◆個人情報保護法とは、個人情報の適正な取り扱いを目的として制定された日本の法律である。個人情報の収集、利用、保管、提供、消去に関する基本的なルールを規定し、個人の権利を保護することを目的とする。個人情報を扱う事業者は、個人情報取扱事業者(または、個人関連情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者)となる。
◆重大な影響がある業種の例として以下を挙げることができる。なお、業種に関係せず全ての企業は、自社の従業員に関する個人情報保護の義務を負う。
▽IT・通信業界:個人情報の大量処理を行うため、漏洩リスクが高い。
▽医療機関:患者情報がセンシティブ情報に該当し、漏洩が深刻な被害をもたらす。
▽金融業界:口座情報やクレジットカード情報が漏洩すると深刻な経済的な被害までもたらす。
▽教育サービス業界:学生や保護者、受講生の個人情報が大量に扱われる。
▽小売・Eコマース業界:顧客データが商品購入履歴などとともに管理される。
◆ 個人情報が企業から漏洩する典型的な原因には以下のようなものがある。
▽サイバー攻撃:ハッキングやランサムウェアなどにより、個人情報が外部に流出する。
▽人的ミス:従業員の不注意なEメール添付ファイル操作等により個人情報が漏洩する。
▽内部関係者の不正行為:従業員や業務委託先等が意図的に個人情報を持ち出す。
▽物理的紛失:故人情報が保存されているUSBメモリやノートPCの紛失。
▽委託先の管理不備:業務委託先での個人情報の管理体制の欠陥・不備。
◆個人情報保護法違反をした企業へのペナルティやレピュテーションリスクとしては以下のようなものがある。個人情報取扱事業者等(法人)と関与従業員(個人)の両罰規定である。
▽法的制裁:改善命令や罰金。重大な場合、行政指導を超えて業務停止命令が下る可能性。
▽賠償請求:被害者から損害賠償を求められる。
▽信用失墜:顧客や取引先の信頼を失い、企業ブランドが著しく低下。
▽売上減少:顧客離れや契約解除による売上減少。
-1024x917.jpg)

【Plus】M&A売主がM&Aプロセスで個人情報管理について留意すべき点
▽個人情報を買主に開示する際の注意点:M&Aプロセスでは、個人情報を含む詳細データを買主候補に提供する必要がある。個人情報保護法(27条5項2号)によれば、M&A検討目的で利用する限り、本人同意は不要である。つまり、個人情報を買主候補にそのまま開示しても法的な問題はない。しかし、M&A取引が破談に至る可能性があるため、売主は、対象企業の利益を保護する観点から機密保持契約(NDA)を締結するとともに、顧客情報や従業員情報を悪用されないよう、工夫した情報開示をする必要がある。悪質な目的を持つ買主候補の場合、DDの手間だけで対象企業が管理する顧客や従業員の個人情報に獲得しようとするかもしれない。最悪ケースも想定し、情報開示にあたっては、個人を特定できないよう加工する必要がある。集客に苦労する業界、人集めに苦労する業界では特に必要性が高い。買主候補が同業の場合、このリスクはさらに高まる。
▽バイサイド法務DDでの注意点:バイサイド法務DDでは、対象企業の個人情報保護法の遵守状況や情報管理体制及び過去の漏洩事案を調査する。過去になんらかの情報漏洩事件が発生している場合、過度に保守的な評価をされないよう、売却準備をした上で最適な表現方法で情報開示すべきである。透明性確保と保守的評価への防衛のバランスが重要となる。
▽シナジー実現のための本人同意:M&A取引が成約に至ると、買主は対象企業とのシナジー効果を発現させるべくPMIの中で事業の統合活動を実施する。通常、シナジー効果のための個人情報の利用は、対象企業による個人情報の利用目的の範囲を超えていると判定されるため、本人同意の手続きが必要となる。