1. ホーム
  2. レポート・書籍・コラム
  3. リスクマネジメント最前線
  4. 世界的な法規制の動向と、本社・海外現地法人に求められる対策

世界的な法規制の動向と、本社・海外現地法人に求められる対策

  • 経営・マネジメント

リスクマネジメント最前線

2023/6/27

目次

  1. 国外における主な法規制の動向
  2. 国外における近年のコンプライアンス違反事例
  3. 本社・海外現地法人に求められる海外法規制対策
  4. まとめ

世界的な法規制の動向と、本社・海外現地法人に 求められる対策 - リスクマネジメント最前線PDF

執筆コンサルタント

青島 健二
ビジネスリスク本部 上級主席研究員
専門分野:新規事業開発、業務/IT改革、企業リスク管理、海外現地法人管理
経歴:製造業にて人事労務、経営企画部門の業務に従事後、IT系シンクタンクにて調査研究、及び各種コンサルティングに従事。2005年より、東京海上ディーアールに勤務。その間、タイ国東京海上火災保険に3年間出向。

 

海外現地法人におけるコンプライアンス違反は、年々増加傾向にある。海外現地法人に起因するコンプライアンス違反は、連結経営に損失をもたらすほか、企業のブランドイメージを毀損することにもつながる。各国の法規制には国が定める法規制のほか、州や県、市等から発出される法規制があるため、日本の本社が各地で遵守すべき法制度を把握するのは容易ではない。そのため、実態としてはコンプライアンス管理を海外子会社に一任しているケースが散見されるが、その結果、海外における法令違反が突然露見し、操業停止処分を受ける、現地子会社の社長が逮捕される、多額の課徴金を課されるなどの事態が発生している。海外子会社の体制は本社のそれよりも脆弱なことが多いため、連結経営の観点からも、日本の本社が管理に関わる必要がある。

1.国外における主な法規制の動向 

(1)世界的な潮流

特定国における法律や規制は、特定国の政府により制定、施行されるものであるが、その契機は必ずしも国内における情勢の変化や国民・国内企業の要請に基づくものだけではない。世界を牽引している国・地域における同類の制定や、国際的な組織による合意が契機となる場合がある。特に近年では、製造・小売りにおける部品・製品・商品や、インターネット関連産業におけるデータが国家をまたぐことが日常となっていることから、自国における法規制を「域外適用」(自国の法制度を自国外の法人・個人や行為等にも適用すること)し、自国の体制や権益・優位性を「保護」する動きが特徴的である。また、世界各国が一致団結してその改善に努めなければ解決し得ない「社会課題」については、国際的な組織でその枠組みを作り、各国にコミットメントを課し、法整備を促す動きも特徴的である。次項では、特定の国・地域や世界的な組織における法規制の強化を発端として、世界的な制定・改定の潮流となっている 3 つの分野(贈収賄、データ保護、環境規制)についての傾向を解説する。

(2)分野別傾向

贈収賄

1977年に米国は、外国公務員に対する商業目的での贈賄行為を違法とする海外腐敗行為防止法(FCPA:Foreign Corrupt Practices Act)を制定し、1988年には国際的な取決めの締結や各国制度の改変を積極的に求める規定を盛り込んだ。その流れの中で 1997年にはOECD(Organization for Economic Cooperation and Development:経済協力開発機構)が「国際商取引における外国公務員に対する贈賄の防止に関する条約」を策定し、OECD加盟各国間に加え、加盟国以外でも条約締結国が拡大[1]するに至った。その後、米国のFCPAは適用の厳格化と罰金額の増額が顕著になっている。 

表1 「国際商取引における外国公務員に対する贈賄の防止に関する条約」の概要
項目 内容
犯罪の構成要件 ・ある者が故意に、
・国際商取引において、商取引又は他の不当な利益を取得し又は維持するために、
・外国公務員に対し、
・当該外国公務員が公務の遂行に関し行動し又は行動を差し控えることを目的として、
・当該外国公務員又は第三者のために、不当な利益を直接に又は仲介者を通じて申し出、約束し又は供与すること
制裁の内容 ・刑罰の範囲は、自国の公務員に対する贈賄罪と同程度。法人も処罰
・賄賂及び贈賄を通じて得た収益の没収又は同等な効果を有する金銭的制裁
資金洗浄 ・自国の公務員に関する贈賄又は収賄と同一の条件で資金洗浄(Money Laundering:犯罪によって得た収益を、その出所や真の所有者が分からないようにして、捜査機関等による収益の発見や検挙等を逃れようとする行為)に係る法制を適用

