Global Reachグローバル展開する企業を支援

MENU

コラム|Column

【プライバシー保護法制シンポジウム開催レポート】

後編:諸外国のプライバシー保護法制について日本本社はどう取り組むべきか?(2019年5月21日 東京)

バックナンバー

2019/07/22

5月21日に六本木で開催したシンポジウム「GDPR執行の最前線とプライバシー保護法制を取り巻く世界情勢」では、バード&バード法律事務所ブリュッセルオフィス、西村あさひ法律事務所、大江橋法律事務所上海事務所からゲスト登壇者を迎え、プライバシー保護対応にITセキュリティ対策の法的要件も含まれてきた最近の現状も踏まえて、現地事情と実務ポイントに的を絞った議論を行いました。
本レポートでは「各国毎に異なるプライバシー保護法対応について日本本社はどう取り組むべきか?」をテーマに行ったパネルディスカションの後編をご紹介します。
前編はこちら

登壇者

  • モデレータ
    IIJビジネスリスクコンサルティング本部
    副部長・プリンシパルコンサルタント 宮岡 泰治
  • パネリスト
    バード&バード法律事務所ブリュッセルオフィス
    パートナー弁護士 杉本 武重
  • パネリスト
    西村あさひ法律事務所
    パートナー弁護士 石川 智也
  • パネリスト
    弁護士法人大江橋法律事務所
    パートナー弁護士・上海事務所首席代表 松本 亮
  • パネリスト
    Global Solutions China Inc.
    副総経理・技術統括部長 李 天一
  • パネリスト
    IIJビジネスリスクコンサルティング本部
    本部長・プリンシパルコンサルタント 小川 晋平

3. 日本本社としての役割と責任

宮岡:日本本社が直面する課題として、海外拠点に原則任せているものの、本当に適切な対応ができているか日本本社として把握できていない、もしくは国毎に異なる対応を日本本社がどこまでモニタリングすべきか、その関与度合いもよく分からないというものがあります。過去の経験なども踏まえて、小川さんから日本本社の役割と責任についてコメントいただけますか。

小川:どこまで本社が主導するか、現地に任せるかはそれぞれの企業文化、設立の経緯、体制、体力等によって異なりますので「これです」という正解はありません。しかし現地の対応状況をチェックするにあたり、日本本社が現地から情報収集する場合、前提条件として各国法に関する正確な情報を事前に把握する必要があります。そのうえで海外拠点から報告されてくる情報を日本本社に集約し、その情報が適切かどうか評価する体制を構築することが最初に必要なことだと思います。

宮岡:石川先生から補足がありましたらお願いします。

石川弁護士:少なくとも現地拠点のプライバシー保護法制の対応状況に関するモニタリングと監査、これは是非やってください。モニタリングと監査の実施にあたっては現地の法制に関する情報収集がとても重要になります。現地の法制がどのようになっているのかということを本社で把握しないと、現地拠点からのレポートをそのまま鵜呑みにするしかなく、実効的なモニタリングと監査は難しいと思いますし、日本企業の場合には、現地拠点で対応する方が日本人であることも多く、本社から現地法制に関する情報が日本語で提供されることが重要であることが多いです。
どういった対象項目が必要かという調査と、その調査を踏まえた上での現地拠点のモニタリングと監査については本社で行い、グローバルに、プライバシー保護法制のコンプライアンスを仕上げていくというのが非常に有益かつ現実的な対応であると思います。その上で、現地拠点での態勢整備や法定のドキュメント作りをどこまで現地拠点に任せるか、本社で対応してあげるかは、現地で主導できる機能があるか次第だと思います。

宮岡:中国拠点側の観点で松本先生からコメントをお願いします。

松本弁護士:中国のコンプライアンスについては現地法人に任せているところが多いと思われますが、本社としても最低限現地法人のコンプライアンス状況が法制度の要求を満たしているかどうかモニタリングする必要があります。CS法の規制対象はあくまで現地法人ですが、違反等の指摘を受けた際の本社へのレピュテーションリスクを踏まえると、本社としても正確な情報を取得することと、リスク(特に重大なリスク)を監督できる仕組みにしておくことが最低限必要だと考えます。現地法人に対してコンプライアンスを単に標語として伝えるだけではなく、現地法人がどこまでできていて、どこから対応が難しいのかといった情報を、現地法人と本社サイドで温度差のないようにしていく必要があろうと思います。

