ナレッジ

各国データ保護法の最新動向と日本における実務対応のポイント(後編)

2023/04/17世界各国でのデータ保護規制の広がり、国ごとの最新動向について言及した前編に続き、後編ではそれら現状を考慮したうえで、日本企業がどのように対応していけば良いのかを探っていきます。前編同様、森・濱田松本法律事務所 田中浩之氏の解説により、日本企業が今後意識していくべきポイント、海外のデータ保護規制に向けた対策、インシデント発生時の対応などについて述べていきます。(聞き手:編集部 村上尚矢、キムヨンミ)
 

※当記事はFinancial Advisory Portal「DTFA Times」に掲載された記事を一部改訂して転載しています。

田中 浩之氏
森・濱田松本法律事務所 パートナー弁護士

日本企業の平時・有事の個人情報保護法対応およびGDPR・CPRA対応、その他のグローバルなデータ保護法案件を数多く手掛け、各国規制の最新動向・各企業の実情を踏まえた効果的かつ効率的な対応の助言を行う。個人情報保護規制に関する執筆・講演実績も多数。最近の著作に、『60分でわかる!改正個人情報保護法 超入門』(技術評論社、2022年、共著)と、第一法規『会社法A2Z』では「対話で学ぶ 知らなきゃ困る グローバル個人情報保護規制」を共著にて連載中。ニューヨーク州弁護士。

日本企業における世界のデータ保護規制に向けた諸対応

——世界各国のデータ保護規制の成立に対し、現状日本企業はどのような動きをしていますか。

EUでGDPR(General Data Protection Regulation:一般データ保護規則)が施行されたことは日本企業もしっかりと認識しており、そのスタートとともに対応をとった企業が多く見られます。前編で言及したSchremsⅡ事件が起きた際にも判決に則って、相応の対応見直しを図ったといえるでしょう。

米国については、特に注意が必要なCCPA(California Consumer Privacy Act:カリフォルニア州消費者プライバシー法)を意識し、のちに成立したCPRA(California Privacy Rights Act:カリフォルニア州プライバシー権法)にも準拠できるように動いた企業が多かったようです。CCPAではB to B、あるいは従業員データについて部分的な適用除外が設けられていましたが、2023年1月1日のCPRAの施行と同じタイミングでそれがなくなってしまいました。そのため、適用除外によりこれまでCCPAに全面的には対応してこなかった企業も、CPRAにおいては対応が求められるようになりました。前編でも述べたように、米国では州法、連邦法の動きが激しいため、日本企業もその動向を注視しているところでしょう。もっとも、日本含め各国企業では、本音を言えば細かな差異のある州法が乱立するより包括的な連邦法が成立し、それ一本に対応していく方が効率的であると考えていると思います。しかし特にすでに厳格なルールが存在しているカリフォルニア州からの反発などもありますし、なかなかそう簡単には進んでいないところです。

このように、主要国ではデータ保護規制に関する大きな波がきている状況ですから、今後は日本企業も将来のビジネス展開まで考えて議論を行っていく必要があるとの認識が生まれてきています。

——前編ではオンラインゲーム「フォートナイト」の問題にも触れられました。日本にもゲーム会社は多数あり、世界的にも人気があります。そのため、やはりゲーム業界に属する企業は、データ保護規制、あるいはダークパターン規制の動向に対する関心が特に高まっているのでしょうか。

非常に関心は高いとの実感です。前編でも少し触れましたが、米国には、古くからCOPPA(The Children’s Online Privacy Protection Act:児童オンラインプライバシー保護法)という連邦法があります。これは子どものオンライン個人情報を保護者の管理下で安全に保つよう定めたもので、13歳未満の子どもの個人情報をオンラインで収集などする際は、保護者の検証可能な同意が必要とされています。このCOPPA自体は日本でも有名であり、一定の対応を考えているかと思いますが、英国のチルドレンズ・コードのような新しい動きについての対応はまだ完全ではないように見えます。今後はこのあたりの対応も進んでいくことが予想されます。

また、近年よく耳にするようになったダークパターンですが、日本においてはそれそのものにフォーカスした特別な法律などはないものの、グローバルに問題視され、批判されているこのような手法を使うわけにはいかないという意識が企業にはすでにあると思います。日本の個人情報保護法には、データの不適正取得や不適正利用が禁止されており、ダークパターンにあたるようなものは、これらの条文を使って規制されていくことも考えられます。

 

グローバルな共通対応を定めたうえで、個々の国に対する処置を

――多くの日本企業は様々な国と取引をしています。各国においてデータ保護規制に関する目まぐるしい動きがあるなか、日本企業が効率的な対応を実現するにはどうすべきですか。

