このコラムでは、スタートアップM&Aや非上場中小企業M&Aを主に念頭に置きつつ、M&Aのデュー・デリジェンスにおける個人情報の取り扱いについて解説します。
1.M&Aのデュー・デリジェンスで個人情報の取り扱いが問題となる場面
スタートアップM&Aや事業承継M&Aなど、中小企業M&Aのデュー・デリジェンスにおいて、個人情報の取り扱いが問題となる場面としては、例えば以下のような場面が考えられます。
① 個人株主の情報が載った株主名簿の開示を受ける
② 株式譲渡契約の締結の可否や手続きを判断するため、高齢株主の意思能力(認知症等)に関する情報の提供を受ける
③ 労務関係のデュー・デリジェンスで、従業員との労務紛争や時間外労働の状況に関する情報提供を受ける
このコラムでは、以上のような場面を想定して、個人情報をどのように取り扱うべきかを検討します。なお、取引ストラクチャとしては、最も頻繁に用いられているストラクチャである「株式譲渡」を想定して議論します。また、買い手企業、対象会社とも日本の国内法人という前提で検討します。
2.関連する法規制の概要
まず、買い手企業は、後述する事業承継の例外の適用を受けられる場面を除き、対象会社から見て「第三者」当たりますので、第三者に個人情報を提供する場合のルールが問題となります。そこで、関連する個人情報保護法上のルールについて説明します。
まず、個人情報取扱事業者(日本で事業を営む企業は、基本的に個人情報取扱事業者に当たります)は、取り扱う個人情報の利用目的を特定(個人情報保護法(以下「法」といいます)17条1項)して通知・公表しなければならず(法21条1項2項)、個人情報の利用は、原則としてその利用目的の範囲内で行わなければなりません(法18条1項3項)。そして、第三者提供も、個人情報の「利用目的」の一種とされていますので、第三者提供が上記の「利用目的」の範囲外となる場合は、法令に基づく場合、人(法人を含む。)の生命、身体又は財産の保護のために必要な場合で本人同意を得るのが困難な場合など一定の例外にあたる場合を除き、本人の同意を得なければできません(法18条1項3項)。従って、第三者提供が利用目的の範囲内かどうかが問題となり、その範囲内であれば買い手企業に提供できるものの、範囲外の場合は原則として本人同意がない限り買い手企業に提供できないことになります。ただし、元の利用目的と関連性を有すると合理的に認められる範囲であれば利用目的を変更できますので(法17条2項)、その場合は利用目的を変更したうえで買い手企業に第三者提供することができます。
さらに、この個人情報が、個人データ(詳細な定義の説明は省きますが、ざっくり言えば個人情報を検索できるよう体系的に構成されたデータベースに含まれる個人情報のことを指します)に該当する場合は、元々の利用目的として第三者提供が含まれていた場合であっても、原則として、本人の同意がない限り第三者提供できないことになっています(法27条1項)。このように、個人情報保護法では、データベース化された個人情報について、それ以外の個人情報よりも厳格な規制を課しています。なお、元々の利用目的として第三者提供が含まれていなかった場合でも、個別に法27条1項に基づく第三者提供の同意を取れば、目的外利用の同意(法18条1項)も取得したことになりますので、両方の同意を別々に取る必要はありません。また、個人データの第三者提供に際しては、原則として、同意取得義務に加えて、提供者側に提供記録作成義務(法29条)、受領者による確認記録義務(法30条)も課されることとなり、この点でも規制が重くなっています。なお、実務的にはあまり使われていませんが、本人同意なく個人データを第三者提供する手段としてオプトアウト(法27条2項)という方法もあります。
また、「要配慮個人情報」に当たる場合は、一定の場合を除き、本人の同意なく取得できません(法20条2項)。
さらに、M&Aにおいては、事業承継の例外(法18条2項、27条5項2号)も重要です。これは、合併、事業譲渡などで事業を承継する場合に、承継先を「第三者」とは扱わず、元の利用目的の範囲内で承継先が個人データ・個人情報を受け入れ、利用することを認めるものです。なお、この条項は典型的にはクロージング後の個人情報の利用を想定した条項ではないかと思われますが、デュー・デリジェンスの段階でもこの条項が適用できるというのが個人情報保護委員会の解釈です(個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則GL」といいます)3-6-3(2))。ただし、まだ承継が未確定の段階であることから、「当該データの利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約を締結しなければならない。」とされています。
