IIJグループ、EUの新個人情報保護法施行に向け「拘束的企業準則（BCR）」を英国監督機関に申請

IIJグループ、EUの新しい個人情報保護法施行に向けて「拘束的企業準則（BCR）」を英国の監督機関に申請


　株式会社インターネットイニシアティブ（IIJ、本社：東京都千代田区、代表取締役社長：勝　栄二郎、コード番号：３７７４　東証第一部）の１００％子会社で欧州での事業を展開するIIJ　Europe　Limited（本社：ロンドン、Managing　Director：山本　学）は、EUの新たな個人情報保護の枠組みを規定した「一般データ保護規則（General　Data　Protection　Regulation：GDPR）」への対応として、IIJグループ内で統一された情報管理ルールを文書化した「拘束的企業準則（Binding　Corporate　Rules：BCR）」を英国の監督機関である「Information　Commissioner’s　Office（ICO）」に２０１６年１０月１４日付で申請したことをお知らせいたします。BCRは、IIJグループが現行および今後適用されるGDPRを含むEUのデータ保護法を遵守していることを確認するものになります。

　IIJグループでは、ウィルマーヘイル法律事務所（Wilmer　Cutler　Pickering　Hale　and　Dorr　LLP）ブリュッセルオフィスの弁護士の協力のもとBCRを申請し、２０１７年秋にICOの承認を取得することを目指しています。BCRの承認取得は日系のクラウド事業者として初となる見込みです。本承認を得ることで、IIJグループはBCRに基づいて、IIJグループ内での個人データの越境移転を行うことが可能になります。

■背景
　２０１８年５月２５日より、EUにおいてデータ保護に関する新しいルールブックであるGDPRが適用されます。GDPRは、急速な通信技術やグローバリゼーションの進展を背景に、１９９５年に成立したEUのデータ保護指令の下で加盟国各国が立法したデータ保護法をより強化し、データ保護を企業や公的機関を含む組織・団体に義務付けるものです。GDPRはEUデータの処理およびEU域内から第三国に個人データを移転するうえで満たすべき法的要件を規定しており、違反した企業には、２，０００万ユーロ以下、または企業の場合には企業グループの全世界年間売上高の４％以下のうちいずれか高い額を上限とする制裁金が科せられる可能性があります。

　企業がEUのデータ保護指令およびGDPRを遵守し、データ移転を確実に行うにあたっては、適切な保護措置の導入手段として、データの保護措置について実施方法を文書化したBCRを策定し、EU域内の管轄のデータ保護機関（DPA）から承認を得る方法があります。BCRはグループ全体に適用されるため、IIJグループがBCRの承認を取得した場合、EUの規制を満たす個人データ保護のレベルに達しているとDPAにより認められることになります。

■お客様へのメリット
　日系企業・団体が欧州でビジネスを行うにあたっては、各企業・団体がEUのGDPRを遵守する必要があり、またすべてのEUデータ保護法を遵守している“処理者”を使用することもお客様の義務となります。お客様は、BCRを取得したIIJグループを処理者としてクラウドサービスやメールサービスなどを利用することで、お客様にとってより負担の少ない形で、EUの個人データの処理を行うとともに、EU域外への個人データの移転を行うことが可能となります。

　IIJグループでは今後とも、高品質なサービスと付加価値の高いSIの提供を通じて、欧州でビジネスを展開するお客様のIT環境を支援してまいります。