「営業秘密」の保護と利活用 第2回:営業秘密を取り巻く国際動向と日本企業が留意すべき事項
営業秘密は企業の競争優位性を支える重要な資産であり、経営層には、これをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第2回となる本稿では、主要国・地域における営業秘密の定義や保護制度を比較し、日本企業が注目すべきポイントを解説します。
近年、企業が海外向けに新たなサービスを展開するにあたり、海外に居住するユーザーや従業員の個人データを収集、管理する機会が増えています。国境を跨いだ個人データの移転(越境移転)に伴うリスクについて、クラウドサービスの利用により越境移転が発生する事例を題材に紹介します。
企業が直面するデータの越境移転規制への対応
近年、企業が海外向けに新たなサービスを展開するにあたり、海外に居住するユーザーや従業員の個人データを収集、管理する機会が増えています。企業は収集した個人情報をはじめとする各種データを分析することで、ターゲットとするユーザー層の特定や、アプローチ方法の検討に役立てています。今後も企業の海外展開が加速するにつれ、海外居住者から個人データを取得する機会も増え、企業が管理するデータの量や種類が継続的に増加していくことが予測されます。
このような傾向は国境を跨いだ個人データの移転(以下、越境移転)が発生する可能性の増加を意味します。越境移転は各国のデータ保護法令を中心に規制されており、本人同意の取得などの必要な措置を講じない限りは移転を原則禁止する法令も存在します。そのため、企業がデータの越境移転を行う際には、法令違反をはじめとする各種リスクに注意を払う必要があります。
本稿では企業による個人データの越境移転に伴うリスクについて、クラウドサービスの利用により越境移転が発生する事例を題材に紹介します。また、越境移転のクリアランス要件として注目されるAPEC CBPR認証(以下、CBPR認証)の概要についても解説します。
グローバルでの越境移転が発生する事例の紹介
【本事例における企業の目的】
クラウドサービスを活用することで全社の顧客データ、従業員データを一括管理しデータの統合、業務効率化、利活用促進を図りたい。
<越境移転の概要>
本事例では企業が世界各国で保有している各種データがクラウドサービスを通じて共有されます。各国からデータを参照できるようになるため、移転元となる国から移転先となる国への越境移転が発生することになります。これまでの企業活動を通じて取得したデータを全社で共有し、新たなサービスの創出やデータ利活用の推進を図る企業が増えており、グローバルでの越境移転規制への対応を要請されるケースが多く確認されています。
<越境移転に伴うリスク>
移転元および移転先(データの参照先を含む)が複数国にわたる場合には、遵守すべきデータ保護法令が増え、それに伴って法令違反のリスクも高くなります。また、万が一データの侵害や漏えいなどが発生した場合には、企業のレピュテーションに対する影響も甚大になることが予想されます。企業には、個人データの移転元と移転先の洗い出しなど必要な対策を講じることに加え、グローバルでデータを共有するにあたってのリスクをどのように低減させるか検討することが求められます。
越境移転規制をクリアする手段としてのCBPR認証
前述の事例においては、移転元国のデータ保護法令で課せられる越境移転規制への対応が求められ、データ主体への必要事項の通知、本人同意の取得、越境移転契約の締結などの措置が必要になります。どのような措置を講じる必要があるかは各国の法令要件に準じる必要がありますが、国際認証の取得により越境移転規制をクリアする方法もあります。本稿では、その一例としてCBPR認証を紹介します。CBPRは2011年に合意された、APEC域内での越境プライバシールールです。2023年5月末時点では日本、米国を含む9カ国・地域※がCBPRに参加しており、個人データの越境移転についてAPECプライバシー原則に適合しているかを認証する仕組みとしてCBPR認証が存在します。
※:2023年5月末時点で日本、米国、メキシコ、カナダ、シンガポール、韓国、オーストラリア、台湾、フィリピンが参加。
CBPR認証を取得した企業は、CBPR参加国間であれば個人データの越境移転が認められます。CBPR参加国間において前章のような個人データの越境移転が発生し、同意取得やデータ主体への情報提供等の措置が必要となる場合には、代替手段として認証取得による越境移転規制への対応も可能です。その他、企業にとっての取得メリットとしては、自社の企業運営においてCBPRの仕組みに適合した個人データを取り扱っていることを対外的にアピールできること、APEC域内からの苦情・相談について、CBPRの認証機関(アカウンタビリティエージェント:AA)より対応・調整の支援が受けられることなどが挙げられます。
