現在、私がパートナーを務めるS&K Brussels法律事務所は、主に日本のグローバル企業に向け、データ保護・プライバシー規制について、各法域の立法機関の動きを注視しながら、コンプライアンス対応のプロジェクトサポート、監督当局との交渉・防御、苦情申立てへの対応、データ関連の契約交渉、データ保護責任者業務、データ保護監査に関する助言、訴訟サポートなどを提供しています。GDPR、CCPA以外にも、日本、英国、中国、タイ、シンガポール、ブラジル、インド、ロシアといった法域のデータ保護・プライバシー保護法・法案にも対応。また、現地弁護士のサポートが必要な場合のリエゾン業務など、ワンストップで対応できる支援体制を整えています。
データ保護法に関するコンプライアンス対応では、自動車、インターネット、金融、ゲーム、医療など多様な業界において、各企業の事業形態により異なる特有の問題を踏まえた助言・サポートを経験してきました。なかでも先端的な事業分野――自動車の安全運転技術や配車アプリに関する事業、IoT事業の海外展開、Cookie規制対応、大規模な情報処理を伴うデジタル・マーケティング活動などの支援を多く行っています。なおGDPRに則ったEUおよび英国のBCR(拘束的企業準則/企業グループ内で自由に個人データの流通を行うことを可能とする)という個人データ移転のメカニズムも熟知しており、BCR文書の作成や監督当局との折衝も得意としています。
データ保護法対応の難しさの一つは、例えば租税法のように細かい規定がなく、規制の枠組みが抽象的に記載されているケースが多いこと。つまり、どの程度の対応が求められるのか、その規律が曖昧なのです。監督当局もガイドラインなどを公表することで、具体的なルールを示そうとしますが、そのルールは不明瞭で、企業の実態と合わないケースも少なくありません。そうした環境下で企業として取るべき対応を明確にすべく、私はデータ保護規制の基本原則を踏まえ、監督当局による執行リスクやレピュテーションリスクなどを多角的に検討し、“企業として実務的に対応可能で現実的な解決策”の実現を常に心がけています。特にデータ保護分野については、GDPR適用開始前から、データ保護法に関するコンプライアンス対応に幅広い業界で携わってきたことが私の強みとなっています。
また、当該分野においては、企業内のコンプライアンス体制構築の問題にとどまらず、企業間の取引契約における契約交渉、契約当事者間での紛争、監督当局からの調査・執行、個人からの訴訟提起など、様々な場面で問題が生じる可能性があります。私は、長島・大野・常松法律事務所時代、企業間の契約交渉はもちろん、外国の監督当局による不正調査への対応、大型の国際仲裁を含め多数の案件を経験してきました。こうした知見に基づき、データ保護の問題が生じ得る多様な場面を想定しながら、最善の助言を提供しています。