Internet Infrastructure Review（IIR）Vol.53
2021年12月24日発行

4. フォーカス・リサーチ（3）

IIJ BCR取得への道のり～EU GDPR対応、そしてその先へ～

2021年8月、ドイツ ノルトライン=ヴェストファーレン（NRW）州の監督機関であるLDI-NRWから、待ちに待ったIIJ BCR（Binding Corporate Rules：拘束的企業準則）承認の連絡が来ました。EUのGDPR（General Data Protection Regulation： 一般データ保護規則）施行後にBCRが承認されたのは全世界で18社（2021年8月現在）、そのうちの1社となったのです。GDPRへの対応としてBCRの検討を開始してから早5年、様々なことがありましたが、これでひとまず胸を張ってちゃんと認められたというところまで到達できたことになりました。

ここでは何故IIJ BCR認証取得という方法を選んだのか、取得までにどういうことがあったのか、これからどうするのか、について話そうと思います。

4.1 BCR承認取得の決定

EUは2016年、EEA（European Economic Area：欧州経済領域） 域内の個人データの保護を目的とするGDPRを制定し、2018年から施行しました。GDPRが発表された当時、様々な憶測がなされ、例えばインターネットでの自由な情報流通が失われる、などの極論もあったと記憶しています。

もちろんEUの目的はそのようなインターネットでの個人データ流通を制限することではなく、むしろ既に国境を越えて様々な国で利用されているEU領域の人に関する個人データの適切な利用を求めるものであり、それまで曖昧だった個人データの保護をより明確化し実効性を持たせるためにきちんと制度化するという非常に先進的な取り組みでした。現在でもGDPRが示す個人データ保護のための様々な方針などは、情報社会における個人データ保護の在り方を示唆するものが多いと思います。

そもそもは個人データの利活用を徹底して行っていたGAFA に代表されるいわゆる巨大プラットフォーマの台頭があり、スノーデンの暴露による行き過ぎた米国政府の監視の実態が明らかになり、米国の個人データの取り扱いに対する欧州の強い不信感が背景にあり、これがGDPR制定のきっかけになったと思います。これは個人データというものに対する文化的な価値観が大きく異なることに起因するものと考えます。これについては後述します。

EUがどうやらかなり本気であることは分かってきましたが、IIJはグローバルに個人向けサービスを提供しているわけではなく、また政府の個人情報保護委員会も国としてEUから何らかの認定を受ける方向で動いているという話もあったので、積極的にGDPRへの対応を行うことは考えていなかったというのが正直なところでした。ですが、いろいろ検討しているうちに、IIJ Europeにいた小川からの提言もあり、IIJ BCRの取得が望ましいとの判断に至りました。

IIJ BCRの承認取得に向けて舵を切ることになったのは、主に以下の4つの理由からです。

グローバルなセキュリティガバナンスの構築が必須であると思い始めていた

IIJは従前から世界各地にグループ会社を展開してきていますが、事業を行うにあたっては当然それぞれの国で個人データ保護などへの対応が求められます。ただ以前は各国の状況を包括的に把握するまで至っておらず、結局が各グループ会社で独自に対応を行っており、正直に言えばグループとしての統制まで手を付けられていない状況でした。GDPRへの対応としてIIJBCRを策定しグループ会社へ適用することは、微妙な状況となりつつあった個人データに対して、統制を行うことができる貴重なものだったのです。

BCR以外の方法が煩雑過ぎた

GDPRへの対応方法はBCRの認証を受ける以外にも、SCC（Standard Contractual Clauses：標準契約条項）という契約雛形を必要に応じて結び、それを根拠としてデータ移転を行うこととする方法がありました。しかしこの契約は、個人データを保有する責任を持つ管理者（Controller）とその個人データを預かって処理を行う処理者（Processor）の間、または処理者と処理者の間でいわばメッシュ状に契約を結ぶ必要がありました。また処理内容に変更があった場合には、改めて契約を結び直す必要があるという契約管理上の手間がかかります。IIJのグループ会社だけでもかなりの数になることが容易に予想されること、また事業の性質上、お客様の情報を預かり各グループ会社のサービス上で展開されることが多いこと、などから、この方法はいずれ破綻しかねないという懸念がありました。IIJ BCRは率直に言えばこれを解決する唯一の手段でした。

