日本企業における世界のデータ保護規制に向けた諸対応

——世界各国のデータ保護規制の成立に対し、現状日本企業はどのような動きをしていますか。

EUでGDPR（General Data Protection Regulation：一般データ保護規則）が施行されたことは日本企業もしっかりと認識しており、そのスタートとともに対応をとった企業が多く見られます。前編で言及したSchremsⅡ事件が起きた際にも判決に則って、相応の対応見直しを図ったといえるでしょう。

米国については、特に注意が必要なCCPA（California Consumer Privacy Act：カリフォルニア州消費者プライバシー法）を意識し、のちに成立したCPRA（California Privacy Rights Act：カリフォルニア州プライバシー権法）にも準拠できるように動いた企業が多かったようです。CCPAではB to B、あるいは従業員データについて部分的な適用除外が設けられていましたが、2023年1月1日のCPRAの施行と同じタイミングでそれがなくなってしまいました。そのため、適用除外によりこれまでCCPAに全面的には対応してこなかった企業も、CPRAにおいては対応が求められるようになりました。前編でも述べたように、米国では州法、連邦法の動きが激しいため、日本企業もその動向を注視しているところでしょう。もっとも、日本含め各国企業では、本音を言えば細かな差異のある州法が乱立するより包括的な連邦法が成立し、それ一本に対応していく方が効率的であると考えていると思います。しかし特にすでに厳格なルールが存在しているカリフォルニア州からの反発などもありますし、なかなかそう簡単には進んでいないところです。

このように、主要国ではデータ保護規制に関する大きな波がきている状況ですから、今後は日本企業も将来のビジネス展開まで考えて議論を行っていく必要があるとの認識が生まれてきています。

——前編ではオンラインゲーム「フォートナイト」の問題にも触れられました。日本にもゲーム会社は多数あり、世界的にも人気があります。そのため、やはりゲーム業界に属する企業は、データ保護規制、あるいはダークパターン規制の動向に対する関心が特に高まっているのでしょうか。

非常に関心は高いとの実感です。前編でも少し触れましたが、米国には、古くからCOPPA（The Children’s Online Privacy Protection Act：児童オンラインプライバシー保護法）という連邦法があります。これは子どものオンライン個人情報を保護者の管理下で安全に保つよう定めたもので、13歳未満の子どもの個人情報をオンラインで収集などする際は、保護者の検証可能な同意が必要とされています。このCOPPA自体は日本でも有名であり、一定の対応を考えているかと思いますが、英国のチルドレンズ・コードのような新しい動きについての対応はまだ完全ではないように見えます。今後はこのあたりの対応も進んでいくことが予想されます。

また、近年よく耳にするようになったダークパターンですが、日本においてはそれそのものにフォーカスした特別な法律などはないものの、グローバルに問題視され、批判されているこのような手法を使うわけにはいかないという意識が企業にはすでにあると思います。日本の個人情報保護法には、データの不適正取得や不適正利用が禁止されており、ダークパターンにあたるようなものは、これらの条文を使って規制されていくことも考えられます。

グローバルな共通対応を定めたうえで、個々の国に対する処置を

――多くの日本企業は様々な国と取引をしています。各国においてデータ保護規制に関する目まぐるしい動きがあるなか、日本企業が効率的な対応を実現するにはどうすべきですか。

従前は、GDPR用、CCPA用といった形で、プライバシーポリシーを個別に整備していくことが多かったのですが、各国で様々な規制が生まれていくなか、対応しなければいけない国が多い企業については、それでは対応しきれないということが判明してきました。そのため、グローバルポリシーとして共通項を見付け出し効率的に対応しないと管理できない、そういった考え方に基づいて対応をする企業が増えてきました。例えば多くの規制があるなか、グローバルと認められるポイントを共通項として定め、そこではカバーできない各国対応についてはそれぞれの国に応じて別紙を付けることで対応するという手法をとっている企業は多いと考えます。海外にも重要拠点がある、重要市場がある、この国は特に法規制が厳しく執行も活発である、行われているデータ処理の内容などの考慮要素を踏まえて、優先順位を付けながら、どの国について別紙を作るかを決めていくことになります。

各国ごとにそれぞれの規制があると完璧なポリシーの整備を一気に目指すことはなかなか難しい面もあるため、まずは共通部分のポリシーを作り、別紙については、重要なものから順次アップデートをしていくという方法も考えられます。日本企業にありがちな完璧主義を捨て、目標を少し下げて一歩ずつ積み重ねていくことも大事といえます。それでもゼロ対策よりはよほどいいですし、リスクヘッジにもなると考えます。

平時と有事、それぞれに必要な対策ポイント

――各種規制対策として、日本企業が最低限やっておくべきことはありますか。

まず、平時においてプライバシーポリシーをしっかりと作っておくことが重要です。その作業を行うことで、新たな課題も見えてくるでしょう。プライバシーポリシー上では、自社のデータ処理がどうなっているかを説明することになりますから、きちんと現状を踏まえたプライバシーポリシーにするためには、現状の調査も必要になるでしょう。

