おはようございます!マネジメントオフィスいまむらの今村敦剛です。
プライバシーに関する国際的な議論の広がりのもと、プライバシー専門家に対するニーズが増しています。これらの背景と、プライバシー専門家の育成や情報共有を行う団体であるIAPP、および専門家の認定プログラムであるCIPPについて簡単にまとめました。
プライバシーに関する国際的な議論の広がり
日本でも2005年の個人情報保護法が成立しました。その前年には、Yahoo!BBによる400万件以上の個人情報漏えい事件などがあり、企業が自分の個人情報を取り扱う時には気をつけてほしい、と思うことが近年では当たり前になっています。しかし個人情報が国際的に扱われることに対する問題点というのは、日常生活ではあまり意識をすることはありませんね。
この、個人情報にまつわる国際的な取り扱いについては、実は世界で大きく議論がされています。例えば平成29年版「情報通信白書」でも次のように述べられています。
企業における事業活動がグローバル化し、国境を越えて多くのデータが流通している一方で、諸外国の一部では、①プライバシーの保護、②自国内の産業保護、③安全保障の確保、④法執行/犯罪捜査などを目的として、越境データ流通を規制する動き、いわゆる「データローカライゼーション」に関する法制度の制定・施行が進行している。
データローカライゼーションとは、インターネット上のサービスを提供する物理的なサーバーは、サービスを提供する国内で運用しなければならないという考え方です。インターネットによるグローバル化の流れに逆行しているのでは?という風にも思えますが、利便性を追い求める以前に、個人の権利は保護すべしという基本理念が根源にあるので、このような考え方が出てきています。もちろん、巨大なIT企業は米国企業が多いので、米国企業から自国の産業を保護するという意味合いも、本音ベースではあるでしょうけど。
IAPP(国際プライバシー専門家協会)とは
このように、サービスの利便性と個人の権利、および国家の利益のバランスを考えるときに、プライバシーをどう扱うかというのは、国際的な課題になっています。このような環境をうけて国際的なプライバシー専門家の育成ニーズが高まっているのですが、それを行う代表的な団体がIAPP(International Association of Privacy Professionals, Inc.)です。IAPPとは、世界各国・地域のプライバシー法に関する研修プログラムや、各種教材の提供、および会員相互の交流を支援しているアメリカの団体です。公式ホームページには、次のように説明されていますね。
The IAPP is the largest and most comprehensive global information privacy community and resource. Founded in 2000, the IAPP is a not-for-profit organization that helps define, support and improve the privacy profession globally.
(拙訳)
IAPPは、世界で最大かつ最も総合的な、情報プライバシー団体でありノウハウ等の供給源です。2000年に設立されたIAPPはNPO法人であり、国際的にプライバシー専門職を定義し、サポートし、改善を支援します。
IAPPの認証プログラムであるCIPPとは
IAPPは、プライバシーに関する専門家としての知識や力量があるかどうかを認定するプログラムを持っています。日本的に言うと、プライバシーの専門家認定試験のようなものですね。大きくわけて、3つの認定プログラムがあります。
- CIPP (Certified Information Privacy Professional) 国際的な法規制についての知識等の認定
- CIPM (Certified Information Privacy Manager) プライバシー保護の運用についての知識等の認定
- CIPT (Certified Information Privacy Technologist) プライバシー保護に関する技術的知識等の認定
CIPPも、地域ごとに4つの区分に分かれています。
- Asia (CIPP/A) ※シンガポール、香港、インドが中心
- Canada (CIPP/C)
- Europe (CIPP/E)
- U.S. private-sector (CIPP/US)
特に最近、日本でも注目を浴びているのが、欧州の一般データ保護規則(GDPR)です。また改めて、GDPRに関する知識を含む認定プログラムCIPP/Eについての紹介をしたいと思います。