イメージ

Topics

worldwide offices

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得

Home > Topics > Newsletter > Tokyo Litigation Client Bulletin

  • 最新情報
  • プレスリリース
  • 受賞・評価
  • ニュースレター
  • イベント
  • 著作

2012. 12.17

【ニュースレター】 腐敗行為防止法と個人情報保護法は相矛盾するか

  北京
  Jingxiao Fang
  Paul D. McKenzie
  ブリュッセル
  Joanna Łopatowska
  Karin Retzer
  香港
  Eric Dickinson
  Gordon A. Milner
  ロンドン
  Ann Bevitt
  Deirdre Moynihan
  Anthony Nagle
  ロサンゼルス
  Michael C. Cohen
  David F. McDowell
  Purvi G. Patel
  Russell G. Weiss
  ニューヨーク
  Madhavi T. Batliboi
  John F. Delaney
  Matthew R. Galeotti
  Sherman W. Kahn
  Mark P. Ladner
  Michael B. Miller
  Suhna N. Pierce
  Marian A. Waldmann
  Miriam H. Wugmeister
  ノーザン・バージニア
  Daniel P. Westman
  パロアルト
  Christine E. Lyon
  Bryan Wilson
  サンフランシスコ
  Roland E. Brandel
  Anna Ferrari
  Jim McCabe
  James R. McGuire
  William L. Stern
  東京
  Daniel P. Levison
  Gabriel E. Meister
  Jay Ponazecki
  Toshihiro So
  Yukihiro Terazawa
  ワシントン D.C.
  Nicholas A. Datlowe
  Richard Fischer
  D. Reed Freeman, Jr.
  Julie O'Neill
  Obrea O. Poindexter
  Cynthia J. Rich
  Robert A. Salerno
  Andrew M. Smith
  Nathan David Taylor
   
PDF

参考訳: 原文(英語)はこちらをクリックして下さい。
Please click
here for English version.

(執筆者) スーナ・ピアス/マリアン・ワルドマン/ルティ・スミスライン

第三者と取引を開始するにあたりデューディリジェンスを実施する企業が増えている。企業は海外腐敗行為防止法(「FCPA」)や2010年英国贈収賄禁止法(「英国贈収賄禁止法」)などの腐敗行為防止関連法に違反するリスクを軽減するためにこのような手続を行うものであるが、そのデューディリジェンスの内容により、知らず識らずのうちに世界中で個人情報・データ保護法上のリスクに曝される可能性がある。腐敗行為防止法と個人情報保護法の両方を遵守することは、困難ではあるが対処可能である。

諸国の腐敗行為防止法(FCPAおよび英国贈収賄禁止法を含む)は、独自の腐敗行為防止法を有していない法域においても、外国公務員に対する贈賄に刑事罰を与え、グローバル企業に対して一定の法令遵守義務を課している。

米国司法次官補代理のLanny A. Breuer氏は、コンプライアンス担当の役員や担当者で満員の会場で先ごろ行われたスピーチにおいて、米国の規制機関が「かつてないほど強力にFCPAの執行を進めており、その傾向はますます強まっている」と強調した[1]。米国司法省(「DOJ」)は、過去2年間だけをみても50名を超える個人に対してFCPA関連の違反を調査し、20億ドル近い罰金を徴収した。そして、腐敗行為防止に取り組んでいるのは米国だけではない、と同氏は明言した。また、世界中で贈収賄禁止法の整備が拡がり、諸政府間で協調的な贈収賄防止の取組みが増えていると述べた。同氏が言うとおり、FCPAは「[DOJが]歴史的に正しい施策を行っていることのみならず、その歴史を前進させる手段」である。

腐敗行為防止を徹底する取組みが積極的に行なわれる状況にあって、グローバル企業におけるコンプライアンスの考え方は大きく変化した。贈収賄リスクに対処する包括的なポリシーや手続を採用するなど、腐敗行為防止法を遵守するためのベストプラクティスを採用する多国籍企業が増えている。