また近年、アジアの途上国を中心に、民間企業間における贈収賄を禁止する法令が制定・改正されている。民間賄賂については販売手数料との違い等、その解釈が難しいところであるが、中国では「事業者は、財物その他の手段を(記帳されない)賄賂として用いて、取引機会や競争優位を獲得してはならない。」とし、財物とは「現金・現物、販売促進費、広告宣伝費、賛助費、研究開発費、労務費、コンサルティング費等の名目で提供する財産、コミッション等の名目で返還される費用を含む」、またその他の手段とは「様々な名称で行われる国内・海外旅行、研修旅行、その他財産以外の利益を与える手段」と規定し、白黒の線引きを比較的分かりやすくしている。 

表2 民間賄賂を禁止する国と法令[2]
法規制の名称 制定・改正年
中国 反不正当競争法、国家工商行政管理局商業賄賂行為禁止に関する暫定規定 2018年
シンガポール 汚職防止法 (The Prevention of Corruption Act) 1993年
マレーシア 汚職防止委員会設置法(Malaysian Anti-Corruption Commission Act) 2009年
ベトナム 改正汚職防止法、政令59/2019/ND-CP号 2019年
カンボジア 刑法(278条) 1992年
ミャンマー 反汚職法(2018年改正) 2018年

なお、ファシリテーションペイメント(Facilitation Payments:FP。行政サービスに係る手続きの円滑化等を目的とした手続きの円滑化のための少額の支払い)については、アジア等の一部の国々において日常的に行われ、また日本政府も「外国公務員贈賄防止指針」[3] においてFPは賄賂ではないとするスタンスを記載し容認していたが、OECDによる是正勧告を受け2021年の指針改定において、FPは賄賂との認識に改めた。従い、日本の不正競争防止法において処罰される可能性が生じている。

データ保護

国内の個人情報保護関連政策の一環として規制を講じている国・地域が増加傾向にあるが、その発端は1995年にEUで採択された「EUデータ保護指令」[4](Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data:Data Protection Directive 95)にある。第25条において、個人データの保護に関する措置が、EUデータ保護指令の水準に満たしていない第三国やその国の企業には個人データを移転してはならないとの内容が記載されており、これがEU域外の各国に対して、個人情報保護制度の確立を急がせた要因になったと言われている。また、EUは2018年には「一般データ保護規則」(General Data Protection Regulation:GDPR)」を施行した。主な内容は以下である[5]

表3 GDPRの主な内容
項目 条文 内容

規律される行為

 44条 EEA域外の第三国・又は国際機関に対する個人データの移転、及び②当該第三国又は国際機関からさらに別の第三国又は国際機関への個人データの転送に関するもの。(①:同じ国の中での個人データの移転であっても、欧州経済領域(European Economic Area:EEA)域外の国にある第三者内の移転(例えば、GDPRが適用される米国法人Aから米国法人Bへの移転)であれば、越境移転規制の対象。②:例えば、EEA域内の企業が、米国のベンダーに個人データを移転し、当該ベンダーが EEA域外にある再委託先に個人データを移転する場合)
規律の対象となるデータの種類 4条
1項		 越境移転規制の対象となる個人データとは、識別された自然人(個人)又は識別可能な自然人に関する情報。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す 1 つ又は複数の要素を参照することによって、直接的又は間接的に識別され得るものと定義。
規律の対象となる者の定義・範囲  44条 GDPR上の管理者(自然人、法人、公的機関、部局又はその他の組織であって、単独又は他の者と共同で、個人データの処理の目的及び方法を決定する者)及び処理者(管理者のために個人データを処理する自然人、法人、公的機関、部局又はその他の組織)が、越境移転規制の対象。管理者から委託を受けて個人データを処理する者は処理者に該当し、例えば、管理者が利用しているクラウドサービスプロバイダや給与計算代行会社等が処理者に含まれ得る。
規律の内容 45条

個人データをEEA域外に移転することは原則として禁止。
次のいずれかを満たす場合には、例外的に個人データの EEA 域外への移転が可能。
(ア)欧州委員会が、十分なデータ保護の水準を確保しているとの認定を行った国、地域又は国際機関へのデータ移転。
(イ)各種保護措置に準拠した個人データのEEA域外移転[6]
(ウ)上記(ア)(イ)を満たさない場合には、以下の例外事由を満たす場合に限り個人データをEEA域外に移転することができる[7]