GDPRの思想はいわゆる日本での個人情報保護よりも先進的な概念が実現されていた

IIJはもちろん個人情報保護の内部統制を行っており、Pマークも取得しています。基本的な個人情報についての枠組みは理解しているつもりでした。しかしGDPRについて多少理解し始めたときから強く感じるのは、EUは本気度が違うということです。日本の個人情報保護がいろいろと対策に苦慮しているのは理解していますが、EUは正論と発想でその難題を乗り越えて、その先の様々な対応にまで着手して実装していこうとしています。正直ここまでと驚きました。もちろん日本もそのあたりへの対応は行っていて、日本とEUとの間で十分性認定が発行されましたが、EEA域内から移転された個人データには補完的な規則が適用されることからも分かると思います。この後の話にもつながりますが、管理者だけではなく処理者についても熟考され、処理者についての枠組みも整備されているのはかなり先進的な取り組みといえます。これはもちろんEUが個人データの保護のために必要と考えて実現しているわけですが、これはいわばクラウド時代のインターネットでの個人データの取り扱いを見越したものであると思います。

自社の個人データ保護だけでなくクラウドサービスでの個人データ保護が可能となる

EUがGDPRを制定する動機となったのは、明らかにインターネットにおけるプラットフォーマなどのEEA域内の個人データの取り扱いについて、EUの基準において適切に行われるよう個人データを取り扱う事業者などに規制をかけるものでした。そのような狙いから、規制対象となるのは、個人データの管理責任を負う管理者はもちろんのこと、管理者から委託を受けた処理者も含むものとしました。EUは特に処理者であるプラットフォーマによる適切とは言いがたい状況に対峙していたため、これらの条項が明確に規定されたのだと思います。これはいわゆるクラウドサービスのようなアウトソースについても処理者としてのBCRの条件を満たすことでGDPRへの対応が可能となる、という可能性を示すものでした。つまり管理者であるお客様が、適切な保護措置を取っている処理者を利用しているということを証明できることになります。IIJ EuropeでGDPRへの対応の検討を開始したのが2016年1月、IIJとして正式にBCRの承認取得に向けて承認を得たのが2016年5月でした。検討に時間がかかったせいもありますが、その後英国のEU離脱（BREXIT）などの影響を受け、実際に承認が得られたのは2021年8月5日でした。この間、人数としてはそれほど多くはないものの、危機管理室を中心に、ビジネスリスクコンサルティング本部、グローバル事業本部、コンプライアンス部などが関わり、また実際にEUの監督機関と交渉する際には法律事務所の力も借り、やっとのことでBCRの承認まで漕ぎ着けました。GDPR施行後に承認されたグローバル展開するクラウドベンダーとしては、日本のみならず世界初となります。

ただし他のデータガバナンスと同様、承認を得られることがゴールではありません。むしろこれを機にグローバルなデータガバナンスに向けた内部統制の確立が新たに始まったわけです。

4.2 BCRとは何か？

ここで少しだけBCRについて説明します。

BCRとは、企業グループ全体で遵守するデータ保護ポリシー（もちろんこのポリシーは個人データ主体である人にも知ってもらうものであり、よって広く公開されるものです）であり、当該グループ企業及びその従業員などを拘束することとなる規則です。データ保護といっても技術的なセキュリティ対策の実装そのものよりも、従業員などに向けた個人データの取り扱いに関する基本思想・ルールの共有や教育、従業員本人が問い合わせや不満を述べることができる運用環境の整備など、これまで日本国内で情報セキュリティや個人情報保護の内部統制として長年にわたって発展してきた活動内容が求められていると想像していただければ分かりやすいと思います。ですがEU のGDPRは世界で最も厳しい個人情報保護法ですので、BCRの承認を得ることはそうたやすいものではありません。

