規制強化が続くデータ保護／プライバシー保護におけるグローバル対応（参天製薬）

法務・コンプライアンス部門の役割は責任負担の最小化だけではない

篠宮：
最初に増成さんのご経歴を教えてください。

増成：
28年間、一貫してインハウスの法務を担当しています。参天製薬に入社したのは4年前で、最初の1年間はライセンスやM&Aなど、戦略案件に特化した法務業務を担当していました。

その後、北米への本格市場参入に先立ち、法務業務全般を統括するため、2年間北米に赴任しました。その後、日本に帰国し、現在は法務・コンプライアンス業務をグローバルで統括する法務本部長兼最高コンプライアンス責任者（General Counsel 兼 Chief Compliance Officer）として働いています。

篠宮：
参天製薬の法務・コンプライアンス本部は、どのようなミッションを担っているのでしょうか。

増成：
ミッションは「会社の持続的かつ健全な成長に貢献する」ことです。法務・コンプライアンスと聞くと、リスク管理や契約審査を行い、「Liability Exposure（責任負担）」を最小化する部門だと思われがちです。私たちはそれに加え、「Business Capability（事業能力）」を最大化するため、法務の観点から専門的なアドバイスをタイムリーに提供し、価値創造と競争力強化を生む経営施策の策定に貢献することを目指しています。つまり、「ビジネスに与えるマイナスを最小化し、ビジネス価値の最大化に貢献する」という役割を担っているのです。

篠宮：
法務・コンプライアンス本部は、グローバルに人材を配置していると伺いました。どのような組織体制なのでしょうか。

増成：
日本、中国、それ以外のアジア地域、北米、EMEA（Europe, the Middle East and Africa）の5地域体制で、各地域に法務とコンプライアンスの機能を設けています。人員は計33名で、全員が私に報告する体制を構築しています。

篠宮：
プライバシー関連の法規制への対応も、法務・コンプライアンス本部が担っていますよね。

増成：
はい。個人情報を主管する部門が法務・コンプライアンス本部であり、技術セキュリティを担当するIT部門と連携しながら対応しています。法務・コンプライアンス本部の中にはグローバル行政を担当するグループがあります。同グループは、グローバルで個人情報保護を推進する旗振り役として位置付けられています。各地域での施策の実施は、それぞれの法務部門が責任を負っています。

とはいえ、各地域の法務担当者が個人情報保護に関する施策のみに特化できるわけではありません。それ以外の法務にも対応するため、個人情報保護に関する適切なガバナンス体制を構築するのは簡単ではないのです。そこでこのたび、個人情報保護施策の浸透のため、各現地法人で「Privacy Data Manager」を任命しました。彼らは個人情報業務専任ではなく、営業、経理といった本来の業務を持っています。法務部門が提供するトレーニングの受講を他のメンバーに促したり、通知書や同意書のフォーマットの使用を徹底したりして、現場における個人情報保護意識の向上、施策の徹底に寄与してくれています。

グローバルなコンプライアンス体制構築で学んだこと

篠宮：
個人情報保護規則への対応をグローバルで円滑に進めるために、どのような取り組みをしていますか。

増成：
最初に実施したのは、グローバル全体で法律の遵守や個人情報保護に対する認識を合わせることでした。各国や各地域、さらには役職や部門によって、個人情報保護の優先順位や、その時点でできていることとできていないことへの認識に差があったからです。ですから第三者に入ってもらい、客観的な視点でアセスメントを実施しました。そして「法律遵守や個人情報保護のあるべき対応」と「参天製薬が実施している対応」を比較し、その結果を経営陣に示すことから始めました。アセスメントの内容は非常に厳しいものだったのですが、結果的に取り組みの必要性を社内で共有でき、理解が進んだことは大きな収穫でした。

篠宮：
その上で各国・各地域の統括部門と連携し、協働体制を構築していったのですね。

増成：
はい。そこで必要だと感じたのは「グローバルなリーダーシップ」でした。法律や個人情報に対する考え方が各国で異なる中、参天製薬全体のポリシーとして、法律の有無に関わらず最低限守るレベルはあるべきです。ですから現在は、グローバルで守るべき個人情報保護のベースラインの策定に取り組んでいます。

策定にあたっては、各国・各地域の法律や実態に照らし、それが本当に機能するのかどうかを、地域法務担当者を交えて議論しています。それを実装する際には、地域の特殊事情を考慮しながら、各地域の担当者が責任をもって行うという協働・役割分担の考え方で進めています。

篠宮：
各国・各地域によって事情が異なりますから、グローバルなベースライン策定にあたっては議論が紛糾したのではないでしょうか。

増成：
そうですね。先ほど、個人情報保護の取り組みの必要性について経営陣の認識合わせを行ったとお話ししましたが、そこでも地域間での温度差がありました。例えば、欧州ではグローバルな取り組みを始める以前から、GDPRに必要な対応を独自で進めていました。それに対し、アジア地域の一部から「自分たちもGDPRと同等の対応をする必要があるのか」というとまどいの声が上がりました。

各国でこうした懸念があるのは当然だと言えます。全てを共通化すると、最も厳しい基準に合わせないといけなくなります。個人情報保護法が厳格でない地域にGDPRと同等の対応を求めることは、現場の負荷を不必要に上げてしまいます。ですから、法律に関係なく守るべき部分と、カスタマイズしてよい部分を明確にしながら、過度にビジネスに負担をかけたり、多くの制約を課したりしないやり方を目指しています。

篠宮：
グローバルなコンプライアンス体制構築に実際に取り組んで得られた気付きを教えてください。

増成：
2つあります。1つは「ビジネスの実態」と「法律のハイレベルな規定」との間には大きなギャップがあるということです。法の規定を読んだだけでは「実際のビジネスで何をどうすればよいのか」が分からない部分が多くありました。その点、GDPRは規制当局が開示している情報量が多く、規則の解釈についてもさまざまなリソースがありました。EMEAの法務・コンプライアンス部門は、そうした情報を実務に落とし込んでいます。ですから、グローバルなベースラインの策定や汎用的なひな形を作る際に非常に参考になりました。本社が地域の取り組みを学べるよい機会になったとも思います。

もう1つはアジア地域での対応の難しさです。国ごとに異なる個人情報保護規定に対して、実務負荷と管理の難しさという観点から、各国仕様のルール設定や書式の用意はできません。また、ベースラインを策定したとしても国によって意識にばらつきがあるので、本社からの支援が必要だと感じています。