認証の取得に向けては、企業はAAによる審査を受ける必要があり、日本であれば一般社団法人日本情報経済社会推進協会(JIPDEC)が2023年5月末時点では唯一のAAとなっています。審査項目は通知、個人情報の取得、セキュリティ対策等の項目が設定されており、企業における対応状況を質問票に対し回答する必要があります。
CBPR運営組織(CBPRフォーラム)としては新たな参加国を歓迎する姿勢を示しており、2023年4月には新たに英国が参加意向を表明しました。また、CBPRの枠組みをよりグローバルに拡大していくため、グローバルCBPRフォーラムの設立も同月に発表されています。CBPRの枠組みに参加する国が増えることにより、認証取得によって越境移転が可能となる対象国が増えること、他国企業においては認証の取得を調達要件に組み込むケースが増えてくることなどが予測され、企業にとっての認証取得メリットも大きくなると考えられます。
越境移転および認証取得にあたり企業に求められる対応
前述の事例への対応や、CBPR認証の取得にあたっては、どのような越境移転が発生し得るか、越境移転に対し自社としてどのような対策を取っているかについて確認する必要があります。大規模な個人データを複数国間に跨って移転、統合、共有することを検討している場合には、越境移転の範囲も広くなり、対応に必要な各種リソースも大きくなりやすいです。企業には、まず移転対象のデータを特定し、どの国からどの国への移転が発生するか、移転元国ではどのような越境移転規制が課せられているかを洗い出すことが求められます。洗い出しにはデータマッピングやリスクアセスメントの実行が有効であり、その結果を踏まえて対策を検討することが可能になります。
また、GDPR(欧州一般データ保護規則)や中国データ三法のように、違反時に多額の罰金や制裁を課す法令も存在します。法規制対応を考慮せずに越境移転を伴うデータの連携や集約計画を進めることは、企業にとって大きなリスクとなります。このような計画を検討中、あるいは遂行中の企業は、越境移転対応を中心に、法規制対応が考慮されているかを確認することが推奨されます。
プライバシー法規制のトレンドと企業に求められる対応
57 results
Loading...
サイバーリスクの定量化ツール「FAIR」の概要
FAIRは、グローバル各国・地域から関心を集めているサイバーリスク定量化の手法です。FAIRを活用することで、サイバーリスクを定量的に把握できるようになり、分析、測定、理解が可能になります。難解なサイバーリスクを直感的にわかりやすく説明するのに有益な FAIRモデルの概要について解説します。
中国「個人情報保護コンプライアンス監査管理弁法」の概説 個人情報保護コンプライアンス監査で注意すべき点
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
Loading...
インサイト/ニュース
40 results
Loading...
規制対応から見たCRI Profileの有用性と国内外での活用動向
金融分野におけるサイバーセキュリティの課題に対応できるガイドラインとして、CRI Profileの有用性とグローバルトレンドなどについて活用事例を挙げて解説します。
「営業秘密」の保護と利活用 第2回:営業秘密を取り巻く国際動向と日本企業が留意すべき事項
営業秘密は企業の競争優位性を支える重要な資産であり、経営層には、これをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第2回となる本稿では、主要国・地域における営業秘密の定義や保護制度を比較し、日本企業が注目すべきポイントを解説します。
米国カリフォルニア州とニューヨーク州のセキュリティ・AI法規制最新動向
米国法規制の重要な指標であり、プライバシーやサイバーセキュリティ、AIといった分野で先進的な取り組みを続けるカリフォルニア州とニューヨーク州の法整備の現状を取り上げ、具体的な制度内容とその背景を解説します。
2025年における米中欧関係の変化と欧州法規制への影響
2025年のトランプ政権再発足後、世界経済が大きく変動するなか、GDPRやAI規制法といった先進的な法規制で知られる欧州がどのように対応しようとしているのか、コロンビア大学ロースクール 教授・PwC Japanグループ顧問 Anu Bradfordにインタビューしました。
Loading...
