世界中の有力法律事務所との緊密なネットワークが強み

ここ数年、世界の個人情報保護法制は法整備や改正が相次いでいる。ほとんどの企業が何らかの形で個人情報を扱い、国をまたいだボーダレスな取引が活性化する現在、各国の動きにキャッチアップすることは企業にとって必須といえるが、その対応に苦慮する向きもあるのではないだろうか。そんな企業の強い味方になるのが杉村萬国特許法律事務所だ。
もともと国際特許事務所として不動の地位を築いている同事務所。2023年で創立100周年の節目を迎えたが、その長年の歴史で培った180か国以上の現地代理人との緊密なネットワークは、他の事務所が一朝一夕には追いつけない強みである。「海外の信頼できる現地事務所と連携して、法改正や運用の最新動向をフォローしながらアクションしていかなければならない個人情報保護法対応は、知財業務との共通項が多いのです」と杉村光嗣弁護士は言う。

杉村 光嗣 弁護士・弁理士

加えて、幅広い技術分野に通じた弁護士・弁理士を多数抱えていることも、クライアントの個人情報の取扱いを支援する上で重要だという。というのも、検索履歴や移動記録をはじめ、今や個人データの取得や利活用はテクノロジーを介して行われることが非常に多いからだ。クライアントの商品やサービスで使用される技術を正確に理解し、その中で個人情報がどのように取り扱われるのかを熟知することで、関連する個人情報保護法上のリスクを察知し、解決策を示すことができるというわけだ。
わけても、寺田光邦弁護士は国内外の個人情報保護法制に深い知見を有する。欧州で一般データ保護規則（GDPR）が適用され、世界に影響を与えた2018年～2019年と、我が国の個人情報保護法が抜本的な改正に動いた2020年～2021年という重要な時期に個人情報保護委員会に籍を置き、日本とEU間の相互認証、データ流通の促進活動などに携わった。弁護士としては、のべ50以上の法域における個人情報保護法制の調査研究に携わった経験もある。

現地法律事務所との生きたネットワークを持つハブ事務所として

現地の法律事務所から生の情報を得ることの大切さは疑いようもないが、多くの企業にとっては、メジャー国ならまだしも、そうでない国では、どこの法律事務所の門戸を叩けばよいのかすら、容易には判断がつかないだろう。そこで個人情報分野に強い各国法律事務所とコネクションを有する日本の法律事務所をハブにして依頼するケースが多いのだが、その点において、杉村萬国特許法律事務所が優位性を持っているのは冒頭に記したとおりだ。
「これまでにコンタクトをとったことのない国の法律事務所を探すとき、ランク誌のトップのTierから選ぶことがあると思いますが、ランク誌での評判とのギャップを感じることもあると聞きます。ランクも大事ですが、それよりも現地法律事務所の特徴や仕事の進め方を直接見知っていること、生きたネットワークを持っていることが国際法務では一番重要だと思います」と杉村弁護士は述べる。
寺田弁護士も「現地カウンセルの現地の個人情報保護法に基づく説明に対して、企業ご担当者が日本の法制を踏まえた疑問を持っている場合などには、我々日本の弁護士が間に立って、疑問を解消するための橋渡しができます」と強調する。

読者からの質問（東南アジア各国の改正動向と対応実務）

ウェブサービス事業者が意識すべき個人情報保護法制との向き合い方

個人情報保護は、今や業種を問わずあらゆる企業が向き合うべき事項だが、とりわけウェブ上でサービスを提供する企業にとってはセンシティブな問題ではないだろうか。GDPR適用以降、いわゆるテックジャイアント企業に対する指導は各国で見られ、2023年3月、ChatGPTの機械学習データに正当化する法的根拠なく個人情報が利用されていたこと等を理由に、イタリアのデータ保護当局がOpenAIにデータ処理の一時停止を要求し、一時的にイタリアからのアクセスが遮断された事件は記憶に新しい。世界中のユーザーを対象とするサービスにおいては、原則として、世界各国の法令を調査し、それらを遵守しなければならない。テックジャイアントであればそうしたレベルの対応も求められようが、一般的な企業にとっては難しい。

