M&Aでの個人情報・データ保護に対する関心高まる

M&Aにおけるデータプライバシー・デュー・ディリジェンスの重要性
　～GDPRにおける多額の制裁金事例もふまえて

 

西村あさひ法律事務所
河合 優子

1. はじめに

　日本の改正個人情報保護法が2017年5月に全面施行されてから、2年半が過ぎた。2019年11月には「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱（骨子）」が公表され、今後、個人の権利の拡大、一定類型の漏洩事案における通知・報告の義務化、仮名化情報の創設、域外適用の範囲の拡大等が見込まれる。また、2019年7月には改正不正競争防止法が施行されて、「限定提供データ」の概念が導入されて、当該データの不正取得・不正使用等に対する民事上の救済措置(差止請求権等)が設けられた。

　国外に目を向ければ、欧州におけるGDPR(General Data Protection Regulation)、米国カリフォルニア州におけるCCPA(California Consumer Privacy Act、2020年1月に施行予定)等、企業が遵守すべき個人情報/データ保護規制の存在感が増している。

　一方で、個人情報やデータの漏洩・不正利用に関する公表事案は、枚挙にいとまがない。現行の個人情報保護法に基づく罰金が科された例は現在のところ見当たらないが(なお、指導や勧告の事案は存在する)、GDPRの下では、近時、過去のデータ漏洩に関して多額の制裁金が課される例が立て続けに公表されている。

　とりわけ、合併・買収等(M&A)との関係では、2019年7月、英国当局(Information Commissioner's Office。以下｢ICO｣という)がMarriott International, Inc.(以下｢Marriott社｣という)に対してGDPRに基づき約135億円の制裁金を課すと発表した事案が特に注目される。ICOによれば、Starwoodホテルグループのシステムは、2014年のシステム侵害によりデータ脆弱性が生じていたにもかかわらず、Marriott社は2016年のStarwood買収時にこの点を認識せず、2018年になってから3億件以上の顧客情報の流出等を認識したとされる。つまり、Marriott社は、買収対象会社において買収前から発生していたデータ脆弱性の問題について、買収後に、GDPR違反の責任を問われたのである。

　ICOは、Marriott社がStarwoodを買収する際に十分なデュー・ディリジェンスを行っていなかったこと、また、Marriott社はシステムの安全性を確保するためにより多くの措置を講じるべきであった旨指摘している。また、ICOのコミッショナーのコメントからは、企業買収の際には適切なデュー・ディリジェンスを行うべきこと、また、その際には、対象会社が取得した個人情報の内容だけでなく、保護態様も評価するような適切な責任措置を講じるべき旨考えられていることがうかがえる。

　このように、個人情報/データ保護関連規制を遵守することの重要性が増している現在、日本企業がM&Aを行うにあたっては、法的監査(いわゆるデュー・ディリジェンス。以下｢DD｣という)において、対象会社の個人情報/データ保護関連規制の遵守状況を確認すること、すなわち適切なデータプライバシーDDを実施することが欠かせない。それに加えて、M&Aのプロセス自体を個人情報/データ保護関連規制に整合させることや、M&A実行後のデータ利活用を見据えた事前検討を行うことも重要である。

　以下では、M&A及び個人情報/データ保護の両分野における実務に照らして、日本企業がM&Aを行う場合の個人情報/データ保護に関する主要な留意点を概観する。

2. M&Aのプロセスと個人情報・データ保護

　M&Aに際して行われるDDでは、開示資料の中に、対象会社における雇用関連契約の写しや、顧客担当者の連絡先や具体的な取引内容を示す書類が含まれる場合がある。また、M&A契約の交渉に際しては、重要な役職員の氏名や報酬・インセンティブの条件等、個人に関する情報がやりとりされる場合がある。これらの情報のやりとりは、当該M&Aの検討に当たって当事者が締結する秘密保持契約の遵守や、個人のプライバシーの確保、営業秘密の保持といった要請に加え、個人情報/データ保護に関する規制にも服し得る。

　日本の個人情報保護法であれば、｢個人データ｣、即ち、個人情報データベース等(個人情報を含む情報の集合物であって検索が可能なように体系的に構成されたもの)を構成する個々の情報を個人情報取扱事業者が第三者に提供する場合には、原則としてデータ主体(本人)の同意が必要であるが(同法23条1項)、合併、分割あるいは事業譲渡といった事業承継型のM&Aにおいては、その実行前の段階であるDDや契約交渉の場合も含めて、同法23条5項2号に定める例外に該当すると解されているため、対象会社は、データ主体の同意を得ることなく買収者側に個人データを提供することができる。もっとも、DDや契約交渉には未だ準備的・流動的な側面があり、買収者側に安全管理義務を遵守させるため、①当該データの利用目的及び取扱方法、②漏洩等が発生した場合の措置、③承継の交渉が不調となった場合の措置等を契約で定めておく必要がある(個人情報の保護に関する法律ガイドライン(通則編)参照)。実務的には、上記の秘密保持契約にこれらの事項を網羅した条項を含めることで手当てをすることが多い。

　他方、株式譲渡のような非事業承継型のM&Aにおいては、上記のような例外規定がないため、現行の個人情報保護法の下では、対象会社が買収者側や株主に対して個人データを提供することは慎重にならざるを得ない。M&Aの実施検討は極秘で進められることが多いため、一般的には、DDや契約交渉の段階では、｢個人データ｣に該当しない情報をやりとりするに止めることが実務的な方策と考えられる。

