後編：法的論点の整理と、日系進出企業の課題解決を中心に (2019年1月31日 大阪)

海外拠点へのガバナンス強化時の留意点

宮岡 日本本社による中国を含めた海外拠点へのガバナンス強化時の留意点ということで、中国、欧州、アメリカなど各国拠点で何をベンチマーク（基準）にして、日本本社からガバナンスを効かせれば良いのかというお問い合わせをいただきます。コンプライアンス監査の目的で海外拠点を訪問した際に、現地法人社長にヒアリングする機会が何度かありましたが、概ね皆さん「本社規定に準じて現地対応もできています」という回答をされます。一方で、“現地対応が適切にできていること”を裏付けるドキュメンテーション（文書化）が揃っている企業は少ないようです。企業の説明責任という観点から、取締当局側にはドキュメンテーションが完了して初めて適切に対応できていると見なされる傾向があるようです。
日本本社として今後どういう取り組みをすべきか、GDPRの経験も踏まえてお聞かせいただけますか。

黒田弁護士 この1、2年GDPRを主に担当していますが、その中では欧州よりも、中国、東南アジアに拠点が多いという企業の本社から、現地が何をやっているのか分からない状況の際に、どうすればよいか相談を受けるケースがあります。
基本的には、子会社管理をトータルでどうするかという問題と考えていただくとわかりやすいと思います。特に、子会社の成り立ちの影響も大きく、駐在員事務所から始まり日本からずっと歴史的にグリップが効いているケースであれば、管理の観点からは問題は少ないのですが、逆のパターンとしては買収した会社です。例えば多角的なビジネスをされている企業の場合、どの会社を買収するのかの判断を事業部が主導し、買収した会社に関しても当然事業部がコントロールしています。従って、本社の管理部門はそういう会社があることは把握していても実際何をしているか分らないということがあります。こうした場合には、結局は管理部門としてどこまでリソースを費やすかによって、どのような対応ができるかが変わります。そういう意味で申し上げたいのは、個人情報やITセキュリティの問題だけでこれまでの状況を突破するというのは難しく、一般的な子会社管理の全体的な方針を会社としてどう考えるかという問題と捉えていただいた方が良いと思います。
もう1点GDPRの場合でもよくあるのですが、日本サイドで規程は作っていても、それが実務的に守られているかの確認を誰もしてないというのが多くの日本企業の現状です。リソースの問題はどうしても出てくるので、最低限の対応に留める、ということもやむを得ないところだと我々も考えていますが、なかには海外拠点のモニタリングを詳細に行いたいと依頼いただくケースもあります。

宮岡 いろいろと考慮することは多そうですが、優先順位付けがポイントになるのかと思いますがいかがでしょうか。

黒田弁護士 優先順位は2つの観点でお伝えしています。1点目は法的リスクが高い国。例えば中国、ヨーロッパ以外では、ロシア、直近では不確定要素が大きなベトナムです。これらの国に拠点があるかどうかというところになります。
2点目は事業規模です。これは結構大きな話で、GDPR対応のときにも経験しました。例えば、ヨーロッパの拠点は従業員数人でビジネス規模が小さい企業と、中国で製造拠点や開発拠点があるという場合ですと、やはり中国の方は対応しないという選択肢は無いだろうと考えます。日本企業の場合、プレゼンスという点では、どうしてもヨーロッパより中国を中心とするアジア圏の方がプレゼンスの高いケースが多いので、そういったところを中心に先ず見ていくということになるとお伝えをしています。

宮岡 小川さんの方で何かガバナンスについてコメントいただけますでしょうか。

小川 黒田先生の方で買収した企業の例がでましたが、私はIIJが買収した欧州の子会社のガバナンス強化に携わった経験があります。当初は現地の経営陣に任せる形でブランド統合などを行っていきましたが、黒田先生のお話の通り、先ずITシステム、財務会計システムが違いますし、数字の管理方法など色々違っています。営業のやり方や、英国法・EU法対応などについても実態がなかなか見えない部分がありました。最終的には私が実際に欧州の子会社に行く形で約3年をかけて整理を行いました。黒田先生のおっしゃるとおりリソースの問題はありますが、本気でそこで事業を行うのなら私は人を送り込むべきだと思います。そうしないとグリップが効かないし、グリップが効かないということは、リスクがそこに残るということなのだろうと思います。特に法務、もしくはコンプライアンス部門の方には現地に行かれることを本当にお勧めしたいと思います。

宮岡 「日本本社として包括的にグローバル対応・海外子会社管理をしたい」というお問合せが多いこともあり、「世界のプライバシー保護法制の最新動向」 に関するレポートを4月1日からIIJで提供することになりました。作成にあたり、「どこの国のプライバシー保護法制をレポートでカバーしてもらいたいか」という質問をしたところ、新興国のプライバシー保護法制への関心が非常に高いことが分かりました。この結果も踏まえてコメントいただけますか。

小川 アンケート結果ですが、一番関心が高かったのが中国でした。これは明らかに進出している企業数が圧倒的に多いことも関係していると思います。次がアメリカとインド、ベトナム、シンガポール、あとブラジルとロシアです。
アメリカはご承知の通りで、カリフォルニア州消費者プライバシー法というものが、最も遅くて2020年の7月に施行されますので、ここを皆さん気にされている。それからベトナムも進出している日本企業が多いのですが、中国と似通っているところがあり、国外に個人データを持ち出す場合にはベトナム国内にも個人データをストアしておきなさいと、国が国を守るために個人データをいつでも見られるようにしたいという背景があります。
中国も国内にシステムを持たないといけないケースが多いかとは思いますが、要は自国の法的権限の管轄域のなかにデータを置くというところです。同様なことはロシアでもあります。また、ブラジルやメキシコは自動車系の製造業が多いと思いますが、ブラジルは2020年の2月中旬あたりにGDPRとほぼ同じ法律が施行されます。あと1年なのでブラジルに進出されている日本企業からIIJにもお問い合わせいただいていますが、ほとんどの企業はGDPR対応をほぼ終えているので、レプリケーションするのは難しくないと思います。全体的な傾向としてはデータを囲い込む方向に進んでいる国と、逆に自由に流通させましょうという方向と両方あると思います。