デジタル法規制対応のガバナンス個別対応から包括的な対応へ

増加するデジタル法規制と対応コスト

デジタル関連の法規制は世界的に増加しています。データ保護やサイバーセキュリティの確保に係る法律や規則の仕組みは1990年代から発展・増加し、2010年代以降はAIやサプライチェーンセキュリティ、地政学リスクに対応する法規制が整備されています（図表1）。ビジネスのデジタル化が進む中で、各国がリスク管理と競争力維持のバランスを取るために、法規制の強化は今後も続くと考えられます。

図表1：デジタル分野の法規制は2020年から急増

これらデジタル関連の法規制は、対象を「自国市場の中で取引される製品やサービスを提供する企業」、「自国民のデータを取扱う企業」とするケースが多く存在します。企業は自社が所在する国・地域の法規制に対応するのみでは不十分であり、自社製品・サービスの顧客が属する国・地域の法規制を踏まえた製品・サービス設計および管理体制の構築が求められることになります（図表2）。法令の適用範囲は原則として自国領域内とするケースが多い中、販売先顧客が属している他国の法規制を意識する必要があるという点は、多くの企業にとって直感的にわかりにくく、また、少なくとも10年前に想定していたコンプライアンス業務のボリュームや複雑性から比較しても負担が大きくなったのではないかと考えます。

図表2：販売市場の法規制を踏まえた製品・サービス設計が必要

グローバルにビジネスを展開する企業に求められるガバナンス

デジタル関連の法規制の中には、高額な罰金や販売停止措置などの罰則を持つものが存在します。ここで着目したいのは罰金額の計算方法です。罰金額の算出方法の中には、「グローバル全体の売上高のXX%」というものが複数存在します（図表3）。これはたとえ法令違反を実際に起こした法人がグローバル企業グループのごく一部の特定の国・地域の一法人であっても、企業グループ全体の管理・監督責任を問うものです。また、経営者の責任を追及する法令もあり、法人全体による協力が求められる時代になっています*。

図表3：グループ全体売上などを基にした罰則規定

グローバルにビジネスを展開している企業の多くは、各国・地域の法規制への対応は各国・地域に属する法人に任せています。しかし、デジタル関連の法規制の数や複雑性が高まるにつれ、海外法人に義務として求められる事項は以前より増加・複雑化しており、コンプライアンスのために必要な工数やコストは増加しています。特に、規模が小さい海外拠点では、セキュリティや法律の専門家が不足していることが珍しくありません。
グループの親会社は、各国の法人が必要とするリソースを十分に確保することができているでしょうか。例えば、本社が受益者負担の原則に反する形で海外現地法人のための対策費用を負担してしまうと、利益供与と見なされ、移転価格税制上の問題となってしまう可能性もあるため、簡単な問題ではありません。
各国・地域の法人のコンプライアンスはグループ全体の責任とされる現状を踏まえ、企業はビジネスを展開する各国・地域のコンプライアンスを確保するための包括的な仕組みを構築する必要があります。

デジタル関連の法規制が企業に求める行動には共通項がある

グローバルなデジタル法規制の数はかなり多く、PwCがリストアップ、モニタリングするものは500を超えます。ただし、法令の数こそ膨大ですが、その真意や価値観は多くの場合共通しています。各法規制が意図するところ、企業に義務付けさせたい行動の共通項は図表4のように整理できます。各法令で個別に設けている規制を確認する必要性はあるものの、企業に求められる行動は決して対応不可能なバリエーション・量があるわけではありません。企業は、社会が求める価値観の尊重に向けた行動を取ることで、幅広い法令への対応が可能となります。

