IIJグループ、欧州の監督機関より「拘束的企業準則（BCR）」の承認を取得

クラウド事業者として世界初の認定、欧州における個人データの移転・処理を支援

2021年9月13日
株式会社インターネットイニシアティブ

当社は、EUの個人データ保護法「一般データ保護規則（GDPR（※））」に則ってIIJグループの個人データ保護方針を文書化した「拘束的企業準則（Binding Corporate Rules：BCR）」に関し、2021年8月5日付でドイツノルトライン＝ヴェストファーレン州のプライバシー保護監督機関LDI NRW（Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen）より承認を取得しました。欧州委員会傘下のEU加盟国すべての監督機関の担当者が集まる欧州データ保護会議「European Data Protection Board（EDPB）」による精査を受け、IIJのBCRに対して肯定的な公式見解が出されたのち、LDI NRWの承認を得るに至りました。

BCRの承認取得により、IIJグループが世界中で提供する全サービスは欧州と同等のプライバシー保護レベルにあると見なされ、IIJグループ内でEUの個人データを国境をまたいで、適法に流通させることが可能となりました。

GDPR施行後のBCRの承認取得は、日本を含めグローバル展開するクラウド事業者として世界初となります。

背景

EEA（European Economic Area）における個人データ保護に関する新しいルールとして2018年に施行されたGDPRは、個人データの処理、および、EEA域内から第三国に個人データを移転する上で満たすべき法的要件を規定しており、違反した事業者には、2,000万ユーロ以下、または企業グループの全世界年間売上の4%以下のうち、いずれか高い額を上限とする制裁金が課される可能性があります。

EEA域内に拠点をもつ日系企業および欧州市場をターゲットとして事業を行う日系企業は、このGDPRを遵守してビジネスを行う必要があり、2019年1月23日に日本とEU間で発効された十分性認定に関わらず、日本以外の欧州域外第三国への個人データ移転および欧州域内における個人データの処理については、引き続きGDPR遵守対応は必須となります。企業が、個人データを扱うITシステムの運用管理をアウトソースする場合においても、GDPRを遵守する適切な事業者（外注先）を利用することが義務付けられています。

お客様のメリット

欧州で事業を行うお客様は、BCRを取得したIIJグループを外注先事業者（処理者）として、そのクラウドサービスやメールサービスなどを利用することで、EEA域外への個人データの移転やさらに第三国への再移転についてGDPR抵触を案ずることなく、適法に行うことが可能になります。

また、お客様がEEAの監督機関から自社で利用する外注先事業者のGDPR遵守を証明するよう求められた場合、サービスの利用者であるお客様自身に説明責任が生じますが、IIJグループのサービスを利用することにより、このような外注先事業者のGDPR遵守を証明することができ、説明責任にかかるお客様の負荷が大幅に軽減されます。

さらに、日本の個人情報保護法で求められる外国にある委託先への個人データの提供が許される法的要件についても、IIJが提供するサービスであれば、BCRの承認を通じて、個人情報保護法が求める個人情報取扱事業者の義務を継続的に履行する基準適合体制を備えていると説明することができます。

（※）GDPR（General Data Protection Regulation）： EEA(*1)における個人データの「処理」と「移転」について遵守すべき義務を規定しています。「処理(*2)」に関しては透明・公正・目的限定、保持期間最短、リスクに応じたセキュリティ確保などの義務が定められ、「移転」に関しては、欧州経済領域（EEA）の30ヵ国から第三国に個人データを越境移転する場合、移転先においてもGDPRと同水準のデータ保護を保証することなどが規定され、欧州でビジネスを行うほぼすべての企業が対応しなければならない厳しい法律です。
(*1) EEA：欧州連合加盟国27ヵ国および、アイスランド、ノルウェー、リヒテンシュタイン
(*2) 処理：個人データに関わる記録、保存、利用などのあらゆる作業を指します。

IIJでは今後も、お客様の海外・国内でのプライバシー保護規制対応を支援してまいります。

背景

お客様のメリット

関連ページ