたこと、この新しい越境移転ツールが国際的な枠組みで継続的に議論・推進されること等の意義は大きい。

• 1　2022年のラウンドテーブル会合でPPCが提案したもの。
• 2　PPCの当該Webサイトでは、「G7 DPAコミュニケ」「生成AIに関する声明」「行動計画」の原文と仮訳が掲載されている。
• 3　外国にある第三者に個人データを提供する場合は本人の同意が必要となるが、PPCが定める基準に適合する体制を整備している者に対して個人データを提供する場合は、本人の同意を得ることなく外国にある第三者へ個人データの提供が可能となる他、詳細は、「個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）」を参照。
• 4　認証メカニズムその他の越境移転ツール間の相互運用性等を評価し、改善のための領域をマッピングする。

前項で触れたグローバルCBPRは、3．で後述することとし、グローバルCBPRのベースとなったAPEC CBPRシステム（以下、APEC CBPR）について、主要なポイントを示したい。

APECのWebサイトでは、「データプライバシーの協力に対するAPECの革新的なアプローチが、個人データを保護し、貿易を促進して消費者と企業に利益をもたらす方法であり、政府が支援するデータプライバシー認証である。」⁵と説明されており、認証を取得する企業には、APECプライバシーフレームワークへの適合が求められ、適合しているかどうかは説明責任代理人（アカウンタビリティ・エージェント（以下、AA ）⁶と呼ばれる各国の認証審査機関によって、APEC CBPRのプログラム要件に準拠していると評価される必要があり、各国法によって執行可能でなければならない。

APEC CBPRに関する枠組みに参加する国・地域（以下、エコノミー⁷）の状況を取りまとめたものは図表1の通りで、APECプライバシーフレームワークは21すべてのエコノミーが参加しているが、越境執行協力協定（以下、CPEA）に参加するエコノミーは11にとどまる。そのうち、9エコノミーが APEC CBPRに参加を表明し、AAを擁するエコノミーにおいてのみ認証を受けることができる。

2023年10月時点で、AAの認定があるのは米国・シンガポール・韓国・台湾・日本の5エコノミーとなっており、それぞれのAAが認証するCBPRの認証企業数は71社（図表2参照）で、グループ認証⁸を含めると1,800社を超える。

• APEC CBPR CBPR認証取得事業者リスト
  

• APEC CBPR PRP認証取得事業者リスト

わが国は2014年からこの制度に参加しており、わが国初のAAとしてJIPDECが2016年1月に認定を受け、2016年12月に初めてAPEC CBPRの認証付与を行った。2023年10月末時点で、APEC CBPRの認証を取得している事業者は4社である（図表3）。

図表2に示すCBPR認証とPRP認証の違いは、個人情報の取得や利用の管理者（コントローラー）か処理者（プロセッサー）かによるものである。米国やシンガポールでは、当該国に所在する親会社がコントローラーとなるため、グループ会社は法人として当該国に登記されていても処理者となり、CBPRの認証を申請することができない。また、SaaS等のサービスを展開する事業者は、処理者としてPRPの認証を受けている。現在、わが国では日本の個人情報保護法上、管理者と処理者の区分がなく、“個人情報取扱事業者”となるため、日本国内で法人登記がなされている場合、親会社やグループ会社を問わず、個社単位でCBPRの認証取得を行うことはできるが、PRPの認証を行うことはできない。ただし、わが国では処理者としてのサービスを提供するグローバル企業も少なくない。今後、事業者のニーズが高まれば、PRP認証に向けて個人情報保護法上の新たなメリットが創出される可能性も否定できない。

• 5　「APEC CBPRs」　APEC CBPRの概要の他、認証された企業情報を公開している。
• 6　当該国の政府機関、APEC JOP監視パネル並びに全APECエコノミーの同意を得て認証される。
• 7　主権国家として承認されていない地域も参加しているため、参加国・地域を表す場合は「エコノミー」と称される。
• 8　AAの認定がある5エコノミーのうち、米国とシンガポールのみが実施している。

1．項で、世界的な枠組みで推進されることとなった越境移転ツールの創出や開発に向けて、グローバルCBPRとEU認証の要件の比較が具体的な行動の一つに挙げられていることを確認した。また、現在わが国が参加し、JIPDECがAAとなっている個人情報の越境移転ツールとして、APEC CBPRを2．項で紹介した。本項では、APEC CBPRをベースとして策定され、今後注目が集まるであろうグローバル CBPRについて概観する。

グローバルCBPRを運営するグローバルCBPRフォーラム⁹は、APEC CBPRに参加している現在の経済圏であるカナダ、日本、韓国、フィリピン、シンガポール、チャイニーズタイペイ及び米国によって2022年4月21日に設立された。わが国は、経済産業省とPPCが設立当日同時に、「我が国を含むAPEC CBPR参加エコノミーの連名で、より広範囲での個人データの円滑な越境移転や各国における規律の相互運用性を促進させる等の目的で、CBPRの拡大に向けた宣言をすることに合意しました。」という内容を公表した¹⁰。グローバルCBPRフォーラムのサイトでは、各種資料が公開され、認証制度の開始に向けた準備が進められている。2023年10月16日にはAPEC CBPRのCPEAに当たるCAPE（The Global Cooperation Arrangement for Privacy Enforcement）が公開された。ここでは宣言内容のみを掲載する。

