2024.02.02
レポート
グローバルCBPRの展開・普及に向けて
モデレーター: 東洋大学 法学部 教授 加藤 隆之氏
パネリスト: ひかり総合法律事務所 弁護士 板倉 陽一郎氏
公益社団法人日本消費生活アドバイザー・コンサルタント・相談員協会(NACS) 副会長 樋口 容子氏
インタセクト・コミュニケーションズ株式会社 経営管理本部 リスク管理室 室長 甘利 友朗氏
PayPay株式会社 執行役員 CCO兼CRO兼DPO 法務リスク統括本部長 寺田 陽亮氏
データの越境移転における現状とリスク
加藤氏:まずは企業実務の観点で、これまでデータの越境移転に関して困った点などがあればご説明いただけますか?
寺田氏:当社では特に困ったことがあったわけではないのですが、決済サービスを提供する金融機関として内部管理体制を高度化していく中で、自社のパーソナルデータの取扱いを誰かに確認してもらいたいという気持ちは強くありました。
国内ビジネスではありますが、競合企業は海外にも多く存在するので、グローバルな視点で体制構築していかなければならないと考えていました。
甘利氏:当社はプライバシーマークを取得しているので、日本国内のデータ移転に際し求められる対応は十分できていると思っていましたが、それが越境移転の際も海外企業や政府機関から見て十分なのか、十分でないとすれば何が足りないのかが分かりませんでした。そのため、APECから国際的な基準が出て、越境移転で求められる点を把握できたことは有り難かったです。
加藤氏:企業規模が大きくなると、各部署でデータ取引を行っているので、データ移転の実態をどこまで把握すればよいかわからない、ということもあると思います。板倉先生のところには、そういった相談もありますか?
板倉氏:板倉氏:個人情報保護法の第28条の対応に関する相談は日々受けています。同意で移転する場合は、移転の対象となる国名とその国の制度を本人に説明しなければなりませんが、個人情報保護委員会に説明用テンプレートがない国の場合は、自分たちで制度を調べ説明する必要があります。
また、体制整備の場合も、日本が提供元となる越境移転の場合は海外のSaaSサービスを利用するケースが多いと思いますが、先方が契約内容の個別交渉に応じない場合が多いので、公表資料等から基準に適合する体制が確保できているか判断した上で、定期的に個人情報保護法で検討が求められている制度変更等(主としていわゆるガバメントアクセスに関するもの)についてチェックしなければなりません。ただ、体制整備に関しては、提供先がCBPR認証を取得していれば体制を整備していることになりますので(法28条第2項、規則16条第1号、外国第三者提供ガイドライン4-1)、SaaSを選ぶ時にはCBPR認証を取っているところが楽ですよという説明はよくします。
加藤氏:消費者の観点からは、越境移転に関してどのような課題が挙げられますか?