IIJグループとしてのIIJ BCRは、IIJ EuropeのWebサイトのPrivacy Policyの一番下にBinding Corporate Rulesとして公開されています。またグループ各社からここにリンクが貼られています。

このBCRがEUの主任監督機関から承認を受けると、当該企業グループはEU法に照らし合わせて個人データ保護の観点で十分に安全で適切な保護措置がとられている（appropriate safeguard）とのお墨付きをもらい、GDPR第46条2項（b）に基づきEEA域内にある個人データをEU域外に適法に移転可能となります。

EEA域内から域外への個人データの移転は原則禁止であり、これを行えるようにするためにはいくつかのやり方が認められていますが、BCRはそのうち企業レベルでは最も厳しい基準を満たすものです。承認を受けた企業グループに対する、または承認を受けた企業グループを構成する企業間の個人データの域外移転に関してBCRを遵守する限り、GDPRが要求する適切な保護措置がとられているものと認められます。

承認の取得は主任監督機関にGDPR第47条に規定されるBCR を提出して承認をもらうのですが、主任監督機関以外の厳密な精査のプロセスを踏みます。まず主任監督機関が補佐の監督機関とBCRをレビューし、幾度となくIIJとの間で訂正を繰り返し、問題ないと判断したらEUの執行機関である欧州委員会（EU Commission）傘下のEDPB（European Data Protection Board：欧州データ保護会議）に連絡を取り、域外移転の専門分科会であるITES（International Transfer Expert Subgroup） meetingに事前のお伺いを立てます。ITESのメンバーはEU加盟国すべての監督機関（当局）の専門家から成り立っており、ここは違うのではないか？このルールは甘いのではないか？といった修正リクエストが主任監督機関に出され、企業グループはそれを受けてBCR案の修正を行います。何度かこのプロセスを経て十分に事前のお伺いの意見が出尽くしたと思われるあたりで主任監督機関はEU全加盟国の当局責任者全員出席の最高意思決定機関である会議体のEDPBに意見（Opinion）を求めます。意見はEDPBの公式の文書（見解）であり、その意見に従って主任監督機関は当該企業グループに指示を出しながらBCR を最終化し、最終承認を行います。このように厳格なプロセスを踏むため、BCRの承認をEUの主任監督機関からもらうためには非常に多くの手間と時間がかかることになります。

IIJグループの場合は、2016年10月にBCRを当時の主任監督機関であった英国ICO（Information Commissioner's Office） に提出しました。しかしながら、英国のEU離脱の影響を受け、現在は主任監督機関がドイツ ノルトライン=ヴェストファーレン（NRW）州の監督機関に移りました。これはIIJグループにおけるEU内の統括拠点はIIJ Europe（英国ロンドン）でしたが、英国がEUから離脱したためIIJ Deutschland（デュッセルドルフ）がEU内の統括拠点となり、デュッセルドルフのあるNRW州の監督機関がIIJグループの主任監督機関になったという経緯があります。なお、他国は通常1か国に1つの当局ですが、ドイツは連邦国家ということもあってか、16州すべてに個人データ保護の監督機関があります。

ところで日本は2019年1月23日EUから十分性認定を受けています。これは即ちEUから「EEA域内と同等の個人情報保護水準にある国とする認定」を受けたことになります。日本の個人情報保護委員会をはじめ関係者の協力によって、EU委員会から十分性認定を受けられたということは、多くの日本企業にとっては朗報であったことは間違いないでしょう。

ただし、これで日本企業がすべてGDPRに適合しているということになったわけではないのです。

まずGDPRでは、原則的にEEA域外への個人データの移転を認めていないので、移転する場合には「越境移転規則」を守っていることが必須になります。この「越境移転規則」とは、以下のようにGDPR第45条、46条に定められています。

