モデレーター： 東洋大学 法学部 教授　加藤　隆之氏

パネリスト： ひかり総合法律事務所 弁護士　板倉　陽一郎氏
公益社団法人日本消費生活アドバイザー･コンサルタント・相談員協会（NACS） 　副会長　樋口　容子氏
インタセクト・コミュニケーションズ株式会社 　経営管理本部 リスク管理室 室長　甘利　友朗氏
PayPay株式会社 執行役員 CCO兼CRO兼DPO 　法務リスク統括本部長　寺田　陽亮氏

• 印刷用PDFファイルをダウンロード
• 当日の質疑応答ファイルをダウンロード

加藤氏：まずは企業実務の観点で、これまでデータの越境移転に関して困った点などがあればご説明いただけますか？

寺田氏：当社では特に困ったことがあったわけではないのですが、決済サービスを提供する金融機関として内部管理体制を高度化していく中で、自社のパーソナルデータの取扱いを誰かに確認してもらいたいという気持ちは強くありました。
国内ビジネスではありますが、競合企業は海外にも多く存在するので、グローバルな視点で体制構築していかなければならないと考えていました。

甘利氏：当社はプライバシーマークを取得しているので、日本国内のデータ移転に際し求められる対応は十分できていると思っていましたが、それが越境移転の際も海外企業や政府機関から見て十分なのか、十分でないとすれば何が足りないのかが分かりませんでした。そのため、APECから国際的な基準が出て、越境移転で求められる点を把握できたことは有り難かったです。

加藤氏：企業規模が大きくなると、各部署でデータ取引を行っているので、データ移転の実態をどこまで把握すればよいかわからない、ということもあると思います。板倉先生のところには、そういった相談もありますか？

板倉氏：板倉氏：個人情報保護法の第28条の対応に関する相談は日々受けています。同意で移転する場合は、移転の対象となる国名とその国の制度を本人に説明しなければなりませんが、個人情報保護委員会に説明用テンプレートがない国の場合は、自分たちで制度を調べ説明する必要があります。
また、体制整備の場合も、日本が提供元となる越境移転の場合は海外のSaaSサービスを利用するケースが多いと思いますが、先方が契約内容の個別交渉に応じない場合が多いので、公表資料等から基準に適合する体制が確保できているか判断した上で、定期的に個人情報保護法で検討が求められている制度変更等（主としていわゆるガバメントアクセスに関するもの）についてチェックしなければなりません。ただ、体制整備に関しては、提供先がCBPR認証を取得していれば体制を整備していることになりますので（法28条第2項、規則16条第1号、外国第三者提供ガイドライン4-1）、SaaSを選ぶ時にはCBPR認証を取っているところが楽ですよという説明はよくします。

加藤氏：消費者の観点からは、越境移転に関してどのような課題が挙げられますか？

樋口氏：今は、消費者のデータ管理や処理が日本国内だけで済まない、どんな企業でも越境せざるを得ない状況になっていると痛感しています。私たち消費者団体としては、そういう現状をまずは消費者に伝えていくべきだと思います。消費者からの相談で「個人情報がどこかで漏えいしていると思う。自分のところに変なメールや荷物、変な商品が送られてくる。」「ショッピングサイトで自分の情報を入れなければならないが、安心していいか」といった内容をよく受けます。消費者は、ECサイト等で説明されている内容についていくことも難しいので、「プライバシーマークを付与されている会社は信頼できる会社ですよ」とお伝えするケースは多いです。今後、CBPRを取得する企業が増えていけば、私たちも「CBPRを取得している会社は安心ですよ」と自信を持って消費者にお勧めできると思っています。これからは高齢者の利用もさらに増加するので、企業の皆様には分かりやすい情報を開示していただき、そして、私たちもそれを啓発していく必要性を痛感しているところです。

板倉氏：先ほど、SaaSを選ぶ際はCBPR認証を取得しているところを選ぶと楽と言いましたが、逆に日本企業が取っていることで、海外企業から選ばれるということもあります。EUと同様の法整備を進めようとしている国々で「日本側がCBPR認証を移転OK」となれば、取得メリットは大きくなると思います。