　以上に加えて、クロスボーダーM&Aにおいては海外の法制度にも注意が必要となる。従って、あるデータを日本の買収者側に提供することが対象会社所在国の法に抵触していないか等を確認し、必要な手当てを講じなければならない。

3. データプライバシーDDの実施

　(1) 適用法令等の把握

　データプライバシーDDにおいては、まず、対象会社及びそのグループ会社に適用されるデータ関連法令を把握する必要がある。

　例えば、日本の個人情報保護法との関係では、業種により遵守すべきガイドラインが異なり得るし、対象会社が越境データ移転を行っていれば、越境データ移転規制に服する可能性がある。また、対象会社が日本法人であっても、例えば、EEA(EU加盟国、アイスランド、リヒテンシュタイン及びノルウェーを指す)域内の個人を対象とするBtoCビジネスを行っている場合には、GDPRが直接適用され得るし、米国の子会社がカリフォルニア州でビジネスを行っている場合、当該子会社だけでなく対象会社自身もCCPAの適用対象となる可能性がある。また、対象会社が米国法人である場合、その業種や所在州により適用法令が異なる。

　いずれにせよ、各法令により、保護の対象となる個人情報やパーソナルデータの範囲が異なることにも注意が必要である。

　これらの適用法令等については、対象会社が完全に把握できている場合は別として、対象会社及びそのグループ会社の事業内容、事業拠点、取引商流等を把握することに伴って買収者側が把握できるようになるケースも多くみられる。

　(2) 情報の収集と確認・分析

　次に、情報を収集して、対象会社が適用法令等を遵守しているか確認するとともに、対象会社における過去のデータ漏洩等に関する責任の承継可能性等を分析すべきである。各国のリーガルアドバイザーと協働する場合には、各国の法制度が異なる場合が多いため、確認すべき視点を予めリスト化する等して標準化を図ることが効率的である。

　日本の個人情報保護法の遵守状況を確認する場合、着目すべき事項としては、一般的には以下のような事項が挙げられる。

• 取得・保有する個人情報の種類、内容
• 取得・保有する個人情報の保管場所と保管状況
• 利用目的、利用目的の通知・公表の状況、利用態様
• 安全管理措置の内容・実施状況
• 国内外の第三者へのデータ提供の状況とスキーム
• 第三者からのデータ受領の状況とスキーム
• 監督義務・記録確認義務の履行状況
• 削除・利用停止請求・苦情等への対応体制・対応状況
• 過去のデータ漏洩等の有無・内容

　また、GDPRの遵守状況を確認する場合には、対象会社によるデータマッピングの結果の開示を受けた上で、①それがGDPR30条の記録義務の要件を満たすものであるか、②処理が適法であるかを確認するとともに、③プライバシーノーティスの記載・提供が適切か、④当該記載が実態に整合しているか、そして、⑤必要十分な内容のデータ処理契約が締結されているか、⑥越境データ移転に関する規制に対応できているか、⑦GDPRを遵守し、データ漏洩やデータ主体による権利行使等に対応するためのコンプライアンス・プログラムが整備されているかといった点を確認することになる。

　また、2020年1月に施行されるCCPAの遵守状況を確認する場合であれば、少なくとも、同じく対象会社によるデータマッピングの結果の開示を受けた上で、①第三者へのデータ提供の状況と態様を確認するとともに、②プライバシーポリシーの記載が適切か、③当該記載が実態に整合しているか、④CCPAを遵守し、データ主体による権利行使等に適切に対応するためのコンプライアンス・プログラムが整備されているかといった点は確認する必要があろう。

　以上のほか、事案によっては、適用法令等を遵守しているかという点にとどまらず、M&A実行後のデータの利活用やデータ保護のあり方を具体的に見極める検討材料として、多角的な情報収集と分析が必要な場合がある。もちろん、法的な検討に加えて、情報セキュリティの水準の適切性など、技術的な観点からの確認も必要である。

　(3) リスクの評価とM&A契約への反映

　対象会社が適用法令等を遵守していない場合、そのリスクは、不遵守を理由とする罰金・制裁金や損害賠償等に止まらない。むしろ、M&A実行後速やかに遵守体制を整備する場合には、そのための人的・時間的・金銭的なコストが最も現実的なリスクとなるのではないかと思われる。

　また、データの漏洩が及ぼす影響や制裁金等の金額は膨大になり得る一方で、時間的制約の下で実施するDDにおいては、買収者側にとって、潜在的なデータ漏洩の可能性やM&A実行後のデータ利活用への支障となり得る事由を完全に把握することは難しい。

　そこで、M&A契約の交渉においては、事案に応じ、例えば次のような選択肢を検討することが考えられる。

• 個人情報/データ保護関連規制に違反している状態を解消することをM&A実行の条件とする
• 個人情報・データ保護に関連する売主側の表明保証の範囲を広く確保する
• 将来的なデータ漏洩の場合を想定した価格調整条項を設ける
• M&A実行後に追加的なデータプライバシーDDを実施する
• 個人情報/データ保護関連規制の違反に起因・関連する損害賠償の上限額や請求期間を、他の損害賠償とは別に定める(特別補償の対象とする)
• データ漏洩等、一定の場合にプットオプションの行使を可能としておく

4. M&A実行後のデータ利活用

　対象会社の保有するデータが買収者側にとって魅力的なものである事案ほど、データプライバシーDDにおいては、対象会社が単に個人情報/データ保護関連規制を遵守しているかという観点に止まらず、当該データについて、買収者側が想