CBPR：信頼性のある自由なデータ流通の実現

CBPR: Bringing Data Free Flows with Trust to Life
IAPP Asia Privacy Forum 2024 現地レポート[Vol.7]
公開：2024/08/09　執筆：ウンリュエル愛友美（株式会社プライバシーテック）、取材：山下大介（株式会社プライバシーテック）

世界中のプライバシー専門家が集う国際会議「IAPP Asia Privacy Forum 2024」が、2024年7月17日〜18日の日程で、シンガポールで開催されました。株式会社プライバシーテックは、今年4月にワシントンD.C.で行われたカンファレンスに続いて、今回も現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。

◆ この記事でわかること
・グローバルCBPRフォーラムと、その仕組みや取り組みについて理解する。
・世界規模でのフレームワークやガイドライン策定による利点を理解する。

登壇者

Lauren Bernick, CIPP/E, CIPP/US, Principal Deputy Chief, Office of Civil Liberties, Privacy and Transparency, US Federal Government
Dona Fraser, Senior Vice President, Privacy Initiatives, BBB National Programs
Clarisse Girot, Head, Data Governance and Privacy Unit, OECD
Junichi Ishii, Director for International Affairs, Personal Information Protection Commission, Japan
Sarah Pham, Policy Advisor, Global Data Policy and Privacy, U.S. Department of Commerce

転載：IAPP Asia Privacy Forum 2024

概要

データ保護とプライバシーは、官民を問わず、また消費者にとっても共通の関心事である。
このセッションでは、国境を越えた情報流通の信頼性を確保するための多国間取り組みとして、グローバルCBPRフォーラム（Global Cross-Border Privacy Rules Forum）の解説がなされた。

このグローバルCBPRフォーラムによる国際的なプライバシー認証の開発は、各国が経済の自由化と統合を促進しながら、商業データとプライバシーを保護するために協力できることを示している。パネリストは、フォーラムの最新動向や、フォーラムのプライバシー認証、グローバルなシステムを促進することによるさまざまなベネフィットなどに触れた。

グローバルCBPRフォーラムとは

グローバルCBPR（Cross-Border Privacy Rules：越境プライバシールール）フォーラムは、APEC CBPRシステムに参加しているアメリカ、カナダ、日本、韓国、フィリピン、シンガポール、台湾によって、2022年4月に設立された。

※現在は、オーストラリアとメキシコを加えた9ヶ国が会員として登録している。また、2023年6月からは英国が準会員として参加している。

このグローバル CBPR フォーラムは、世界規模で効果的なデータ保護とプライバシーを実現するための相互運用可能なメカニズムを提供することで、データの自由な流れを支援することを目指している。

フォーラムの活動の中核となるのは、グローバルCBPRシステムとグローバルPRP（Privacy Recognition for Processors：プロセッサ向けプライバシー認証）システムである（各システムについては後に詳述）。

これは個人情報の越境移転を行う事業者に適切なデータ保護水準を求めるものであり、加盟国が登録した認証機関が審査を行い認証する、自主的で説明責任に基づくシステムとなっている。事業者は国際的に認められたデータ保護およびプライバシー基準への準拠を実証することができ、国境を越えたシームレスなデータ移転が促進される。

したがって、グローバルCBPRフォーラムが目指すのは、以下の3点である。

• 世界規模で効果的なデータ保護とデータの自由な流通を促進するために、グローバルCBPRシステムおよびグローバルPRPシステムの確立と普及を促進すること。

• ベストプラクティスを共有し、データ保護とプライバシーに関する協力を促進すること。

• データ保護とプライバシーの枠組みとの相互運用性を追求すること。

グローバルCBPRフレームワーク

2023年4月、フォーラムは、APECプライバシーフレームワークを基に、OECDの「プライバシー保護と個人データの国際流通に関するガイドライン」の中核原則と整合性のあるグローバルCBPRフレームワークを策定した。

この枠組みは、9つの指針原則であるグローバルCBPRプライバシー原則（後に詳述）と、データ保護およびプライバシーに関する一貫した国内アプローチの策定と実施を支援する加盟国への指針から構成される。

フォーラム加盟国において適切な個人情報の保護を確保し、自由に情報を流通できる環境を整えることを目的としており、グローバルCBPRプライバシー原則に基づいて策定されたグローバルCBPRおよびグローバルPRPシステムプログラム要件の解釈を伝える役割も果たしている。

グローバルCBPRプライバシー原則

グローバルCBPRプライバシー原則とは、グローバルCBPRフレームワークに記載されている、グローバルCBPRおよびグローバルPRPシステムの基礎となる原則である。また、各システムにおける管理（プログラム要件）にも影響を与えている。

この原則に記述されている9つの指針について、それぞれ解説を行う。

1.危害の防止（Preventing Harm）

グローバルCBPRフレームワークの主要な目的のひとつは、個人情報の誤用とそれによる被害を防止することである。法規制などのデータ保護の取り組みや、事業者における情報管理は、個人情報の不正な収集または不正使用に起因する被害を防止するように設計されなければならない。

