楽天グループ(以下、楽天)は、楽天グループにおいて策定した英国拘束的企業準則(UK Binding Corporate Rules、以下、UK BCR)が、イギリスのデータ保護機関「Information Commissioner’s Office(ICO)」からの承認を、2022年5月19日に取得したと発表した。

イギリスのプライバシー保護法制では、プライバシーに関して適切な保護レベルがあると認められている国・地域への移転、または、これに代わる適切な保護措置を講じた場合を除き、イギリス国外への個人情報の移転は原則として違法とされている。

今回、イギリスのデータ保護機関から楽天のUK BCRが適切な保護措置を備えていると認められたことにより、楽天グループ内において、UK BCRに基づいたイギリス内外での個人情報の越境移転を適法に行うことができるようになったとのことだ。

楽天は、2016年12月にルクセンブルクのデータ保護機関「Commission nationale pour la protection des données(CNPD)」から、EUを対象としたBinding Corporate Rules(BCR)の承認を取得したことにより、イギリスおよびEU 7カ国のデータ保護機関から楽天のBCRが適切な保護措置を備えていると認められたという。

イギリスのEU離脱により、イギリス内外における個人情報を含むデータの越境移転について、現行のBCRに依拠することができなくなったため、UK BCRを今回取得。

なお、2018年5月からEUで統一的に施行されたプライバシー保護法「一般データ保護規則(General Data Protection Regulation)」への対応も、BCRを基本として楽天グループ内で整備を行ってきたとのことだ。

楽天グループは今後も、国際的な基準に従って、コンプライアンスの遵守と革新的なサービスの提供の両立を図りつつ、効率的にデータを運用し、グローバルでのビジネスを展開していくとしている。