• 国が十分性認定を受けていること
• BCRの取得
• SCCの締結
• EDPBが認めた（業界の）行動規範の遵守

など

つまり逆に言えば、GDPRにおける「EEA域外への個人データの移転」のみが免除されるということになります。またEEA域内から移転した個人データに関して足りていないと判断された部分については、追加で補完的ルールが適用されることも、個人情報保護委員会から公式に通達が出されています。十分性認定ではEUから日本への個人データの移転は認められていますが、更に日本から第三国への移転は認められていません。そのため、グローバルで従業員名簿を共有しているような場合などは十分性認定だけではカバーできません。

日本が十分性認定を受けたことは、多くの日本企業のビジネス状況を考えれば国の対応として妥当であり理解できることですが、ただこれでGDPRに対して企業として特に対応が必要なくなった、と思わせるような雰囲気になってしまったのは残念なところです。今や個人データ保護はインターネットをはじめとする新たな情報インフラでの非常に重要な課題であり、日本を主な事業エリアとしている企業といえどもその影響は無視できない状況になっていることは忘れてはいけないと思います。

4.3 世界の個人データ保護の動き

今回様々な個人データ保護の動きに巻き込まれるにつれ、個人データに対する視点の違い、またその文化的な背景がこれほどまでに違うのか、と痛感しました。日本での個人データに対する感覚は単なる日本ローカルな視点にしか過ぎませんでした。世界では日本とは全く異なる個人データに対する権利なり責任なりがあることに気付かされたのは、今回の承認取得の過程で得られた知見としてとても大切なものでした。正直、従来の日本企業としてのIIJの感覚では世界の動きについていけていないことを理解しました。世界はもっといくつもの「個人データに対する正義」が存在し、それぞれが今後の情報社会に対して強い影響を及ぼしてくることでしょう。

GDPR制定の背景について少し説明します。その本質には、EU 当局がプライバシー保護の観点では米国と敵対しているという要因があります。

歴史的背景

9.11、この日に米国で起きた大規模なテロについては今更説明する必要はないでしょう。この事件は世界中を震撼させるには十分過ぎました。米国は、9.11のテロの後、テロリストをあぶり出すため秘密裏に大規模な盗聴を行うと共にSNSなどのサービスへバックドアを仕込ませてデータを覗き見ることができる仕掛けの実装を行いました。この運用は一応裁判所の令状に基づいて行われるべきものだったのですが、実体としては諜報活動の中で諜報員が自由に他人のプライバシーを覗き見ることが可能な状態になっていたことをエドワード・スノーデンが2013年6月に暴露しました。米国民は国家安全のためには政府の行うことを許容すべしという雰囲気となり、反対しがたい状況になっていたと思います。米国民にとってはその国の成り立ちからも、政府は自分たちの代弁者であるという当事者意識が非常に強いと感じています。よってある意味世論としては、米国政府の行動を是認していたと思います。ですがそのタイミングで、同じくスノーデンは同盟国であるドイツやフランスなどの大使館も無差別に盗聴していることを暴露しました。これにより、EU各国は激怒し、例えばドイツ政府からはベライゾンが出入り禁止となるなど、大きな影響がありました。

EUには政府が絶対的に正しいという考え方はありません。過去1000年以上に渡りヨーロッパ大陸では国も国境も平定されることはなく、戦争の繰り返しでした。その中で暴君が出てくると同じ宗教でも他の宗派を弾圧したり、他の民族を虐殺するような悲劇が何度となく行われてきています。第二次世界大戦を最後に国境を平定し、これ以上戦争を繰り返さないようにしようと石炭鉄鋼共同体が作られ、その後原子力共同体、ECと徐々に連携を高めながらでき上がってきたのが今のEUです。EUは政府も暴走するものという前提に立ち、EU法が作られる際には政府に対しても執行力を持つ第三者として独立した監督機関の設置が規定されます。そのため、プライバシー保護の監督機関は民間企業だけでなく政府・行政機関のプライバシー侵害についても厳しく執行をするのがEUです。