M&Aにおいて議論されることのある論点が、株式譲渡のデュー・デリジェンスにおいてもこの事業承継の例外が適用できないか、という点です。確かに、株式譲受は、実質的に事業を取得する手段の一つですし、実質的に事業譲渡や合併におけるデュー・デリジェンスで情報を入手するニーズと、株式譲受におけるデュー・デリジェンスで情報を入手するニーズは類似するため、事業承継の例外を株式譲渡のデュー・デリジェンスに適用するのは、結論に合理性が認められ、また、M&Aの実務上も非常に好ましいことだと思われます。もっとも、個人情報保護法は、第三者提供について法人単位で考えており、完全親子会社間での情報提供も第三者提供に該当するというのが個人情報保護法上の扱いです。株式譲受の場合は、クロージング後も、買い手企業と対象会社は別会社のままですので、クロージング後に対象会社の情報を買い手企業が取得するためには、第三者提供としての手続きを踏む必要があります。クロージング後でさえそのような手続きが必要であることを考えると、クロージング前に、第三者提供の手続きを踏むことなく提供を認める解釈は、現行の個人情報保護法の解釈として、なかなか難しい面があるようには思われます。
3.第三者提供を行うための法律構成
以下、M&Aにおいて第三者提供を認める法律構成として、どのようなものがあるかを議論いたします。なお、以下の記述は、多分に私見が含まれることをご承知置きください。
(1)事業承継の例外が適用される
上述した事業承継の例外(法18条2項、27条5項2号)が適用できれば、それに基づき個人情報・個人データの第三者提供が可能です。もっとも、現行法上、株式譲受によるM&Aで事業承継の例外が適用されるかどうかは明らかでなく、また、現行の個人情報保護法の解釈として、難しい面があると思われることは、上述のとおりです。
(2)個人情報ではない
個人情報ではない、という主張がなされる場面として、まず、個人名など個人を特定できる情報を消去して(例えば黒塗りにしたうえコピーをとる等して)開示した場合に、個人情報ではなくなる、という主張が想定されます。このようにすれば、買い手企業は個人を特定できなくなりますので、一見もっともな解釈のようにも見えます。もっとも、個人情報保護委員会は、現行の個人情報保護法の解釈として、個人情報該当性(個人特定性)は提供者を基準に判断するという考え方を採用しています。提供者は、元々の情報を持っている以上、それと照合することで、黒塗り部分が何を指しているかは分かり、個人を特定することが可能です。そうすると、現行の個人情報保護法の解釈としてはなかなか難しいといえます。
また、個人に関する情報ではなく対象会社に関する情報である、という主張も想定されます。場合によっては、そのように整理できる場面もありえるかもしれませんが、「個人に関する情報」であることと「対象会社に関する情報」であることは両立するため、あくまで提供者にとっても個人特定性がなく、特定の個人に関する情報を含んでいない、というかなり例外的な場面でなければ、このような整理は難しいといえます。
(3)個人データではない
個人データではない単なる個人情報の場合、法27条1項の第三者提供の規制は適用されません。このため、個人データではないと整理することで、第三者提供が可能になる可能性があります。ただし、個人情報の目的外利用(法18条1項)に当たらないかという論点は別途クリアする必要があります。
上に書いた例でいえば、①の株主名簿などは個人データに該当すると考えられているようですが、単発の個人に関する情報(データベースの中から単発の個人情報を抜き出したのではなく、もともと単発の情報として管理されていたもの)は、個人データに該当しないと考えられます。
ただ、個人データに該当しない情報でも、要配慮個人情報に該当する場合は、原則として取得に本人同意が必要ですので(法20条2項)、やはり取得が難しくなります。この点、上記の②の認知症等の情報は「病歴」として要配慮個人情報に該当する可能性が高いと考えられます。また、③の人事関連情報は、通常要配慮個人情報に当たる情報の提供は求めないと思われますが、受け取った情報に要配慮個人情報が含まれている可能性はあります。例えば、従業員との紛争や懲戒に関する情報の開示を受けた際に、開示された情報の中に従業員の病歴や犯罪経歴、犯罪被害などの情報が含まれている場合などです。
(4)黙示の同意がある
第三者提供について、本人の黙示の同意があるという理由付けです。抽象論としては、個人情報保護法上の「同意」は必ずしも明示的になされる必要はなく、事案次第では黙示の同意が認められる場合があると考えられます(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A 1-61参照)。例えば、「金融機関における個人情報保護に関するQ&A」の6-4では、「債権譲渡に付随して譲渡人から譲受人に対して当該債権の管理に必要な範囲において債務者及び保証人等に関する「個人データ」が提供される場合には、個人情報保護法第 27 条により求められる第三者提供に関する本人の同意を事実上推定できるため、改めて明示的に本人の同意を得る必要は個人情報保護法上ない」としています。なお、付け加えると、「債務者が民法第 466 条第2項に基づく譲渡制限特約を求めていないことを根拠としており、例えば、債権譲渡に伴い第三者提供される「個人データ」の本人が、譲渡制限特約を結ぶことを要求できない立場にある場合等については、同意の事実上の推定が及ばない可能性がある」とも述べています。
