SatoYuki-Yuki Sato's Law Blog-

Partner, Attorney at Law admitted in Japan and New York. My areas of practice include M&A, corporate laws, investment funds as well as capital markets.

M&A等におけるデュー・ディリジェンスに伴う個人データの相手方への提供について

M&A

f:id:yukis725:20171224025627j:plain

あっという間に法務アドベントカレンダーの時期がやってきました。1年はあっという間です。

昨年から本年は、大改正があったことで関心が高まった個人情報保護法(本年5月30日から完全施行。以下「法」)に関連する執筆に複数携わらせていただきました。

「クロスボーダーのM&Aプロセスにおける個人情報の保護と利活用」(ow.ly/9bqF30hpvDa) 

個人情報保護法相談標準ハンドブック」(ow.ly/HUlO30hpvGk) 

本日はその中で、気になっている(自分の中で腹落ちしていない)ことの1つ、M&Aや投資におけるデュー・ディリジェンスの場面での個人情報[1]の取扱いに触れたいと思います。

1.個人データの第三者提供の原則と例外

個人情報取扱事業者[2]が個人データ[3]を第三者に提供する際には、原則として本人の事前の同意を必要[4]となりますが、以下の場合には、本人の事前の同意を得ることなく、個人データを第三者に提供することができることとされています。個人情報の主体である本人の権利・利益と、個人情報の有用性、利便性のバランスを取ったものです。

まずは、法第23条第1項各号の場合ですね。

① 法令に定める場合

② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

それから、

⑤ いわゆるオプトアウトによる場合(本人の求めに応じて個人データの第三者への提供を停止することとしている場合であって、所定の事項につき、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たとき[5])(法第23条第2項)

さらに、以下の場合は、当該個人データの提供を受けた者は「第三者」に該当しないこととなります。この場合、確認・記録義務(法第25条、第26条)も不要となります。

⑥ 個人データの取扱いの委託による場合(法第23条第5項第1号)

⑦ 合併その他の事由による事業の承継による場合(同第2号)

⑧ 共同利用による場合(同第3号)

以上の例外事由に該当する場合は、本人の事前の同意を得ることなく、個人データを第三者に提供することができることとされています。

2. デュー・ディリジェンスに伴う個人データの相手方への提供

以上の8つの例外事由のうち、M&Aの場面で最初に思いつく例外事由は、⑦合併その他の事由による事業の承継による場合ですが、そもそもM&Aの前段階となるデュー・ディリジェンスの段階では、合併も事業の承継も行われておらず、⑦の例外に文言上該当しないのではないかという疑問が生じますが、この点、合併先又は事業の承継先候補者に個人データの提供をすることも「合併その他の事由による事業の承継による場合」に該当するものと考えられます。もっとも、「利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約」を締結することが必要となります(個人情報の保護に関する法律についてのガイドライン(通則編)52頁)[6]

そのため、M&Aの前段階となるデュー・ディリジェンスの段階であっても本人の事前の同意を得ることなく、個人データを第三者に提供しうることになります。

3. M&Aのスキームと個人データの相手方への提供の可否

M&Aの前段階となるデュー・ディリジェンスの段階であっても、個人データの提供が認められるとしても、そもそも、M&Aの手法はいくつかあり、全ての手法が「合併その他の事由による事業の承継」に該当するわけではないのではないかという疑問があります。会社の合併や事業承継は当然「事業の承継」に該当しますが、事業会社やファンド(以下「投資家」)が、対象会社を子会社化すべく株式の譲渡[7]を受けたり、あるいは完全買収ではなく(大)株主となったりする場合、「合併その他の事由による事業の承継に伴って、個人データが提供される場合」ないしこれに準じて、本人の承諾なしに個人データを投資家に提供することは認められるでしょうか。

この点、結論から言うと株式の譲渡を受ける場合に伴い、個人データが提供されるときは、「事業の承継」に伴う第三者提供の例外にはあたらず、原則どおり本人の同意が必要と解さざるを得ないでしょう。

事業の承継がなされないのであれば、本人の承諾なしに個人データを第三者提供させる必要がないでしょうということなのでしょうね。実際、個人情報が塗りつぶされた形で開示されることもあります(その方が受領側も管理の負担が軽くなりますし)。

ただ、株主名簿の個人情報(氏名や住所)はどうなのでしょうか?投資家は、株主名簿を確認した後、当該株主について反社会的勢力(対象会社がベンチャー企業であり投資後上場が想定されるといった場合では反市場勢力でないかも)チェックすることになるでしょうから、塗りつぶすわけにいきません。本人の承諾を取ることも難しいでしょうし…。

