一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

2024.01.25

レポート

CBPR認証の意義

~中小企業こそ取得すべき~

インタセクト・コミュニケーションズ株式会社
経営管理本部 リスク管理室 室長 甘利 友朗氏

CBPR認証の背景

CBPR認証は、グローバルに拠点がある大企業が取得した方がよいことはもちろんですが、それ以上に人手が少ない中小企業に取得メリットがあると考えています。当社は、東京本社の他に国内数か所に拠点はありますがいずれも数名体制で、総従業員数は150名程度です。事業としては、マルチ決済サービスや中国向け越境EC、アフェリエイト広告等インターネットサービスシステムを提供しています。

CBPRシステムには、日本のほかに韓国やフィリピン、シンガポール、米国が参加しており、現在認証事業者数は71社です。日本では当社を含め4社ですが、米国ではAppleやIBM、Mastercard、韓国ではNAVER、シンガポールではAlibaba Cloud等が認証取得しています。現在は、インターネットサービスやシステム開発の事業者が多いのですが、MastercardやPayPay、当社のような決済関連企業も今後増えてくると思われます。

当社がCBPR認証を取得したのは2016年で、日本での取得第1号です。取得の理由は、アジア圏への事業拡大です。当社が提供するマルチ決済サービスは、店舗端末にアプリを一つ入れるだけで来店したお客様が日本のどの決済サービスを利用していても対応可能となるサービスです。決済サービスだけでは個人情報を取り扱わないのですが、当社では本サービスを軸としたサービスエコシステムの構築を進めています。例えば、越境ECのためのシステム開発/運用や地方創生の一環である海外観光客向けサポートサービス等インバウンドを意識した取組みでは、必ず個人情報のデータ移転が発生します。このため、当社はCBPR認証取得という判断をしました。CBPR参加国では個人情報保護に関する考え方や対策が統一化されてきているため、商談やサービス導入にあたってもスムーズに話が進むというメリットがあります。

CBPR認証の手順

認証取得までを簡単に説明すると、①認証基準を満たし、②事前質問書にある50の質問に回答し、③回答の根拠となる文書を提供する、という三段階で取得可能です。①の「認証基準を満たす」という点については、プライバシーマーク取得事業者の方であれば、すでに認証基準は満たされているので特に気にする必要はありません。後はCBPR認証に特化した50の質問に回答し、申請の際に根拠となる文書を提出すれば手続き完了となります。社内稟議や取組みのロードマップにこの三段階を記載することで、「ハードル/対応負荷が高い」という懸念が払しょされ、社内調整がスムーズに進む可能性が高まります。また、事前に「APEC越境プライバシールールシステム事前質問書」の回答結果(自社の対応状況)をレーダーチャート等に落とし込むと、すぐに申請可能か、ある程度時間が必要となるかも把握できます。プライバシーマーク取得事業者であれば、多分すでに対応済みであることが可視化され、CBPR認証取得に向けたアクションも取りやすくなると思います。

越境データ移転対応の可視化

当社が2016年に最初に認証を取得した際、対応人数は私を含め1.5名でしたが準備は2か月で終わりました。当時のCBPR認証の対象事業は社内のビザ申請とイベントの2つだけで、根拠として準備した文書の数は34です。昨年、認証を更新した際には対象業務は9つに増え、根拠となる文書も約3倍弱となりましたが、引き続き1.5名で対応しました。初回取得後に管理体制を維持していれば、更新時に毎回苦労することもありません。

認証取得で感じるメリット

CBPR認証を取得してよかった点は、越境ビジネスを重視している取引先からの信頼が向上したことが挙げられます。越境ECを行う小売業の方との商談で「個人情報を海外とやりとりして大丈夫か」とご質問をいただいた際も「国際的な認証を取得しているのでご安心ください」と言えることは大きな説得材料となります。また、「わが社はスピーディに国際認証を取得できました」とアピールすることは、他社との差別化にもなります。

一方、社内的には、海外の個人情報保護制度に精通していなくてもCBPR認証を取得していれば大きなトラブルにはならないだろうと安心できることも大きなメリットです。結論としては、(法制度に)詳しくない・人がいない・信用してもらいにくいといった課題は、CBPR認証取得で大きく改善されるため、中小企業こそCBPR認証を取得すべきと思います。当社は、CBPR認証取得から7年経過しますが、十二分に費用対効果を得られるものなので、今後も認証を維持していこうと考えています。

講師
インタセクト・コミュニケーションズ株式会社 リスク管理室 室長 甘利 友朗氏

通信事業者にてエンジニアリング、個人情報保護業務に従事。 ソフトバンク株式会社(現:ソフトバンクグループ株式会社)にてグループ情報セキュリティマネジメントに従事。 株式会社ドワンゴにてリスクマネジメント、グループ内部統制に従事。 現在、インタセクトにてリスクマネジメント、経営企画、DX推進プロジェクト、大阪大学 健康情報工学共同研究講座 研究員、等に従事。 東北大学内 次世代放射光施設「ナノテラス」の名付け親。

講師写真:甘利 友朗氏