また、個人情報の収集、使用、移転によって生じる被害の可能性と深刻度に見合った救済措置を設けなければならない。個人情報が影響を受ける重大なセキュリティ侵害が発生した場合、プライバシー執行当局および／または関係者に通知することは、当該個人に有害な結果をもたらすリスクを低減するのに役立つ可能性がある。

2. 通知（Notice）

個人情報管理者は、個人情報の取り扱いおよび方針について、明確かつ容易にアクセス可能な声明を提供すべきである。また、その声明には以下の事項を含めるものとする。

a) 個人情報が収集されている事実。
b) 個人情報が収集される目的。
c) 個人情報が開示される可能性のある個人または事業者の種類。
d) 個人情報の取扱者に関する情報（連絡先を含む）およびその所在地。
e) 個人情報の取扱者が個人に対して提供する、個人情報の利用および開示の制限、ならびに開示・訂正のための選択肢や手段。

ウェブサイトへの通知の掲載や書面による通知など、状況に応じて、通知はさまざまな方法で提供することができる。事業者は個人情報が収集される時点、またはそれ以前に、関連する個人に通知を行うべきである。ただし、一般に入手可能な情報の収集および利用や、業務上の連絡先などに関しては、通知を行う必要はない。

3.収集制限（Collection Limitation）

個人情報の収集は、かかる目的に関連するものでなければならず、収集方法は合法的かつ公正でなければならない。また、必要に応じて、関係する個人に通知するか、またはその同意を得るべきである。

偽りの口実を設けて個人情報を取得すること（例：フィッシング、テレマーケティングなどを使用して、事業者が別の企業であると不正に偽り、消費者を欺いてクレジットカード番号や銀行口座情報などを開示するように誘導すること）は、多くの加盟国において違法とみなされる可能性がある。

4.個人情報の利用（Uses of Personal Information）

収集された個人情報は、収集目的およびその他の適合性または関連性のある目的を達成するためにのみ使用されるべきである。この「個人情報の利用」には個人情報の移転または開示が含まれる。ただし、以下の場合を除くものとする。

a) 個人情報の収集対象者本人の同意がある場合。
b) 本人が要求したサービスまたは製品を提供するために必要な場合。
c) 法律およびその他の法的効力のある文書、布告、宣言による権限がある場合。

5.選択の提供（Choice）

必要に応じ、個人情報の収集、利用、開示に関する選択肢が個人に対して提供されるべきである。選択肢の提供は電子的、書面、その他の方法において、明確な表現かつ目立つ表示で通知されなければならない。また選択肢を行使する仕組みは、アクセスのしやすさなど利便性を考慮すべきである。

ただし、一般に入手可能な情報（例：公的な記録や新聞から収集できる個人の氏名や住所）を収集する際や、ビジネス上のやりとりで交換する連絡先などについては、選択を行使するための仕組みを提供する必要はなく、「必要に応じた」対応が求められる。

6.個人情報の完全性（Integrity of Personal Information）

個人情報の管理者は、利用目的を達成するために、必要に応じて記録の正確性および完全性を維持し、最新の状態に保つ義務がある。不正確、不完全、または古い情報に基づいて個人に関する決定を行うことは、個人または事業者の利益に反する可能性があるためである。

7.セキュリティ保護（Security Safeguards）

個人情報を他者に委託する個人には、その情報が合理的なセキュリティ対策によって保護されることを期待する権利がある。そのため、個人情報の管理者は保有する個人情報を、紛失や不正アクセス、不正な破棄や使用など、悪用のリスクから適切な手段を用いて保護しなければならない。そしてその保護手段について、定期的な見直しや再評価をすべきである。

8.開示と訂正（Access and Correction）

個人情報の開示および訂正の権利は、一般的にデータ保護およびプライバシーの中心的な要素とみなされているが、絶対的な権利ではない。

以下のような状況では、事業者が開示や訂正の請求を拒否する必要が生じる。

a) 開示請求が反復的である場合や、その性質が迷惑である場合など、請求が個人情報管理者に不当な費用や負担を強いる状況。
b) 法的またはセキュリティ上の理由、または機密の企業情報を保護するために、情報の開示が認められない場合。
c) 本人以外の個人の個人情報およびプライバシーが侵害される場合。

9.説明責任（Accountability）

効率的で費用対効果の高いビジネスモデルでは、異なる場所にある組織間で情報を転送することが多い。情報を転送する際、個人情報管理者は、本人の同意を得るか、情報を転送した後も情報が保護されるよう合理的な措置を講じる必要がある。ただし、国内法により情報開示が義務付けられている場合を除く。

