【データ法】英国でのM&Aにおけるデータ保護法上の留意点
こんにちは。
お読みいただきありがとうございます。
本日は、英国でのM&Aにおけるデータ保護法上の留意点について書きたいと思います。
今更ここで書くまでもありませんが、M&Aとは、「広義には企業又はその事業の全部若しくは一部の移転を伴う取引」と言うことが出来ます。当然ながら、M&Aの客体である企業又は事業には、あまたの個人データが含まれています。顧客データや従業員の情報などが代表的です。
そのため、英国企業や英国に子会社を持っている企業を買収する場合、その手続の過程では個人データの処理がほぼ必然的に伴いますので、UK GDPRを始めとする英国のデータ保護法の遵守が必須です。
そこで、今日は、英国におけるM&Aに際して生じ得るデータ保護法上の留意点とその対策について、紹介していきます。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
M&Aでデータ保護が問題となる場面
簡単な事例をもとに考えてみます。
事例①:
日本の総合電子機器メーカーであるA社は、英国の部品メーカーB社を買収することにした。なお、A社の100%英国子会社であるA(UK)社が、B社の全発行済株式を取得する予定である。
要するに、A社は、B社を100%孫会社化するわけですが、この取引のどの局面でデータ保護が問題となるでしょうか。
① B社との交渉開始前の秘密保持契約の交渉・締結
② B社に対するデューデリジェンス
③ B社買収に際するシステムの統合や買収完了後のモニタリング
シンプルな株式譲渡スキームの場合、特に問題となるのは、②の局面ですね。デューディリジェンスの際に、A社は、株式の価値やリスクの算定に必要となる機密性の高いB社の情報を大量に取り扱うこととなり、その中には、顧客や従業員の個人データが含まれ得ます。
のちのちの解説のために、こちらの事例も載せておきます。
事例②:
日本の医療機器メーカーX社は、英国の大手医薬品Y社の事業の一つである遺伝情報に基づく診断サービス事業を譲り受けることにした。なお、X社の100%英国子会社であるX(UK)社が、その事業を譲り受ける予定である。
この事例では、X社は、Y社の株式ではなく、Y社の事業の一部を譲り受けます。つまり、当該事業に係る資産・契約を一体として譲り受けます。
この場合には、X社は、取引完了後にTSA(Transition Service Agreement)をY社との間で締結して、Y社から事業統合に関するサポートを受けることも考えられ、ここでも個人データを処理することになりそうです。
問題となり得る規定
個人データの処理の合法性(UK GDPR Art 6)
UK GDPRに従い、個人データのあらゆる処理について、Art 6(1)に定めるいずれかの根拠に基づかなければいけません。こちらで詳しく紹介しています。
上記の事例でいうと、買手であるA社やX社及び彼らのアドバイザー(弁護士、会計士等)は、デューディリジェンスに際して、対象会社・事業に関する膨大な資料を閲覧します。これらの中には個人データが含まれており、個人データの「処理」が行われることは間違いないでしょう。
では、A社やX社は、Art 6(1)のどの根拠に依拠すべきでしょうか?
結論として、正当な利益(legitimate interest)に依拠するものだと、ぼくは考えます。他に考え得るとすれば本人の同意ですが、M&Aという取引の性質を考えると、公表前に同意を取るのは無理がある場面がほとんどでしょうし、仮にこのハードルが無くても、同意はいつでも撤回できるため、買手の地位が不安定になりすぎます。
従業員の個人データの処理の合法性(UK GDPR Art 9)
UK GDPRは、個人データのうち、特別なカテゴリーに該当するものを設定して特別な保護を与えています。詳しい内容は、こちらで紹介しています。
M&A取引に際して、買手は、多かれ少なかれ対象会社の従業員の個人データに触れるところ、健康に関するデータ(*1)や労働組合への加入状況(*2)は、特別なカテゴリーのデータとなります。
特に、英国では、TUPEと呼ばれる、日本でいう労働契約承継法に似た法令があり、売手が買手に対して、その従業員の情報を提供しなければいけない場面が生じます。紹介ばかりで恐縮ですが(笑)、TUPEの概要はこちらをどうぞ!