コンプライアンス・プログラムが対処すべき一般的なリスクは、コンサルタント、代理人、販売代理店その他の取引先などの第三者の使用に係るリスクである。結局のところ、FCPAや英国贈収賄禁止法などの法によれば、賄賂の支払元が第三者であったとしてもその使用者が刑事・民事責任を問われる可能性は排除されない。むしろ一定の状況下では、第三者の行動について使用者である企業が責任を負う可能性がある。そのため、企業は取引をする第三者を入念に調べ、当該第三者の取引相手を知るために最大の努力を行うべきである。

デューディリジェンス

企業は、候補先の第三者につき、リスクに重点を置いた適正なレベルのデューディリジェンスを実施すべきである。どの程度のデューディリジェンスが必要かは、特定のリスク要因(その第三者が提供する業務の種類、業態、関与する国および地域、取引の規模および性質ならびにその第三者との過去の関係など)により異なる。デューディリジェンスの目的は、取引先や仲介業者が信頼に足るか否かの判断を試み、その取引先や仲介業者が不正な支払いに関与していないか(または関与する可能性がないか)を判断することである。

デューディリジェンス(通常は質問書により行う)は、情報を収集し、これを市販または公的な監視リスト(ウォッチリスト)、データベース、ニュースアーカイブその他の情報と付き合わせてチェックを行うよう計画される。質問書その他の調査方法においては、通常、事業体そのものについてのみならず、その主要人物及びその他の重要人員についての情報も入手する。その結果、企業はしばしば、個人の金融口座、犯罪歴(贈収賄またはこれに関連する活動など)、法的権利剥奪、公の監視項目一覧への掲載の有無および公務員との公的または私的な関係に関する情報を収集する。企業は腐敗行為防止法を遵守する取組みを行う一方で、デューディリジェンス実施時における質問内容の性質上、適用のある個人情報・データ保護法の遵守についても考慮する必要がある。

個人情報保護に関する課題

デューディリジェンスは個人情報の収集を伴うため、デューディリジェンスの実施に際しては個人情報の収集および使用について規制を課す多くの法域の個人情報・データ保護法の規制対象になる。世界の70を超える国々が、現在、個人情報保護法またはデータ保護法を有している。それらの法によれば、個人情報は、概して、個人を特定しまたは特定可能なあらゆる情報を意味する。

通知要件

個人情報保護法の多くは、個人情報を収集、使用および共有する者に対し、当該情報の対象である個人に通知することを義務付けている。よって、デューディリジェンスを行う企業は、たとえその情報の出所が法務監査を受ける事業体の主たる担当者であろうと、または外部のデューディリジェンス業務の提供者であろうと、デューディリジェンスの一環として情報を収集する対象の個人に対し、通知を行う責任を負う場合がある。通常、通知には、企業が個人情報をどのように利用するかについて、(i) 収集する情報の種類、(ii) 情報の収集・使用の目的、(iii) その情報を使用する企業の名称、(iv) 第三者(例:関連会社や外国政府)に対する情報開示の有無および開示がある場合にはその開示先、(v) 当該個人が情報にアクセスし、その内容を訂正する権利および個人情報の使用に異議を申し立てる権利、ならびに (vi) 個人情報が「クロスボーダー」(すなわち、当該情報が収集された国の国境を越えて)共有されること、を記載しなければならない。また、第三者情報源が個人情報を提供する場合、当該個人にはその旨が知らされるべきである。

同意要件

デューディリジェンスを行う企業は、通知に加え、クロスボーダーでの個人情報の収集、使用、開示および移転につきその対象の個人から同意を得なければならない場合がある。通知義務と同様、同意要件(例:同意が必要か否か、およびその形式)は、国ごとに異なる。

慎重に取り扱うべき特定の情報に関する制約

個人情報保護法は、デューディリジェンスにおいて明らかにしようとする情報そのものの保護を目的とするものが少なくない。ある個人の支持政党およびその者の政治的見解の根拠となる情報は、多くの国の個人情報保護法上、慎重に取り扱うべき情報とみなされる。個人の犯罪歴や司法制度との関与についての情報もまた、多くの国で特に慎重に取り扱うべき情報と考えられている。裁判上の情報は、刑事訴追や有罪判決、個人が罪を犯したという容疑またはその捜査、および個人に科される行政処分や刑事制裁を含むのが一般的である。要するに、慎重に取り扱うべき情報は多岐にわたり、これについて多くの個人情報保護法は、その個人による明示的な同意書の取得を義務付け、国によってはさらに強力な保護措置を設けている。下記は、全てを網羅することを意図するものではないが、追加的に求められ得る義務の例である。

