IIJグループは2021年8月、クラウド事業者(IaaS)として世界で初めてBCRの承認を取得しました。
BCRの概要やクラウドサービス契約者のメリットなどを易しく解説します。
こちらもどうぞ 5分で分かるAPEC CBPR
01.国境を超える個人データ
今やメールやWeb、クラウドサービスなどによって、個人データが国境をまたいで行き来する時代だね。でも、個人データを国外へ流通させることについては慎重な考え方があるんだ。
LINEの情報管理が問題になったよね。
LINEの個人情報管理問題
02.EUの厳しい個人データ保護規制
そう。国外に出てしまった個人データは、自国の法律では規制できなくなるからね。
なかでもEUでは、個人データをEUの外へ持ち出すこと(域外移転)を原則禁止しているんだ。限られた国や企業だけに域外移転が許されるんだよ。
なかでもEUでは、個人データをEUの外へ持ち出すこと(域外移転)を原則禁止しているんだ。限られた国や企業だけに域外移転が許されるんだよ。
日本への移転はどうなの?
EUから日本への個人データ移転は認められているんだ(十分性認定)。ただし、日本からさらに第三国へデータを移転する「再移転」は原則できないよ。
移転/再移転には電子データの保存・加工・削除以外に「閲覧」も含まれるから、注意が必要だね。
移転/再移転には電子データの保存・加工・削除以外に「閲覧」も含まれるから、注意が必要だね。
03.BCRとは?
国単位じゃなく、企業単位でも域外移転が認められるの?
EUの個人情報保護法である「GDPR」では、域外移転を可能にするいくつかの方法を定めているんだ。
企業に適用される主な方法:
IIJグループが選択した②のBCR(Binding Corporate Rules:拘束的企業準則)には、より厳しい基準が課せられるんだよ。
- 1移転先企業と顧客間で契約を結ぶ(いわゆる新SCC)
- 2BCRの承認を得る
コウソクテキ?なんだか物々しい名前だね。
BCRとは、企業グループ全体で遵守する個人データ保護ポリシーなんだ。グループ企業とすべての従業員が法的に拘束されるルールということだよ。
じゃあ、BCRの承認って?
IIJグループのBCRは、GDPRの監督機関によって承認されたんだ。「GDPRの求める適切な保護措置をとっている企業グループ」として、EU当局のお墨付きをもらったと言えるね。
BCRの承認を取るのは難しいの?
とても難しくて、厳格な審査があるんだ。ルールを守り続けるための体制や従業員教育も重視されるよ。
グローバル展開しているクラウド事業者(IaaS)で、BCRの承認を取得しているのはIIJグループだけなんだ。
グローバル展開しているクラウド事業者(IaaS)で、BCRの承認を取得しているのはIIJグループだけなんだ。
04.IIJサービスを利用するお客様のメリット
IIJがBCRの承認を取ると、お客様には何かいいことがあるの?
BCRの承認を得たことで「IIJグループが世界中で提供する全サービスは、欧州と同等のプライバシー保護レベルにある」と見なされるんだ。
IIJのクラウドサービスやメールサービスを利用すれば、EU域外への個人データの移転や第三国への再移転も、簡単に適法に行えるんだよ。
IIJのクラウドサービスやメールサービスを利用すれば、EU域外への個人データの移転や第三国への再移転も、簡単に適法に行えるんだよ。
サービスの契約者は何もしなくてもいいんだね?
IIJの提供するサービスを利用してお客様が個人データの域外移転を行う場合、IIJは「処理者」、お客様は「管理者」になるんだ。GDPRでは管理者にも義務があるんだよ。
その1つが「適切な保護措置をとっている処理者の証明義務」なんだ。 管理者であるお客様は「BCRの承認を得たIIJのサービスを使っている」と説明するだけで済むから、当局への証明負担が大幅に軽減されるね。
他にもメリットはある?
EU当局は企業の抜き打ち検査を行い、GDPRに違反した場合には多額の制裁金を課すことでも知られているんだ。
お客様のプライバシーポリシーに「BCRの承認を得たIIJのサービスを使っている」と明示することで、当局から検査を受ける可能性は低くなると考えられるよ。
お客様のプライバシーポリシーに「BCRの承認を得たIIJのサービスを使っている」と明示することで、当局から検査を受ける可能性は低くなると考えられるよ。
なるほど。でも、EUに拠点がない企業や、EUと取引がない企業には関係ないんじゃない?
世界で最も厳しいとされるBCRの承認を取得したことは、IIJグループが世界水準のプライバシー保護基準を満たしていることと評価できるんだ。
EUだけでなく、日本や世界中の個人データや機密データ、重要データを扱う上でも、IIJのサービスは大きな安心をお客様に提供できると思うよ。
EUだけでなく、日本や世界中の個人データや機密データ、重要データを扱う上でも、IIJのサービスは大きな安心をお客様に提供できると思うよ。
GDPRや世界のプライバシー保護法について さらに詳しく知りたい方は
