APEC CBPR 認証申請ガイドブック - JIPDEC...APEC 参加エコノミーとの間で適正に個人情報を越境移転する（例えば、アメリカから日本へ従業員情報を移転するなど）ための枠組みです。日本は2013

APEC CBPR 認証申請ガイドブック

2020 年 4 月

一般財団法人日本情報経済社会推進協会

目次

1 はじめに .......................................................................................................... 2

2 APEC CBPR システムの概要 .......................................................................... 3

2.1 個人情報保護法との関係 ........................................................................... 5

3 CBPR 認証の申請について .............................................................................. 6

3.1 申請の資格 ............................................................................................... 6

3.2 申請時に必要なもの .................................................................................. 6

3.3 CBPR 審査の手続きについて ..................................................................... 7

4 CBPR の概要 ................................................................................................... 9

4.1 CBPR 審査で確認すること ......................................................................... 9

4.2 事前質問書の記載項目について .............................................................. 11

4.3 事前質問書で提出する根拠文書 .............................................................. 12

4.3.1 事前質問書で提出する根拠文書 ...................................................... 13

4.3.2 根拠文書等に記載が求められるポイント ............................................ 14

5 審査のポイント ................................................................................................ 14

5.1 通知（質問１から４） .................................................................................. 16

5.2 取得の制限（質問５から７） ........................................................................ 21

5.3 個人情報の利用（質問８から１３） ............................................................... 23

5.4 選択（質問１４から２０） .............................................................................. 27

5.5 個人情報の完全性（質問２１から２５） ......................................................... 31

5.6 セキュリティ対策（質問２６から３５） ............................................................. 33

5.7 アクセス及び訂正（質問３６から３８） ........................................................... 39

5.8 責任（質問３９から５０） .............................................................................. 43

6 エンフォースメント（執行）について ................................................................... 49

7 CBPR 認証申請に係る相談窓口 ..................................................................... 51

2

1 はじめに APEC（アジア太平洋経済協力；Asia-Pacific Economic Cooperation）では、

2004 年に APEC プライバシー原則を定め、これに基づく国内個人情報保護制度の

策定をこれまで APEC 参加国・地域（エコノミー）に勧奨してきました。一方で、ビジネスのグローバル化に伴い、個人情報が頻繁に国境を越えて移転す

る状況下、越境個人情報の保護が課題となっています。このような観点から、APECでは、個人情報が国境を越えて移転しても APEC プライバシー原則に基づき保護さ

れるよう、APEC 電子商取引運営グループ（ECSG：Electronic Commerce Steering Group）において、CBPR システム（APEC 越境プライバシールールシステム；APEC

Cross Border Privacy Rules System）を構築しました。当該制度は、企業等の越境個人情報保護に関する取組に対して APEC プライバ

シー原則への適合性を認証するものです。申請企業等は、自社の越境個人情報保護

に関するルール、体制等に関し自己審査を行い、その内容について中立的な認証機

関（AA（Accountability Agent））から認証審査を受け、APEC プライバシー原則を

遵守していると認められた場合、認証を受けることができます。日本は、米国、メキシコに続いて、このシステムへの参加申請を行い 2014 年 4 月

に認められました。また、同年 6 月には現行の個人情報保護法で定められた認定個

人情報保護団体が CBPR システムの AA となる制度も整備され、認定個人情報保護

団体である（一財）日本情報経済社会推進協会（以下、「当協会」）が AA の認定を申

請し、2016 年 1 月に認められました。そして、2016 年 6 月より、CBPR 認証審査の受付を開始しました。認証審査にあたって、当協会ホームページにおいて、APEC の AA 規定に基づき、

申請時に提出が必要となる「事前質問書」、並びに「認証基準」を公開しています。1 本書は、認証基準を判り易くすることにより、CBPR を申請する事業者に対して、提

出する根拠文書等に記載するポイントや事前質問書について審査されるポイントを解

説しています。本書が、CBPR の申請を行う事業者にとって、必要な書類等を整える

一助になることを期待しています。

1 URL：https://www.jipdec.or.jp/protection_org/cbpr/application.html

3

2 APEC CBPR システムの概要 APEC では、APEC 地域における貿易及び経済の継続的成長を確保する効果的

なプライバシー保護措置を採るため、2004 年に APEC プライバシー原則（9 原則：①

損害の回避、②通知、③取得の制限、④個人情報の利用、⑤選択、⑥個人情報の完

全性、⑦セキュリティ対策、⑧アクセス及び訂正、⑨責任）を定め、これに基づく国内

個人情報保護制度の策定を各エコノミーに勧奨しており、我が国の個人情報保護法

も、ほぼこれに準拠しています。また、2010 年に越境執行協力協定（APEC Cross-border Privacy Enforcement

Arrangement（CPEA））を構築しました。この協定では、①APEC エコノミーのプライ

バシー執行機関間の情報共有、②事案照会・共同調査・執行活動等のプライバシー

保護法の執行に係るプライバシー執行機関間の有効な越境協力、③越境プライバシ

ールールを執行する際のプライバシー執行機関の協力、④OECD 勧告との緊密な協

力確保による APEC 域外のプライバシー執行機関との情報共有及び協力が定められ、

日本2、豪州、ニュージーランド、米国、カナダ、韓国、メキシコ、シンガポール、フィリピ

ン、台湾、香港が参加しています。更に、2012 年に APEC 越境プライバシー規則（APEC Cross-Border Privacy

Rules（CBPR））が構築され、更に、それを運用するための仕組みとして、CBPR シス

テムが構築されました。これは、CPEA に参加しているエコノミーにおいて、他の

APEC 参加エコノミーとの間で適正に個人情報を越境移転する（例えば、アメリカから

日本へ従業員情報を移転するなど）ための枠組みです。日本は 2013 年に参加申請

を行い、2015 年 4 月に認められました。CBPR システムでは、参加する国の国内に、

CBPR を認証する AA を最低 1 つ以上設置し、AA が CBPR 参加事業者の適合性

審査を行い、認証すると共に、苦情相談の対応を行うことが求められます。また、認証

を受けた事業者はプライバシー執行機関の執行力が及ぶこととなります。日本では、

当協会が AA の申請を行い、2016 年 1 月に認定を受けました。 CBPR システムには、2020 年 3 月時点で、米国、メキシコ、日本、カナダ、豪州、シ

ンガポール、韓国、台湾がエコノミーとして参加しており、日本以外の AA としては、米

国の TrustArc、Schellman & Company、LLC、NCC Group、シンガポールの

Infocomm Media Development Authority、韓国の Korea Internet & Security Agency があります。

CBPR は、APEC の参加エコノミーから個人情報を越境移転する必要がある事業

者のプライバシー・ポリシーや、その実務が、APEC プライバシー原則の要求事項を

満たしているか否かを認証するものであり、当該エコノミーの関連法令の遵守を認証

するものではありません。但し、審査の過程において、関連法令の遵守について確認

2 日本は、2011 年 11 月に国内の 15 省庁がプライバシー執行機関として参加、2016 年個人情報保

護委員会に統合

4

します。CBPR システムの仕組みを以下に示します。

（出典：経済産業省 2014 年 4 月 28 日報道資料）

【本書における主な用語】

用語意味本書での使い方

APEC （Asia-Pacific Economic Cooperation）

アジア太平洋経済協力 APEC

CPEA （ APEC Cross-border

Privacy Enforcement Arrangement）

越境執行協力協定 CPEA

DESG（旧 ECSG）

(Digital Economy Steering Group)