加藤氏：それは私もよく聞きます。CBPR認証を取得している米国企業と取引すれば越境移転に関してOKとなるので、日本企業にとって相手方がCBPRを取ってくれているというのはすごく大事です。裏を返せば、皆様がCBPR認証を取得していれば、相手方から見ればすごく楽ということになりますし、どのような状態であっても移転できるということになりますので、そういう意味ではすごくメリットになるのではないかと思います。

板倉氏：CBPR認証事業者が増えれば、スケールメリットがどんどん出てくると思います。米国は徐々に増えていますし、シンガポールは施策として増やしています。そうした動きに早めに乗ることで、「こういう企業が取っている認証を当社も取得しています」とアピールすることはできます。認証事業者のリストは公開されていますから、そこに自社名が加わることはいい宣伝にもなると思います。

加藤氏：実際に取得された事業者の方としては、どのようにメリットの点をとらえていらっしゃいますか？

甘利氏：一番強くメリットと感じているのは信用度の向上です。当社はマスメディア向けの広報や広告を行っていないので、一般の方々が聞いたこともない社名の会社が大阪をはじめ、北海道・京都・福岡にも進出して、「一緒に越境ECやりましょう」と言っても「まず、あなたは誰ですか？」というところから始まってしまいます。しかし、名前を聞いたことのない会社でも、CBPR認証を取得しているということで、サービスだけでなく、セキュリティ的な面もきちんとやっている会社だと思ってもらえることが一番大きなメリットだと思っています。

寺田氏：当社も同じです。サービスは非常に多くの方に利用していただいていますが、ユーザーアンケートを取るとセキュリティ面を心配される声が一定程度あります。そのような状況で、我々自身が「大丈夫です」とお伝えしても「自分で言っているだけ」となってしまう状態を解消することが、CBPRを取得した一つの大きなポイントです。
自分たちだけで評価するのではなく、極力第三者の基準をガイドとし他人の目を入れて高度化を進めることが必要と考えています。

樋口氏：米国の主要な大手企業がきちんと取得している一方、日本では未だ4社程度です。シンガポールでさえも11社が取得していますので、日本の人口から考えると非常に少ないと思います。多くの日本企業の方々も取得していただき、国際的にもルールが統一されていくと、消費者も安心安全にインターネット上のショッピングや情報のやり取りを楽しめる状況になると思います。

板倉氏：CBPR認証取得の過程で、自社の越境移転データを洗い出すことになります。米国では、IBMやAppleやMastercardなど名だたる企業が取得していますが、EUへの移転対応（BCR）のついでに取ったという企業も聞きました。
日本は現在EUの十分性認定を受けてはいますが、それに安住して国際移転を洗い出さないでいると、気づかないうちに違法なことを行ってしまっている可能性があります。私のところに来る相談でも、問題があることに気づいていないケースが多いです。最初の洗い出しは一番大変なので、初めてCBPR認証を取得する際は労力がかかりますが、その過程でいろいろ気づくことがあり、副次的に国際的な企業が行っていることの理由も分かってくると思います。
普段は業務が忙しく、マーケティング部門や広報部門がWebサイトにいろいろ仕込んで様々なデータを流通させていてもなかなか確認まで至りませんが、CBPR認証の審査に合わせて1年に1回洗い出す機会があると、単に認証取得のためだけでなく、越境移転に関するリスクの洗い出しという守りにもつながると思います。

加藤氏：会社が上手くいっている時はコンプライアンスの視点が軽視されがちですが、何かあった時には会社は責められ、評判は下がってしまいます。海外へのデータ移転の洗い出しを行っても必ず事故を防止できるわけではありませんが、問題点を把握しやすくなるのではないかと思います。社内のデータ取扱いの状況をあいまいにしておくのではなく、洗い出す作業をやってみることは大事だと思います。特に上手くいっている会社こそ、やっておくことが大事ではないかと思います。
個人的なイメージですが、プライバシーマークやCBPR認証というのは特保と同じような働きをするのではないかと思います。どの程度健康にいいのかは分からないけれど、特保マークがあると自分が健康になる気がして買うこともある。一般消費者や国民にはデータ移転やデータ保護の実態はわからない。しかし、プライバシーマークやCBPRの認証を持っていれば、そこに信頼を置いて、取引してみようと思われることはあると思います。実際には、内部で洗い出し等を行うという裏付けもきちんとあって、審査のプロセスに乗せているので、そこにはすごく意味があると思います。

