グローバル越境プライバシールール（CBPR）への英国の参加表明の意義と影響

1　APEC（アジア太平洋経済協力）における越境プライバシールール（CBPR）システム

　我が国における個人情報保護に関する認証制度としては，日本国内の規格である日本産業規格「JIS Q 15001個人情報保護マネジメントシステム－要求事項」をベースとしたプライバシーマーク制度が著名であり，2023年5月8日現在で，17000社以上がマークを付与されている（注1）。

　しかしながら，プライバシーマーク制度は個人情報の保護に関する法律（平成15年法律第57号，以下，「個人情報保護法」又は単に「法」という。）とは直接の関係を有さず，プライバシーマークを取得することで個人情報保護法上の法的効果が生じることはない。

　他方で，APEC（アジア太平洋経済協力）の枠組みで運営されている越境プライバシールール（Cross Border Privacy Rule，CBPR）システムによる認証については，個人情報保護法上の特別な地位が与えられている。

　CBPR認証はあまり知られていない。

　CBPRは，APEC閣僚会議で2011年に承認され，2013年から実際の認証が行われている。

　認証を受けた企業はAPECプライバシー・フレームワークへの適合性が確認され，エコノミー（APECに加盟する国・地域）内での越境データ流通を行うことができる（注2）。

　CBPRにおける認証機関をAA（アカウンタビリティ・エージェント）といい，日本では2016年より一般財団法人日本情報経済社会推進協会（JIPDEC）がAAとして承認されている（注3）。

　その他，2023年5月現在，韓国，シンガポール，米国，台湾のAAが存在する。CBPRに参加しているエコノミーにはこの他，メキシコ，カナダ，フィリピンが存在するが，実際の認証はAAが行うため，CBPR認証が行われている（又は行える）国は日本，韓国，シンガポール，米国及び台湾のみである。

　2023年5月現在，5カ国で70社弱が認証を受けている（米国46，シンガポール11，日本5，韓国5）。

　CBPR認証と個人情報保護法の関係は以下のとおりである。

・AAとしてCBPR認証を行うには，認定個人情報保護団体である必要がある。CBPR認証業務は認定個人情報保護団体における「対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務」として位置づけられている（法47条1項3号）。

・CBPR認証を受けた外国にある第三者は，「個人情報の取扱いに係る国際的な枠組みに基づく認定」（法28条1項，規則16条2号，ガイドライン外国第三者提供編4-3）を受け，「相当措置」（法28条1項）を備えたものとされるので，国内にある第三者と同様に扱うことができる（法28条3項の対応は必要である）。

・CBPR認証を受けた個人情報取扱事業者は，外国にある第三者への個人データの提供に際して，当該事業者に代わって，当該第三者に個人情報を取り扱わせる場合，CBPRで本人に負う義務が同様に履行されることを確保する措置を当該第三者との間で整備しなければならない，という取得要件を充たすことで，「適切かつ合理的な方法」（法28条1項，規則16条1号，ガイドライン外国第三者提供編4-1）であるとして，当該外国にあり第三者を，やはり国内にある第三者と同様に取り扱うことができる（同様に法28条3項の対応は必要である）。

　つまり，①CBPR認証を（米国，シンガポール，韓国及び台湾から）受けている外国にある第三者に対しては，国内にある第三者と同様に扱うことができる。

　他方，②日本でCBPR認証を受け，取得要件を充たている場合，外国にある第三者への提供に関する「適切かつ合理的な方法」を充たすといえる。

　②に際して，提供先の外国にある第三者の外国は，ガイドライン上では制限されていないが，CBPR認証がエコノミー内の越境データ流通を意図していることからは，当然に，APECエコノミー内に限られると解されるであろう。

　米国，シンガポール及び韓国からCBPR認証を受けている外国にある第三者としては，シンガポールのAlibaba Cloud (Singapore) Private Limited，米国のAppel, Inc.，Box, Inc., Slack Technologies, LLC, 韓国のNAVER及びNAVERクラウド等が含まれている。

　これらの事業者の提供するSaaS等のクラウドサービスのうち，委託に該当するものについては，国内と異なり，外国にある第三者への提供（法28条）の対応が必要となるが（注4），CBPR認証を取得していることを理由とした国内にある第三者と同様の取扱いが許されることとなり，負担は軽減される（繰り返しになるが法28条3項の対応は必要である）。