また、現在の主要国における主なデータ保護関連の法規制の施行状況は以下の通りである。米国においては、連邦法と州法が施行されているが、州法は各州によりその内容が大きく異なる場合もあるので注意が必要である。(概して言えば、カリフォルニア州は企業にとって厳しめの内容を制定する傾向がある[8]) 

表4 各国の主なデータ保護関連の法規制[9]
国・地域 施行年 法規制の名称 対象機関

EUの十分性認定
アメリカ合衆国 連邦 1986年 Electronic Communications Privacy Act of 1986:ECPA 個人データの電子的保存を行う公的部門及び民間部門 無し
カリフォルニア州 2020年 California Consumer Privacy Act:CCPA 消費者の個人情報を収集又は処理する民間の営利企業のうち、①年間総収益が2,500万ドルを超える企業、②年間5万件以上の消費者、世帯又はデバイスの個人情報を購入、受領、販売、共有している企業、③年間収益の50%以上を消費者の個人情報の販売から得ている企業のいずれかに該当する企業 無し
中華人民共和国 2021年 中华人民共和国个人信息保护法 公的部門及び民間部門 無し
インド パブリックコメントを募集中 The Digital Personal Data Protection Bill, 2022 規定なし 無し
ロシア連邦 2006年 Federal law No. 152-FZ“On personal data” 民間(法人及び個人)及び公(連邦、地域及び地方の当局)の管理者 無し
シンガポール 2013年 Personal Data Protection Act (No.26 of 2012) 民間部門 無し
タイ 2022年 Personal Data Protection Act 公的部門及び民間部門 無し
カナダ 2004年 Personal Information
Protection and Electronic Documents Act:PIPEDA		 商業活動に従事する民間組織及び民間事業者 有り
1983年 Privacy Act 政府や公共団体 無し
イスラエル 1981年 Protection of Privacy Law, 5741-1981 公的部門及び民間部門 有り

また、国内の産業保護を目的として、営業機密に関する法規制を定める動きが技術立国を中心に発生している。米国では1979年に統一法委員会 (Uniform Law Commission: ULC)が営業秘密法(Uniform Trade Secret Acts:UTSA)を作成し、現在までにニューヨーク州を除く全州がUTSAを採用、営業秘密保護法を立法化し営業秘密を保護している。さらに、2016年には連邦法として「営業秘密保護法」(Uniform Trade Secrets Act:DTSA)が制定され、その取り組みが強化された。DTSAの概要は以下の通りである。

表5 米国・DTSAの概要[10]
項目 内容
「営業秘密」の定義 秘密性を維持するために合理的な措置が取られていた情報で、その開示、又は、使用から経済的価値を得られる他者に一般に知られておらず、かつ、適法な手段により容易に知ることができないことから、独立した経済的価値を導き出すもの[11]
営業秘密侵害行為 a. 他人の営業秘密が、不正な方法で取得されたことを認識しているか、認識すべきであった者による、当該営業秘密の取得
b. 以下に該当する、明示、若しくは、黙示の同意の無い、他人の営業秘密の開示、又は、使用:
i. 当該営業秘密を不正な方法を用いて取得
ii. 開示、若しくは、使用のときに、自己の知識が、
a) 営業秘密を不正な方法を用いて取得した者に由来して、又は、その者を介して得られた、
b) 秘密性を保持すべき、あるいは、使用を制限すべき義務を負うと考えられる状況で得られた、又は、
c) 救済請求者に、秘密性を保持すべき、あるいは、使用を制限すべき義務を負っていた者に由来して、又は、その者を介して得られた、ことを認識していたか、認識すべきであったiii. 重大な状況の変化が生じる前に、得た知識が、他人の営業秘密で、偶然、あるいは、ミスで得られたことを認識していたか、認識すべきであった。
時効 営業秘密保有者の請求の時効は、 年間
利益調整の方法 ・侵害を禁止する差止命令
・合理的なロイヤルティの支払い
・損害賠償請求(侵害により実際に受けた損失の額、及び、同額に反映されていない侵害者が不当に享受した利益。意図的な、又は、悪意の侵害者に対しては、損害額の倍を超えない額を懲罰的損害賠償として課しうる)
・弁護士費用