宮岡:B to CビジネスとB to Bビジネス間の対応の違いについて、B to Cのリスクが高いのはよく分かりますが、B to Bはどうなのかという点について杉本先生からコメントをお願いします。

杉本弁護士:B to Cビジネスの場合、B to Bビジネスの場合よりもGDPRとCCPAへの対応の必要性がより高いと言えます。理由としましては、 個人データの処理が事業に直結しており個人情報保護法の違反が事業の継続性や利益に直接影響を与える可能性が高いということ。 プライバシー性の高い個人データの処理を伴うケースが多いので 関連するデータ主体の数も多く、データ主体から苦情申立てがなされる可能性がより一層高くなるということがあります。一方B to Bビジネスについては、予算をあまりかけるべきではないという先入観は危険で、従業員と人事管理で揉めた場合にデータ保護法の一種が取り沙汰されたり、欧州の現地拠点でフェイクDPOを選任してしまうリスクもあることを本社側で認識する必要があります。

宮岡:同じく中国からみた日本本社の対応で留意すべきポイントについて李さんの方からお願いします。

:内部統制・リスクマネジメントと比較して、海外法人におけるコンプライアンス遵守の優先順位はさほど高くない傾向もあるなか、先生方のご指摘通り、本社リードは非常に重要なことだと思います。さらにいかに現地法人と認識合わせをはじめとする企画立案、さらに体制構築、継続運用までサポートし、本社が現地法人に推進させるかという点も非常に大事な課題だと思います。 また、 「ことが起きてから対応すればよい」という考え方を意識改革することも必要です。グローバル対応の実効性を高めるために、各国の既存コンプライアンス・フレームワークを比較分析し、平準化するために、足りない要素を一部の国に対して追加するという組織横断的な対応は、日本本社がリードした方が有効だと思います。

4. 日本本社としての優先対応事項

宮岡:最後のトピックですが、正確な情報収集と適切なリスク評価の実施において、日本本社で各国すべてのプライバシー保護法制について情報収集するのは難しいという点と、その比較や分析をどこまでやればいいのかという点について小川さん、石川先生からコメントいただきます。

小川:日本本社側で正しい情報収集が求められていることはこれまでの議論の通りですが、一方で皆さん苦戦されているという状況も把握しております。 そこで今年(2019年)1月にIIJ ビジネスリスクマネジメントポータル会員の皆さんにどの国のプライバシー保護法制に関する情報が必要か、アンケートを実施しました。その結果を受けまして、西村あさひ法律事務所 石川先生のチームの協力も得て今回レポートを作成しています。レポートは3種類あり、抜粋版、概要版(グローバル・オーバービュー)、詳細版となっています。中国とベトナム、シンガポールの詳細版は6月から提供開始となっており、その後EU加盟国を含めた他の国々についても順次作成していきます。なお、アドバンスト会員の方には詳細版をディスカウント料金にて購入いただくことが可能なうえ、様々な特典も付いておりますので、この機会にアドバンスト会員の登録をご検討いただければ幸いです。

宮岡:最後にモニタリングと監査の体制構築時の留意点について、石川先生よりコメントをお願いします。

石川弁護士:モニタリングと監査の実施に際しては、プライバシー保護法制に関する監査項目を入れて実施するのが現実的な対応です。通常、海外拠点の監査は数年に一回の往査ということが多いですが、その際に少しずつ現地の法制に関する情報収集を行いながらそれぞれの拠点に対する監査項目を整備し、監査の実を上げるようにするといった対応であれば、無理なく対応できるのではないかと思います。これを日本本社側主導で実施するためには少し踏み込んだ法令調査は不可欠になります。 また、プライバシー保護の領域は、違反時のリスクが大きくなってきているとともに、ビジネスの仕組みに影響を及ぼすようになってきていますので、プライバシーに関連する領域に明るい専門家(データ保護規制、知的財産法、消費者保護法など、複数の法域を横断的に見ることができる専門家)を確保して、平時・有事のコンプライアンス態勢を整えるとともに、ビジネスの検討の早い段階から将来のプライバシーリスクを戦略的・多面的に検討することが必須の時代になっていると思います。

宮岡:自社をプロテクトするために、日本本社として平時に何をすべきか、インシデントが不幸にも発生した際に、迅速且つ適切にどのような有事対応をすべきか、そのサポートやご相談を含めて、日本企業の皆様のために引き続きお手伝いさせて頂ければと考えております。

「世界のプライバシー保護法制の最新動向に関するレポート」に関する詳細情報はこちら