3月2日、会員セミナー「BCRに関する勉強会」を開催しました
3月2日、新経済連盟、日本IT団体連盟、アジアインターネット日本連盟との3団体共催で、会員向けセミナー「BCRに関する勉強会」を開催いたしました。
講師をご担当頂いたのは、楽天株式会社ITセキュリティガバナンス部グローバルプライバシーオフィスオフィスマネージャーの柳池 剛様です。
柳池 剛 様
楽天株式会社様は、同グループが策定したBCRが、2016年12月にルクセンブルクのデータ保護機関より日本で初めて承認を取得したとして、注目を集めています。そこで、今回は、楽天株式会社様がBCRを申請し、承認に至ったことに関してご講演を頂きました。
楽天株式会社様は、同一IDにより様々なサービスを利用することができる楽天経済圏を展開していますが、事業をグローバルに拡大するためには、各国間での情報移転が必要となります。
しかし、EUに関しては、十分なレベルの個人データの保護があると認める特定の国や地域にだけ移転を許可しており、それ以外については、個人データを域外に持ち出すことを原則禁止しているのが現状です。
現在の日本はこの十分性認定を受けていないため、特段の措置を講じることなく持ち出す行為は違法となってしまい、ビジネス上の大きな弊害となっていました。
十分性認定が得られていない国や地域への個人データ移転については、例外として
① 本人から明確な同意を取得した場合等を含めた例外事由
② SCCに基づく個別契約を締結する
③ BCRを作成し、加盟国のデータ保護機関の承認を得る
の3つの方法を用いることによって、移転をすることが認められています。
これらの手法がある中で、楽天株式会社は、何故③の方法に踏み切ったかにつき、柳池様からは、次のような説明がありました。
① 同意などを含めた例外事由は、その他のオプションである ② や ③ に依拠することが不可能な場合、かつ、非定期的な越境移転にのみ例外的に依拠することが認められるという、極めて限定的な状況でしか利用できないと定められています。
② これに対して、SCCに基づく個別契約を締結する方法とは、欧州委員会が策定した「標準契約条項(SCC, Standard Contractual Clauses)」を、域外移転を目的とする組織との間で個別契約を締結し、監督機関からの承認を得るものです。しかし、この方法によれば、対象とする全ての組織との間で個別契約を締結しなければならず、各過程には、SCCの新規策定または内容の一部改定、レビュー、役員のサイン、監督機関への通知、承認取得までのステップがあり、準備が完了するまでには6ヶ月を要することもあるため、迅速なビジネスの展開に大きな支障を及ぼしてしまうことが考えられます。
③ そこで、別の方法として考えられたのが、グループ内で統一された情報管理ルールを文書化した「拘束的企業準則(Binding Corporate Rules:BCR)」を作成し、加盟国のデータ保護機関の承認を得る手法です。BCRを策定し、データ保護機関の承認を得るまでには、多くの手続と費用が発生しますが、一度導入しさえすれば、グループ内の情報移転については、包括的に認められるようになり、情報移転の開始までに必要なリードタイムはSCCと比較したときよりも大幅に短縮することが可能となります。
楽天株式会社様が BCR 申請に踏み切った背景と狙いとしては、国際的な競争力の向上に備えて適法かつ迅速な越境移転を可能にすること、コンプライアンスを確保すること、越境移転の包括的なソリューションを構築すること、2018年に施行予定の「EU一般データ保護規則」(General Data Protection Regulation : GDPR)の対策となること、などがあるとのご説明がありました。
柳池様からは、この後、BCR取得プロジェクトのギャップ分析、戦略立案、ポリシー作成、承認プロセスという各Phaseの内容について、詳細かつ具体的なご説明を頂き、本セミナーは終了となりました。
質疑応答の場でも、専門的な意見交換が行われ、大変質の高い講義内容となっていました。
お集まり頂いた会員のみなさま、今回会場をご提供頂いたヤフー株式会社様、講師の柳池様、共催頂いた日本IT団体連盟様およびアジアインターネット日本連盟様、ありがとうございました。
提言・ニュース