IIJの英国子会社であるIIJ Europe Limitedは、IIJグループ内で統一された情報管理ルールを文書化した「拘束的企業準則（Binding Corporate Rules：BCR）」を英国の監督機関である「Information Commissioner’s Office（ICO）」に2016年10月14日付で申請した。EUで2018年５月に施行予定の「一般データ保護規則（General Data Protection Regulation：GDPR）」への対応が目的。

GDPRは、EU加盟各国におけるデータ保護を企業や公的機関を含む組織や団体に義務付けるもの。EU加盟各国は1995年に成立した「データ保護指令」に基づきデータ保護法を立法していたが、これをより強化するものとなる。

GDPRではデータ保護指令と同様に、EUの個人データ処理やEU域内から第三国への個人データ移転（越境）について、個人データの十分な保護措置が確保されていることを確認する「十分性認定」が得られている国・地域に限って認められるとしている。これに違反した企業に対しては、2,000万ユーロ以下、または企業グループの全世界年間売上高の4%以下のうちいずれか高い額を上限とする制裁金が科せられる可能性がある。

現時点で日本はこの十分性認定を得られていない。十分性認定が得られていない国への個人データ移転については、例外条項として「(1)データ主体となる個人の同意を得る」「(2)BCRを作成し、加盟国の監督機関の承認を得る」「(3)欧州内の組織と第三国の組織の間で標準契約条項（SCC:Standard Contractual Clauses　データ保護機関により定められた契約のひな形）に基づく個別契約を締結する」が定められており、このいずれかを満たす必要がある。

今回のIIJの申請は(2)にあたるもの。IIJでは2017年秋にICOの承認取得を目指しており、日系クラウド事業者として初となる見込みであるとしている。ICOにより承認されれば、EUの規制を満たす個人データ保護のレベルに達していることが監督機関に認められたことになり、IIJグループはBCRに基づき、IIJグループ内での個人データの越境移転を行うことが可能になる。

BCRを取得したクラウドサービスを介してEU域外への個人データ移転が可能に

GDPRによる規制はたとえば日本企業が欧州現地法人の社員情報を本社に集約する場合や、欧州現地法人が顧客向けサービスで取得したデータを日本のサーバーで処理する場合にも適用される。

そのため、日本企業は必要に応じて現地法人と本社の間、あるいは現地法人とクラウド事業者の間、現地クラウド事業者と日本もしくは第三国事業所の間など、データ越境が発生する場面で個別にSCCに基づく個別契約を締結しているが、多大な時間とコストがかかり、ビジネス上の障壁となる可能性が懸念されている。BCRを取得したIIJグループのクラウドサービスやメールサービスを介してデータをやりとりすることで、データ越境に際してSCCに基づく個別契約は不要となる。

【報道発表資料】
・IIJグループ、EUの新しい個人情報保護法施行に向けて「拘束的企業準則（BCR）」を英国の監督機関に申請