GDPR導入を前に、イスラエルスタートアップのデータプライバシーの対応はいかに？

いよいよ今月5月、欧州でGDPR：General Data Protection Regulation（一般データ保護規則）が導入される。国際法務事業や海外IT事業に携わる方はアンテナを張っていることと思う。

今回、私はGDPR絡みの案件対応と調査のためイスラエルへ来ている。欧州で事業展開していたり、欧州のユーザーのビッグデータや個人情報を扱っている会社は、その規模に関わらず影響を受けるため、大半のイスラエルスタートアップにも関係してくるからである。

私が現地で議論しておきたかったのは２点。イスラエルスタートアップへのGDPR導入の影響（特に日系企業が投資していたり、協業している場合のインパクト）と、私たちが日本展開を請け負っているビッグデータ関連企業の日本事業や日本のデータへの影響についてである。もし少しでも影響があるようなら対策を考える必要があるからだ。

海外事業や国際業務に携わっていると、常に海外での規制の動きに敏感になる。最新の情報は現地現物で得ておかないとならない。たいてい海外だけのインパクトに収まらず、日本にも影響が来るからである。海外の仕事を20年近くしてきたが、欧州で始まった規制が数年遅れでアジアに持ち込まれるのがいつものパターンである。

私自身もバイバー(Viber)時代、最高法務責任者として一番大変だったのが、データ保管や個人情報保護のところであった。もちろん訴訟対応やIP管理など他にも重い案件はあったが、数年先にGDPR導入が待ち構えているのが分かっていただけに、それを想定したデータ保管の設計をしないとならなかったからである。Viber創業者のタルモンも、一見そういった事に無頓着そうでありながら意外にも規制関連への感度は高く、渉外関係に積極的に取り組んでいた。

そのViberは、メッセージ業界の中でもいち早くencryptionを導入した企業だ。何億人ものユーザーを抱える中、個人情報保護やデータプライバシーには莫大なリーガルコストと時間を費やし、一カ国ずつ対応していた。親元である楽天に非常に優秀な海外渉外担当の方がおり、みんなでスクラムを組んで対応したものだ。おかげでかなりしっかりとした仕組み作りができた。特に大変だったのがEU諸国とロシア連邦国で、この辺りの国についてはEUで外部コンサルタントまで採用して対応したのだ。

そこで今回、個人的には体力や資金力がないイスラエルスタートアップがどのように対応していくのかが気になっていた。私達のクライアントであるスタートアップはある程度の規模の企業が多く、データプライバシー専門の法律事務所と契約し雇い入れ、全社員教育を含めた対応を実施していた。ここの手堅さを見る限りやはり日本よりは感度が高いと感じる。しかし規模の小さなスタートアップとGDPRへの対応について話すと、「awarenessは非常に高いがまだ何も手をつけられていない」というところが多く、Viber時代の経験から支援を求められる結果となった。

思えば、Sarbanes Oxley法（SOX）がJ-SOXとして日本に導入されたときと似ている。J-SOXは海外の関連子会社にも影響が及び、社内統制が取れているかを監査するものだが、買収された小さなスタートアップで相応の統制が取れていることは稀である。さらに監査期間は業務がストップしてしまうため、小さなスタートアップやベンチャーにとってはビジネスダメージも大きい。過去の経験上、大半が対応できる余裕はなかった。

これから先、リーガル関係者や海外事業専門業者にとって、データプライバシー案件は重要かつ稼ぎどころになっていくだろう。今から実務を通して学んでおくべきである。

そして今後スタートアップやベンチャー投資、また技術貸与する日本企業には、デューデリジェンスの段階で、対象企業におけるGDPRやデータプライバシー保護の感度をしっかりヒアリングし、確認しておくことをおすすめしたい。これらに対応できないような体制の会社だった場合、今は見えなくても将来莫大なコストの発生が想定されるからである。