国内外における相次ぐ個人情報保護規制の整備・強化を受け、自社事業の特性を踏まえた対応に苦慮する法務担当は少なくない。
そこで、この分野に精通し、2019年には「企業が選ぶ弁護士ランキング」第１位に選出された影島広泰弁護士をファシリテーターに迎え、業種・取り扱う個人情報の量・程度も異なる3社の法務部員に、実務で抱える悩みから今後社内で担うべき法務部員の役割までをざっくばらんに語っていただいた。

はじめに―個人情報“管理”体制と現在の課題意識

影島弁護士　まず、各社の体制面の特徴と課題意識をうかがいたいと思います。

中路氏　私どもは日本屈指の会員基盤を有し、相当量の個人情報を収集・保有する企業グループなので、監督官庁・消費者の高い関心を集めているというのは日々意識しています。たとえば、新規事業の立上げ時は、法務（法規制に照らした検討）に始まり、リスク管理（事業フロー上の分析）を経て、システム（技術面の問題整理）、広報（IR対応）等の管理部門が連携した体制を構築しています。
「個人情報保護法（以下「同法」）に定める“要配慮個人情報（機微情報）”は取得しない」という方針に従い、情報資産の取得・保有の可否は厳格に判断するようにしていますね。

林氏　弊社はB to Bのシステム開発企業なので、特定の事業を除いて個人情報を取り扱う機会は少ないものの、B to C事業における利用者の視点をもって自社事業と向き合っています。
ただ、開発現場では「当社は個人情報保護とは縁がない」というイメージを持ってしまっている従業員も少なからずいるのではないかと考えており、危機管理意識の浸透も課題と感じているところです。

影島弁護士　たしかに、「弊社はB to Bなのでそこまで関係ないんですよね」とおっしゃる方もいらっしゃいます（笑）。まずちゃんと認識いただくことですよね。

影島 広泰 弁護士

伊達氏　当社の場合、お二人とは違って、やや情報セキュリティに関わる問題意識となりますが、個人情報の出入りを管理部門で網羅的に確認する難しさですかね。ですので、グループ会社や業務委託先の定期監査による実態調査は重要だと考えています。

個人情報の“利活用”の場面で立ちはだかる問題とは

影島弁護士　実際、個人情報の利活用を図る場面では、どのような課題を感じますか？

中路氏　グループ各社に事業部門・会員基盤が存在するため、特に組織変更や事業再編（統合）に伴ってデータを共有する場合、同法の“共同利用”と”第三者提供”のどちらに該当するかが大きな論点になります。
また、海外向けウェブサービス事業における邦人データの取扱いや個人単位での物品輸入を行うECサイトの管理・運営時における海外取引先の規制遵守、長期間運営するウェブサービスにおいて個人情報の同意取得に不備のある期間が発見されたり、取得目的に期間ごとの差異が生じたりする場合におけるサービス統合時の会員別対応の要否などが挙げられますね。

影島弁護士　オンラインでなく、実店舗で契約して個人情報を提供された利用者については、事後的に同意をとることが難しいという点が課題となりますよね。

中路氏　その点は、「個人データのオンライン登録をもって全サービスを利用可能とする」などの手法が可能ですし、新型コロナ対応を機にIT文化が浸透することで徐々に解消すると思います。一方、クリック動作一つがサービス利用率に多大な影響を及ぼすことから、法律的観点に加え、こうした実務面での解決策の検討も大切です。

中路 星児 氏

林氏　当社にも上海に子会社がありますが、当社に限らず、グループ会社内において、案件対応の過程で知らず知らずのうちに個人情報が提供されてしまうこともあるのではないかと考えています。
また、取引先からGDPRやCCPA対応を要求される場合、どこまで対応可能かの検討が不十分なまま契約を締結する事例も散見されるため、今後も注意が必要です。

伊達氏　従前の会社で内部監査を兼務していましたが、実査先の個人情報や秘密情報を扱うデータセンター等の建物・設備自体や、その建物等内におけるユーザーや従業員の入退室管理が完璧であっても、外部業者の入退室管理は不十分な面も見受けられました。個人情報等を扱う業務を委託する際には、委託先選定にも注意が必要になります。

海外法規対応は予算・人員を踏まえたリスクベース対応がカギ

影島弁護士　各国の法規制が厳しくなり、規制内容も国ごとに多様化するにつれ、海外での統一的な規制対応が難しくなっています。したがって、各国法が域外適用されるのか、各当局が違反発生時にどこまで執行してくるのかという観点を踏まえて、リスクベースで対応する必要があるように思います。
みなさんは関連法規の検討・理解をどのような基準で進めていらっしゃいますか？