「影響の大きいGDPRの対応の要否を検討した上で、あとは“どの国を拠点とするサービスなのか”“どの国のユーザーが多いのか”“どの国と取引が多いのか”“その中で特にペナルティの大きな国はないか”、といった観点から優先順位をつけて対応していくことが考えられます」（寺田弁護士）。

寺田 光邦 弁護士・弁理士

特にウェブサービスにおいては個人データが容易に越境するため、域外適用の射程には気を配る必要があると寺田弁護士は説明する。GDPRは、EU域内で事業拠点を有していなくとも、外国（例えば日本）の事業者がEU域内のユーザーに対してサービスを提供していると判断できれば適用されるという建てつけになっており、同じような規定は新興国でもいくつか見られるという。こうした規制の内容を確認した上で、各国の法令をどのように遵守するかを検討する必要があるということだ。

読者からの質問（各国の最新動向をキャッチアップする方法）

来たるべき“個人情報保護重視”の時代に備えて総点検を

多くの企業は、“自社の個人情報保護体制が各国の法制に適合しているかどうか”また“漏洩などのインシデントが発生したときに適切に対処できるかどうか”に関心があるだろう。寺田弁護士は、「各国の法制を踏まえて、個人情報の取扱いに対する全社統一的なルール整備をしておくこと、インシデントが発生したときの対応マニュアルやフローをあらかじめ準備しておくことが肝心です」と述べる。特にデータ漏洩時の当局への報告義務は、GDPRでは“72時間以内”と定められており、新興国でも同じような時間制限を設けている国がある。いざ事が起きてから「どうすればいいだろう」と考え始めるのでは遅いのだ。
杉村弁護士は、「もし自社の管理体制に不安があるのであれば、信頼できる法律事務所に一度チェックしてもらうことをお勧めします。早晩、各国の個人情報保護法制への適応は、中小企業も含めて各社が当たり前に行わなければならない世の中になるでしょう。個人情報保護の重要性は、これからの社会においてより高まることはあっても、軽んじられることはまずないからです。IoT化の促進、AIの活用増加に伴い、個人データの取得や利活用の機会が増えることを考えれば、業種に関係なく、個人情報保護と向き合うことは当たり前になっていきます。来たるべき“個人情報保護重視”の時代に備えて、一度、自社の体制の総点検をご検討いただきたいと思います。もし脆弱性が見つかればそこを改善しておくことができますし、仮に何か問題が起きたときでも、一度体制を確認している弁護士に相談すれば、時間制限のある報告などにもスムーズに対処できます」と力を込める。

これから世界の個人情報保護法制はどうなっていくのか

これからも、ますます各国で個人情報保護法制の整備が進み、引き続き企業は各国の法制に基づいた対応を迫られるだろう。今後の新興国の動向や、現時点では連邦法としての個人情報保護法が存在しない米国の動向も気になるところだ。個人情報保護法制をめぐる未来像について、寺田弁護士は最後にこう展望を述べた。
「新興国へのGDPRの影響を強調しましたが、この先、各国の法令がGDPRとまったく同様のものに収斂されるかというと、そうではなく、解釈や運用も含めて各国で独自の部分が存在する規制になると思います。おそらく米国も独自の規制類型になっていくでしょう。そうすると、各国で異なる規制が乱立して、企業にとってはビジネスがやりにくくなる。そこで、各国の個人情報保護制度の多様性を前提に、各国間でのデータの利活用の円滑化を図る国家間の取り組みがカギになってくるでしょう」（寺田弁護士）。
具体的には、米国と欧州間の自由なデータ移転を目的とするデータプライバシーフレームワークや、日本政府と個人情報保護委員会が推進する「信頼性のある自由なデータ流通（DFFT: Data Free Flow with Trust）」の取り組みなどがあるという。こうした取り組みにより、個人情報を安全かつ円滑に越境移転できる国際環境が構築されることを期待したい。

読者からの質問（個人情報の分野で世界的に議論されているトピック）

→『LAWYERS GUIDE 企業がえらぶ、法務重要課題』を 「まとめて読む」
→ 他の事務所を読む