特別なカテゴリーの個人データの処理で悩ましいのは、通常の個人データとは異なり、正当な利益に依拠することができないことです。当然、既にのべたとおり、M&Aの取引において(明示的な)同意(*3)に依拠することも現実的ではありません。
ここで頼れるのは、Art 9(2)(b)の「雇用・社会保障等の分野における義務の履行」だと思われます。
つまり、TUPEにより課される売手の義務の履行に必要な限りで、売手は、買手に対して従業員の個人データのうち特別なカテゴリーに当たるものを開示しても差し支えないということになります。
逆に言えば、それ以外のものについては、匿名化が必要ということだと思います。なお、買収完了後は、従業員の特別なカテゴリーの個人データについて、広く、Art 9(2)(b)に依拠して、処理できる可能性があります。
個人データ取得時のデータ主体への通知(Art 14)
UK GDPRは、管理者が個人データを取得した際に、データ主体に対して所定の情報を提供することを義務付けています。その個人データをデータ主体以外から取得した際の義務は、Art14が規律しているので、M&Aにおいて、売手から開示を受けた場合には、これが適用されることになります。
ただ、M&Aのような密行性の高い取引(上場企業であれば、なおさら)において、データ主体への通知は現実的ではなく、Art 14(5)(b)に基づき、通知・公表が差し支えなくなる時点まで、留保することが考えられます。
域外への個人データの移転(Chapter V (Art 44-50))
UK GDPRは、個人データをUK域外に移転する場合に、特別の義務を課しています。詳しくはこちらにまとめています。
要するに、域外への個人データの移転は、①十分性認定のある国への移転か、②適切な保護措置を取った上での移転か、③その他例外的な場合の移転でない限り、認められません。
幸い、日本は十分性認定を受けており、英国でのM&Aに関して、日本本社が関与するのみであれば、域外移転規定のことは考えなくてもかまいません。ただ、取引のスキームや買収後のオペレーションに十分性認定を受けていない国(アメリカなど)が絡んできた場合には、注意が必要ですね。
基本原則の遵守(Art 5)
Uk GDPRは7つの基本原則を定めており、個人データの処理は、これらに沿ったものでなければなりません。
M&Aに際して個人データを処理する際にも、この理は当然当てはまります。特に気を付けるべきは、データの最小化((1)(c)項)、及び、完全性・機密性((1)(f)項)でしょうか。
抽象的な規定であるため、具体的にどのようにすればOKかというのは言い難いものの、初段のNDAにデータ共有契約の内容を含ませることや、信頼できるVDRの利用することは、事実上必須ではないかと感じています。
また、上記のとおり、個人データの処理の合法性の根拠として正当な利益に依拠するとともに、Art 14(5(b)の例外規定を利用することを考えると、買手側が可能な限り基本原則を遵守し、個人データの保護に努めている外形を保っておくべきですよね。
特別なカテゴリーの個人データ(従業員関連以外)の処理の合法性をどうやって確保するか?
非常に悩ましいのが、遺伝子データや従業員ではないデータ主体(例えば顧客)の健康に関するデータの処理の合法性です。
ここでようやく事例②を例に出していた意味が出てくるのですが、ヘルスケア関係の企業は、従業員以外の特別なカテゴリーの個人データを大量に保有していることが予想されます。
しかし、既に述べたとおり、特別なカテゴリーの個人データについては、正当な利益に依拠できず、TUPEが関係なければ雇用に関する売手の法的義務の履行とすることも出来ません。
じゃあ、どうすれば良いかというと、ぼくは、データ主体の明示的な同意に頼らざるを得ないと考えています。
したがって、例えばデューデリジェンスの段階で、売手は、少なくともこれらの個人データを匿名化しない限り、買手に開示することはUK GDPR違反となると解されます。とはいえ、いくらデューデリジェンスとは言っても、買手が知りたいのは、顧客の遺伝子データや健康に関するデータではなく、顧客数や保有している健康に関するデータの「種類」だと思われます。実際は、特別なカテゴリーに関するデータを開示する必要がある場面は、デューデリジェンスとの関係では、限定的かもしれません。
厄介なのは、事例②のように、株式取得ではなくて事業譲渡のスキームでヘルスケアの事業を取得するときですね。この場合、売手は、買手に対して、特別なカテゴリーのデータを譲渡するという「処理」を行うため、予め、データ主体の明示的な同意を得なければなりません。買主としては取引の前提条件に置いたり、代金の一部を留保することを主張するのかもしれません。
まとめ
いかがだったでしょうか。
本日は、英国でのM&Aにおけるデータ保護法上の留意点について考えてみまました。
以下のとおり、まとめます。
・ M&Aでは、主に次の局面でデータ保護法の順守が問題となる。
・・ B社との交渉開始前の秘密保持契約の交渉・締結
・・ B社に対するデューデリジェンス
・・ B社買収に際するシステムの統合や買収完了後のモニタリング
・ 問題となり得る規定は次のとおり:
・・ 個人データの処理の合法性
・・ 従業員の個人データの処理
・・ データ主体への通知
・・ 域外への個人データの移転
・・ 基本原則の遵守
本来は、一つの記事でまとめられるような内容ではなく、少し駆け足となってしまったかもしれません。またいつか、問題となり得る事項について深堀出来たらと思っています。
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 Art 4(15), UK GDPR
*2 Art 9(1), UK GDPR
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。