米政府、グローバル越境プライバシールール（CBPR）システムの運用開始を発表

米国商務省国際貿易局（ITA）は6月2日、個人データの越境移転に関する国際認証制度の「グローバル越境プライバシールール（CBPR）システム」および「処理者向けプライバシー評価（PRP）システム」の運用開始を発表した。

CBPRシステム（注1）は、越境個人データに関して、企業が個人情報保護に係る一定の要件を満たしていることを国際的に認証する制度で、PRPシステムは、個人データの管理者（コントローラー）ではなく処理者（プロセッサー）に特化した付帯制度だ。当初はAPECの取り組みとして実施されていたが、2022年4月に、APECの枠組みにとらわれない取り組みに拡大された（2022年4月26日記事参照）。2025年6月時点で、CBPRシステムを運営する「グローバルCBPRフォーラム」には、日本を含む13の国・地域（注2）が参加している。

認証取得に関して、特定の認証機関（アカウンタビリティ・エージェント：AA）が企業からの申請に基づく審査を実施し、認証付与を行う。米国では、（1）BBB National Programs（本社：バージニア州マクリーン）、（2）NCC Group（英国マンチェスター）、（3）Schellman（フロリダ州タンパ）、（4）TRUSTe（カリフォルニア州ウォルナットクリーク）の4機関が認証機関に登録されている。

日本の経済産業省も、6月2日にCBPRシステムの運用開始を発表した（経済産業省発表資料参照）。一般財団法人日本情報経済社会推進協会（JIPDEC）が認証機関となり、企業からの申請に基づく審査を実施し、認証付与を行う。グローバルCBPRフォーラムのディレクトリによれば、JIPDECは、インタセクト・コミュニケーションズ、インターネットイニシアティブ（IIJ）、ペイディ、ペイペイの4社に対して認証を付与している。

（注1）CBPRシステムの概要は、経済産業省ウェブサイト、JIPDECウェブサイト参照。

（注2）正会員：オーストラリア、カナダ、日本、韓国、メキシコ、フィリピン、シンガポール、台湾、米国。準会員：バミューダ、ドバイ国際金融センター、モーリシャス、英国。

（葛西泰介）