樋口氏:今は、消費者のデータ管理や処理が日本国内だけで済まない、どんな企業でも越境せざるを得ない状況になっていると痛感しています。私たち消費者団体としては、そういう現状をまずは消費者に伝えていくべきだと思います。消費者からの相談で「個人情報がどこかで漏えいしていると思う。自分のところに変なメールや荷物、変な商品が送られてくる。」「ショッピングサイトで自分の情報を入れなければならないが、安心していいか」といった内容をよく受けます。消費者は、ECサイト等で説明されている内容についていくことも難しいので、「プライバシーマークを付与されている会社は信頼できる会社ですよ」とお伝えするケースは多いです。今後、CBPRを取得する企業が増えていけば、私たちも「CBPRを取得している会社は安心ですよ」と自信を持って消費者にお勧めできると思っています。これからは高齢者の利用もさらに増加するので、企業の皆様には分かりやすい情報を開示していただき、そして、私たちもそれを啓発していく必要性を痛感しているところです。
CBPR(第三者)認証等取得の意義とメリット
板倉氏:先ほど、SaaSを選ぶ際はCBPR認証を取得しているところを選ぶと楽と言いましたが、逆に日本企業が取っていることで、海外企業から選ばれるということもあります。EUと同様の法整備を進めようとしている国々で「日本側がCBPR認証を移転OK」となれば、取得メリットは大きくなると思います。
加藤氏:それは私もよく聞きます。CBPR認証を取得している米国企業と取引すれば越境移転に関してOKとなるので、日本企業にとって相手方がCBPRを取ってくれているというのはすごく大事です。裏を返せば、皆様がCBPR認証を取得していれば、相手方から見ればすごく楽ということになりますし、どのような状態であっても移転できるということになりますので、そういう意味ではすごくメリットになるのではないかと思います。
板倉氏:CBPR認証事業者が増えれば、スケールメリットがどんどん出てくると思います。米国は徐々に増えていますし、シンガポールは施策として増やしています。そうした動きに早めに乗ることで、「こういう企業が取っている認証を当社も取得しています」とアピールすることはできます。認証事業者のリストは公開されていますから、そこに自社名が加わることはいい宣伝にもなると思います。
加藤氏:実際に取得された事業者の方としては、どのようにメリットの点をとらえていらっしゃいますか?
甘利氏:一番強くメリットと感じているのは信用度の向上です。当社はマスメディア向けの広報や広告を行っていないので、一般の方々が聞いたこともない社名の会社が大阪をはじめ、北海道・京都・福岡にも進出して、「一緒に越境ECやりましょう」と言っても「まず、あなたは誰ですか?」というところから始まってしまいます。しかし、名前を聞いたことのない会社でも、CBPR認証を取得しているということで、サービスだけでなく、セキュリティ的な面もきちんとやっている会社だと思ってもらえることが一番大きなメリットだと思っています。
寺田氏:当社も同じです。サービスは非常に多くの方に利用していただいていますが、ユーザーアンケートを取るとセキュリティ面を心配される声が一定程度あります。そのような状況で、我々自身が「大丈夫です」とお伝えしても「自分で言っているだけ」となってしまう状態を解消することが、CBPRを取得した一つの大きなポイントです。
自分たちだけで評価するのではなく、極力第三者の基準をガイドとし他人の目を入れて高度化を進めることが必要と考えています。
樋口氏:米国の主要な大手企業がきちんと取得している一方、日本では未だ4社程度です。シンガポールでさえも11社が取得していますので、日本の人口から考えると非常に少ないと思います。多くの日本企業の方々も取得していただき、国際的にもルールが統一されていくと、消費者も安心安全にインターネット上のショッピングや情報のやり取りを楽しめる状況になると思います。
板倉氏:CBPR認証取得の過程で、自社の越境移転データを洗い出すことになります。米国では、IBMやAppleやMastercardなど名だたる企業が取得していますが、EUへの移転対応(BCR)のついでに取ったという企業も聞きました。