中路氏　当局の法執行および罰則適用の可能性を冷静に判断する過程は、現地子会社を設立し事業化する段階では必須でしょう。一方、テスト段階で現地の法律事務所に調査を逐一依頼するのはスタートアップとして予算超過のおそれがあるので、本社法務がリスクベースで見極めるほかないと思います。

伊達氏　そうですよね。ただ、現地での事前の法令調査にも限界があります。
一つの問題として、たとえば、海外の現地子会社に、同国の個人情報を取得することになる業務を依頼するような場合、実際に確認するか否かは別として、その個人情報が同国から日本へ越境することの適法性または違法性を十分に検討しなければなりません。

中路氏　それと、技術的な問題も避けて通れません。たとえば、サーバーを第三国に置く場合、セキュリティ上の退避策（データ上のリスク分散）が法規制を理由に難しくなる（リーガル・リスクに転化する）危機感を持っています。

林氏　国外にデータセンターを置いた場合、国内法で処理できなかったり、約款の免責条項による不利益が発生するなどのリスクあります。このため、マイナンバー管理が必要になった頃は、マイクロソフト社のAzureなど、日本のデータセンターを選択できるサービスが選ばれる傾向にありました。
米国の大手IT企業も、各社の方針に基づいてそれぞれサーバーの設置先を定めており、私が知る企業の中にも、規制リスクに鑑み越境移転とならないように各国内部のクラウドで完結させるケースがあります。
中国の場合、国内の研究開発保護目的のデータ移転規制やら個人情報の越境移転の厳しい規制があったこともあり、日中間のデータセンターを回線でつなぐことでデータのやり取りは可能としつつも、データの保有・管理は各国で行うような企業もあります。
データセンターの設置場所の仕組みを工夫し、域内で管理できる余地はあるはずです。

林 基樹 氏

影島弁護士　Region（法域）ごとの規制趣旨を理解した上で問題解決を図ることも必要ですね。
令和2（2020）年の個人情報保護法改正を見る限り、日本は（外国への情報移転に規制をかけつつも自由な情報流通は否定しない）GDPR型の規制を指向するように見受けられます。一方で、今後各国が執行協力して競争法に似た域外適用・罰則運用を始めたら、重大なリスクになりえます。

中路氏　他の点でも、たとえば地震発生時における海外へのサーバー移転の可否検討は必要でしょう。ただ、いざ移転先でデータセンターを再構築するとなれば膨大な業務・コストが生じるので、グローバル事業の成長の阻害要因になる気がして、難しいところです。

海外法規やIT・技術分野に通じた法務人材の確保・育成が急務

影島弁護士　今後の個人情報の取扱いについて法務部員がどう取り組むべきか。また、新たに生じそうな課題について展望をお聞かせください。

伊達氏　やはり海外規制の理解が主たる課題になります。一つの案件で複数国の関連法規を調べることが当たり前の世界ですから、取扱可能な国はどの国なのか、つまり、どの国において事業として進めてよいかの見極めを適切にアドバイスできるかが、今後の法務部としての、大きな課題になると思われます。

伊達 裕成 氏

林氏　セキュリティ担当者で構成する日本シーサート協議会（一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会）が提供するトレーニング（TRANSITS）で法制度分野の講師役を務めていますが、情報システム部門が法務部を早い段階から巻き込むことの重要性を会員各社に呼びかけています。
システム・IT分野の理解なくして社内体制の整備はできず、とりわけマイナンバー制度開始にかかる“安全管理措置”導入時は如実に表れた印象があります。当時は影島弁護士に大変お世話になりました（笑）。

中路氏　これからはIT・事業部門の知見に精通した法務人材は必須であると強く感じるようになりました。部下育成の際にも留意しています。社会・サービスの情報化が加速する中、事業上・技術上の課題の理解を前提とした体制構築や事業判断ができなければ、法務として会社として生き残るのは難しい。
また、保護規制の内容が、利用者にITサービスを提供する上で最低限の制限を過剰に上回り、企業の事業展開を圧迫しないために、現場を熟知する我々法務・IT担当による当局への働きかけも一案だと考えています。

影島弁護士　法規制の見直しにあたり、利用者の権利保護のみならず、サービス提供者側の声も反映する必要性は高いと私も感じます。また、法務と技術分野の融合を果たした企業が競争の先端を走る印象があります。
関連する管理部門の連携と海外法規へのアクセス性向上は、引き続き最優先課題として、私もお手伝いしていきたいと思っています。