そうなると、

(1) 本人の同意をとる

(2) 個人データの取扱いの事務を委託している(とこじつける構成する)

(3) 合併その他事業の承継に伴って提供される(とこじつける構成する)

(4) 財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(と構成する)

のいずれかになるのでしょうか。

(2)委託又は(3)事業の承継というのもありうるかと考えたのは、個人情報保護委員会が公表する改正法に関するQ&Aで、金融機関からの債権の買取りの入札に関する事案において、質問自体は、確認・記録義務に関するものですが、譲渡対象債権のデュー・デリジェンスを行って入札価格を提示したものの、落札に至らなかったために、守秘義務契約に基づき当該データを速やかに削除する場合には、「その提供の形態は実質的に委託又は事業承継に類似するものと認められ」るとして、「その他確認・記録義務を課すべき特段の事情」がなければ、確認・記録義務の対象にはならないと説明されていることから可能性もありうるかと考えました。

(1)同意を取るのは正面突破ですね。投資について説明しないといけないような場合(同意なしに投資を受けることが禁止されるような株主間契約が存在する場合)は、その際に対象会社から話をしてもらうのでしょう。

それが難しいような場合であれば、(4)財産保護のために必要で本人の同意を得ることが困難な場合、に当てはまるかどうかでしょうか。「人の同意を得ることが困難であるとき」とは、物理的に同意を得がたい場合に限られず、悪質なクレーマーであることの情報のように本人が同意することが社会通念上期待しがたい場合等も含みますので、場合によっては該当しそうな気もします。そんな株主がいるような会社に投資するのは嫌ですが・・・

なお、1株でも持っていれば、株主として株主名簿閲覧請求権(会社法第125条第2項)として認められますね。また、M&A完了後に、上述した共同利用の形をとって対象会社が取得した個人データの提供を受けることも考えられます[8]

いずれにせよ、株式の譲渡を受ける場合など、「事業の承継」に該当しない場合には、個人データの提供にあたり本人の同意を求められる可能性が高いことになります。また、個人データの提供を受けた第三者として確認・記録義務(法第25条、第26条)が生じることになります。

以上のとおり、株式譲渡によるM&Aや第三者割当増資による出資にかかるデュー・ディリジェンスは、「事業の承継」に該当するM&Aにかかるデュー・ディリジェンスとは異なる規制が生じるため留意が必要です。上記の話でいえば、株主名簿の提供等は株主の同意が必要となり[9]、同意の取得ができなかった場合、個人情報保護法との関係では、デュー・ディリジェンスの深度も「事業の承継」に該当するM&Aにかかるデュー・ディリジェンスよりも浅くならざるを得ないということは意識しておく必要があろうかと思います。

 

来年になってしまうかもしれませんが・・・、次回は、適格機関投資家特例業務と犯収法の適用範囲について取り上げてみたいと思います。

 

[1] 法改正に伴い「個人情報」の定義も変更され、①氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)と、②個人識別符号が含まれるもの(一定のゲノムデータ、顔認証できるようにした顔の骨格等から抽出した特徴情報、パスポート番号等)が含まれます(法第2条第1項、個人情報保護法施行令第1条、個人情報保護法施行規則第2条乃至第4条)。

[2] 個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している民間事業者を指します(法第2条第5項)。

[3] 個人情報データベース等(個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの等をいう。)を構成する個人情報を「個人データ」といいます(法2条第6項)。

[4] 金融分野や厚生労働分野においては、原則として書面による同意を取得するようガイドラインで規定されています。

[5] 第三者提供をそもそも個人情報の利用目的としている場合です。個人情報保護委員会への届出が必要という改正がなされた箇所ですね。なお、個人情報保護員会ウェブサイトをみると、本日現在119件の届出がなされています。

[6] 個人データ以外の機密情報についてはどうでしょうか?多くの場合重要な取引先の契約が承継先候補者に開示されると思われますが、取引先との契約には守秘義務条項があり、M&Aの場合に承継先(買主)に当該契約が開示されることなど想定した記載はないでしょう。法令又は契約上の例外規定はないので、承継先候補者と秘密保持契約を締結した上で、自己責任で開示することになるでしょう。

[7] 第三者割当増資により議決権の過半数を取得する場合を含みます。

[8] 顧客にグループ会社からの商品情報を送ったり、従業員のHR関連情報を共有するなど、共同利用はグループ会社間でとられることがありますが、この場合は、対象会社のもともとの利用目的の範囲でしか共同利用を行うことはできません。

[9] それ以外にも書類の真正性を確認したり、又は個人情報を削除するのが難しかったりする場合、個人情報が含まれた形で書面や情報が開示されることもあるでしょう。