日本は現在EUの十分性認定を受けてはいますが、それに安住して国際移転を洗い出さないでいると、気づかないうちに違法なことを行ってしまっている可能性があります。私のところに来る相談でも、問題があることに気づいていないケースが多いです。最初の洗い出しは一番大変なので、初めてCBPR認証を取得する際は労力がかかりますが、その過程でいろいろ気づくことがあり、副次的に国際的な企業が行っていることの理由も分かってくると思います。
普段は業務が忙しく、マーケティング部門や広報部門がWebサイトにいろいろ仕込んで様々なデータを流通させていてもなかなか確認まで至りませんが、CBPR認証の審査に合わせて1年に1回洗い出す機会があると、単に認証取得のためだけでなく、越境移転に関するリスクの洗い出しという守りにもつながると思います。
加藤氏:会社が上手くいっている時はコンプライアンスの視点が軽視されがちですが、何かあった時には会社は責められ、評判は下がってしまいます。海外へのデータ移転の洗い出しを行っても必ず事故を防止できるわけではありませんが、問題点を把握しやすくなるのではないかと思います。社内のデータ取扱いの状況をあいまいにしておくのではなく、洗い出す作業をやってみることは大事だと思います。特に上手くいっている会社こそ、やっておくことが大事ではないかと思います。
個人的なイメージですが、プライバシーマークやCBPR認証というのは特保と同じような働きをするのではないかと思います。どの程度健康にいいのかは分からないけれど、特保マークがあると自分が健康になる気がして買うこともある。一般消費者や国民にはデータ移転やデータ保護の実態はわからない。しかし、プライバシーマークやCBPRの認証を持っていれば、そこに信頼を置いて、取引してみようと思われることはあると思います。実際には、内部で洗い出し等を行うという裏付けもきちんとあって、審査のプロセスに乗せているので、そこにはすごく意味があると思います。
今後への期待
加藤氏:CBPR認証はAPECの枠を超えて展開されようとしていますが、今後への期待をお願いします。
寺田氏:CBPR認証を多くの企業に取得していただくことが大事ではないかと思います。メーカーであっても顧客情報や従業員情報を海外移転しているケースは十分あり得ます。業種業態によらず、自分たちのデータがどこでどのように管理されていて、それが適切な体制なのかということは重要だと思います。決済やeコマースに限らず、幅広い業種の方が関心を持たれることを期待しています。
甘利氏:私も、取得事業者数が増え、認知度が向上することを一番期待しています。現状では、まだCBPR認証を取得していることを伝えても「何それ?」となってしまう場合もあるので、誰もが「取得しているなら、きちんと対応している企業なんだ」と思うところまで認知が広がって欲しいと思います。
個人的には、CBPR認証取得を牽引するのはインバウンドではないかと思います。単に訪日観光客のデータを取り扱うからということだけでなく、観光で来日した旅行者がビジネスに戻った時に、「CBPR認証を取得している日本企業であれば信頼して取引できる」と思ってもらえることにもなると思います。
樋口氏:NACSで、現在ネット取引やネット広告を主な取組課題と位置付けています。現在、本当にいろいろなところから自分の情報が吸い上げられている時代だと思います。個人情報それ自体は適切に使っていただければ経済を活性化する潤滑油の一つになると考えていますので、消費者が、ただ「よくわからない」「なんだか怖い」という反応とならないよう、私どもも、当会が実施している学校での消費者教育講師派遣事業などの中で、消費者が進歩していく情報活用に追いつけるように啓発していきたいと思います。併せて、企業の方々には、消費者の情報がどのように収集され、海外でどのような取扱いになっているのかをしっかりと理解してもらえるような情報を開示していただくとともに、越境して入ってくるマーケティング広告に対しても、嫌なものは拒否できるような仕組みを作り、消費者とのwin‐winの関係になっていければいいなと思います。
板倉氏:グローバルCBPRの枠組みに英国が入ることがほぼ確定しています。
EUの法制度は法律家から見ると良くできているので、それを真似して様々な国が法律や制度を作り、十分性認定のような仕組みも入れるわけですが、どこも全く機能していません。おおもとのEUでさえ、十分性認定の対象国は2年に1件程度しか増えておらず、実際には十分性認定の制度を機能させることは難しいです。EUに関しては、日本は十分性認定されていますが、それ以外の多くの国はどこの枠組みに入ろうか迷っています。そのような状況で、CBPR認証を取得する企業が増えれば増えるほど、迷っている国が興味を示す可能性も高いと思うので、今のうちに取得するのはお得ではないかと思います。
