摘発事例から学ぶ教訓と現実的対策（2019年11月11日 東京）

英国のデータ保護監督機関は、2019年7月にブリティッシュ・エアウェイズ（BA）に対し1億8,339万ポンド（約250億円）、マリオットインターナショナル（MA）に対し9,920万ポンド（約135億円）の制裁金を課す意向を示しました。また、BAに対しては既に英国での集団訴訟に向けた準備が始まっており、被害を受けた各データ主体への損害賠償や和解金が制裁金を超える可能性があります。
BA事案とMA事案を比較すると、BA事案の制裁金が減額されなかった理由として、①古いECサイトパッケージを使い続けセキュリティホールが放置されていた、②クレジット情報を保持していた、③クレジットカード情報を暗号化していなかったため二次被害を引き起こした、④Security Operation Center (SOC)の未導入により自らが侵入に付かなかったことなど、BA内のITセキュリティ対策が不十分であったことが大きいようです。これらが適切なレベルで対応されていれば、MA事案同様、100億円以上の制裁金の減額ができたのではとも言われています。この教訓から、巨額な制裁金や損害賠償からのリスク軽減のため、ITセキュリティ面の体制構築は必要不可欠になってきていると言われています。

また、MA事案は、MA自身の問題ではなく、買収した企業側のITセキュリティ体制の脆弱性に問題がありました。もし買収時のデューデリジェンス（DD）でこの脆弱性について事前に把握できていれば、このような事態を回避できた可能性があります。また、DDによる発見事項により、買収額を低く抑えたり、脆弱性が改善されるまで買収自体を延期するという判断ができたかもしれません。今後はM&A時のDD実施の際、GDPRや中国、米国カリフォルニア州といった各国のプライバシー保護規制も勘案して、法務・コンプライアンス領域だけでなくITセキュリティ領域についても、深度のあるDDを行う必要があります。MA事案からの学びとして、適切なDDは、バリュエーション（企業・事業の価値評価）目的だけでなく、自社をプロテクトし、もしもの場合に監督機関への抗弁材料にもなりうることから、不可欠なプロセスとなっていると言えます。

M&A時のDDの留意事項として、①秘匿性の確保、②独立性の維持及びコンフリクト（利益相反）の排除、③構造化・非構造化データ対応を含めたITセキュリティ領域の対応、④データローカリゼーションへの配慮（例：中国）、⑤事実確認及び分析（調査結果に基づく保証・意見表明の排除）にも配慮する必要があります。
具体的にDDの流れに沿って説明すると、まず基本合意へ進める段階では、初期DDとして、社内体制（個人データの処理の状況、プライバシー保護対応状況など）の現状把握、データの流れ（データの取得から保管体制、第三者提供先）の現状把握、適用法令の確認作業をしていきます。次に最終合意へ進める段階では、詳細DDとして、データマッピングやデータフローの整備状況を確認し、ITセキュリティ体制と運用状況間のギャップを分析し、コンプライアンス違反になり得るリスクの把握と評価を行っていきます。さらに、クロージングや経営統合の段階では、追加DDとして、表明保証違反リスクの特定や脆弱性診断、ペネトレーションテストなどを必要に応じて行っていく場合もあります。その後、IT領域の可視化や、課題対応の優先順位付け、最適化プランの策定といったプライバシー保護体制の統合を支援していくことも必要になるでしょう。

法務DDには法律事務所、財務DDには監査法人といった各分野の専門家が担当することが多いように、プライバシー保護規制対応DD の対象領域を考えれば、ITセキュリティの専門性や技術力、GDPR実務の経験値が今後必要になってくるようです。

個人データ侵害時に監督機関や取締当局などによる調査が始まった場合、対象企業に対して必ず聞かれる質問は「関連するドキュメントを見せて欲しい」です。この関連するドキュメントには、①企業側がこれまでに実施してきた平時の予防対策や②侵害直後に企業側が実施した初期対応の裏付けとなる文書類が含まれ、対応が妥当であったことを説明できるレベルにある必要があります。最近のブリティッシュ・エアウェイズへの被害者による集団訴訟の動向や今後のe-Discovery対応（米国民事訴訟手続）なども勘案すると、「説明責任が果たせるレベルの文書化」は、個人データ侵害対応時の非常に重要なポイントと言えます。
それ以外にも：

• 迅速・適切な初期対応
• リスクベース・アプローチ
• 受け身の対応ではなく、プロアクティブな対応
• 有事は起きるかもではなく、いつか起きるものとして平時から社内体制を構築するべき

