個人データ保護対応の実務をケースから学ぶ(1)の続きです。

今回は、会社の買収時に気を付けるべきことについて考えてみます。以下のケースを読んで、最後の質問に回答してみてください。質問に答えることで実際に何をするのか考えることができるはずです。

シナリオ2の概要

Worldwide Medical 社とサード・パーティーの国外ベンダーである MedSource 社は長いこと取引関係にあります。 MedSource 社は収益率がかなり良い会社です。これまで買収で成長してきた Worldwide Medical 社は、 MedSource 社を次の買収対象として検討しています。

MedSource 社のサービスは EU 域内での医療サポート・サービスです。優れたビジネス・モデルなので、Worldwide Medical 社はアメリカを含む他の国でも同様のサービスを展開したいと考えています。買収後はMedSource 社のビジネス・モデルを導入するためのシステム・パッケージとトレーニング・パッケージを販売し、MedSource 社と同様のサービスを他社が導入できるようにしようと計画しています。

既にWorldwide Medical 社とMedSources 社の IT インフラ、ビジネスプロセス、経理・人事部門を統合する議論が水面下で進められていますが、まだ実現には至っていません。最近発生したWorldwide Medical 社の保管する調査データへのハッキング攻撃のせいで、Worldwide Medical 社の CEO はプライバシー問題に敏感になっています。MedSource 社買収にあたっても、プライバシーのデュー・デリジェンス(due diligence)が重要な課題であると認識しています。

Global Privacy OfficerのFred Johnsonの努力もあって、Worldwide Medical 社のプライバシー・プロセスはようやく整いつつあります。Worldwide Medical 社が現在オペレーションを行っている国の法律や規制についてはすべて遵守できている状態です。Fredは、会社レベルでは少なくとも買収に必要な対応策を把握していると感じています。しかしFredの経験上、デュー・デリジェンス・プロセスにあたってまだ確認すべきことが他にもあることも分かっています。

MedSource 社のプライバシー関連プロセスや手順についてはまだ情報がありません。しっかりとしたプロセスや手順があるのかどうかを確認する必要があります。既存のプロセスや手順がMedSource 社のビジネスに特化したものであれば、買収に当たってWorldwide Medical 社のプロセスや手順と整合性をもつように調整する必要があります。

Worldwide 社はこれまでMedSource 社がオペレーションを行っていた国々でビジネスを行ったことがありません。そのため、現在 Worldwide Medical 社がまだ認識していない、法域間のデータ移転の問題が発生する可能性もあります。MedSource 社も今オペレーションを行っている国でしかビジネスをしたことがありません。

 

質問1:
買収前にPrivacy OfficerのJohnsonがしなければならないことは何でしょうか?

質問2:
買収決定後、Privacy OfficerのJohnsonは Worldwide Medical 社のプライバシー保護対策と MedSource 社のプライバシー保護対策を整合させなければなりません。具体的には何を行えばよいでしょうか?

 

【答えの例】

Global Privacy Officer としてFred Johnsonが行うべきことは、社内にプライバシー・マネジメント・プログラムを確立することです。

プライバシー・マネジメント・プログラムとは、個人データの取得から廃棄までのすべての過程において、適切な個人データの取り扱いがなされるように社内のデータ管理体制を整備することです。ISO 9001 や ISO 14001、ISO 27001 のように責任者を定め、PDCAを回すことで組織内の管理体制(マネジメント・システム)を成熟させていくことが目的です。

 

プライバシー・マネジメント・プログラムは以下の13の項目から成っています。これを順番に実装していくことが Global Privacy Officer の仕事となります。(お気づきの通り、当サイトのカテゴリーは、プライバシー・マネジメント・プログラムで扱うアクティビティで分けています。)

  • ガバナンス体制を整える
  • 個人データ台帳の保守、データ移転メカニズムの保守
  • 内部のデータ・プライバシー・ポリシーを保守
  • 日常業務にデータ・プライバシーの考え方を統合する
  • 従業員トレーニングとプライバシーについての認知活動を実施
  • 情報セキュリティ・リスクを日常的に管理する
  • サード・パーティー・リスクを日常的に管理する
  • プライバシー・ノーティスを実情にあったものとする
  • 個人からの要求や苦情に対応する
  • 新規業務を開始する際、プライバシーへの取組みを反映させる
  • データ侵害マネジメント・プログラムを定常的に更新する
  • 日常業務でのデータの取扱いとルール遵守を監視する
  • 外部情報を日常的にモニターする

 

今回の例では、具体的には何を行っていくことになるのでしょうか?

この記事は有料会員限定です。
ユーザー登録の方法 》