この考え方の違いがあるため、米国とEUがプライバシーの世界で相容れることは基本的にはありません。しかしながら米国とEUはお互いに最大の貿易相手国のため、EUの通商関係者は米国と良い関係でいたいと思っています。個人データは商売の中で流通するものですから、通商交渉と切っても切れない関係にあります。そこで、2000年にEU-US Safeharbourという米国の商務省に「我々はセキュリティ対策を適切に行っていてEUの個人データを第三者に渡すことはありません」といった届出をすればEUから米国に自由に個人データを移転できる（ただし民間企業のみ）枠組みを作りました。

これが崩れたのがスノーデンの暴露です。スノーデンの暴露によりセーフハーバー協定は機能していないのではないか？ という疑問を持ったオーストリアの弁護士であるマックス・シュレムス（Max Schrems）氏がアイルランドで裁判を起こしました。その内容は複雑ですが大まかに説明すると、例えばFacebookのユーザの個人データは、Facebookのセーフハーバー協定によって、アイルランド（EUの統括拠点）から米国にデータを移転しています。しかし、スノーデンの暴露のとおり、そのデータは米国政府が無制限に閲覧することが可能になっていました。これはFacebookがセーフハーバー協定を破っていることになり、ひいては米国政府が民間企業のサービスを覗き見ることが米国の法律で合法的にできるのであれば、そもそもセーフハーバー協定自体意味がないのではないか？という問題提起でした。さて、この裁判ですが、アイルランド高裁では判断ができず、欧州司法裁判所（CJEU：Court of Justice EU）に判断を委ねることになりました。結果、2015年10月にセーフハーバー協定は無効であるという衝撃的な判決が出ました。これがSchrems I判決になります。しかしながら、貿易の上でEUから米国に個人データを移転できないと非常に支障をきたすため、EU委員会の経済推進派と米国商務省はまた新たに特別な枠組みであるPrivacy Shieldを2016年8月に開始させています。2001年のテロの後に作られたパトリオット法は2015年に失効しますが、引き継ぐように作られたFreedom Actによって透明性を高めながらテロリストのあぶり出しの仕組みはそのまま現在も稼働していると言われています。そのため、EU委員会のプライバシー保護推進派からすると結局何も変わっていないではないかということで、Privacy Shieldの無効論議は2017年以降もくすぶっていました。そこに2018 年5月25日のGDPR施行と同時にPrivacy Shiledに依拠してEUの個人データを米国に移転している米国企業は違法であるとSchrems氏が再度訴えたのです。この裁判は2020年7月に、やはりPrivacy Shiedも違法であるという判決で決着がつきました。これがSchrems II判決です。Schrems II判決を受けてSCCも修正され、2021年6月には新SCCが発表されました。移転先国における公的アクセス（政府が民間企業のデータを接収することができる法律の有無や実際の執行状況）に関する情報を、データ移転を行う企業・団体は開示しなければならないということが追加されています。

このように、自国から他の国に個人データが移転すると、もはや自分の国の法律では守れないため、様々な制約を加えるのです。ところで、そのEUが個人データ保護に関して安全であると認めている国は世界にいくつかあります。スイスやニュージーランド、アルゼンチンといった国々で、これらは十分性認定を受けた国と呼ばれます。このような国々にはEUの個人データを移転しても構わないことになっています。ここに2019年1月に追加されたのが日本です。ただし、日本の個人情報保護法はGDPRと比較すると足りない点があるので、補完的ルールを適用した場合に個人データを移転して良いということになっています。