加藤氏：CBPR認証はAPECの枠を超えて展開されようとしていますが、今後への期待をお願いします。

寺田氏：CBPR認証を多くの企業に取得していただくことが大事ではないかと思います。メーカーであっても顧客情報や従業員情報を海外移転しているケースは十分あり得ます。業種業態によらず、自分たちのデータがどこでどのように管理されていて、それが適切な体制なのかということは重要だと思います。決済やeコマースに限らず、幅広い業種の方が関心を持たれることを期待しています。

甘利氏：私も、取得事業者数が増え、認知度が向上することを一番期待しています。現状では、まだCBPR認証を取得していることを伝えても「何それ？」となってしまう場合もあるので、誰もが「取得しているなら、きちんと対応している企業なんだ」と思うところまで認知が広がって欲しいと思います。
個人的には、CBPR認証取得を牽引するのはインバウンドではないかと思います。単に訪日観光客のデータを取り扱うからということだけでなく、観光で来日した旅行者がビジネスに戻った時に、「CBPR認証を取得している日本企業であれば信頼して取引できる」と思ってもらえることにもなると思います。

樋口氏：NACSで、現在ネット取引やネット広告を主な取組課題と位置付けています。現在、本当にいろいろなところから自分の情報が吸い上げられている時代だと思います。個人情報それ自体は適切に使っていただければ経済を活性化する潤滑油の一つになると考えていますので、消費者が、ただ「よくわからない」「なんだか怖い」という反応とならないよう、私どもも、当会が実施している学校での消費者教育講師派遣事業などの中で、消費者が進歩していく情報活用に追いつけるように啓発していきたいと思います。併せて、企業の方々には、消費者の情報がどのように収集され、海外でどのような取扱いになっているのかをしっかりと理解してもらえるような情報を開示していただくとともに、越境して入ってくるマーケティング広告に対しても、嫌なものは拒否できるような仕組みを作り、消費者とのwin‐winの関係になっていければいいなと思います。

板倉氏：グローバルCBPRの枠組みに英国が入ることがほぼ確定しています。
EUの法制度は法律家から見ると良くできているので、それを真似して様々な国が法律や制度を作り、十分性認定のような仕組みも入れるわけですが、どこも全く機能していません。おおもとのEUでさえ、十分性認定の対象国は2年に1件程度しか増えておらず、実際には十分性認定の制度を機能させることは難しいです。EUに関しては、日本は十分性認定されていますが、それ以外の多くの国はどこの枠組みに入ろうか迷っています。そのような状況で、CBPR認証を取得する企業が増えれば増えるほど、迷っている国が興味を示す可能性も高いと思うので、今のうちに取得するのはお得ではないかと思います。
また、CBPR認証を取得する過程で、会社に入る知見はかなりあります。海外企業は普通に持っているデータ移転に関する知見ではありますが、これは自社にとって非常に大きな財産になると思います。毎年更新ではありますが、2年目以降はそれほど大きな負担にはなりません。取得の取組みを通じて、日本企業がデータ移転に関する知見を高めていくことを期待したいと思います。

加藤氏：一般的に、EUの取組みは先進的であると言われていますが、私はそのようには考えていません。欧州の手法は、第三国も自分たちと同等レベルに引き上げようとするものですが、私は非現実的な発想だと思います。また、その国の法制度が整備されているからといって、その国の全ての企業が法制度に基づき適切に対応しているとは言えないはずです。
他方で、プライバシーマークやCBPR認証は、手を挙げた企業が認証されていくので、はるかに現実的で消費者にとっても分かりやすく、実効性が高い仕組みではないかと思います。

• 本内容は、2023年12月14日福岡、2024年1月10日大阪で開催された「グローバルCBPRの展開・普及ワークショップ」での講演内容を取りまとめたものです。