また、その他の技術立国における営業秘密関連法の施行状況は以下の通りである。 

表6 技術立国における営業秘密関連法の施行状況[12]
法規制の名称 制定・改正年
ドイツ 不正競争防止法(Gesetz ge- gen den unlauteren Wettbewerb:UWG) 2019年
英国 Trade Secrets(Enforcement, etc.)Regulations 2018(SI2018/597) 2018年
韓国 不正競争防止及び営業秘密保護に関する法律 2023年
中国 反不正当競争法 2018年

環境対応

1992年にブラジル・リオデジャネイロで開催された「環境と開発に関する国連会議」にて「気候変動枠組条約」(United Nations Framework Convention on Climate Change:UNFCCC)が締結され、二酸化炭素をはじめとする温室効果ガスの排出量を 1990年の水準に戻すことを目標とし、各国に具体的な施策や温室効果ガスの排出量を締約国会議(Conference of the Parties:COP)に報告することが義務付けられた。1997年に京都市で開催されたCOP3[13]で採択された国際約束「京都議定書」においては、先進国における温室効果ガス(二酸化炭素(CO2)、メタン(CH4)、一酸化二窒素(N2O)、ハイドロフルオロカーボン(HFC)、パーフルオロカーボン類(PFC)、六フッ化硫黄(SF6)の 6 種類)の削減目標が決められたが、2001年に米国が離脱するなどしたため実効性の伴わないものとなり、2015年にフランス・パリで開催されたCOP21で採択された「パリ協定」、及び2021年にイギリス・グラスゴーで開かれたCOP26で採択された「グラスゴー合意」が京都議定書にかわる現在の国際約束(全ての参加国が合意)となっている。主な内容は以下の通りである。

  • 世界共通の長期目標として2℃目標の設定。1.5℃に抑える努力を追求すること(パリ協定)
    →更新:2100 年の世界平均気温の上昇を産業革命以前の 1.5℃以内に抑える(グラスゴー合意)
  •  主要排出国を含む全ての国が削減目標を 5 年ごとに提出・更新(パリ協定)
  •  石炭火力発電は、段階的に削減(グラスゴー合意)

これらの目標を順守するために、2015年以降各国・地域において国・地域内の環境法規制が強化されているが、削減目標が厳しい国・地域においては、国内の環境法規制が特に変化している状況である。

表7 各国の温室効果ガス削減目標[14]
国・地域 2030年目標 ネットゼロ[15]
英国 -68%以上(1990年比) 2050年
EU -55%以上(1990年比) 2050年
ロシア -30%(1990年比) 2060年
米国 -50~-52%(2005年比) 2050年
ブラジル -50%(2005年比) 2050年
オーストラリア -43%(2005年比) 2050年
カナダ -40~-45%(2005年比) 2050年
中国 GDP当たりCO2排出量を-65%以上(2005年比) 2060年(CO2排出)
インド GDP当たり排出量を-45%(2005年比) 2070年
日本 -46%(2013年度比) 2050年
韓国 -40%(2018年比) 2050年
インドネシア -31.89%(BAU[16]比)(無条件) / -43.2%(BAU比)(条件付) 2060年
メキシコ -22%(BAU比)(無条件) / -36%(BAU比)(条件付) 2050年
トルコ 最大-21%(BAU比) -
サウジアラビア 2.78億t削減(2019年比) 2060年
南アフリカ 2026年~2030年の排出量を3.5~4.2億t 2050年
アルゼンチン 排出上限を年間3.59億t 2050年

2. 国外における近年のコンプライアンス違反事例

(1)全体傾向

従前、特にアジアの途上国では法規制は存在するものの、必ずしも運用は厳格に行われてこなかった。形骸化していた法規制も散見されていたように思われる。しかしながら、ここ数年における法規制違反事例を概観する限りでは、途上国においても厳格に運用する状況が確認される。また、罰金・制裁金等のペナルティについては当局との交渉によりその金額が確定する事例が少なからず存在し、当局が行う捜査への協力姿勢を示すことにより減額される事例や、違反が発生してしまったものの、事前対策が十分であったことが確認された場合には、減額、さらには立件されない事例も見受けられる。

(2)分野別事例

贈収賄

FCPA違反を根拠とする米国・司法省からの摘発は 2022年10件発生し、制裁金の総額は9億2400万ドルに上った。個人が19人起訴されたが、これは過去最も多い数であった[17]。 その他、アジア各国においても摘発事例が確認され、各国当局の贈収賄に対する厳しい姿勢がうかがえる。