APEC デジタル経済運営グ

ループ DESG

APEC 越境プライバシー

規則（ APEC Cross-Border Privacy Rules）

APEC 越境プライバシー規

則越境プライバシー規則

CBPR システム（ APEC Cross Border Privacy Rules System）

APEC 越境プライバシール

ールシステム CBPR システム

AA （Accountabiｌity Agent）

アカウンタビリティ・エージェ

ント AA

5

個人情報保護法との関係

個人情報保護法第 24 条は、外国にある第三者への個人データの提供に関して、

原則として本人による同意を必要とすることを定めています。ただし、個人データの取

扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措

置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規

則で定める基準に適合する体制を整備している者については、第三者にあたらないと

されています。個人情報保護法施行規則第 11 条の 2 第 1 号においては、「個人情報

取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における

当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節

の規定の趣旨に沿った措置の実施が確保されていること。」と定められているところ、

「提供元の個人情報取扱事業者が CBPR システムの認証を取得しており、提供先の

「外国にある第三者」が当該個人情報取扱事業者に代わって個人情報を取り扱う者で

ある場合には、当該個人情報取扱事業者が CBPR システムの認証の取得要件を充

たすことも、「適切かつ合理的な方法」の一つである」と解されています（ガイドライン

（外国第三者提供編）、4-1）。

このように、CBPR システムの認証取得により、海外への個人データの移転がスム

ーズになります。（出典：個人情報保護委員会）

6

3 CBPR 認証の申請について

申請の資格

申請事業者は、自社の越境個人情報保護に関するルール、体制等に関して事前

質問書に従って自己審査を行い、その内容についてあらかじめ認定された中立的な

認証機関である AA からの審査を受け、認証を得ることが可能となります。当協会は

AA の認定を受けていますので、CBPR システムの認証を申請する事業者は当協会

へ申請し、審査を受ける必要があります。 CBPR システムは日本国政府が参加する枠組みになるため、認定個人情報保護団

体である当協会が AA としての認定を受け、CBPR システムの認証を行うこととなりま

す。そのため、CBPR システムの申請事業者は当協会認定個人情報保護団体の対象

事業者である必要があります。その要件は以下になります。（（１）、（２）の両方を満た

す必要があります。）

（１）認定業務の対象となる者（以下、「対象事業者」という。）は、以下の各号のいず

れかの事業者であって、当協会が対象事業者となることを承認した事業者とする。一当協会が運営する個人情報保護にかかる認証制度において認証をうけた事

業者二電子情報の保護と利活用の推進のため、当協会が認める事業者

（２）当協会の個人情報保護指針に同意した事業者

申請時に必要なもの

申請時には、以下の提出が必要になります。（１）申請書（２）事前質問書（３）関連する根拠文書等（事前質問書の回答に基づき必要となる文書など（P12

参照））上記（１）、（２）の様式は、当協会ホームページに掲載していますので、ダウンロード

してご利用ください。3

3 https://www.jipdec.or.jp/protection_org/cbpr/application.html

7

CBPR 審査の手続きについて

本節では、CBPR 審査の手続きについて述べます。CBPR システムの認証では、

「申請書提出→文書審査→現地審査→審査会→認証決定」という手順を執ります。下

図に手続きのフローを示します。

手続き内容

１申請書類の提出申請事業者は「CBPR 認証審査に関する約款」（審

査時の約款）に同意し、「CBPR 認証取得事業者に

関する約款」（認証時の約款）の内容を了承の上、

所定の申請書類を提出。

２申請書類の確認 AA はヒアリングを行い、受領した申請書類に基づ

いて審査対象の内容を確認。

３審査料の納付 AA は審査対象に基づき審査料を見積り、審査料

の請求書を発行。申請事業者は見積の内容を確認

し、審査料を納付。4

４審査 AA は文書審査と現地審査を実施。１．文書審査：事前質問書と、提出された規程類や

プライバシー・ポリシー（個人情報保護方針）等公表

文書の確認による審査5 ２．現地審査：事前質問書に回答された運用状況

や運営体制について現地確認。（主にセキュリティ

対策） ※なお、審査において、認証基準を満たさないと判

断した場合、指摘を行います。申請者は指摘箇所

を改善後、審査を再開します。

５認証可否の決定 AA は審査会（有識者によるマルチステークホルダ

ー型の会合）で審査し、認証を決定。

６認証決定の通知 AA は認証の可否を申請者に通知すると共に、認

証管理料6を請求。申請事業者は認証管理料を納

付。併せて、AA・申請事業者間で CBPR 認証に関

する契約（期間は 1 年間）を締結。

4 審査料は、審査に係る審査員や審査会等の実費を請求するものです。 5 審査の過程で、AA は申請事業者に対して追加の資料提出等や説明を求める場合があります。 6 認証管理料は、認証機関である AA が、①CBPR 認証者のモニタリングや情報提供、②CBPR に関

する相談・苦情等の対応、③APEC への登録などの作業に充当するものです。

8

また、契約は、審査における契約と、認証決定後の契約の 2 つになります。（下図参

照）「CBPR 認証審査に関する約款7」（審査時の約款）、並びに「CBPR 取得事業者

に関する約款8」（認証時の約款）は、当協会ホームページ上に公開していますので、

ご確認ください。

7 https://www.jipdec.or.jp/protection_org/JIPDEC_AOP_CBPR_006.pdf 8 https://www.jipdec.or.jp/protection_org/JIPDEC_AOP_CBPR_007.pdf