図表4：各法規制が企業に求める対応

企業に求める行動	説明	代表的な法令
サイバーセキュリティの確保	企業が自社の責任としてサイバー攻撃への防御を行うことを求めるもの。リスクアセスメントの実施やセキュリティ対策の実施、ITシステムの防御強化など	NIS2、CRA
インシデント報告	社会全体でのセキュリティ向上や被害拡大の防止を目的として、情報漏洩などのセキュリティインシデントが発生した際に遅滞なく国の情報セキュリティ機関等への報告を求めるもの	NIS2、CRA、CIRCIA（米国重要インフラ向けサイバーインシデント報告法）
プライバシーの保護	データ主体の権利尊重を主な目的として、個人データの適法な取得、利用、保存および国際データ移転の適切な管理を求めるもの	GDPR、PIPL
倫理的なAIの利活用	人間主導での意思決定の確保等を目的として、AIの透明性・説明責任の確保、偏見や差別を回避するためのバイアス対策などを求めるもの	EU AI法
データ経済の発展	データの公正なアクセスと利用を推進し、データ経済の発展を目的として、データ主体によるデータへのアクセス権や他サービスへの容易な移転などを求めるもの	EUデータ法

個別対応から包括的な対応へ

グローバルにビジネスを展開する企業は、直接的に規制対象となる法令を洗い出すこと、さらに、それら法令に各国・地域の法人が適切に対応することを監督する必要があります。製造拠点が特定の国・地域に限定されている場合も、製品の販売先、サービスの提供先がグローバルに存在する場合は同様の対応が求められます。そのため、グローバルにビジネスを展開する企業は、世界の法規制のモニタリングとその要件の把握、必要な対応を実現するためのガバナンスが必要となります。

個別の法令対応の場合は、まず、自社が法令の適用範囲に該当するかどうかを調査し、法令の運用状況や他社における対応ステータスを確認したうえで、対応の必要性を検討することが一般的なアプローチです。ただし、数多くの、時にはグローバル全体で100を超える類似法令・規制へのガバナンスを考える場合、個別のアプローチを取ることは現実的ではありません。対応要否の調査は、実質的な対応のためのコストではありませんので、企業としては効率化が求められます。
PwCは、デジタル法規制対応のガバナンスを組織として構築するにあたっては、個別法令の適用有無や対応要否の精査に注力するよりも、関係する法規制を広く横断的に把握・確認することで社会が求める価値観を理解し、企業として責任ある行動は何かを検討・決定して進めることが重要であると考えます。

法令への対応は法務部門が所管することが多いですが、企業のガバナンスモデルやリスク対応方針により所管部署は異なります。グローバルなデジタル法規制への対応には、セキュリティ部門、データ管理部門、法務部門などの横断的な協力が必要です（図表5）。

図表5：グローバルなデジタル法規制関係者と役割

関係者	グローバルなデジタル法規制の対応における役割（一例）
セキュリティ部門（CISO組織）	各国の規制に対応するためのセキュリティ対策を設計・実装
データ管理部門（CDO組織）	データガバナンス、データ主体の権利対応
法務・コンプライアンス部門	法令解釈や、各国の法令に準拠するためのポリシー策定
事業部門（事業責任者）	事業特性を考慮した規制対応の検討、収益とのバランス
各海外拠点	ローカル規制当局への報告や連携

グローバルなデジタル関連法令への対応をリードする主体は企業によって異なります。本社のセキュリティやデータ部門、法務部門、事業部門、または海外拠点の担当者などが考えられます。

デジタル分野の法令は、従来の物理的世界の法規制と異なり、背景となる事情、サイバーリスクの変動、技術的対応の難しさなど諸事情により強い不確実性を帯びています。また、不確実な世界の中で、政策の方向性が突然変更される可能性も考えられます。このような環境で成功する企業とは、外部から世の中の価値観をうまく取り入れ、自社は何をするのか主体的に形作ることができる企業であると考えます。PwCはデジタル法規制の調査・研究を通して社会のニーズ、世の中の価値観の理解を深めています。ぜひ、企業におけるデジタル法規制の包括的な対応の伴走者としてお役立てください。

^*NIS2では、経営陣がサイバーセキュリティ管理措置の承認と実施の監督を行い、違反に対して責任を問われ得ることを確保するよう規定している（NIS2 Article 20(1)）
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555