データ保護

GDPR違反を根拠とするEUの各国・データ保護委員会(Data Protection Commission:DPC)からの摘発については、高額な制裁金及び実質的な市場からの退場を求める政府と、大規模IT事業者の間で激しい争いが続いている。また、日本企業も摘発を受ける事例が確認されている。アジア各国においても、情報管理の厳しい中国において、タクシー配車アプリサービス大手が個人情報管理の不備を理由に摘発されるに至っている。

営業秘密違反を根拠とする摘発については、政府・当局からの摘発ではなく、他企業からの摘発が特徴的である。営業秘密に関する法規制の場合は、違反による影響を最も受ける主体が企業であるため、そのような傾向があるものと思われる。アジアにおいては、中国への営業情報の提供が政府・当局により摘発された事例が確認される。 

環境対応

環境法規制違反については、自動車メーカーに関する事例が多い。温室効果ガスの発生原因の主たるものとして、ガソリンやディーゼル燃料による自動車からの排出ガスが挙げられることから、COPの合意に基づき策定された法規制の多くが自動車産業に向けられていることが背景にあるものと思われる。一方アジアにおいては、中国において競合企業からの摘発事例が確認されている。 

3. 本社・海外現地法人に求められる海外法規制対策

(1)共通的な対策

各国・各地域において企業が遵守すべき法規制は広範であり、かつ本稿で取り上げているような特定分野については改正の頻度も高い。また法規制の運用については、当局の体制変更の影響を受け、突然厳格になることもあることから注意が必要である。一方で海外現地法人においては、日本本社の法務・コンプライアンス部門と同様の体制を構築することは人材の確保面や予算面を考えれば困難であることが多い。従って、日本の本社と海外現地法人が連携しつつ、法規制を遵守していくような体制の構築が望ましいといえる。なおその際、法規制だけでなく、全社規定等社内ルールの遵守も対象としていくことが効率的かつ網羅的な体制であるといえる。

【平時からの対応事項】
  • 海外現地法人におけるコンプライアンス体制を構築し推進する。具体的には、コンプライアンス担当役員の任命や、コンプライアンスホットライン(社員からの報告を受領する窓口。社外に窓口を設置することが望ましい)の設置、コンプライアンス教育や監査実施計画の策定と実施等を定め、推進する。
  • 海外現地法人において遵守すべき法規制を洗い出し、チェックリスト化する。それを本社と現地法人で共有し、定期的に実施する内部監査等に活用する。また、法規制の変化点確認も遺漏なく行う。
  •  海外現地法人にて、必要なコンプライアンス教育を計画的に実施する。またその実施範囲は日本人駐在員だけでなく、ローカル社員も対象として実施する。
図 1 企業が遵守すべきコンプライアンスの範囲(筆者にて作成)

図1 企業が遵守すべきコンプライアンスの範囲(筆者にて作成)

(2)分野別の対策

贈収賄

海外現地法人は当該国で活動をする中で、認可申請等各種書類の提出や行政事業への入札等、様々な局面で行政当局の担当官と接点を持つ。そのため、各国で定められている外国公務員に対する贈収賄の関連法規制を把握して、適切に遵守することが求められる。

【平時からの対応事項】
  • 日本の不正競争防止法にも抵触することから、FP(ファシリテーションペイメント)であっても行わない。
  • 過去にFPを行ってきた場合は、行為を中止させる必要がある。海外現地法人の会計帳簿から使途不明金を洗い出し、それが公務員へのFPであった場合は行為の中止を指示する。
  • 現金だけでなく、公務員個人への贈答や旅行・研修費用の拠出、無償の役務提供も賄賂とみなされる可能性があることから、行わない。
  • 過去に公務員への贈答や費用拠出、無償の役務提供を行ってきた場合は、行為を中止させる必要がある。海外現地法人の会計帳簿や渉外担当者へのヒアリングから対象を洗い出し、行為の中止を指示する。
  • 社員のメール授受を監視、定期的にデジタル・フォレンジック(電子情報の解析による現状把握)を行い、疑わしい行為を行っている社員から事実確認を行う。
  • 民間賄賂も禁止されている場合は、上記の取り組み範囲を民間取引にも拡大する。
  • 上記の取り組みを徹底するために、現地法人の社長はトップメッセージとして、贈収賄との決別について社内に発信する。また、マネージャークラス以上に対しては書面にて誓約してもらう。
    【当局から摘発された際の対応事項】
  • 当局から摘発された場合、本社は現地法人から事情を聴取し、平時からの贈収賄を行わないための取り組み現状について確認する。その結果、組織として贈収賄対策が十分に行われていたものの、一個人として遵守が出来ていなかったことによる事案であることが判明すれば、当人を懲戒解雇としたうえで、摘発をした国の当局に説明を行い、処罰を免れるための努力を行う。 