また、プライバシーポリシーを定めた以上は、企業としてはこれを守らなければならず、これを守るためには、グローバルなデータ移転を進めるための契約の整備をしたり、その他の必要な内部規程やマニュアルなども整備したりして、これを守る必要が生じてきます。形式的にプライバシーポリシーだけ立派なものを作っても意味は無く、それを守るような体制を作っていく必要があります。

――グループ間でグローバルにデータ移転を行う場合の契約はどのように作るのが一般的なのでしょうか。

Intra-Group Data Transfer Agreement（IGDTA）と呼ばれるグループ間のデータ移転契約を各グループ企業と締結する例が多いです。前回お話しした、GDPRのSCCや中国の標準契約のように使うべきフォーマットが決まっている国もありますが、そうではない国も多いです。各国でグローバルスタンダードとして守るべき統一的ルールを合意しておくことで、日本法を含めた移転規制対応を行うことを目指すのがIGDTAです。そして、GDPRのSCCや中国の標準契約のような各国独自の契約はこうした共通ルールの特則として別添しておき、それぞれの法律が及ぶデータ移転では、共通ルールに優先させてこれらの特則が適用されるような建て付けにしておくことが一般的です。

ただし、プライバシーポリシーに移転の内容を説明したうえでIGDTAを結んでこれを守れば、全ての国で移転ができる訳ではなく、これに加えて、同意を得たり、所定の評価を行ったり、政府への届出をしたり許可を受けたりする必要がある場合もありますので、注意が必要です。

――「何か」が起きたときに備え、インシデントマニュアルも作成した方がいいでしょうか。

そうですね。特にグローバルビジネスを行なっていると、インシデントが起きたときにかなりの混乱が生じます。当該各国当局への報告などに関するフローを作り、他国で問題が生じたことに日本の本社が気付いていない、そんな事態を避けるべきです。そういったインシデントの検知はきちんとできるようにしておかなければなりませんし、場合によっては世界的なデータ漏洩などについて知見を持つ外部弁護士などを選定しておくのも役立ちます。インシデント発生時には〇〇時間以内に当局へ報告するといった決まりがあることも多いので、ある意味時間との戦いにもなります。ですからあらかじめ緊急時のフローを整えておくことは重要です。

――企業全体が俯瞰して状況を見て、足並みを揃えながら対応していく必要がありますね。

そのためにも、あらかじめシミュレーションができていると有利です。フローやマニュアルがあっても、活用できなければ無いのと一緒になってしまいます。ですから、インシデント研修とシミュレーションをセットにして準備しておくとやや安心でしょう。ただその際は、スタート時から完璧な動きがとれるとも思えませんから、トライ・アンド・エラーを繰り返し、アップデートしていくことが大切になります。

ありがちなのは企業が縦割りとなっており、インシデント発生時にセキュリティ部門は問題を把握していても、法務部門が把握していないという状態です。これを防ぐには、法務や技術部門、場合によっては経営者も含めた関係者のメーリングリストなどを作り、どこかで情報がストップしてしまわないようにすることです。

――地震など自然災害に対する備えと同様ですね。

いつ何が起こるかわからないという点では一緒でしょう。ですから防災訓練をするように、インシデント発生時の訓練もしておくことが有益です。その方が、断然スムーズに物事が動くはずです。

小さな目標を段階的に掲げ、一歩一歩足元を固めていく姿勢で

――最後に、企業が持つべき心構えなどがあれば教えてください。

高すぎる目標は掲げず、少しでも前進できる方法を採用するといった発想を持つといいでしょう。最終的には高い目標に到達することはもちろん大切ですが、そこにこだわるあまりに、今はここまでは、お金も人も時間も足りないので、とても無理だと諦めてしまうのはもったいないと思います。グローバルビジネスを展開する企業には、個人情報に特化した部署があり複数名の専任スタッフがいるような企業もありますが、数少ない法務・総務担当者が様々な業務を抱えるなかで、グローバルな個人情報保護規制対応にも取り組まなければいけない企業もあります。そのような場合、情報収集を全て自社で行うことも現実的ではない場合も多いと思いますので、グローバルデータ保護規制に詳しい専門家の力も借りて、優先的に対応すべき国とTo Doを洗い出していくのが良いでしょう。完璧を目指しすぎず、まず走り出す方が良いと思います。小さな目標を重ねて、最終的な目標にたどり着くよう考えていくのが良いと考えます。

データ保護規制に関しては、世界的にもどんどん厳しくなっていくと予想されます。同時に、国ごとにその内容も細分化されていくでしょう。これはもうおそらく変わらないであろうといえる潮流であり、グローバルビジネスに携わるなら、それを避けて通ることはできないと考えた方が良いでしょう。

――昨今は、規模に関わらず世界と繋がっている企業が多いですから、グローバルな視点は欠かせないということですね。

データ保護規則だけでなく、様々な規制が存在する今ですから、グローバルな統一対応という点に関しては悩まれる企業も多いです。グループ会社が国内外に複数ある、数社が統合して一企業となった、M＆Aが実施されたなど、企業によって状況はいろいろでしょう。繰り返しになりますが、だからこそ全てを一気に進めることは難しいところがあります。なんにせよ優先順位を付けながら、やれるところからやっていくという姿勢が有益であると考えます。