2　グローバルCBPRと英国の参加表明

　このように，CBPR認証には，個人情報保護法上，プライバシーマークと異なる特別な地位が与えられているが，しかしながら認証を受けている事業者数では比べ物にならず（17000社以上に対して，全世界で70社弱），そこで考案されたのが，CBPR認証の対象をAPECエコノミーに限らない（拡大する）という策である。

　このようなグローバルな認証スキームについては，2019年の個人情報保護委員会の資料（注5）ですでに構想がみられた。

　2022 年４月21日，CBPR 参加エコノミーである、カナダ、日本、韓国、フィリピン、シンガポール、台湾及び米国は，グローバルCBPR フォーラムを設立することや，国際的な認証システムを設立することを内容とする「グローバル越境移転プライバシールール（CBPR）宣言」（注6）に合意した。

　そして，2023年4月13日にグローバルCBPRフォーラムが開催され，「グローバルCBPRフォーラム規約」等の関連文書が策定、公表され（注7）、新たな国・地域の参加を受ける体制が整えられた（注8）。

　これを受けて，2023年4月17日には，英国よりグローバルCBPRフォーラムに参加する意向が表明された（注9）。

3　グローバルCBPRによる英国からの越境移転と欧州からの十分性認定の帰趨

　英国は，ブレグジット前の十分性認定の制度を維持しており（注10），日本とも相互の承認（十分性認定・同等性の決定）を継続している（注11）。

　英国が，グローバルCBPRと，同国の法制度をどのように整合的に扱うのか，その場合，英国に対して欧州一般データ保護規則（GDPR）（注12）上及び法執行指令（LED）（注13）上の十分性認定を与えている欧州委員会がどのように評価するのかが重要である。

　英国としては，グローバルCBPRに参加する以上，グローバルCBPR認証による越境移転を，何らかの位置付け（UK GDPR上の「認証」該当等）で適法化すると思われる。

　しかしながら，英国がグローバルCBPR認証企業への個人データの移転を自由とし，欧州からのデータが再移転（Onward Transfer）できるということになると，欧州委員会としては十分性認定を維持することに懸念が生じてくる。

　欧州委員会は，日本における補完的ルールでも，CBPR認証に基づく外国にある第三者への提供を許していない（注14）。

　CBPRについては全く信用されていないということであろう。

　英国がグローバルCBPR認証による移転を認めた場合に，GDPR及びLED上の十分性認定が維持されるのか，更新の際にどのように評価されるのか，グローバルCBPRの取組の試金石となることになる。

以上

（注1）https://privacymark.jp/

（注2）石井夏生利『新版　個人情報保護法の現在と未来』（勁草書房，2017年）372頁以下。

（注3）https://www.jipdec.or.jp/project/cbpr.html

（注4）個人情報保護委員会のQ&A7-53も参照されたい。

（注5）第129回 個人情報保護委員会（令和元年12月4日）【資料1】「個人データに関する国際的なデータ流通の枠組みに係る進捗について」9頁。

（注6）個人情報保護委員会「グローバル越境プライバシールール（CBPR）フォーラム

設立に向けた宣言文の公表」（令和４年４月21日）【別添】。

（注7）https://www.globalcbpr.org/documents/

（注8）経済産業省「グローバルCBPRフォーラムに英国が参加の意向を表明しました」（2023年4月18日），https://www.meti.go.jp/press/2023/04/20230418001/20230418001.html，個人情報保護委員会「グローバルCBPRフォーラムに対する英国の参加意向表明について」，https://www.ppc.go.jp/enforcement/cooperation/iCBPR/。

（注9）前掲注8

（注10）ICO, “International data transfers”, https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-and-the-eu-in-detail/the-uk-gdpr/international-data-transfers/

（注11）「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」（平成31年個人情報保護委員会告示第1号）。

（注12）COMMISSION IMPLEMENTING DECISION of 28.6.2021, pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom, C(2021) 4800 final。板倉陽一郎・寺田麻佑「英国のデータ保護制度に対する欧州委員会の十分性認定に関する議論の現状」情報処理学会研究報告電子化知的財産・社会基盤（EIP）2021-EIP-92巻12号1頁も参照。

（注13）COMMISSION IMPLEMENTING DECISION of 28.6.2021 pursuant to Directive (EU) 2016/680 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom, C(2021) 4801 final

（注14）「個人情報の保護に関する法律に係るＥＵ及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」」（平成30年個人情報保護委員会告示第4号）(3)。