といったものがあります。特に「迅速・適切な初期対応」については、GDPR適用国での個人データの侵害事象が発生した場合、監督機関への72時間以内の報告義務があることから、取り急ぎ監督機関に報告している日本企業もあるようです。但し、B to Cビジネスの場合は特にそうですが、個人データ侵害の通報が、実は愉快犯や誤情報によるものであったケースも散見されています。また、侵害事象の発生要因として、ITシステム上のエラーやヒューマン・エラーだけでなく、外部による不正（例：ハッキング）や内部不正などが多いこともあり、初期調査時の正確な事実確認・自己評価が、その後の対応方針決定の際に重要になってきます。また、不正行為の可能性がある場合、初期調査時には、秘匿性保持、短期集中、内部・外部通報者保護といった特別な配慮も必要になってきます。
具体的に、個人データ侵害時の対応フローはどのようなものか、以下の全体像をご参照下さい：

クリックで拡大

これまでのGDPR実務や有事対応の経験を踏まえて、日本企業が個人データ侵害に備えて最低限行うべきことは以下のようなものがあるかと思われます：

①経営陣に個人データ侵害の経営リスクを正しく理解してもらい、本社主導で対策を行う
②迅速・適切な初期対応に最低限必要な社内体制・プロセスの事前構築
③選任義務がある場合、独立性を保持し、コンフリクトのない、信頼できるData Protection Officer（DPO）もしくはEU代理人のアサイン
④監督機関から許容されるレベルの30条処理記録・関連ドキュメント類の作成
⑤GDPR実務、コンプライアンス領域、ITセキュリティ領域に精通した専門家の有効活用

「迅速・適切な初期対応」実現に向けて、実効性のある簡素化された社内体制構築が求められており、ベストではなくベターなレベルを目標とする日本企業が多いなか、①当局の取締動向、②他社の対応状況、③訴訟リスクに関する正確な情報を常時収集することは、的確な経営判断をする上でも必要不可欠となってきているようです。

EUでは、e-privacy directiveとGDPR、また各国法が、企業が商業目的で運営するWebサイトやモバイルアプリで利用するCookieなどのトラッキングテクノロジーについて規制を行っており、英国、フランス、スペインは、その運用方針についてガイドラインを公表しています。これらのガイドラインでは、利用者が閲覧を続けた場合に黙示の同意があったとみなすこと（「暗黙の了解」）はもはや許されず、利用者からの自由な（取引条件ではなく）曖昧でない、積極的な行為（例えばクリックなど）による同意を取得する必要があり、同意を受けるまでCookieなどを設定してはならない（「zero-cookie-load」）ことが明らかにされています。また、利用規約などによる包括的同意はできないこと、ネット広告代理店が発行するサードパーティCookieなどを利用する場合には、その責任主体の明示といったことも示されています。

ドイツでも、4月に「遠隔メディアサービス提供者のためのガイダンス」が公表され、①Cookie利用についてオプトアウトでは不十分でありオプトインにする必要がある、②Cookieバナーで全てのデータ処理及び関係する責任主体を説明する必要がある（すなわち、ネット上の広告代理店などのサードパーティCookieを明示する）、③同意選択オプションをあらかじめ有効化してはならない、④Cookieバナーが表示されている間、データを取得する全てのスクリプトが無効になっていなければならない、ということが示されています。
また、EU主要国は、来年以降Cookieに関する規制の監督を強化する旨を表明しています。これまでCookie規制違反による制裁がネット広告代理店に対し行われていますが、この9月にはスペインの航空会社に対し制裁がなされており、これから一般事業法人に対しての取締りが本格化するでしょう。日本企業も、取締りの対象とならないように対応する必要があります。 さらに、米国のカリフォルニア州消費者プライバシー法（CCPA）では、情報提供義務やCookieなどをネット広告代理店と共有する場合のオプトアウト対応義務といった規制が、中国のサイバーセキュリティー法のガイドラインではターゲティング広告やパーソナライズされたコンテンツの明示やオプトアウト対応義務といった規制があります。また、シンガポール、ブラジル、メキシコ、インド、タイ、日本などでもCookie規制が既に実施、または規制の動きがあります。各国の規制は、EUと同じ点もあれば、異なる点もあります。日本企業も適用される国の規制内容に合わせ、Cookieなどに関する実装を行い、取締りの対象とならないように対応する必要があります。