黙示の同意があると整理ができるかどうかは、本人が「同意している」といえるような具体的事実関係があるかどうか次第であり、一般的には相応にハードルが高いと思われます。もっとも、株主名簿についてはこのような整理の余地も考えられるように思われます。すなわち、そもそも株式会社の株式は有価証券であって、その性質上、転々譲渡が想定されているものです(譲渡制限をかけた場合でもその効果は限定的にしか認められません)。また、会社法上、株式譲渡等によるM&A取引が想定されており、その場合における完全子会社化等のニーズを考慮して株式等売渡請求権などの制度も設けられています(会社法179条)。このように、株式を保有している会社にM&Aが発生することは一般的に想定されることであり、その場合、株主が誰なのかは重要な情報であるため、株主名簿が開示されることも本人(すなわち、既存の個人株主)の想定の範囲と考える余地があります。また、株主名簿の開示についていえば、会社法上、会社の株主・債権者には株主名簿閲覧請求権が付与されており(会社法125条)、必要な場合には、会社に対して閲覧を求める権利(会社が拒んだ場合は強制する権利)が与えられています。このように、会社法上も、会社の関係者に対して株主名簿が開示されることは想定されています。なお、株主名簿閲覧請求権についていえば、買い手企業は、通常対象会社の株主・債権者ではないためこの権利を行使できませんが、対象会社の100%買収を意図している買い手企業にとって、株主名簿を見る必要性は、株主名簿閲覧請求権を行使できる一般的な株主・債権者に比べても大きいと考えられます。そうすると、既存株主は、株主になることで、M&Aのデュー・デリジェンスのための株主名簿の提供については、黙示の承諾をしているという整理もあり得るように思われます。
他方、人事関係情報については、一般論として、そのような整理はなかなか難しいことが多いと思われます。
(5) 「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当する
「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」には、個人情報の目的外利用の禁止(法18条2項2項)、個人データの第三者提供の制限(法27条1項2号)の対象外となります。また、要配慮個人情報の取得についての本人同意要件も、この場合には適用除外されます(法20条2項2号)。
具体的にどのような場面が該当するかについて、通則GL3-1-5では「人(法人を含む。)の生命、身体又は財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合」おしており、以下のような例を挙げています。
事例1)急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
事例2)大規模災害や事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合
事例3)事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合
事例4)製造した商品に関連して事故が生じたため、又は、事故は生じていないが、人の生命若しくは身体に危害を及ぼす急迫した危険が存在するため、当該商品の製造事業者等が当該商品をリコールする場合で、販売事業者、修理事業者又は設置工事事業者等が当該製造事業者等に対して、当該商品の購入者等の情報を提供する場合
事例5)上記事例4のほか、商品に重大な欠陥があり人の生命、身体又は財産の保護が必要となるような緊急時に、製造事業者から顧客情報の提供を求められ、これに応じる必要がある場合
事例6)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者に提供する場合
M&Aのデュー・デリジェンスでの個人情報の提供を、この例外規定に当たると整理するのは、あまり一般的な考え方ではないようには思われます。確かに、上記のガイドラインで例示されているケースに照らして考えると、M&Aのデュー・デリジェンスでの開示でこの要件を充足すると整理できるケースは相当限られてくるようには思われます。もっとも、例えば、②の株主の意思能力に関わる情報などは、取引を進める上で重要な情報であり、予め本人の同意を取るのも難しい面があるため、該当するという整理もあり得るように思われます。
スタートアップM&Aの法務 他の記事:
1(スタートアップM&Aの特徴)
2(株式の取得方法)
3(M&A対価の分配)
4(ストック・オプションの処理)
5(法務デュー・デリジェンス)
6(基本合意書)
7(最終契約書(株式譲渡契約・運営合意))
8(二段階イグジット)
続編1(表明保証)
続編2(M&Aにおける秘密保持契約書)
続編3(M&Aのデュー・デリジェンスにおける個人情報の取り扱い)(今回)
[ディスクレイマー]
本コラムは、お客様の参考として一般的な情報を提供するものであり、具体的な法的助言を意図したものではありません。また、分かりやすさを保つため、法的には厳密さを欠く表現にしている部分も多くあります。実際の事案を検討される際には、必要に応じて専門家にご相談ください。