情報のデジタル化や企業活動のグローバル化が進み、大量のデータが国境を越えて流通するなか、サイバー攻撃等による個人情報流出の事件が後を絶ちません。このようなビジネス上の新たなリスクに対応すべく、各国で個人情報保護規制の制定・施行が進められています。このような世界的な潮流は、M&Aにおいても考慮すべきリスクとなっています。とりわけ、投資対象となる企業が大量の個人情報を保有、あるいは、処理を行っている場合、個人情報の管理状況についてデューデリジェンスを実施しておかないと、買収後の対応コストや訴訟リスク等を見過ごすこととなってしまいます。
既に欧州では一般データ保護規則(GDPR)が2018年に施行されて以降、サイバー攻撃による大量の個人情報の流出や、個人情報の不適切利用(例:本人からの同意取得が不十分なまま個人情報を広告活動に利用していた)等に対して、多額の制裁金を科された事例が発生しています。その理由として、個人情報の管理が適切に行われるために十分な措置が講じられていなかったことに加えて、買収時に十分なデューデリジェンスを行っていなかったことも指摘されています。
しかしながら、GDPR等の法令の要請事項を自社のオペレーションに落とし込んでいくには、十分な検討や各社固有の課題の解決が必要となります。個人情報を取り扱う多くの企業は、情報セキュリティ対策や個人情報を取り扱う業務処理が、ビジネスを運営する各国の法令にどれだけ対応できているのか不安を抱えたまま運営されているのではないでしょうか。このような状況下において、M&Aの買収企業の法令への対応状況の確認プロセスは不可欠と言えるでしょう。
KPMGでは、グローバルナレッジと日本における個人情報保護法、GDPR等の法令対応に精通したプロフェッショナルの知見やフレームワークを駆使して、M&Aにおけるプライバシーリスクの診断サービスを提供します。
KPMGのアプローチ
KPMGはグローバルでの知見やフレームワークを駆使して、クライアントが保有する個人情報の整理と、必要となるセキュリティ対策、および業務プロセスにおける法令対応の状況を診断します。そこで課題が見られる場合は、適切な改善策の検討を支援します。
検出事項の例
| No | 課題 | 対策 |
|---|---|---|
| 1 | センシティブ情報を含む大量のEU所在者の個人情報を処理していることから、DPO※1の選任が必要となるものの選任していない。また、DPIA※2をしていない。 | DPOの機能を果たせるメンバーを人選し、DPOとして任命する。保有する個人情報の棚卸(データマッピング)を実施の上、ITアセスメントとGDPR法の順守状況を確認し、DPIAを行う。 |
| 2 | 個人情報を処理する業務システムやファイルサーバの保守・運用業務に、委託先であるシステムベンダーが、EUから必要な認定を受けていない海外の下請けベンダーにオフショア開発を無断で再委託しているなど、委託先での個人情報の保護対策が十分ではない。 | 委託先監査を実施し、セキュリティ対策における課題を整理。解決策の実施を要求する。 |
| 3 | 個人情報を処理する業務システムやファイルサーバについて、社外からのサイバー攻撃や、従業員による個人情報の持出し等のリスクへの対策が十分ではない。 | ITアセスメントを実施し、技術的、組織的な課題を整理。必要となるシステム環境と組織体制の見直しを行う。 |
| 4 | 顧客から個人情報の削除や訂正の要求があった場合に、システム的に削除、訂正することができない。また、要求を受けてから対応が完了するまでの業務プロセスが明確になっていない。 | 削除、訂正機能の追加開発、業務マニュアルの整備 |
| 5 | 顧客の同意を取らずに、自社製品の広告メールを送信している。 | 全ての顧客から同意をとる仕組みの追加開発、広告メールの停止 |
※1…Data Protection Officer:データ保護責任者
※2…Data Protection Impact Assessment:データ処理行為のリスク評価
KPMGの特長
個人情報保護に関連する法令と情報セキュリティの専門家集団
個人情報保護に関連する法令への対応経験者、サイバーセキュリティ対策の専門家、システム開発の専門家等で構成された、専門チームを組成しています。
グローバルなナレッジと多数の実績
KPMGのEU拠点と共有する法令対応のテンプレート、および世界各国のプライバシー関連法規対応の実績やナレッジを最大限に活用します。
