【PR】企業グループの事業の死活につながる 現地法人のコンプライアンス対応


最近海外で広がる厳しいプライバシー保護規制と、それに伴う膨大な制裁金や集団訴訟等の潜在リスクを考えれば、現地法人のコンプライアンス対応の良否は、企業グループ事業の死活問題にも繋がりかねないといっても過言ではないでしょう。ここでは、現地法人と日本本社のそれぞれの観点からの悩みをとりあげ、それらに向き合う対策案をご紹介いたします。

現地は遠い

本社からすれば、現地の規則の最新情報を入手することは難しく、英語圏でなければ、その内容を把握するのもさえ不可能に近いといえます。そのため、情報源を現地法人からの報告等に頼るしかないケースは少なくないでしょう。また、情報をある程度得たとしても、次はそれに対して現地法人の対応はどこまでできているのか評価することは、本社が現地で監査をしない限り、現地法人による自己監査等で報じられた結果を信じるしかないでしょう。いうまでもなく、上記のような状況に基づき潜在リスクを正確に判断することは困難であり、適宜な対策等の方針も決定しがたいです。そして、対策を決定したとしても、それをPDCAサイクルでどのように運用するかも大きな課題となります。

リソースが少ない現地の状況

一方、現地法人の場合、本社より規模が小さく、単独で見れば、中小企業に近い組織が多いと思われます。その経営層は、限られた人材と予算で、最低限の規制準拠をどうやって実現できるかという悩ましい問題を抱えています。現地のメディアから最新情報を得られますが、それを適切に処理できる人材がいるとも限りません。いたとしても、兼業でコンプライアンスオフィサー等の役割を果たしているケースはほとんどでしょう。そういう人材は、現地の法的状況を把握した上で、それを本社に適切にかつ分かりやすくフィードバックしないといけないという、二重の負担となるタスクを遂行しなければなりません。それはガバナンスのネックの一つとなりうる要素です。

もうひとつの悩みは、現地で法的対策が明確にできたとしても、実施するための予算獲得を始め、実効への本社の承認が必要となります。承認をすぐ取得できるかどうかは、フィードバックした情報と、本社側でのその理解度に大きく左右されます。その二つの要素は、取り扱いを誤ると悪循環に陥ることにもなりかねません。

それでは、その課題を突破するにあたって何が必要かを考えるにあたり、まず具体例をみてみましょう。

ドイツでは、GDPRの前にも厳しいプライバシー法があった

前提として、現地をドイツとし、EU一般データ保護規則(以下:GDPR)対応を例にすると、ここまで抽象的に描いた日本と現地の苦戦はより理解しやすくなるでしょう。GDPR施行前に、ドイツではすでにBundesdatenschutzgesetz(連邦データ保護法)が存在し、その内容はGDPRとそれほど違いはありませんでした。例えば、BundesdatenschutzgesetzでもDPO(Data Protection Officer:データ保護責任者)を指名する義務がありました。ドイツ国内企業にとっては、その法律を準拠する必要があるのは常識でした。

ただし、Bundesdatenschutzgesetzについて日系企業の日本本社も、ドイツ国内企業と同様の認識があったかというと、疑問が残ります。その理由は、GDPRと比較した場合、(違反があったとしても)世界的に報道されることもなく、制裁金も企業グループ全体へのリスクを及ぼすまでもなかったからです。とはいえ、中小企業程度の現地法人なら決して影響が否定できない30万ユーロ(3600万円)という罰則までは課すことが可能でした。

その経緯もあり、GDPRが施行された場合、ドイツ現地法人ならどう対策するべきか、すでにある程度想像ができていた一方、多くの日本本社ではゼロから、そして短期間で対応を進めなければならないという危機感があったでしょう。その温度差の中、本社と現地法人との間で対応の進め方に誤解等が発生しやすく、対応方針が双方で共有できるまでに必要以上の時間を要することにも繋がったと考えられます。世界には、Bundesdatenschutzgesetzのように、世界的に認知度が低いにもかかわらず、違反が制裁リスクになりうる規則は他にも多く存在します。さて、それらを手軽なコストで把握し、グループ内に共有することで、物理的に離れている現地法人と日本本社の認識合わせに繋がるサービスはあるのでしょうか。

日本語で必要な情報が手に入れられる身近な相談窓口

上記の悩ましい話を踏まえ、現地法人にての日常業務にも、本社による現地法人の統括にも貢献できる情報源をご紹介させていただければと思います。

IIJ BizRisブログでは、各国の最新プライバシー保護情報を確認できるニュースを提供し、IIJ BizRisポータルでは、特定のトピックを深く知ることができるFAQを提供していますので、これらで世界のプライバシー保護の現状が把握できます。現地法人の対策を支援するための各種テンプレート等、実務に最適化したツールも提供しています。

また、お客様の事情に合わせて個別に相談できるアドバイザーリサービスも用意されています。セミナーも定期的に開催されているため、日本本社側でも現地のように様々なテーマにふれることができます。

欧州ならではの付加価値が生まれるサービスもお勧めです。DPOの指名が要求されている欧州では、現地法人社内にて適切な人材を確保することは困難である場合、IIJ DPOアウトソーシングサービスがお力になれます。このサービスでは、経験豊富な専門家がDPOを担当しており、しかもサービスチームは欧州にも日本にも拠点を持っているため、現地法人にも日本本社にも連携しやすくなっています。

それらのサービスを貴社に沿った組み合わせでうまく活用することで、プライバシー保護規制対応は、ビジネスを左右する問題から管理できる課題に変身します。

執筆:シュトゥルーべ・ライマー(ビジネスリスクコンサルティング本部)
お問い合わせ:bizrisk-enquiry@iij.ad.jp

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

IIJ DPOアウトソーシングサービス

    • 高度な専門性、言語能力、経験豊富なDPOを業務委託により提供
    • 監督機関との連絡窓口として開示可能
    • 24時間365日データ主体からの問い合わせ対応を受付し、お客様と連携

  お問い合わせはこちら

関連記事