9

4 CBPR の概要

CBPR 審査で確認すること

CBPR は、APEC エコノミー間で越境移転する個人情報の保護のために事業者が

利用できるシンプルかつ透明性のあるシステムを運営している事を示すものです。よっ

て、この認証を取得することによって、事業者は、対外的に以下の点を明示することが

できます。（１）個人情報が絡む取引相手の組織に対して、APECのプライバシー原則に合

致した適切なポリシーと手順を備えていること。（２）消費者に対して、国境を越えて移転する個人情報を適切に保護する仕組み

を運営していること。 CBPR システムの認証を申請する事業者は、APEC CBPR システムで合意された

「事前質問書」（下図参照）に回答を記載し、その根拠になる文書等を AA に提出する

必要があります。

10

よって、その確認にあたっては、以下を実施します。１．文書審査

事業者が提出した事前質問書に基づき、申請する事業者が APEC プラ

イバシー原則を遵守した対応のための規程を整備しているかを確認。２．現地審査

必要に応じて、上記１について（特に、セキュリティ対策について）実際の

現場で、対応しているのかを確認。

11

事前質問書の記載項目について

事前質問書は、基本情報と 50 の質問項目によって構成されます。記載する内容に

ついて、下表に示します。

項目記載する内容

基本情報・組織名称、対象となる組織が管理する組織の一覧、連絡窓口・対象となる個人情報の種類（顧客・見込み客、従業員・採用

予定者、その他）9 ・個人情報を取得するエコノミー（APEC に参加する国と地域）・個人情報を移転するエコノミー（同上）

基本情報には、対象となる基本情報の対象が誰なのか？どのように取得、処理、移

転、保存、破棄されるのか？どの時点でどのように何の目的で越境するのかが説明さ

れる必要があります。関係者とデータの流れをフロー図などを使ってわかりやすく整理してください。

項目質問書の該当

箇所確認する内容

通知１～４ APEC 通知原則に照らし、①取得される個人情

報、移転先、及び利用目的に関する貴社のポリシ

ーを本人に必ず理解してもらっているか、②必要

最低限の取得になっていることを条件として、本人

の個人情報が取得されるタイミング、移転先、及び

利用目的を本人に必ず通知しているか。

取得の制限５～７ APEC 取得原則に照らし、個人情報の取得がそ

の取得のために表明した目的に確実に限定され

ているか。

個人情報の

利用８～１３ APEC 利用原則に照らし、個人情報の利用が取

得目的及びこれに適合又は関連するその他の目

的を達成することに限定されているか。

選択１４～２０選択手順に関する規定の条件に照らし、個人情

報の取得、利用及び開示に関して本人が必ず選

択できるようになっているか。

個人情報の

完全性２１～２５記録について正確性及び完全性を維持させ、並

びに最新な状態に維持しているか。

9 事前質問書の枠内で不足する場合は、「別紙参照」として添付してください。

12

セキュリティ

対策２６～３５個人がその個人情報を組織に預けるときに、個人

情報の紛失、不正なアクセス、不正な破壊・利用・

変更若しくは開示、又はその他の不正使用を防ぐ

ために、その個人情報が合理的なセキュリティ対

策によって確実に保護されているか。

アクセス及

び訂正３６～３８本人がその個人情報にアクセスして、訂正すること

ができることを保証しているか。

責任３９～５０ APEC 原則の実施方法を遵守することについて

確実に責任を果たしているか、また、移転後にこ

の原則に従って個人情報を確実に保護するため

の合理的な措置を用意しているか。

事前質問書で提出する根拠文書

CBPR 認証を申請する事業者は、事前質問書の質問に回答すると共に、その根拠

となる文書を提出します。審査では、当該回答に基づく文書について求められている

要件を満たしている事を確認します。APEC CBPR 認証は、国内法を遵守することを

認証するものではありませんが、この審査の過程において、日本の個人情報保護法の

遵守についても確認します。本節では、各項目について申請する事業者が用意することが必要な文書と、文書

に記載が求められるポイントについて述べます。

13

4.3.1 事前質問書で提出する根拠文書

CBPR では、4.2 に示す通知等 8 つの観点における事前質問書に基づき、根拠と

なる文書を提出します。上記 8 つの観点について、申請する事業者が提出する文書

について下表に示します。対外的に示す文書（プライバシー・ポリシー、プライバシーステイトメントなど顧客、見

込み顧客、被雇用者などに示すもの）は和文と英文の両者の提出が必要です。社内

的な文書（マニュアルなど）は和文のみの提出で構いません。また、提出される文書に

は、対外的な公表を行っているウェブサイトの画面の表示等のハードコピー等も含み

ます。

項目質問書の該当箇所提出が求められる根拠文書例10

通知１～４・プライバシー・ポリシー・プライバシーステイトメント・個人情報保護方針・約款・契約書など

取得の制限５～７

個人情報の利用８～１３

選択１４～２０

個人情報の完全性２１～２５

セキュリティ対策２６～３５・セキュリティー・ポリシー・宣言書・システム構成図やネットワーク図な

どシステム仕様に関する文書・リスク分析表・第三者認証の認証文書・委託先選定基準・マニュアル関連など

アクセス及び訂正３６～３８・プライバシー・ポリシー・個人情報保護方針・約款・契約書・本人確認手順書・開示申請手順（開示手数料の考え

方を示すものなど）など

責任３９～５０・苦情受付マニュアル・社内規程・組織図・委託先選定基準、契約書など

10 文書名については、一般的な表現で記載しています。申請する事業者は該当する文書を提出する

ことが求められます。文書の表題を合わせる必要はありません。

14

4.3.2 根拠文書等に記載が求められるポイント

CBPR 認証は日本の国内法を遵守していることを認証するものではありません。但

し審査の上で、国内法を遵守する体制等になっていることは確認します。これは、

CBPR システムは CPEA が行われているエコノミーが参加するものであるため、

CBPR の認証を受ける事業者は、当然に関連法令を遵守していなければならないと

いう考え方から確認のみとなっています。

5 審査のポイント

本節では、事前質問書について、各質問項目について、AA が、どのような観点で

審査するのか（評価基準）、また、その審査にあたってのポイントを解説します。各表は、以下を示しています。

（１）質問は、事前質問書の項目（２）評価基準は、AA が確認する観点また、審査において、申請者が提出する根拠文書を下表に示します。（再掲）

項目質問書の該当箇所提出が求められる根拠文書例11

通知１～４・プライバシー・ポリシー・個人情報保護方針・約款・契約書・社内規定など

取得の制限５～７

個人情報の利用８～１３

選択１４～２０

個人情報の完全性２１～２５

セキュリティ対策２６～３５・セキュリティー・ポリシー・宣言書・システム構成図やネットワーク図な

どシステム仕様に関する文書・リスク分析表・第三者認証の認証文書・委託先選定基準・マニュアル関連など

アクセス及び訂正３６～３８・プライバシー・ポリシー・個人情報保護方針・約款・契約書・本人確認手順書・開示申請手順（開示手数料の考え

11 文書名については、一般的な表現で記載する。申請する事業者は該当する文書を提出することが

求められる。文書名は当該事業者の表題で問題はない。

15

方を示すものなど）など

責任３９～５０・苦情受付マニュアル・社内規定・組織図・委託先選定基準、契約書など

16

通知（質問１から４）

通知では、個人情報保護方針について本人の理解を確実にするための手順や仕組みが APEC プライバシー原則に則り、実施さ

れるかを確認します。具体的には、①取得される個人情報、移転先、及び利用目的に関するポリシーについて本人にしっかり理解し

てもらう仕組みが運用されているか、及び②（取得の制限に基づいて）本人の個人情報が取得されるタイミング、移転先、及び利用目

的について本人にしっかりと通知する仕組みが運用されているかを確認します。また、通知では、下記の留保条件（「通知に関する規定の条件」）があり、「取得時に APEC 通知原則を適用する必要がないか、又

は実際的ではない」ものとして除外されます。申請する事業者は下記にあたるものについては、それについて説明する文書等の提出

が必要になります。

【通知に関する規定の条件】 ①自明である場合、②公表されている個人情報の場合、③技術的に実行不可能な場合、④法に基づき要求している行政機関に

開示する場合、⑤適法な手続きに基づき第三者に開示する場合、⑥第三者から取得する場合、⑦合法的な捜査目的の場合、⑧緊

急事態の場合

17

質問（申請者が回答）評価基準（AA が確認）

1.上記の個人情報に適用されるポリシー

等を記載した「個人情報に適用される方

針やルール（契約書や約款等）に関して

明瞭かつ入手しやすい説明書」（以下、

「プライバシーステイトメント」という）を提供

していますか？「はい」の場合、該当する

文書のコピーまたは当該文書へのハイパ

ーリンクを提出してください。

「はい」の場合、申請者のプライバシー保護の方針や約定（またはその他のプライバシ

ー説明資料）について、以下を確認します。

①申請者のウェブサイトに掲示されている（例：ウェブページにテキスト、URL か

らのリンク、添付資料、ポップアップウィンドウ、FAQ に入っている等）。

②APEC プライバシーフレームワークの原則に従っている。

③簡単に見つかり、入手できる。

④オンライン、オフラインを問わず、全ての個人情報に適用されている。

⑤プライバシーステイトメントの有効な発行日を明記している。

上記①から⑤以外の場合は、具体的に記載してください。

「いいえ」の場合、認証を得ることはできません。

1.a)このプライバシーステイトメントには、

貴社がどのように個人情報を取得するの

かが説明されていますか？

「はい」の場合、以下を確認します。

①文書には、申請者が取得した対象個人情報すべてに適用される取得に関わ

るルールや方針が説明されている。

②プライバシーステイトメントには、取得する個人情報の種類、直接または第三

者または代理人が取得するのか明記している、さらに

③プライバシーステイトメントには、取得された個人情報のカテゴリーまたは全

カテゴリーの具体的な情報源が報告されている。


18


1.b)このプライバシーステイトメントには、

個人情報が取得される目的が説明されて

いますか？

「はい」の場合、申請者が個人情報を取得している本人にその目的に関する通知をし

ているか確認します。

「いいえ」の場合、「通知に関する規定の条件」（前記参照）の該当の有無を確認し、そ

れが正当なものか確認します。

1.c)このプライバシーステイトメントでは、

個人情報を第三者が利用できるようにす

るかどうかについて、またその場合の目的

について本人に通知していますか

「はい」の場合、申請者が個人情報を第三者の利用に供する予定または可能性がある

ことを本人に伝えており、カテゴリーや具体的な第三者、ならびに、当該個人情報を利

用できるようにする予定または可能性がある目的を特定しているか確認します。



1.d)このプライバシーステイトメントでは、

貴社の名称と所在地（取得した個人情報

の取扱いと慣行に関する貴社の連絡窓口

情報を含む）について開示しています

か？

「はい」の場合、名称、住所、部署のメールアドレスを提出しているか確認します。



1.e)このプライバシーステイトメントでは、

個人情報の利用と開示に関する情報を本

人に提供していますか？

「はい」の場合、提出文書（約款等）に該当する場合は、取得された個人情報すべての

利用と開示に関する情報が含まれているか確認します。



19


1.f)このプライバシーステイトメントでは、自

分の個人情報にアクセスし修正することが

できますか、また、その方法に関する情報

を本人に提供していますか？

「はい」の場合、提出文書（約款等）に以下が含まれているか確認します。

①自分の個人情報にアクセスするためのプロセス（電子手段または従来型の非

電子手段も含む）

②個人情報を修正するために従うべきプロセス



2.個人情報の取得時（直接であるか第三

者の代行によるかを問わない）に、そのよ

うな情報を取得している旨を通知していま

すか？

「はい」の場合、個人情報を取得している旨の通知を出しており、当該通知が適切に

本人の手に入ることを確認します。



3.個人情報の取得時（直接であるか第三

者の代行によるかを問わない）に、個人情

報を取得する目的を明らかにしています

か？

「はい」の場合、申請者が個人情報を取得している目的について本人に説明している

か確認します。

この目的は口頭または文書で伝えなければなりません。例えば、ウェブサイトのテキ

スト、URL のリンク、添付資料、ポップアップウィンドウ等などが考えられます。

「いいえ」の場合、「通知に関する規定の条件」（前記参照）の該当資格を確認し、その

資格が正当なものか確認します。

20


4.個人情報の取得時に、個人情報を第三

者に提供する場合があることを本人に通

知していますか？

「はい」の場合、個人情報を第三者に提供する予定または可能性があること、またその

目的について申請者が本人に通知しているか確認します。

「いいえ」の場合、「通知に関する規定の条件」（前記参照）の資格を確認し、その資格

が正当なものか確認します。

21

取得の制限（質問５から７）

取得の制限では、①合法かつ公正なものである点、②情報取得は必ず取得時に明記した具体的な目的に限定したものとしている

点、③情報取得は当該目的に関連したもので、且つ当該目的の遂行に応じたものである点を審査します。


5.個人情報はどのように入手しています

か？

5.a)当人から直接。「はい」の場合、具体

的に説明してください。

5.b)第三者が代行による。「はい」の場合、

具体的に説明してください。

5.c)その他。「はい」の場合、具体的に説

明してください。

「はい」の場合、実施内容について確認します。

※いずれかの項目に「はい」の回答がない場合は、認証を得ることはできません。

22


6.個人情報の取得（直接であるか第三者

の代行によるかを問わない）は、取得目

的、又は取得目的に関連する他の目的の

達成に関する個人情報に限定されていま

すか？

「はい」の場合、特定した取得目的またはその他の矛盾しない関連する目的に適

した個人情報の取得しか行っていないことを確認した上で、以下が特定されてい

ることを確認します。

①取得するデータの種類

②各データに対応して明記された取得目的

③各種データに適用される全用途

④明記された各取得目的の適合性または妥当性の説明

その上で、明記した目的の達成に適した個人情報の量と種類を限定しているか

確認します。


7.個人情報の取得に適用される管轄権の

要件に合わせて、適法かつ公正な手段で

個人情報を取得していますか？（直接で

あるか第三者の代行によるかを問わな

い）？

「はい」の場合、当該個人情報の取得に適合される管轄区（日本の法令が及ぶ範

囲）の要件について認識かつ準拠しており、嘘偽りなく、公正な手段で情報を取

得していることを証明されているかを確認します。「いいえ」の場合、認証を得ることはできません。

23

個人情報の利用（質問８から１３）

個人情報の利用では、個人情報は具体的な取得目的に限定して利用する点について審査します。 APEC 取得の原則に反しない関連する目的での個人情報の利用には、例えば、効果的かつ効率的に人材管理を行うための中央

管理データベースの作成と利用、第三者による従業員の給与処理、または、当該申請者に対して負う負債を後に徴収するために信

用を供与する目的で申請者により取得された情報の利用といったことなどが考えられます。


8.プライバシーステイトメントまたは取得時

に出した通知に特定した通り取得する（直

接であれ第三者の代行であれ）個人情報

の利用は、当該情報の取得目的またはそ

の他の矛盾のない関連する目的に限定さ

れていますか？

「はい」の場合、直接または第三者代行により取得されたすべての対象個人情報

が、取得する時点で有効なプライバシーステイトメントに記載されている目的に

対応した保護文書や手順書があるか確認します。「いいえ」の場合、質問 9 を回答してください。

24


9.質問 8 の回答が「いいえ」の場合、以下

のいずれかの状況において、関連のない

目的で集めた個人情報を利用しています

か？下欄に説明してください。 9.a)本人の明白な同意に基づく場合 9.b)準拠法に従う場合

質問 8 で「いいえ」と回答した場合、どのような状況において、取得目的以外の

目的で個人情報を利用しているのかが明記されているのか確認します。また、そ

の目的について、具体的に説明を受け確認します。１．9a を選択した場合は、同意を得た手段を確認します。その際に、本人の明

白な同意に基づくものであることも確認します。また、質問 17～19 に定める要

件を満たしていることも確認します。手段の例としては、以下が考えられます。①から⑤に該当がない場合は、具体

的に記載してください。 ①オンライン ②電子メール ③選択や、プロフィールのページ ④電話 ⑤郵便

２．9.b を選択した場合は、取得した個人情報を法の定めに従い、どのように共

有、利用、または開示することができるか確認します。

9.a または 9.b いずれも回答しなかった場合は、認証を得ることはできません。

25


10.（直接であれ第三者の代行であれ）取

得する個人情報を他の個人情報取得者

に開示していますか？

質問 10 と 11 に「はい」の場合、当該の開示または転送にあたって、取得目的

または、APEC 取得の原則に反しない関連する目的を果たすために行っている

ことを確認します。具体的には、以下を確認します。 ①開示または転送されるデータの種類 ②開示データの種類ごとに対応する明記された取得目的 ③開示によりどのように特定された目的が達成されるのか（注文対応など）

なお、要請のあったサービスや製品を提供するために必要な本人の明白な同

意に基づく場合や法の定める場合を除きます。質問 12 が「いいえ」の場合、質問 13 に回答してください。

11.個人情報を個人情報処理業者に転送

していますか？ 12.質問 10 または 11 への回答が「はい」

の場合、その開示または転送は、取得目

的またはその他の矛盾のない関連した目

的を果たすために行われたものですか？

26


13.質問 12 の回答が「いいえ」の場合、ま

たは適切な場合は、その開示や転送は以

下の状況のいずれかにおいて行われてい

ますか？ 13.a)本人の明白な同意に基づいている

場合 13.b)本人が要請したサービスまたは製品

を提供するために必要なものの場合 13.c)準拠法に従う場合

個人情報をどのような状況で関連のない目的で開示または転送しているのか

説明を受け、確認します。１．13.a では、自分の個人情報が、関連のない用途に開示または転送されるこ

とについて、本人への説明がなされ、同意を得ているかを確認します。手段の例としては、以下が考えられます。①から⑤に該当がない場合は、具体

的に記載してください。 ①オンライン ②電子メール ③選択や、プロフィールのページ ④電話 ⑤郵便

２．13.b では、本人が要請したサービスまたは製品において、開示・転送が必要

である理由を確認します。３．13.c では、法的要件の有無と適用可能性を確認します。具体的には、共有、

利用、または開示する場合がある法的理由や、守秘義務厳守の場合を除き個人情

報の共有を求める法的要件についての説明を受けます。４．13.a、b、c にいずれも回答がない場合、取得情報の開示または転送を特定

した取得目的または APEC 取得の原則に反しない関連する目的に限定されてい

るか確認します。

27

選択（質問１４から２０）

個人情報の取得、利用、開示に関連して本人に選択権を必ず与えていることを審査します。APEC 原則では、明らかに同意が示

唆されている場合や、選択権を行使できる仕組みを提供する必要がない場合があることを想定しています。これらを、「選択手順に関する規定の条件」として示します。但し、申請者はこれらに該当する場合には、その根拠を示す必要があ

ります。【選択手順に関する規定の条件】 ①自明である場合、②公表されている個人情報の場合、③技術的に実行不可能な場合、④法に基づき要求している行政機関に

開示する場合、⑤適法な手続きに基づき第三者に開示する場合、⑥第三者から取得する場合、⑦合法的な捜査目的の場合、⑧緊

急事態の場合


14.個人情報の取得に関連して本人が選

択できる方法を提供していますか？

「はい」の場合、個人情報の取得方法が整備されており使用可能であること、また、取

得目的が明記されていることを確認します。

手段の例としては、以下が考えられます。①から⑤に該当がない場合は、具体的に

記載してください。

①オンライン

②電子メール

③選択や、プロフィールのページ

④電話

⑤郵便

「いいえ」の場合、示された「選択手順に関する規定の条件」（前記参照）が正当なもの


28


15.個人情報の利用に関連して本人が選


「はい」の場合、提供されている仕組みが整備され、使用可能であるか、また、当該情

報を利用する目的を特定しているかを確認します。



①オンライン

②電子メール


④電話

⑤郵便

また、取得時に個人情報の以降の利用について選択する機会を提供していることを

確認します。取得後でも選択機会を提供することはできますが、下記の状況が生じる

前に実施されることを確認します。

①情報の取得目的に関連しない、あるいはそれと矛盾した利用目的に個人情

報を利用するとき

②個人情報がサービス業者以外の第三者に開示または配布する可能性があ

るとき



29


16.個人情報の開示に関連して個人が選


「はい」の場合、提供されている仕組みが整備され、使用可能であるか、また、当該情

報を利用する目的を特定しているかを確認します。



①オンライン

②電子メール


④電話

⑤郵便

また、取得時に選択機会を提供しているかを確認します。

更に、取得後に選択機会を提供する場合、下記の状況が生じる前に実施されること

を確認します。

①個人情報をサービス業者以外の第三者に、関連のない目的で開示すると

き。

また、申請者の提供する選択方法が明瞭かつはっきりとした方法で提示されている

かどうか、情報が取得目的と矛盾してないかどうか確認します。



30


17.個人情報の取得（質問 14）、利用（質

問 15）、開示（質問 16）を制限する権限を

与える選択肢を個人に提供している場

合、それは明瞭かつはっきりとした形で表

示または提供されていますか？

「はい」の場合、提供する選択方法が明瞭かつはっきりと表示されているか確認しま

す。





合、それは明瞭な表現ですぐ分かるように

なっていますか？

「はい」の場合、提供する選択方法が明瞭な表現ですぐ分かるようになっているかを確

認します。





合、その選択は簡単に利用でき手頃なも

のですか？

「はい」の場合、選択方法がすぐに利用できる手頃なものであるかを確認します。


20.必要に応じて、効果的かつ迅速に希

望が通るようにするどのような方法が用意

されていますか？下欄または必要に応じ

て添付資料として説明を添えてください。

用意された方法が、その選択方法（質問14、15、16）に対応できることを関連する方

針や手順等によって確認します。

また、「選択手順に関する規定の条件」（前記参照）が示された場合は、それが正当

であるかを確認します。

31

個人情報の完全性（質問２１から２５）

個人情報の完全性では、個人情報管理者12が記録を正確、完全かつ最新に保管していることを審査します。APEC 原則ではこうし

た義務は利用目的上必要な限りにおいて求められています。


21.保管している個人情報が、利用目的に

必要な限りにおいて、最新、正確、必要最

低限なものであることを検証する措置を講

じていますか？

「はい」の場合、保管する個人情報が、利用目的上必要な限りにおいて、最新・正確・

必要最低限であることを保証するために用意している手順を確認します。

また、申請者が利用目的上必要な限りにおいて、最新・正確・必要最低限の個人情

報を維持できるような妥当な手順を用意しているかを確認します。


22.利用目的上必要な限りにおいて、不正

確、不十分で、古くなった個人情報を修正

する方法を用意していますか？

「はい」の場合、不正確、不十分で古くなった個人情報を修正するために用意している

手順や措置を確認します。この中には、例えば、本人から電子メール、郵便、電話、フ

ァックス、ウェブサイト、あるいはその他の方法で、修正要請を受け取るなど、本人が情

報の正確さを問いただせる手順が含まれます。

また、このプロセスが整備され使用可能であることを確認します。

「いいえ」と回答した場合は、認証を得ることはできません。

12 個人情報の収集、保管、処理及び利用を行う個人又は組織のことです。ここでは、申請事業者のことを指しています。

32


23.不正確、不完全、または古くなった情

報が利用目的に影響すると思われ、当該

情報の転送後に修正がなされた場合、そ

の修正について、当該個人情報の転送先

である処理業者等に連絡をしています

か？

申請者が「はい」と回答した場合、委託や共同利用等のために個人情報を転送する

事業者に対して、個人情報の修正や変更等の内容を伝えるために用意している手順

と、該当する事業者が修正や変更等を行う手順を確認します。

また、その手順が整備され使用可能であること、また、それにより申請者による修正

や変更等が、速やかに該当する事業者へ反映されることになっていることを確認しま

す。



報が使用目的に影響すると思われ、情報

の開示後に修正が行われた場合、その修

正について個人情報の転送先であるその

他の第三者に伝えていますか？

「はい」の場合、個人情報を開示した第三者に修正内容を伝えるために用意している

手順を確認します。また、この手順が整備され使用可能であることを確認します。



報に気づいた場合は連絡をするよう、委

託や共同利用等を行う事業者に求めてい

ますか？

「はい」の場合、委託や共同利用等のために個人情報を転送する事業者が、不正確、

不完全、または古くなったことが分かった個人情報について、申請者へ必ず伝えるた

めの手順や、情報の転送開示先である他の第三者から修正内容を受け取るために用

意してある手順を確認します。

また、その手順が整備され使用可能であること、また、それにより申請者による修正

や変更等が、速やかに事業者等へ反映されることを確認します。


33

セキュリティ対策（質問２６から３５）

セキュリティ対策では、個人が自分の情報を申請事業者へ付託する場合に、事業者が当該情報の紛失、不正なアクセスまたは開

示、その他の不正な利用から保護するための妥当な安全保護策を必ず実施していることを審査します。この点は、文書審査のみなら

ず、現地審査での確認を含んでいます。


26.情報セキュリティ方針を実施していま

すか？

「はい」の場合、この方針を確認します。


34


27.個人情報を、情報の紛失または不正

なアクセス、破壊、利用、修正または開示

またはその他の悪用のリスクから保護する

ために実施している、物理的、技術的、運

営上の安全保護策について説明してくだ

さい。

情報の漏えい、紛失、または不正な利用、修正、開示、配布、またはアクセスを保護

するために、事業規模や複雑さ・活動の内容と範囲、また、個人情報（共同利用するも

の、委託されるもの等を含）に適した妥当な物理的・技術的・運営上の安全保護策の

実施が求められます。そのような安全保護策は、当該情報の機密性を脅かす危害の

可能性と程度、および情報の保管状況に適したものであることが求められることから、

以下を確認します。

１．個人情報保護のために採用している物理的、技術的、運営上の安全保護策につ

いて確認します。

例えば、次のような当該措置が考えられます。以下の①から⑤以外のものも、具体

的に記載してください。

①認証やアクセス制御（パスワードによる保護など）

②暗号化

③境界保護（ファイアウォール、侵入検出など）

④監査ロギング

⑤モニタリング（内外監査、脆弱性スキャナなど）

２．委託や共同利用等における個人情報の転送先である事業者に、情報の漏えい、

紛失、または不正なアクセス、破壊、利用、修正または開示、その他の悪用から保護

するよう求める妥当な措置を講じることを求めていることを確認します。また、セキュリテ

ィ対策を定期的に見直しその妥当性と効果を評価することを確認します。

35

申請者が物理的、技術的、運営上の安全保護策を講じていない、または、安全保

護策が十分でないとした場合、認証を得ることはできません。

36


28.質問 27 に対応して特定した安全保護

策が、脅かされる危害の可能性と程度、情

報の機密性、また保管状況に鑑みてなぜ

適当なのか説明してください。

情報の不正な漏えい、紛失、利用、修正、開示、配布、またはアクセスから保護する

ために、申請者の事業規模や複雑さ、その活動の内容や範囲、取得する個人情報の

機密性（本人から直接であれ第三者を介してであれ）に適した、妥当な、物理的、技術

的、運営上の安全保護策の実施が求められることから、以下を確認します。

１．個人情報の保護に採用している物理的、技術的、運営上の安全保護策について、

特定されたリスクにそうした安全保護策が適しているか確認します。

29.従業員に個人情報のセキュリティの維

持の重要性についてどのように認識させ

ているか説明してください（定期的な研修

や監督など）

申請者の従業員が、定期的な研修や監督により、個人情報の安全を尊重し維持す

る重要性とその義務について認識しているかを確認します。例えば、次のような手順が

考えられます。

①従業員向けの研修プログラム

②定期的なスタッフミーティング、その他のコミュニケーション機会

③従業員が署名するセキュリティ方針

④その他の場合は具体的に記載

定期的な研修や監督により個人情報のセキュリティを尊重し維持する重要性とその

義務について従業員に認識させていないと回答した場合、認証を得ることはできませ

ん。

37


30.次のような手段で、迫る危害の可能性

と程度、情報の機密性、保管状況に適し

た安全保護策を実施していますか？

30.a)従業員の研修や管理その他の安全

保護策

30.b)ネットワークやソフトウェア設計、およ

び情報処理、保存、転送、廃棄などの、情

報システムや情報管理

30.c)攻撃、侵入、その他のセキュリティ障

害の検出、防止、対応

30.d)物理的セキュリティ

質問 30.a から 30.d に対して「はい」の場合、各安全保護策があるか確認します。

なお、安全保護策は、迫る危害の可能性や程度、情報の機密保持や機密性、ま

た、保管状況に適したものが求められます。また、すべての個人情報を保護するため

に、暗号化など、適切かつ妥当な手段を採用する必要があります。

質問 30.a から 30.d に「いいえ」の場合、認証を得ることはできません。

31.個人情報の安全な処分のための方針

を実施していますか？

「はい」の場合、個人情報の安全な処分（廃棄等）のための方針が実施されているか確

認します。


32.攻撃、侵入、その他のセキュリティ障害

を検出、防止、対応するための措置を実

施していますか？

「はい」の場合、攻撃、侵入、その他のセキュリティ障害を検出、防

止、対応するための措置があるか確認します。


38


33.上記質問 32 でふれた安全保護策の

効果を試すためのプロセスが用意されて

いますか？

テストなど安全保護策の効果の検証が定期的に実施されていること、また、申請者

がその結果をもとに安全保護策を見直していることを確認します。

34.リスク評価または第三者認証を利用し

ていますか？

定期的にそのようなリスク評価または、第三者による認証が実施されており、申請者

はその結果をもとに安全保護策を見直していることを確認します。

35.個人情報の転送先である処理業者、

代理人、請負業者、その他のサービス業

者に、以下の手段により、当該情報の紛

失、または不正なアクセス、破壊、利用、

修正、または開示その他の不正な利用か

ら保護するよう求めていますか？

35.a)提供された情報やサービスの機密

性に対応した情報セキュリティプログラム

を実施する。

35.b)申請者の顧客の個人情報のプライ

バシーまたはセキュリティの侵害に気づい

た場合は速やかに通知する。

35.c)プライバシーの侵害または機密保持

違反につながったセキュリティ障害の修正

対応のための措置を速やかに講じる。

委託や共同利用等において個人情報を転送する事業者に対して、当該個人情報

の漏えい、紛失、または不正なアクセス、破壊、利用、修正または開示またはその他の

悪用から保護するよう求めるために妥当な措置（適切な契約条項を挿入するなど）を

講じているかを確認します。

また、そのセキュリティ対策を定期的に見直し妥当かつ有効か評価を行うことも確認

します。

39

アクセス及び訂正（質問３６から３８）

アクセス及び訂正では、本人が必ず自分の情報にアクセスし修正することができることを審査します。この項目では、①情報への直

接のアクセスの提供を防ぐセキュリティ要件、②アクセスの提供前に身分の十分な証明を求めること（本人確認等）も含みます。また、

情報にアクセスし修正する権限を提供する手順（情報開示等）では、情報の内容やその他の要因により異なる場合を想定し、状況に

応じて、記録を変更、差し止め（非公表）、または削除することが不可能・非現実的、または不要な場合も想定し、アクセスと修正の要

請を拒否する対応についても許容しています（アクセス及び訂正手順に関する規定条件）。よって、申請する事業者がその条件に相

当する場合は、その旨を説明していることを審査します。但し、アクセス要請を拒否するときは、その判断を下した理由及び拒否に異

議を唱える方法について、要請した本人に説明していることが求められます。

アクセス及び訂正手順に関する規定の条件

（１）不相応な負担の場合：個人情報管理者がアクセスや訂正を提供するための負担又は経費が不釣合いである場合。（２）機密情報の保護の場合：法的もしくはセキュリティ上の理由、又は営業秘密等に該当する場合。（３）第三者のリスクの場合：本人以外の者の情報プライバシー侵害が起きる可能性がある場合。

40


36.要請に応じて、要請者に関する個人情

報を保有しているか確認していますか？13

「はい」の場合、申請者が要請に対応するための手順を用意しているかを確認します。

その際に、下記の観点が考慮されているかを確認します。

①身元を裏付ける十分な情報を受け取り次第、取得した個人情報へのアクセ

ス機会を公平に提供していること。

②個人情報へのアクセスを認めるために用意しているプロセス、または方法は

個人情報の内容等を考慮した妥当なものであること。

③簡単に分かる方法で本人に提供されていること。

④要請が認められ、期間を要請者に伝えていること。

「いいえ」の場合、該当する「アクセス及び訂正手順に関する規定の条件」を特定して

いる場合に限り、それが正当なものかを確認します。

37.要請があった場合、保管する個人情報

の本人に当該情報へのアクセスを認めて

いますか？「はい」の場合、以下の質問

37.a)–.e)に回答し、アクセス要請を受け

取り対応するための方針と手順について

説明してください。「いいえ」の場合、質問

38 に進んでください。

37.a)あなたはアクセスを要請してきた人

の身元を確認する措置を講じています

「はい」の場合、各回答について確認します。その際に、下記を考慮していることを確

認します。

①アカウントや連絡先情報など、個人情報にアクセスするための妥当かつ適切

なプロセスまたはメカニズムを導入されていること。

②個人情報へのアクセスを拒否する場合、なぜ拒否したのか本人に説明し、

必要に応じて、アクセス拒否に異議を唱えるための適切な連絡先情報を提供

していること。

「いいえ」の場合、「アクセス及び訂正手順に関する規定の条件」を特定してきた場合

13 第三者の個人情報がアクセスまたは修正のために要求された情報から切り離すことができる場合、個人情報取扱事業者は個人情報の修正後にそれを公表

しなければなりません。

41

か？

37.b)あなたは、アクセス要請があった場

合、適当な期間内にアクセスを認めていま

すか？

37.c)情報は基本的に理解しやすい妥当

な方法で伝えられていますか（読みやす

いフォーマットなど）？

37.d)情報は、個人との通常の対話形式

にあった方法で提供されていますか（電子

メール、同一言語など）？

37.e)アクセスの提供は有料ですか？「は

い」の場合、料金設定基準とどのようにし

て法外ではない額に設定しているか説明

してください。

に限り、それが正当なものであるかを確認します。

42


38.情報の正確さについて個人が異議を

唱え、それを修正、完成、改正、または削

除させることを認めていますか？以下に関

する申請者の方針と手順について説明

し、質問 38.a)-e)に回答してください。

38.a)アクセス及び修正方法は明瞭かつ

明確に表現されていますか？

38.b)個人情報が不完全または不正確で

あることを本人が実証した場合、要請のあ

った修正、追加、または適宜、削除を行っ

ていますか？

38.c)修正または削除の要請があってから

適当な期間内にその修正や削除を行って

いますか？

38.d)修正された個人情報の写しを本人

に送ったり、データが修正または削除され

たという確認を出す等していますか？

38.e)アクセスや修正が拒否された場合、

なぜ拒否されたのかを、拒否に対する今

後の問い合わせに関する連絡先情報と供

に、説明していますか？

質問 38.a に「はい」の場合、その方針が主に対象となるエコノミー（APEC 加盟国）で

利用可能、理解可能であることを確認します。また、下記の点が考慮されていることを

確認します。

①個人情報の修正を拒否する場合、なぜ修正の要請が拒否されたのか説明

し、必要に応じて、異議を唱えるための適切な連絡先を教えていること。

②アクセス及び修正方法はすべて簡単で使いやすく、明瞭で分かりやすい方

法で表現され、適当な期間に運営され、不正確な点が修正・改正、または削除

されたことを本人に知らせていること。（例えば、書面または電子メールでの情

報請求を受け付ける、関連情報を社員にコピーさせ要請してきた人に送付させ

るなどがあります。）

質問 38.a)～38.e)に「いいえ」の場合、「アクセス及び訂正手順に関する規定の条件」

を特定してきた場合に限り、それが正当なものかを確認します。

43

責任（質問３９から５０）

責任では、APEC 情報プライバシー原則を遵守するための措置が講じられているか、苦情等への対応がなされているか、また委託

などにより個人情報の転送を行っている場合には委託先が申請事業者の求める要件を遵守するように合理的な措置を講じているか

等の審査を行います。


39.APEC 情報プライバシー原則に従うた

めにどんな措置を講じていますか？該当

するものにすべてチェックし説明してくださ

い。

内部指針または方針（該当する場

合、どのように実施しているか説

明）

契約

該当する業界または部門の規定類

の順守

自主規制による申請者規範または

規則の順守その他（具体的に説明してくださ

い。）

APEC 情報プライバシー原則に従うために講じている措置を表明していることを確

認します。

44


40.上記措置に対する組織全体の遵守に

ついて責任を持つ担当者がいますか？

「はい」の場合、それが分かる資料を提出してください。


41.プライバシー関連の苦情の受付、調

査、対応に関わる手順を用意していま

すか？

「はい」の場合、プライバシー関連の苦情の受付、調査、対応に関わる手順を申請者

が用意しているか確認します。例えば、以下のような事が考えられます。①から③以外

の場合は、具体的に記述してください。 ①個人がどのようにして申請者に苦情を申し立てることができるのかの説明（電

子メール、ファックス、郵便、オンライン書式等） ②申請者による APEC プライバシーフレームワークの準拠に関連した苦情また

は個人情報のアクセスに対する要請を扱う社員の氏名 ③正式な紛争処理プロセス


42.苦情申立てに適時に対応するための

手順を用意していますか？「はい」の場合、苦情に適時に対応するための手順を用意しているか確認します。

「いいえ」の場合、認証を得ることはできません。 43.「はい」の場合、その対応では、苦

情に関連した救済措置の説明もしてい

ますか？具体的に説明してください。

どのような救済措置が検討されているのか説明内容を確認します。

45


44.プライバシー関連の苦情への対応方

法をはじめ、プライバシーに関する方

針や手順に関して社員を教育する手順

を用意していますか？

「はい」の場合、プライバシー関連の苦情への対応方法を含め、プライバシーに

関する方針や手順に関して社員を教育する手順を用意しているか確認します。

プライバシー関連の苦情への対応方法をはじめ、そうした手順は用意してい

ないと回答した場合は、認証を得ることはできません。

45.個人情報の開示が求められる場合を

はじめ、裁判所またはその他政府の召

喚令状、捜査令状や命令に対応するた

めの手順を用意していますか？

「はい」の場合、個人情報の開示が必要な場合をはじめ、裁判所やその他政府の召喚

令状、捜査令状または命令に対応するための手順を用意しており、この件に関して社

員に必要な研修を行っていることを確認します。「いいえ」と回答した場合、認証を得ることはできません。

46


46.代行して個人情報を処理する、処理業

者、代理人、請負業者、またはその他のサ

ービス提供者に関して、各個人に対する

あなたの義務が必ず果たされるようにする

ための方法を用意していますか？（該当

するものを全てチェック）内部指針または方針（該当する

場合、どのように実施している

か説明）契約該当する業界または部門の法規

の順守自主規制による申請者の規範ま

たは規則の順守その他（具体的に説明してくだ

さい。）

「はい」の場合、記載通りに各種契約が存在しているか確認します。「いいえ」と回答した場合は、認証を得ることはできません。

47


47.上記の契約では一般に個人情報の処

理業者、代理人、請負業者またはその他

のサービス業者に以下の行為を義務付

けていますか？（該当するものを全て

チェック）プライバシーステイトメントに明記さ

れている APEC 準拠のプライバシー

方針や実務ルールに従う。プライバシーステイトメントに明記さ

れているプライバシー方針や実務ル

ールに実質的に類似したプライバシ

ールールを実施する。個人情報の取扱方法に関連して

提供された指示に従う。あなたの同意がない場合には下請

に制約を課す。各業者の管轄区の APEC アカウ

ンタビリティ・エージェントに CBPR を

認証させる。申請者の顧客の個人情報に関す

る違反があった場合は申請者に通知

する。その他（具体的に説明してくださ

い。）

申請者が義務を必ず果たすために適切な方法を利用しているか確認します。

48


48.個人情報の処理業者、代理人、請負

業者、その他のサービス業者に、指示ま

たは契約や合意に従わせるために監査

の提出を義務付けていますか？

該当する監査手順等があるか確認します。

49.指示または合意や契約に従わせるた

めに、処理業者、代理人、請負業者、また

はその他のサービス業者の定期的な検査

やモニタリングを行っていますか？

「はい」の場合、定期的な検査やモニタリングなど申請者側の手順が用意されているか

確認します。「いいえ」の場合、認証を得ることはできません。

50.CBPR システムを確実に遵守させるた

めの事前評価及び方法が、個人情報の

処理業者、代理人、請負業者、その他の

サービス業者に難しいという場合であって

も、個人情報を開示していますか？

「はい」の場合、以下を確認します。

①責任ある転送を行うために上述の評価基準に合致したデュー・デリジェンス

や妥当な措置が、なぜ非現実的または実施不可能であるかの理由。 ②APEC プライバシー原則に従い当該情報を保護するために申請者が採用し

ているその他の手段。なお、本人の同意に依拠している場合、同意の内容とその取得方法を確認します。

49

6 エンフォースメント（執行）について

CBPR 認証は、日本国政府が参加表明をした APEC 域内の個人情報移転につい

て APEC プライバシー原則を遵守していることを認証するものです。そのため、CBPR システムの認証を取得した事業者について、AA はモニタリングを

行います。モニタリングでは、取り扱うサービスの変更や、取得する個人情報の変更な

どの確認を行います。なお、認証を取得した事業者には、そのような変更が発生した

場合に、変更届（当協会ホームページ上に様式を掲載）を提出することも求められま

す。また、事故等が発生した場合には、速やかに CBPR 認証の効力の一時停止・取消

等を行い、その事実を公表します。

一時停止や取消に相当すると考えられる場合は、特別審査を実施し、最終的な判

断を政府機関と行います。（下図参照）14

14 個人情報保護法に抵触していれば、現行法第 42 条による「中止」「勧告」「命令」「緊急命令」や、現

行法第 83 条～第 88 条に基づく罰金罰則が適用されることが考えられます。

50

51

7 CBPR 認証申請に係る相談窓口

CBPR 認証の申請を検討されている事業者に対して、当協会では個別相談に応じ

ております。以下までお気軽にお問合せください。

JIPDEC 認定個人情報保護団体事務局

E-mail cbpr-office @ tower.jipdec.or.jp ※メールアドレスの@の前後の空白を削除してください。

URL https://www.jipdec.or.jp/protection_org/index.html

禁無断転載

APEC CBPR 認証申請ガイドブック

2 版 2020 年 4 月 1 日発行

発行一般財団法人日本情報経済社会推進協会

認定個人情報保護団体事務局

東京都港区六本木一丁目９番９号六本木ファーストビル内ＴＥＬ０３－５８６０－７５７６

Documents

APEC CBPR 認証 申請ガイドブック - JIPDEC...APEC 参加エコノミーとの間で適正に個人情報を越境移転する（例えば、アメリカから 日本へ従業員情報を移転するなど）ための枠組みです。日本は2013

APEC CBPR 認証申請ガイドブック - JIPDEC...APEC 参加エコノミーとの間で適正に個人情報を越境移転する（例えば、アメリカから日本へ従業員情報を移転するなど）ための枠組みです。日本は2013