データ保護

海外現地法人において、部署によっては本社等のデータ連携は日常的に行われている場合がある。その中に、域外移転を禁止されている情報が含まれていないか注意する必要がある。またインシデント発生後の対応については、報告の迅速性が法的にも要求されている場合があるので注意が必要である。

【平時からの対応事項】
  • 海外現地法人において情報セキュリティ部門を設置する。情報セキュリティ部門は、セキュリティホールにより個人情報等が漏洩する事故が起きないように、ネットワーク、ハードウエア等のウイルス対策をタイムリーに実施する。また、海外現地法人として標的型メール訓練を実施するなどして、一般社員がセキュリティホールを作らないように注意する。
  • 海外現地法人の各職場において、個人情報の所在を特定する。特定後は、海外現地法人の職場責任者、及び相対となる本社部門の責任者に対して個人データの域外移転に関する規制について周知する。特に、クラウドで海外現地法人と本社がデータ共有を行っている場合は、その中に個人情報が含まれていないか注意する必要がある。
  • 海外現地法人に所在する個人情報についてのライフサイクル(取得・移送・加工・保存・廃棄)の実態を把握し、それぞれのプロセスにおける管理の脆弱性や違法性を洗い出し、必要な対策を行う。
  • ローカル社員が退職する場合で、その社員が個人情報、及び秘密情報にアクセスが出来ていた社員である場合には、退職後も個人情報や秘密情報を外部に漏洩しないことを本人に誓約させる。また、本人が退職を申し出た段階で、本人のメールフォルダ等を調査し、勤務中に怪しい動きが無かったか確認する。
【当局から摘発された際の対応事項】
  • 情報漏洩のインシデントが発生した場合、海外現地法人は本社、及び監督当局への報告を迅速に行う必要がある。インシデント発生後の当局報告について、例えば GDPR では「管理者が個人データ侵害を気付いた段階から 72 時間以内に監督機関へ報告する義務がある」としており、遅延した場合は更なるペナルティを課せられる。他国でも同様の規定が存在することから注意が必要である。
  • 監督当局から摘発された場合は、平時における対策について丁寧に説明し、日々の対応に不備が無かったことの説明に努める(それにより、減刑を企図する)。

環境対応

環境対応については、当局の当該法規制に対する監督方針を正しく把握したうえで、海外現地法人で数値が改ざんされるリスクが無いか、また管理がずさんなものになっていないか等をまず確認する必要がある。そのうえで、監督当局から検査が入っても適切な説明ができるよう、管理体制を整備することが求められる。 

【平時からの対応事項】
  • 自動車メーカー、及び関連サプライヤーにおいては、海外現地法人において環境対応部門を設置し、製品の法規制遵守と工場内の法規制遵守について管理する(化学メーカーにおいては従前より各国の法規制(特に水質に関する法規制)が厳しいことから、現地法人においても環境対応部門を設置されているものと思料)。
  • 海外現地法人におけるモニタリングの方法と認識している規制値が、当局が求める方法・規制値に合致していることを確認する。日本における測定方法と異なる場合があるので注意が必要である。また、当局も担当によりその解釈が異なる場合もあることから、当局の体制が変更するたびにその解釈について確認を求める必要もある。
  • 海外現地法人における測定結果について、適切に管理されていることを確認する。特に、性悪説に立ち、数値の改ざんが行われる環境にないか、注意する必要がある。
    【当局から摘発された際の対応事項】
  • 監督当局から摘発された場合は、当局と粘り強く対話を行い、減刑に努める。

4.まとめ

本稿では、法規制の世界的な潮流と各国・地域における法規制の内容、摘発事例を整理したうえで本社・海外現地法人にて求められる対策について整理した。本稿が、貴社におけるリスクマネジメントへの意識を高める一助となれば幸いである。 