また、CBPR認証を取得する過程で、会社に入る知見はかなりあります。海外企業は普通に持っているデータ移転に関する知見ではありますが、これは自社にとって非常に大きな財産になると思います。毎年更新ではありますが、2年目以降はそれほど大きな負担にはなりません。取得の取組みを通じて、日本企業がデータ移転に関する知見を高めていくことを期待したいと思います。
加藤氏:一般的に、EUの取組みは先進的であると言われていますが、私はそのようには考えていません。欧州の手法は、第三国も自分たちと同等レベルに引き上げようとするものですが、私は非現実的な発想だと思います。また、その国の法制度が整備されているからといって、その国の全ての企業が法制度に基づき適切に対応しているとは言えないはずです。
他方で、プライバシーマークやCBPR認証は、手を挙げた企業が認証されていくので、はるかに現実的で消費者にとっても分かりやすく、実効性が高い仕組みではないかと思います。
- 本内容は、2023年12月14日福岡、2024年1月10日大阪で開催された「グローバルCBPRの展開・普及ワークショップ」での講演内容を取りまとめたものです。
- モデレータ
- 東洋⼤学 法学部企業法学科 教授 加藤 隆之氏
⻘森中央学院⼤学経営法学部准教授、内閣府・消費者庁個⼈情報保護推進室政策企画専⾨官、亜細亜⼤学法学部教授(この間、ダブリン⼤学トリニティカレッジ法学部客員教授に就任)を経て現職。埼⽟県、朝霞市などにおいて個⼈情報保護審査会委員、⽇本情報経済社会推進協会などにおいてプライバシーマーク付与の審査委員を務める。主要著作は、『性表現規制の限界』(ミネルヴァ書房、2008 年)、『憲法判例から考える⾃由と平等』(ミネルヴァ書房、2019 年)、『プライバシー権保障と個⼈情報保護の異同』(東洋⼤学出版会、2022 年)。
- パネリスト
- ひかり総合法律事務所 弁護士 板倉 陽一郎氏
2007年慶應義塾大学法務研究科(法科大学院)修了。2008年弁護士(ひかり総合法律事務所)。2016年4月よりパートナー弁護士。2010年4月より2012年12月まで消費者庁に出向(消費者制度課個人情報保護推進室(現・個人情報保護委員会事務局)政策企画専門官)、この間、アジア太平洋経済協力(APEC)電子商取引推進グループ(ECSG)及びデータプライバシーサブグループ(DPS)日本代表団(2010年9月〜2012年5月)。個人情報保護に関する政府等有識者委員多数。
- パネリスト
- 公益社団法人日本消費生活アドバイザー・コンサルタント・相談員協会 副会長・代表理事 樋口 容子氏
教育関連の出版社勤務後、消費生活アドバイザー、消費生活 専門相談員の資格を取得し、行政の消費生活センターで相談員として現在も勤務。
(公社)日本消費生活アドバイザー・コンサルタント・相談員協会に入会後は、数多く の学校・自治体で消費者教育講師として活動。
・経済産業省 計量行政審議会 委員
・仲裁ADR法学会 理事
・特定適格消費者団体 消費者支援機構関西(KC’S)理事
- パネリスト
- インタセクト・コミュニケーションズ株式会社 リスク管理室 室長 甘利 友朗氏
通信事業者にてエンジニアリング、個人情報保護業務に従事。 ソフトバンク株式会社(現:ソフトバンクグループ株式会社)にてグループ情報セキュリティマネジメントに従事。 株式会社ドワンゴにてリスクマネジメント、グループ内部統制に従事。 現在、インタセクトにてリスクマネジメント、経営企画、DX推進プロジェクト、大阪大学 健康情報工学共同研究講座 研究員、等に従事。 東北大学内 次世代放射光施設「ナノテラス」の名付け親。
- パネリスト
- PayPay株式会社 執行役員CCO兼CRO兼DPO 法務リスク統括本部⾧ 寺田 陽亮氏
2000年4月 広島高等裁判所に裁判所事務官として入所、その後、広島地方裁判所 裁判所書記官を経て、2002年10月 ヤフー株式会社 入社。法務部門においてリスクマネジメント、事業法務を担当し、2019年同社法務本部コーポレートガバナンス部長に。
その後、2020年4月 PayPay株式会社 執行役員CCO兼CRO 法務・リスク管理本部長に就任。2023年4月より現職。同年6月PayPayカード株式会社 取締役(現任)