CBPR認証にかかわるアドバイザリー
個人データの越境移転に関する認証制度への対応
複数の地域・国の間における個人データ移転の複雑化に伴い、各種データ保護規制への的確な対応を目的として、グローバルCBPRおよびAPEC CBPR認証の取得をサポートいたします。
CBPRとは
CBPR(Cross Border Privacy Rules)システムは、国境を越えて流通する個人データに関し、プライバシー原則・フレームワークへの適合性を第三者である認証機関が認証する制度で、グローバルに事業を展開する企業においてデータトラストを実現する仕組みです。CBPRシステムは、これまでAPECにおける制度として運用されてきましたが、2022年4月、その他の地域におけるデータ越境移転や各国間の規律の相互運用を踏まえ、より多くのエコノミーが参加可能な枠組みであるグローバルCBPRフォーラムの設立が宣言されました。
グローバルCBPRには、正会員としてオーストラリア、カナダ、日本、韓国、メキシコ、フィリピン、シンガポール、台湾、米国等のエコノミーが、準会員として英国等のエコノミーが参加しています。
CBPR認証を取得するメリット
認証を取得するメリットとしては次の点が挙げられます。
- CBPR域内の拠点同士でCBPRに依拠した移転が可能になり、個人データの越境移転が円滑に実施できる
- 取引先や消費者、その他のステークホルダーに対して、データの取扱いに関する信頼性を訴求できる
- 政府機関や認証機関の提供する相談窓口の仕組みを利用でき、また認証維持管理のサポートを得られる
認証取得のアプローチ
認証取得に向けての準備は、4つのステップで構成されます。最初のステップでは、企業における個人データの取扱い状況と認証基準とのギャップを分析して企業が取り組むべき課題を洗い出し、対応方針を整理します。2つ目のステップでは、対応方針に従って、プライバシーポリシーや規程類の見直し、業務プロセスの見直し等を行います。3つ目のステップでは、審査のための申請書類の準備や模擬審査等を行います。最後のステップでは、文書審査や現地審査に対応する中、アカウンタビリティ・エージェント(認証機関)からの質問等に対して、回答内容を検討します。
大場 敏行/Toshiyuki Oba
デロイト トーマツ サイバー合同会社 マネージングディレクター