保有する個人情報の説明責任を確実に果たす上で有効な手段は、データ保護およびプライバシー管理プログラムを導入することである。

事業者が開示要求を拒否する場合には、その決定を行った理由と、その拒否に異議を申し立てる方法に関する情報を個人に提供すべきである。

グローバルCBPRシステム

グローバルCBPRシステムは、国境を越えて移転される個人情報に関して、事業者が一定の保護条件を満たしていることを認証する制度であり、国際的なデータ保護の基準を一層強化するものである。グローバルCBPRフレームワークを実施するための実用的な仕組みを提供し、事業者（企業）のみに適用される。

策定にあたっては、消費者が自らの個人情報が国境を越えて安全に送信されるという信頼を持てるように、そして政府が自国民の個人情報を国際的に保護するとともに越境データ移転に際して不当な障害がないと保証できるようにすることが考慮された。

グローバルPRPシステム

グローバルCBPRシステムが個人情報管理者（「管理者」）にのみ適用されるものである一方、グローバルPRPシステムは個人情報処理者（「処理者」）のために策定された国際的企業認証制度である。自国の経済圏以外ではあまり知られていない中小企業が、グローバルなデータ処理ネットワークの一員となることを支援するものである。

また、グローバルPRPシステムは、処理者が個人情報の処理能力を一般的に実証するのを支援するものである。そして、その処理がグローバルCBPRシステムにおける処理に関する管理者の適用要件に一致していることを保証するため、コンプライアンスの合理化および説明責任の推進に役立つ。

ただし、グローバルCBPRフレームワークおよびグローバルCBPRシステムにおける説明責任を果たすために、グローバルCBPR認証取得事業者が、グローバルPRP認定処理者に情報処理を委託しなければならないという要件はない。

グローバルCAPE 

プライバシー執行のためのグローバル協力体制（Global Cooperation Arrangement for Privacy Enforcement：グローバルCAPE）は、データ保護およびプライバシー執行関連活動に関する自主的な情報共有と支援提供のための取り組みである。すべてのプライバシー執行当局が参加でき、情報プライバシーの調査および執行事項に関して、互いに情報提供や協力の要請ができる。

グローバルCAPEの目的は以下の通りである。

• グローバルCBPRフォーラムにおけるプライバシー執行当局間の情報共有を促進する。

• データ保護およびプライバシー法の執行に関して、プライバシー執行当局間の国境を越えた協力関係を促進する仕組みを提供する。

• グローバルCBPRシステムおよびグローバルPRPシステムの執行におけるプライバシー執行当局の協力を促進する。

• 世界中のプライバシー執行当局とのデータ保護およびプライバシーに関する調査と、執行における情報共有および協力を奨励する。

グローバルなシステムのベネフィット

グローバルCBPRシステムおよび／またはグローバルPRPシステムへ参加する事業者は、取り扱う個人情報に対して、各システムプログラム要件に準拠したデータおよびプライバシー保護水準を確保しなければならない。審査および認証は、事業者の申請に基づき、アカウンタビリティ・エージェント（Accountability Agent）と呼ばれる認証機関が行う。

国際的なフレームワークやガイドラインを策定することにより、個人情報の越境移転における共通の保護水準が確保され、取引先や消費者からの信頼性向上につながると考えられる。また、政府、企業、消費者それぞれの立場から見たベネフィットは以下の通りである。

政府

• 国際的な原則を策定できる。

• 管轄区域におけるデータ保護体制の整備を支援できる。

• コンプライアンスと信頼の向上が見込まれる。

• 国際的な越境プライバシー執行を円滑化できる。

• 効率性が向上する。

企業

• 国際的なデータ転送を円滑化できる。

• コストと時間が削減できる。

• 国内法および国際的な基準へのコンプライアンスを実現できる。

• 中小企業にとって、データ保護プログラムの策定支援となる。

• 説明責任の証明となる。

• デューデリジェンスツールとして利用できる。

消費者

• 個人データの保護が強化される。

• 信頼できるベンダーの選択ができる。

• 消費者にとって利用しやすい苦情等解決処理方法が定められている。

以上

※本記事は山下大介（株式会社プライバシーテック）が取材、ウンリュエル愛友美（株式会社プライバシーテック）が翻訳、編集しています。

当社では、今回のカンファレンスの詳細版レポートと勉強会を有償（20万円〜）にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。

◆ 関連記事
[Vol.1]IAPP Asia Privacy Forum 2024が開催
[Vol.2]データ主権とはなにか？〜越境データ移転規制の現在地〜その１
[Vol.3]データ主権とはなにか？〜越境データ移転規制の現在地〜その２
[Vol.4]プライバシー保護技術：PETs導入への道
[Vol.5]ガバナンスの核となる「説明責任」とは何か？〜その１
[Vol.6]ガバナンスの核となる「説明責任」とは何か？〜その２
[Vol.7]CBPR：信頼性のある自由なデータ流通の実現←この記事

===

＜＜前へ：ガバナンスの核となる「説明責任」とは何か？〜その２

===

IAPP公式サイト：https://iapp.org/about/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP