楽天グループ(楽天)は6月3日、楽天グループにおいて策定した英国拘束的企業準則(UK Binding Corporate Rules、以下「UK BCR」)が、イギリスのデータ保護機関「Information Commissioner’s Office(ICO)」からの承認を5月19日に取得したと発表した。
イギリスのプライバシー保護法制では、プライバシーに関して適切な保護レベルがあると認められている国・地域への移転、これに代わる適切な保護措置を講じた場合を除き、イギリス国外への個人情報の移転は原則として違法とされている。このたび、イギリスのデータ保護機関から楽天のUK BCRが適切な保護措置を備えていると認められたことにより、楽天内において、「UK BCR」に基づいたイギリス内外での個人情報の越境移転を適法に行うことができるようになった。
楽天は2016年12月、ルクセンブルクのデータ保護機関「Commission nationale pour la protection des donnees(CNPD)」から、EUを対象としたBinding Corporate Rules(BCR)の承認を取得したことにより、イギリスおよびEU 7カ国のデータ保護機関から楽天のBCRが適切な保護措置を備えていると認められた。
イギリスのEU離脱により、イギリス内外における個人情報を含むデータの越境移転について、現行のBCRに依拠することができなくなったため、UK BCRをこのたび取得している。なお、2018年5月からEUで統一的に施行されたプライバシー保護法「一般データ保護規則(General Data Protection Regulation)」への対応も、BCRを基本として楽天グループ内で整備を行ってきた。
楽天は今後も、国際的な基準に従って、コンプライアンスの遵守と革新的なサービスの提供の両立を図りつつ、効率的にデータを運用し、グローバルでのビジネスを展開していく。