参考情報・サービスご案内

執筆コンサルタント

青島 健二
ビジネスリスク本部 上級主席研究員
専門分野:新規事業開発、業務/IT改革、企業リスク管理、海外現地法人管理

海外現地法人等のコンプライアンス体制構築支援

脚注

[1] 本条約は、OECD加盟国以外にも開放されており、2005年までにOECD加盟国30ヶ国(豪州、オーストリア、ベルギー、カナダ、チェコ、デンマーク、フィンランド、仏、独、ギリシャ、ハンガリー、アイスランド、アイルランド、伊、日本、韓国、ルクセンブルク、メキシコ、オランダ、ニュージーランド、ノルウェー、ポーランド、ポルトガル、スロベニア、スペイン、スウェーデン、スイス、トルコ、英、米)、及びアルゼンチン、ブラジル、ブルガリア、チリ、スロバキア、エストニアの6ヶ国が締結。
https://www.meti.go.jp/policy/external_economy/zouwai/keii.html#ftn4
[2] 出所「東南アジア諸国の汚職防止法制」(国連アジア極東犯罪防止研修所2021)等
[3] https://www.meti.go.jp/policy/external_economy/zouwai/pdf/GaikokukoumuinzouwaiBoushiShishin20210512.pdf
[4] 実効性を持たせるためには、EU指令はEU加盟国による法制化を要するが、EU規則はEU加盟国に同一に直接効力を持つ。
[5] 出所:データの越境移転に関する研究会報告書(2022年、経済産業省)
https://www.meti.go.jp/shingikai/mono_info_service/data_ekkyo_iten/pdf/20220228_2.pdf
[6] ① 公的機関又は公的組織の間の法的拘束力・執行力のある文書
② 拘束的企業準則(Binding Corporate Rules:BCR)
③ 欧州委員会が採択した標準契約条項(Standard Contractual Clause:SSC)
④ 監督機関が採択し、欧州委員会が承認した SSC
⑤ 所定の行動規範(管理者や処理者の業界団体が制定する自主ルール)
⑥ 管理者や処理者のデータ保護措置が GDPR を遵守していることの認証
⑦ 監督機関の個別的な承認を受けた契約条項又は取決め
[7] ① 適切な保護措置が講じられていないことに伴うリスクについてデータ主体が情報提供を受けた上で、個人データの EEA 域外への移転に明示 的に同意している場合
② データ主体との間の契約の履行又はデータ主体が要請する契約締結前の措置の実施のために必要である場合
③ 第三者との間の、データ主体の利益になる契約の履行又は締結のために必要である場合
④ 公共の重大な利益のために必要である場合
⑤ 法的主張の立証又は攻撃・防御のために必要である場合
⑥ データ主体が物理的又は法的に同意できない場合で、データ主体又は第三者の生命に関する利益を保護するために必要である場合
⑦ EU 法又は EU 加盟国の国内法に従う一定の登録機関からの移転である場合
[8] 出所:個人情報保護委員会「諸外国・地域の法制度」、JETRO「デジタル個人情報保護法案、公開時点では不明瞭な点も(インド)」
[9] 各国の法制度は、必ずしも日本の個人情報保護法のように包括的ではないことに注意する必要がある。
[10] 出所:営業秘密に関する欧米の法制度調査(2022年3月 独立行政法人日本貿易振興機構 ニューヨーク事務所)
[11] 各州法では具体的に例示。例えば、マーケティング計画、商業図面、食品等のレシピ、販売データ、製造プロセス、化学式、顧客に関する、詳細情報。
[12] 出所:特許庁「各国における知的財産権保護の状況に関する調査」
https://www.jpo.go.jp/resources/report/takoku/document/trips_chousa_houkoku/29_2.pdf
[13] 国連気候変動枠組条約(UNFCCC)に基づき設置された常設の最高意思決定機関である「Conference of the Parties (to the Convention)」(気候変動枠組条約締約国会議)の略称。
[14] 出所:外務省「気候変動」
https://www.mofa.go.jp/mofaj/ic/ch/page1w_000121.html
[15] 大気中に排出される温室効果ガスと大気中から除去される温室効果ガスが同量でバランスが取れている状況
[16] 特段の対策のない自然体ケース(Business as usual)
[17] https://www.gtlaw.com/en/insights/2023/1/fcpa-year-in-review-2022

PDFファイルダウンロード

世界的な法規制の動向と、本社・海外現地法人に求められる対策PDF

リスクマネジメント最前線トップへ戻る