なお個人情報保護法は3年に一度見直しをかけて、技術的な発展や世界各国の法規制との調和を図れるようにすることになっており、今後ますます日本の個人情報保護法はGDPRに近づいていくことが予想されます。一方、日本の個人データもEUには移転して良いことになっています。2019年1月に発表されたのは、日本とEUの間での個人データの相互流通であり、日本から見てEUは安全な国であると認めています。日本が安全な国と認めているのは他に英国のみです。このようなこともあり、日本政府としてはプライバシー保護に関してはEUのGDPRを参考に個人の権利利益を強化する方針をとっているように見えます。2020年6月に可決し、2022年4月1日から全面施行される改正個人情報保護法でも、罰則が30万円、50万円から1億円に引き上げられたり、外国にある第三者へ個人データを提供する場合（EU視点では域外へ個人データを移転する場合）の情報開示が強化されたり、クッキー規制がEUほどではないものの盛り込まれたり、個人データ漏えい時にいくつかのパターンに当てはまる場合は個人情報保護委員会などへ報告することが義務（3 〜5日の速報＋30日または60日以内の確報が必要。ちなみにGDPRは72時間以内の報告が義務）となったりと、徐々にではありますが、GDPRに寄せて厳しくなっているように見えます。

文化的背景

以上のような歴史的な背景を鑑みるに、現在、世界における個人データ保護の大きな潮流は3つあるように思います。

1つは米国で主流であると思われる「ビッグデータ共有は全世界の人々の利益となる」といった公共の福祉的な発想、もう1つは欧州で主流である「個人データの管理は個人の基本的人権である」という人権主義的な発想、そして中国をはじめとする「自国域内のデータ管理は自国の国家安全保障問題である」との安全保障的な発想、です。

米国においては、GAFAの台頭に代表されるように、個人データはそのユーザの利便性だけではなく、その他の広くのユーザにも利益があるものであると認識され、例えばGoogleの理念「Googleの使命は、世界中の情報を整理し、世界中の人々がアクセスできて使えるようにすること」にも表れていると思います。米国ではいわゆる開拓史という歴史を持つ社会であることから、国家安全保障も含め、情報共有が重要な文化として定着してきたように思います。またその展開の戦略においても、インターネットでも顕著であった、いわゆるデファクトスタンダードという「普及こそが標準となる」という価値観につながっていると思います。

逆に欧州においては、既に述べたように個人データはその生死を左右しかねない情報でもあったため、個人データをその主体者本人が把握・管理できることが権利として根付いているように思います。またその展開の戦略は、いわば植民地政策で培われたとも思われるプロセスの明確化であり、いわゆる標準化を軸とした世界展開を行っていると考えられます。

また特に最近世界に大きな影響を与える中国では、国家の維持が非常に重要な要素であり、当然個人データをはじめあらゆる情報においても国家安全保障に基づく判断が適用されるべきと考えていると思われます。よって米国発のサービスよりは自国のサービスを推奨し、国家間の情報流通においても強力な制限を行っています。もちろん戦略としては、自国との情報流通は自国の制限下において行われるという自国主義によって行われています。

もちろんこれはある程度ステレオタイプ的な見方であり、あらゆる国における情報統制の戦略は、公共的・権利的・安全保障的な要素のいずれかを重視するかで行われていて、どれか1つのみ重視するということではないと思います。ただ個人データを取り巻く状況としては、大きな3つの視点があって、それはそれぞれの歴史なり文化なりから熟成されたものであり、全世界で統一的な個人データに対する感覚はない、というのが重要だと思います。

翻って日本については、決して世界では主流ではないようですが、いわゆる「言霊」つまり情報そのものが価値そのものと等価であると見なす文化が根付いているように思います。個人データに関しても、自身に関する情報を知られることは自身自体のことを知られるという風に思うことがあるように思います。古い話ですが、名前を知られることは被征服を意味していたこともあり、本名を隠していたということも文化的にはありました。また縁起の悪いことは言葉にしない、というのも情報として表現すること＝そのことが具現化する、ということにつながるという認識が根付いているようにも思います（これが八百万の神々の話になるわけですが、ここでは長くなるので省略します）。