  • ドイツでは、EUの制定法が義務付ける場合に限り企業は個人の犯罪データを収集することができるが、そのような義務がある場合、当該情報は、ドイツ法に定める形式および方法によってのみ収集することが可能である。
  • フランスでは、企業はデータ保護を管轄する規制当局から犯罪歴・裁判歴情報の収集および使用につき事前の許可を得る必要がある。
  • イタリアおよびギリシャでは、慎重に取り扱うべきデータの収集および使用についてデータ保護当局の事前の許可が必要である。
  • オーストリア法では、規制当局の承認に加え、企業が国外移転につき十分な正当性を有する場合を除き、犯罪歴情報を個人が特定できる形で国外に移転することを禁止している。よって、非EU諸国の腐敗行為防止法を遵守するだけでは十分ではない。
  • ポーランドでは、使用者は、使用人の犯罪歴情報の収集、使用または共有ができないため、デューディリジェンスを行う代理人は、たとえそれらの情報収集を行うつもりであっても、また、使用人が当該代理人による当該情報の使用に同意したとしても、関連情報を提供することができない。
  • ロシアおよびウルグアイでは、権限を有する公的機関または法により指定された個人のみが、犯罪歴情報を収集および使用することを許されている。

法令遵守のすすめ

腐敗行為防止法を遵守すべくデューディリジェンスを遂行する一方、企業は個人情報保護法も同時に遵守するために以下の点を考慮すべきである。

  • 過度に多岐に渡らない程度に概要を示した通知を作成する。 過度に多岐に渡る内容を記載した通知は、現地規制当局がこれを不適当として却下する可能性があるが、デューディリジェンスの結果、使用され得る個人情報に関して予測される使用方法に対処する通知を作成すべきである。例えば、ある企業が自らの代理者がその時点で実施しているデューディリジェンスにおいて、調査の必要および法的分析を行う者または政府機関と情報を共有する必要があることが判明した場合、当該企業は、個人に対して行われた通知に確実に依拠できるようにすべきである。当該企業は、おそらく、対象となる個人に対して通知するために第三者の協力を必要とするため、個人情報の取り扱いについて第三者にきちんと知らせるべきである。
  • 同意書取得のための戦略を立てる。 デューディリジェンスを行う対象の各個人から同意を得ることは不可能な場合もあるが、企業は、個人が必要に応じて同意したことを確認する努力を行うべきである。そのような取組みには、例えば情報を提供する第三者から証明書その他契約上の保証を取得することや、第三者が受領した同意書の写しの閲覧を定期的に要請することが含まれる。
  • 慎重に取り扱うべきデータの収集に関する現地の制約を遵守するよう、慎重にデューディリジェンスの質問項目を策定する。 犯罪歴もしくは裁判歴または公務員との関係に関する質問を用意するにあたり、企業は、デューディリジェンスの目的に必要な回答のみを得るようにするべきである。重要人員が公務員であるか否か、または公務員と何らかの関係があるか否かを尋ねるような質問は、政治的見解の問題に触れないよう慎重に文言を選ぶ必要がある。回答は、審査に関連しまたは必要がある情報に絞られることが理想的である。リスク上の観点から許容できる場合、企業は、特定可能な個人に関連する裁判上の情報の取得を避けるべきである。さらに、画一的なアプローチは機能しないことに注意が必要である。デューディリジェンスの質問書は、特定の法域に合せて作成する必要があり、必ずしも同じ質問書が全ての関係国で使えるものではない。

