梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

CBPRの現在位置(前編)

 「ヒト・モノ・カネ&情報の自由な流通」は、経済発展に寄与する。これは経済がグローバル化した今では、より重要となった真理である。特にデジタル社会では、情報の流通は飛躍的に増している。しかし流通が安全に行われることは必要条件で、特に個人情報となると安全なだけではなく、情報の主権者に安心してもらう必要がある。

 

 プライバシー保護は、国連の「世界人権宣言」や国際人権規約にも謳われた基本的人権の一つであり、多くの国で「保護」の規定が設けられている。代表的なものは欧州のGDPRGeneral Data Protection Regulation)で、保護を怠ったものに罰則を科すとしている。

 

 主な課題はグローバル企業が各国で個人情報を収集、活用しようとした時に、各国の法規が異なる点である。ある活用をしようとした時に、規定の厳しいA国で収集した個人情報を、規定が緩いB国で活用するのはどうか?欧州などは、自らの規定を「域外適用」することで、これに対処している。

 

    

 

 一方、個人情報の有用性の観点から、流通と活用を促進するルールも必要とされた。そこで多くの国の間で個人情報を流通させるためOECDなどで議論が進み、2004年にAPECでプライバシーフレームワークが設定された。これはOECDガイドラインに準拠したもので、フレームワークに加わることのできる企業を認証するシステムとしてCBPR(Cross Border Privacy Rules)が構築されている。これはアカウンタビリティ・エージェントという認証機関が企業を審査して、当該企業が国境を越えて個人情報を流通・活用するに足るか否かを判断するものである。(*1)

 

 この認証を受けた企業なら、安心して個人情報を預けていいと思ってもらえる制度であるが、約20年経っても十分普及していないし知られているとも思えない。

 

<続く>

 

*1:CBPR認証|一般財団法人 日本情報経済社会推進協会 (jipdec.or.jp)