すっかり暖かくなって、という表現は少し変かもしれませんが、あっという間に2016年も半分が経過しつつあります。

正月にたてた目標は「頑張って働く」でしたが、今のところこれは達成できているので、下半期に新たな目標として「丁寧に仕事をする」というのをぶち上げたい(ぶち上げるほどのことでもないですが・・・)と思います。

１、CBPRについて

さて、表題ですが、CBPRってなんでしょう、という話です。端的に言うとAPECが決めた個人情報保護の認証制度です。

www.meti.go.jp

経産省の資料を見ると、「APEC 域内における企業等の越境個人情報保護に関する取組に対して、APEC プライバシー原則への適合性を認証するものです。」とあります。パッと見で「なに？何か規制的なアレ？」とかいろいろ疑問がわいてきますが、これって企業として対応マストなんでしょうかね、というのが一番気になるところです。

２、企業は対応しないといけないの？

結論、別に必要なし、というのが現状です。

このCBPRというのは、「ええ感じに個人情報管理しとるな～よしよし」とAPECが言ってくれるだけで、「よし、認証とったから○○を許可する！」というような効果はありません。何のための制度やねんという感じはしますよね。

３、日本の個人情報保護法との関係はどうなの？

これは何とも言えませんが、日本の個人情報保護法改正の議論の中で検討されている個人情報の越境移転に関する規制と、若干関係あるかなという気はします。ただ「CBPRとったから個人情報保護法の要請は満たしています」ということが言えるわけではないのは確実かと思います。

これは日本の個人情報保護法の改正動向を追いかけておく必要があるので、検討課題です。

４、それでも認証取りたいんだけどどうしたらいいの？

どうしてもとりたい人は、下記を参照してとりましょう。いまのところあんまり意味ないんじゃないかな～。内容をざっと見たところ、Pマークの審査基準のぬるい版のような感じなので、企業規模にもよりますが基準充足自体にはそれほどの労力は払わなくてよいのではないかというのが所感です。

CBPR認証審査要領 - 一般財団法人日本情報経済社会推進協会（JIPDEC）

なお、大元のAPEC privacy frameworkは下記です。こちらはしっかりと読んでませんが、個人情報保護のルールとしては通り一遍の内容と思います。

http://www.apec.org/Groups/Committee-on-Trade-and-Investment/~/media/Files/Groups/ECSG/05_ecsg_privacyframewk.ashx

５、まとめ

アジア進出をもくろむ企業で、個人情報を取り扱う場合には、APECのルールに目配りするというよりも各国の法的規制に対応することを最優先に考えるべきでしょう。CBPRはいったんスルーでいいんじゃないでしょうか。

ということで、ザクッとした内容ですがこんな感じでいかがでしょうか。

ではでは。