宣言された内容は以下の通り。
1．相互運用性を促進し、データ保護及びプライバシーに関する様々な規制アプローチを橋渡しするために、グローバルCBPRフォーラムを設立する。
2．グローバルCBPRフォーラムの目的は
a．APEC CBPRシステム及び処理者向けプライバシー認証（PRP）システムをベースとした、国際的な認証システムを設立すること
b．グローバルCBPRシステム及びPRPシステムを通じて、データの自由な流通と効果的なデータ保護及びプライバシーを支えること
c．グローバルCBPRシステム及びPRPシステムに関する事案について情報交換及び連携のためのフォーラムを提供すること
d．ベストプラクティスに沿ったグローバルCBPRやPRPプログラム要件を確保するためにメンバーのデータ保護及びプライバシーの水準を定期的にレビューすること
e．他のデータ保護及びプライバシー枠組みとの相互運用性を促進すること

〈活動の範囲〉
3．グローバルCBPRフォーラムは、
a．データ保護と自由なデータ流通を促進するためにグローバルCBPRシステム及びPRPシステムの認証取得を世界的に促進する
b．データ保護及びプライバシーと相互運用性に関するベストプラクティスを広める
c．他のデータ保護及びプライバシー枠組みとの相互運用性を追求する

〈運用〉
4．連携は、以下に基づく。
a．すべてのメンバーの意見を公平に尊重した、相互利益主義及び開かれた対話と合意形成へのコミットメント
b．メンバーや関係機関が実施する調査、分析、政策に基づくメンバー間のコンサルテーション及び意見交換
c．適切な活動における活発なマルチステークホルダーによる積極的な参画

〈参加〉
5．基本的にグローバルCBPRフォーラムは、本宣言文に謳われる組織の目的と原則を承諾する以下の領域に開かれることを意図している。
6．将来の組織への参加に関する決定は、全メンバーの合意に基づいてなされるものとする。
7．メンバーではない者は、全メンバーによって決定される条件に基づいて、会合に参加することができる。

〈組織〉
8．グローバルCBPRフォーラムの会合は少なくとも1年に2回開催され、本宣言文の範囲内の活動の方針や性質を決定する。会合は対面あるいはオンラインで開催される。
9．全メンバーの決定に基づいて、追加の会合を開催することができる。

わが国も〈組織〉8．で規定するグローバルCBPRフォーラムの会合に参加し、JIPDECも日本のAPEC CBPRのAAとして参加し、新しい枠組みの開始に備えて準備中である。2022年4月に宣言されてから、直近の2023年10月25日～27日に米国サンディエゴで開催されたものまで、4回の会合が年に2回開催されている。参加者は毎回100名程度で（第1回～第3回はオンライン参加も含む）、3日間に亘り開催される。
・第1回：2022.4 米国 ホノルル
「The Global Cooperation on Data Privacy & CBPR System: The Path Forward Workshop」
・第2回：2022.11 韓国 ソウル
「Global CBPR Forum: Realizing Our Shared Vision」
・第3回：2023.4 英国 ロンドン
「The Global CBPR Forum At One Year: Challenges and Opportunities」
・第4回：2023.10 米国 サンディエゴ
「Global CBPR Forum: CBPR2.0」

• 9　グローバルCBPRフォーラム
• 10　「経済産業省」Webサイト
• 「PPC」Webサイト

本稿では、今後注目が高まるであろう個人情報の越境移転ツールについて、グローバルCBPRを中心とした内容を取り上げた。現在、APEC CBPRに参加するエコノミーのうち、自国の個人情報の保護に関する法律に紐づくメリットがあるのは日本とシンガポールのみであり、国際会議の場では事業者が認証制度を取得する動機付けとして有益である事例としてたびたび取り上げられる。しかし、現状は果たしてそれほど有効に機能しているだろうか。グローバルCBPRの会合では、政府機関関係者及び参加企業共に、APEC CBPRの拡大が限定的なのは認証制度の知名度が低いことが原因の一つとして挙げており、わが国でもAPEC CBPRの認知度は決して高いとは言えない。

越境移転ツールを利用しなくてもデータの越境移転は可能だが、企業の個人情報の取扱いに対して第三者の視点を導入することは、例えばグローバル CBPRフォーラムの会合でも、企業の説明責任を果たすと共にデューデリジェンスとしても機能することやグローバルな規模で企業の信頼の証になること、とりわけ中小企業にとっては規制コストの削減につながる等をメリットとして挙げる声が、規制当局及び参加企業を問わず共通して聞かれた。また、AAの存在は事業者間の情報の取扱いに係る紛争を軽減する意味で政府をサポートする役割もあると述べていたAAもあった。

日本政府が参加を表明したグローバルCBPRは、個人情報保護法上でもAPEC CBPRと同様のメリットが受けられると想定され、対象とする国・地域も制限を設けていないことから今後も英国のみならず、APEC域外の幅広い国・地域の参加が期待される。繰り返しとなるが、冒頭で触れた第3回G7データ保護・プライバシー機関ラウンドテーブル会合で、DFFTを推進するための具体的な議論の中にグローバルCBPRが取り上げられたため、本格的にグローバルCBPRの制度運用が開始されれば、企業にとって越境移転ツールの選択肢が広がる第一歩となる。政府が支援する越境移転の認証制度として、 JIPDECは日本のAAとして政府機関と協力しながらこれまで以上に普及啓発活動を推進する。その結果、企業が個人情報の越境移転を行う上で、APEC CBPRやグローバルCBPR等の認証を取得することが企業の信頼の証となることや、異なる法域への対応コストの削減につながる一助になれば幸いである。