2024.01.25
レポート
CBPR認証取得の紹介
一般財団法人日本情報経済社会推進協会(JIPDEC)は1967年12月に設立された団体で、個人情報保護やプライバシーに関わる調査研究やプライバシーマーク制度の運営等を行っています。2005年には認定個人情報保護団体の認定を受け、2016年には今回ご紹介するAPEC CBPRのアカウンタビリティ・エージェント(審査機関)として、わが国初となる認定を受け、現在は日本におけるCBPR認証制度の審査機関1として業務を行っています。
認証手続きの概要
まず、CBPR認証の申請には前提条件があります。個人情報保護法により、CBPR認証の申請をするためには、認定個人情報保護団体の対象事業者2になることが必須3となっています。
現在、個人情報保護委員会から認定を受けている認定個人情報保護団体は40以上あり、その業務は、個人情報保護法で苦情相談(1号業務4)、情報提供(2号業務4)、情報の適正な取扱いに関するすべてのこと(3号業務4)と定められています。CBPR認証制度の運用は3号業務として位置付けられています。この1号から3号の業務の提供を受けることに同意していただくと、対象事業者となります。
認定個人情報保護団体の多くは各事業分野の業界団体で構成されており、既存の団体に属する会員企業を対象としていますが、JIPDECは全ての事業分野を対象としています。ただし、JIPDECの認定個人情報保護団体の対象事業者となるには、①プライバシーマーク付与事業者であること、②プライバシーマークは未取得だがCBPR認証の取得を検討していること、のいずれかの要件を満たしている必要があります。
上記①の事業者様は、同意届を提出いただくことで対象事業者となります。一方、②の事業者様は、法人情報等を含めた確認資料等を提出いただくことで対象事業者となり、その後CBPR認証の申請ができるという仕組みとなっています。
- 1 日本国内でCBPRの審査機関となるには、APECからAAとして認定される前に認定個人情報保護団体として個人情報保護委員会の認定を受ける必要がある。
- 2 認定個人情報保護団体から認定業務の対象となることについて同意した個人情報取扱事業者のことを指す。詳細は、個人情報の保護に関する法律 第52条(対象事業者)参照。
- 3 上記1より、CBPR認証審査機関は法に基づく認定個人情報保護団体であるため、認定個人情報保護団体の法定業務の1つであるCBPR認証を申請しようとする事業者は、認定業務の対象になっていることが求められます。
- 4 個人情報の保護に関する法律 第47条(認定)第1項関係
CBPR認証の申請から登録までのフロー
CBPR認証の申請書類を提出いただいた後、資格の確認、審査料の概算見積提示となります。資格の確認では、提出資料の内容が業務フローと合っているか、情報は全て提出されているか等を確認しますが、多くの場合、資料内に間違いや誤解等があるため、確認に時間を要します。正しい資料を全て提出いただき、審査料の入金が完了した時点で審査がスタートし、約3か月程度で審査を終えるスキームになっています。
審査は、文書確認、ヒアリング、現地審査があります。提出資料に問題があってもそこで認定不可となるのではなく、対話型の認証制度になっているので、疑問がある点は事業者様とやり取りし確認や指摘を行いながら、進めていきます。現地審査では、やり取りの中で確認が必要なものやオンライン提出が難しいものについて確認を行います。
申請いただいてから認証取得までは、約4.5か月程度かかります。ただし、初回申請の場合、業務フローをもとに業務にどういう情報が紐づいて、何の情報がどこで越境移転しているのかを正確に確認するために+1か月、さらに対象業務が非常に多い場合には+2か月程度を要します。
また、CBPR認証取得後は、1年ごとに再認証となります。プライバシーマークの場合は2年に1回の更新時にサンプリングで確認しますが、CBPRは、必ず毎回対象業務全てを確認します。認証取得した半年後にはモニタリングも行い、何か新しい業務や変更が発生していれば、次の審査に繋げていきます。
申請→認証取得の費用
費用としては、審査料と認証付与後に発生する管理料があります。
審査料は、申請のお問い合わせをいただいた後、まずは移転データの概略を伺い、事前に概算見積もりで費用をご確認いただきます。多くの企業様が移転データの概略として自社の正しい情報を1回でご提出いただくことは非常に少なく、双方でやりとりしながら審査対象業務や越境移転の状況を確認していきますが、これは骨の折れる作業であると共に、事業者様にとってもデータの流れを整理できる良い機会だと思っています。見積の根拠としては、越境移転の取り扱う量や移転の根拠(本人同意/体制整備等)の他、移転先国の数、SaaSを含み利用している委託先や海外サービスの数及び利用の状況(業務フローとの関係)など、様々な要素を基に算出します。
また、認証付与後の管理料は売上高に基づいて設定されています。管理料に含まれる費用には、苦情相談対応の人件費や諸外国の法制度を含むCBPRを取り巻く情報の収集、APECのCBPR制度窓口への連絡・報告書作成費用なども含まれます。
認証取得の意味
外国(特に米国)企業と新規で取引を始める際、セキュリティチェックリストが送られてきますが、CBPR認証を取得していると、一定程度の項目がグレーアウトされ、できていると見做される場合があります。日本国内では、まだそれほど浸透していませんが、グローバルに事業を展開されている、又はこれから展開しようとされている事業者様には非常に大きなメリットになると思います。
ご相談は、具体的に事業が始まる前でも受け付けていますので、少しでも関心をお持ちいただけましたら、経済産業省様及びJIPDECの問合せ窓口までぜひお問い合わせください。
- 講師
- JIPDEC 認定個人情報保護団体事務局 事務局長 奥原 早苗
美容業界の法務・お客様対応・経営企画等の各部門責任者を経て、2020年4月よりJIPDEC認定個人情報保護団体事務局に勤務。2022年より現職。
消費者代表として各省庁(消費者庁、経済産業省、総務省等)や事業者団体の審議会や委員会、有識者会議等に参画。金融、情報通信、サービス関連企業等の社外アドバイザーも務める。
・玉川大学工学部マネジメントサイエンス学科 非常勤講師
・(公社)日本消費生活アドバイザー・コンサルタント・相談員協会 理事
・資格:プライバシーマーク審査員、消費生活アドバイザー、消費生活専門相談員
【著作】 『消費者法研究第10号 「令和2年改正個人情報保護法と消費者」』(信山社、2021年10月発行)
『消費者法研究第12号 「消費者志向経営と企業価値評価」』 (信山社、2022年3月発行)
『これからの民放・消費者法(Ⅱ) 「越境取引と個人情報保護」』(信山社、2023年3月発行)