自発的かつ誠意ある対応で
制裁金減額の可能性も

『3分ハッキング~サイバー攻撃から身を守る知識』『3分ハッキング~サイバー攻撃から身を守る知識』(足立照嘉著)

 ところで、冒頭のマリオットに対する巨額な制裁金額は、今後減額される可能性がある。GDPRでは、監督当局へ異議を唱える機会も与えられているためだ。

 マリオットが2020年2月に開示した2019年第4四半期の決算報告によると、同社はこの制裁金を半額まで減額できると考えているようである。同月に米司法省が中国のハッカーを起訴したことから、減免できると踏んだようだ。

 もしこの交渉がうまくいけば、今後このような問題が発生した際には監督当局に交渉するよう株主などから企業に対して求められるようになるかもしれない。

 これは確度の低い希望的観測ではない。米ソーシャルメディアのLinkedInがアイルランドの監督当局に苦情申し立てを起こされたことが過去にあったが、その後の自発的かつ誠意ある対応を示したことで、制裁金などの罰則は受けていない。

 これらの法規制では疑わしき行動を見つけて即罰金を科すのではなく、通常の行政的な対応と同様にまずは「指導」が行われるケースが見受けられる。

 ではこの「自発的かつ誠意ある対応」とは何かと言えば、GDPRであれば技術的対応および組織的対応をとることである。LinkedInの場合は、これらの対応が講じられていることを検証するために、監督当局による監査も実施されている。

 つまり、リスクを評価し、対策・対応を講じるという当たり前のことではあるが、これが非常に重要だ。そして企業買収においても当然、これらの観点からも買収対象企業の評価を行っていかなくてはならない。企業のさらなる成長のための買収が、とんでもないリスクの買収となってはならない。