【海外識者シリーズ】弁護士 達野大輔氏(全4回)
第1回 グローバルの個人情報保護体制構築ことはじめ
バックナンバー
2015/08/24
企業のコンプライアンスを考えるのは、法務部などの専門家であって、自分とはあまり縁のない仕事と思いがちです。しかしグローバルな環境でビジネスを推し進めるとき、最低限ここだけは押さえておくべきという勘所があり、日本本社として何をすべきか知っておく必要があるのではないでしょうか? 本シリーズでは、4回にわたってグローバルの個人情報保護法への対応に関わるトピックを紹介します。お話を伺ったのは、世界47か国に77のオフィスをもち、世界的なネットワークを活かしたグローバルなリーガルサービスを提供するベーカー&マッケンジー法律事務所の弁護士、達野大輔氏です。
「ベーカー&マッケンジーの一番の強みは、ネットワーク内の緊密な情報交換により世界各国のアップデート情報をいち早く取り入れられること。それによって全世界的な問題に対応できる点です。最近はグローバルなサービスの提供やIT技術の発展に伴って、様々な企業から依頼や相談を受けることが増えています。個人情報保護に関しては、伝統的にEUが一番厳しかったため、これまで多かったのはEUからどのように情報を移転するかという相談でした。最近ではアジア諸国で法律制定の動きが大きくなり、アジアに注目が集まっています。」と達野氏。
アジアを目指す企業が増えている昨今、次のような場面でどう対応したらよいのでしょうか?
S氏はT社本社の法務部に勤務している。T社は日本で事業に成功し、米国、英国に進出。さらにASEANの主要4か国(シンガポール、マレーシア、タイ、インドネシア)に子会社も設立した。
その一連の業務を終えて一息ついていたS氏のもとにある日、シンガポール子会社のジェネラルカウンセルからこんなメールが届いた。
「T社のグローバルな個人情報保護の方策はどうなっていますか?」
S氏は戸惑った。海外の法規制のことはよく知らない。かといって本社の指針がないままに各国が勝手にルールを決めたら統制できなくなる。
グローバルな個人情報保護方策といっても何をどうすればいいのだろうか。
求められる! 海外子会社を含めたグローバル個人情報保護方策
ビジネスを海外展開する途上で、どの企業も進出先の個人情報保護法は遵守しているはず。しかし各国で集めた個人情報を、国境を越えて拠点に集めてバックアップしたり、本社や海外子会社からアクセスするとき、法に触れる可能性を意識しているでしょうか? 個人情報の国外移転に規制のある国は多く、また国によって法規制に違いもあります。各国の法律を遵守し個人情報を保護するために、海外子会社を含めた全社に適用される統一的な方策を実施することが不可欠になっています。しかし、実際にどのようなステップで行えばよいのでしょうか? そこですでに海外に子会社を設立し、世界展開を計画している日本企業を想定して、グローバルの個人情報保護方策を実現するまでを、「情報収集」「戦略の立案」「計画実現」の3つの段階で以下に示しました。
社内調査による情報収集から開始
本社や海外子会社ではどのような個人情報を取り扱い、また取り扱う可能性があるのか、どのように個人情報を移転する必要があるのかを把握しているでしょうか? 有効な戦略を立てるには、全社の状況を知る必要があります。そのために世界各社の各部署に質問票を送るなどの方法で、まず社内調査で情報収集を行うのがよいでしょう。同時に、プライバシーに関する現在の社内規定についても収集します。質問票で確認しなければならない事項については、以下に例を挙げます。
<1>従業員情報
・世界何か国で、どのくらいの量の従業員情報を扱っているか。
・センシティブデータを取得しているか。
・どのようなデータベースで保管しているか。
・取得に際し、告知や同意取得をしているか。
<2>消費者の情報
・どのようなデータベースで保管しているか。
・データ処理に第三者のサービスを使用しているか。
・セキュリティの状況、プライバシーポリシーはどうなっているか。
<3>取引先の情報
・どのようなデータベースで保管しているか。
・個人情報に関する契約状況はどのようになっているか。
達野 大輔 氏
ベーカー&マッケンジー法律事務所(外国法共同事業)
弁護士
経営研究所名誉顧問
98年東京大学法学部卒業。00年弁護士登録。04年ノースウエスタン大学ロースクール修了(LL.M)。著作「ミログ第三者委員会報告書から考えるプライバシー情報ビジネス利用の問題」がある。