いずれにせよ個人データの保護を考えた場合、個人データというものに対しての感覚は、意識も意味も重さも、少なくとも日本的な感覚では通用しないでしょう。もちろん米国的な感覚も、欧州的な感覚も、中国的な感覚も、いずれも世界の一本化されたものではないことは明らかです。情報社会における情報そのものは、単なる情報の記号ではなく、そのような歴史的・文化的背景が存在し、よってその取り扱いもいわばそれぞれの文化での「正義」があり、国境を越えた情報流通においてはそのそれぞれの国なり地域における「正義」を尊重したものであることが望まれているのだと思います。

4.4 IIJ BCR取得への道のり

比較的早めに動き出したIIJ BCRの動きでしたが、実際に取得するまではかなりの紆余曲折がありました。特にBREXITの影響は大きく、英国ICOでの取得を目指していたIIJグループとしては大きな戦略変更となったことは否めません。

表-1にざっとその概略を示します。

拡大する

図-1 IIJのBCR取得プロセス

4.5 今後について

先に述べたように、インターネットの普及につれ個人データ保護の動きは今後もより様々な形でインターネット関連企業及びそれ以外の企業へも影響を及ぼしてくるものと思います。ただこれは社会がインターネットに代表される情報社会に適応するために必要な過程であり、無頓着な日本においてもこの変化を無視できるような状況では早晩いられなくなることと思います。もちろんすべての企業がBCRを取得すべし、とは自身の経験からも決して言えるものではありませんが、それでも客観的に見ても必要な企業は日本に多くあり、いずれ何らかの対応が迫られるものと思っています。

またIIJグループとしても、EU GDPRに対してBCRの承認を得たからこれで大丈夫とは思っていません。少なくともEUから離脱した英国への対応はもちろん、その他の米国をはじめとしたその他の個人データ保護に対する動きへも追従しなければいけないという認識はあります。どこまでやっても追いつかないような状況ではありますが、少なくとも、大きな枠組みとしてはAPEC CBPRなどが動き出しており、それらへの対応も検討すべき状況であるとの認識です。

IIJでも個人情報の漏えいなどの事故が発生することがあり、どの口が言っている、という批判もあろうかと思います。ですが、個人情報保護をはじめ情報セキュリティが不可欠となる情報社会においては対応して当然の責務であり、組織自身の情報セキュリティ対応能力を高めながら、様々な文化における個人データ保護などの動きにも対応していくことが求められていると思います。

個人情報保護をはじめとする情報セキュリティは一朝一夕に確立できるものではなく、組織の文化として根付かせ、日々の業務の中に定着させてこそ意味があるものと思います。繰り返しになりますが、IIJ BCRも承認取得をゴールとしたわけではなく、これを機に情報セキュリティ・プライバシー保護の内部統制をより強固にするということが大きな目標でした。そのゴールに向け、まだ確実とは言えないまでもある意味大きな一歩を踏み出せたとは自負しています。

IIJグループは、あくまでもインターネットを基軸としたビジネスを愚直なまでに追及していくことが企業的使命だと思っています。今や世界的なインターネットインフラ専業という企業は、世界中を見ても稀な存在になってしまったように思います。だからこそあくまでもインターネット的な視点を持ち、情報社会のインフラ企業として貢献できるよう今後も努力を続けていくことが、インターネットの普及を推進してきた企業の責任と考えています。

正直IIJ BCRは大変でした。正直誰にもお勧めはしません。でも、やってよかった、と声を大にして言えます。それが、我々の目指すインターネットの姿を支える1つの重要な柱になると信じているためです。

今後も安全なインターネットを目指し、努力していきます。

4. フォーカス・リサーチ（3） IIJ BCR取得への道のり～EU GDPR対応、そしてその先へ～

• 4.1 BCR承認取得の決定
• 4.2 BCRとは何か？
• 4.3 世界の個人データ保護の動き
• 4.4 IIJ BCR取得への道のり
• 4.5 今後について