従前は、GDPR用、CCPA用といった形で、プライバシーポリシーを個別に整備していくことが多かったのですが、各国で様々な規制が生まれていくなか、対応しなければいけない国が多い企業については、それでは対応しきれないということが判明してきました。そのため、グローバルポリシーとして共通項を見付け出し効率的に対応しないと管理できない、そういった考え方に基づいて対応をする企業が増えてきました。例えば多くの規制があるなか、グローバルと認められるポイントを共通項として定め、そこではカバーできない各国対応についてはそれぞれの国に応じて別紙を付けることで対応するという手法をとっている企業は多いと考えます。海外にも重要拠点がある、重要市場がある、この国は特に法規制が厳しく執行も活発である、行われているデータ処理の内容などの考慮要素を踏まえて、優先順位を付けながら、どの国について別紙を作るかを決めていくことになります。

各国ごとにそれぞれの規制があると完璧なポリシーの整備を一気に目指すことはなかなか難しい面もあるため、まずは共通部分のポリシーを作り、別紙については、重要なものから順次アップデートをしていくという方法も考えられます。日本企業にありがちな完璧主義を捨て、目標を少し下げて一歩ずつ積み重ねていくことも大事といえます。それでもゼロ対策よりはよほどいいですし、リスクヘッジにもなると考えます。

 

平時と有事、それぞれに必要な対策ポイント

――各種規制対策として、日本企業が最低限やっておくべきことはありますか。

まず、平時においてプライバシーポリシーをしっかりと作っておくことが重要です。その作業を行うことで、新たな課題も見えてくるでしょう。プライバシーポリシー上では、自社のデータ処理がどうなっているかを説明することになりますから、きちんと現状を踏まえたプライバシーポリシーにするためには、現状の調査も必要になるでしょう。

また、プライバシーポリシーを定めた以上は、企業としてはこれを守らなければならず、これを守るためには、グローバルなデータ移転を進めるための契約の整備をしたり、その他の必要な内部規程やマニュアルなども整備したりして、これを守る必要が生じてきます。形式的にプライバシーポリシーだけ立派なものを作っても意味は無く、それを守るような体制を作っていく必要があります。
 

――グループ間でグローバルにデータ移転を行う場合の契約はどのように作るのが一般的なのでしょうか。

Intra-Group Data Transfer Agreement(IGDTA)と呼ばれるグループ間のデータ移転契約を各グループ企業と締結する例が多いです。前回お話しした、GDPRのSCCや中国の標準契約のように使うべきフォーマットが決まっている国もありますが、そうではない国も多いです。各国でグローバルスタンダードとして守るべき統一的ルールを合意しておくことで、日本法を含めた移転規制対応を行うことを目指すのがIGDTAです。そして、GDPRのSCCや中国の標準契約のような各国独自の契約はこうした共通ルールの特則として別添しておき、それぞれの法律が及ぶデータ移転では、共通ルールに優先させてこれらの特則が適用されるような建て付けにしておくことが一般的です。

ただし、プライバシーポリシーに移転の内容を説明したうえでIGDTAを結んでこれを守れば、全ての国で移転ができる訳ではなく、これに加えて、同意を得たり、所定の評価を行ったり、政府への届出をしたり許可を受けたりする必要がある場合もありますので、注意が必要です。
 

――「何か」が起きたときに備え、インシデントマニュアルも作成した方がいいでしょうか。

そうですね。特にグローバルビジネスを行なっていると、インシデントが起きたときにかなりの混乱が生じます。当該各国当局への報告などに関するフローを作り、他国で問題が生じたことに日本の本社が気付いていない、そんな事態を避けるべきです。そういったインシデントの検知はきちんとできるようにしておかなければなりませんし、場合によっては世界的なデータ漏洩などについて知見を持つ外部弁護士などを選定しておくのも役立ちます。インシデント発生時には〇〇時間以内に当局へ報告するといった決まりがあることも多いので、ある意味時間との戦いにもなります。ですからあらかじめ緊急時のフローを整えておくことは重要です。
 

――企業全体が俯瞰して状況を見て、足並みを揃えながら対応していく必要がありますね。

そのためにも、あらかじめシミュレーションができていると有利です。フローやマニュアルがあっても、活用できなければ無いのと一緒になってしまいます。ですから、インシデント研修とシミュレーションをセットにして準備しておくとやや安心でしょう。ただその際は、スタート時から完璧な動きがとれるとも思えませんから、トライ・アンド・エラーを繰り返し、アップデートしていくことが大切になります。

ありがちなのは企業が縦割りとなっており、インシデント発生時にセキュリティ部門は問題を把握していても、法務部門が把握していないという状態です。これを防ぐには、法務や技術部門、場合によっては経営者も含めた関係者のメーリングリストなどを作り、どこかで情報がストップしてしまわないようにすることです。
 

――地震など自然災害に対する備えと同様ですね。

いつ何が起こるかわからないという点では一緒でしょう。ですから防災訓練をするように、インシデント発生時の訓練もしておくことが有益です。その方が、断然スムーズに物事が動くはずです。

 

お役に立ちましたか?