また、個人情報・データ保護法には、上記の義務に加え、他の種類の義務または制限を定めるものもある。例えば、収集した情報の保護につき一定レベルのセキュリティを義務付けるものもある。また、企業が複数の国のデューディリジェンス情報を集中データベースに統括することを予定する場合、情報の国外移転に関する法的要件を遵守しなければならない。この場合には、個人情報に関する規制機関に対する登録の届出およびデータにアクセスできる関連会社や業務提供者との間でのデータ移転契約の締結が必要となる場合がある。そして、要件は国ごとに異なるので、企業は、個人情報保護義務に関する取組みを計画するために十分な時間と情報源を用いるべきである。

総括

腐敗行為防止法遵守に係る取組みが積極的に行なわれる今日の規制状況において、グローバル企業は、責任を問われる可能性を最小限に留めるため、そのリスクに応じたポリシーや対応手続を実施すべきである。当該手続には、企業がその取引相手を把握するための第三者に対するデューディリジェンスも含まれる。

腐敗行為防止法遵守の取組みにおいては、企業は適用のある個人情報・データ保護法の遵守にも慎重に配慮すべきである。これらの法は相矛盾するようにみえるものの、腐敗行為防止法と個人情報・データ保護法の両方を遵守することは、対処不能な課題ではない。ますます多くの企業がこれらの課題に対応し、腐敗行為防止法および個人情報・データ保護法の要件を充足することに成功している。

脚注

[1] ステイシー・M・スプレンクル執筆のクライアント・アラート 「FCPA Regulators Speak on Newly Released FCPA Guidance and Reiterate Unwavering Commitment to FCPA Enforcement」(2012年11月20日)参照。日本語参考訳:「先般発表されたFCPA指針についてFCPA規制当局がコメント-今後も断固たる姿勢でFCPAの執行に取り組む考えを改めて強調


モリソン・フォースターのFCPAおよび腐敗防止タスク・フォースに関する実務の詳細情報につきましては、下記窓口にご連絡ください。

ポール T. フリードマン
PAUL T. FRIEDMAN
サンフランシスコ
SAN FRANCISCO
+1 (415) 268-7444
pfriedman@mofo.com
  ダニエル P. レヴィソン
DANIEL P. LEVISON

東京
TOKYO
+ 81 3 3214 6522
dlevison@mofo.com
  ティモシー W. ブレークリー
TIMOTHY W. BLAKELY

香港
HONG KONG
+ 852 2585 0870
tblakely@mofo.com
  ランダル J. フォンズ
RANDALL J. FONS

デンバー
DENVER
+1 (303) 592-2257
rfons@mofo.com
             
カールH. ローエンソン Jr.
CARL H. LOEWENSON, JR.

ニューヨーク
NEW YORK
+1 (212) 468-8128
cloewenson@mofo.com
  ケヴィン・ロバーツ
KEVIN ROBERTS
ロンドン
LONDON
+ 44 20 7920 4160
kroberts@mofo.com
  ロバート A. サレルノ
ROBERT A. SALERNO

ワシントンD.C.
WASHINGTON, D.C.
+1 (202) 887-6930
rsalerno@mofo.com
  ルティ スミスライン
RUTI SMITHLINE

ニューヨーク
NEW YORK
+1 (212) 336-4086
rsmithline@mofo.com
             
リック ヴァスラ
RICK VACURA
ノーザン・バージニア
NORTHERN VIRGINIA
+1 (703) 760-7764
rvacura@mofo.com
  シェリー イン
SHERRY YIN
北京
BEIJING
+ 86 10 5909 3566
syin@mofo.com
       



当事務所の人材およびサービス、ならびに職場におけるプライバシーとデータ保護に関する米国内外の法律について当事務所がまとめた"Global Employee Privacy and Data Security Law"や無料のオンラインリソース"Privacy Library"など、当事務所が提供するリソースの詳細については、http://www.mofo.com/privacy--data-security-services/ をご参照ください。また、フェイスブック(http://www.facebook.com/MoFoPrivacy)もご利用頂ければと思います。

本稿は一般的なもので、ここに含まれる情報はあらゆる事案に適用されるものではなく、また個別の事案に対する具体的な法的アドバイスを提供するものでもありません。

page up