デューデリジェンスがプライバシー法に抵触する場合

シナリオの概要

ある国際的大手コングロマリットが、香港を拠点とするテクノロジー企業の買収交渉に入りました。同社は中国本土に複数の子会社を有しており、買主は包括的なデューデリジェンスを準備するため、詳細な財務記録、内部監査、従業員データ、政府関連機関との契約書を含む幅広い資料の提出を求めました。

しかし、これらの資料の多くは中華人民共和国（PRC）のデータ保護、サイバーセキュリティ及び国家安全関連法の厳格な規制下にありました。具体的には PRC Cybersecurity Law（中華人民共和国サイバーセキュリティ法）、Data Security Law（中華人民共和国データセキュリティ法）、Personal Information Protection Law, PIPL（中華人民共和国個人情報保護法）が該当します。これらの法律は、特に国家安全保障に影響を及ぼす場合や大量の個人情報を含む場合に、データ移転を制限しています。さらに、クロスボーダーでのデータ移転については、中国の国家インターネット情報弁公室（Cyberspace Administration of China, CAC）による事前のセキュリティ評価やその他の監督当局の承認が必要となります。

資料の共有後まもなく、中国当局は買主に対し、国家機密および個人情報の不法取得の疑いで調査を開始しました。その結果、買主は刑事責任、規制当局による制裁、そして企業評価への深刻な reputational damage（評判の失墜）に直面しました。こうした法的リスクの高まりに危機感を抱いた香港の売主は、さらなるリスクを避けるために速やかに取引を中止しました。

法的見落とし：徹底が過剰になるとき

クロスボーダーM&Aにおいて、デューデリジェンスは不可欠な手続です。しかし、無制限または過度に広範な資料要求を行うと、特に中国本土の事業に関しては現地法に抵触するおそれがあります。本件では、買主の法務チームがデューデリジェンスの範囲をPRCのコンプライアンス要件と照合することを怠ったことが問題を深刻化させました。さらに、当事者間の契約には、開示範囲を制限する条項や責任分担を定める条項が欠けていました。

もっとも、PRC法には適法なクロスボーダーデータ移転の仕組みが存在します。例えばセキュリティ評価、政府認証、標準契約条項の採用などです。しかし、これらの手続は時間を要し、複雑で、特に国家安全保障や大量個人データが関与する場合には結果も不透明です。実務上、多くの当事者は承認が得られるまで開示を制限するか、別のストラクチャリング手法を用いることを選択しています。

香港においても、Personal Data (Privacy) Ordinance, PDPO（香港個人資料（プライバシー）条例）やコモンロー上の秘密保持義務により、個人情報や機微情報の開示は制限されています。さらに、上場会社取引に関連する場合には香港証券先物委員会（Securities and Futures Commission）を含む規制当局が、デューデリジェンスは秘密保持及びデータ保護義務に適合させる必要があると強調しています。

法的および商業的影響

• PRC国家安全法及びデータ保護法に基づく刑事責任

• 複数法域における規制調査

• 取引中止による高額買収機会の喪失

• 将来のM&Aや政府関係に影響を及ぼす reputational damage（評判の毀損）

• 違法開示により買主・売主双方が執行措置の対象となるリスク

契約起草と取引構造の工夫による予防策

• 資料提供制限条項

"The Seller shall provide documents solely to the extent permitted under applicable laws, including any restrictions imposed by national security, data protection, and export control regulations."

（「売主は、国家安全保障、データ保護、輸出規制に基づく制限を含め、適用法令により許容される範囲でのみ資料を提供する。」）この条項により、当事者双方が法的な開示限度を認識し、過度なリスクを回避できます。

• 売主によるコンプライアンス保証

"The Seller represents and warrants that all information and documents provided during the due diligence process have been reviewed for compliance with applicable laws and do not require prior governmental approval for disclosure."

（「売主は、デューデリジェンス過程で提供する全ての情報及び資料が、適用法令に従って審査済みであり、開示に事前の政府承認を必要としないことを表明・保証する。」）これにより、コンプライアンス確認の責任を売主に負わせ、買主の責任を軽減します。

• 不法開示に関する補償条項

"The Seller shall indemnify and hold harmless the Buyer from any claims, penalties, or liabilities arising from the unlawful disclosure of information during the due diligence process, to the extent such disclosure was not expressly requested in writing by the Buyer in contradiction to the terms herein."

（「デューデリジェンスの過程で違法な開示が生じた場合、当該開示が本契約条項に反し、かつ買主が書面で明確に要求したものでない限り、売主は買主を補償し、損害賠償請求、罰則または責任から免責する。」）この補償条項により、PRCや香港当局による違法開示の追及があった場合でも、買主は救済を得られます。

• 非契約上のセーフガード◦

◦ 開示前に個人情報を削除または匿名化する

◦データルーム・プロトコルを導入し、アクセス、複製、移転を制限す

◦ 生データではなく、経営陣によるプレゼンテーションや要約資料に依拠する

◦ 独立した第三者を関与させ、機微情報をフィルタリングする

戦略的示唆

PRC企業やデータを含むクロスボーダー取引において、過度または不十分に管理されたデューデリジェンスは重大な法的リスクを招きます。契約の精緻な設計と秩序だった開示手続を組み合わせることで、こうしたリスクは軽減可能です。規制対応の観点だけでなく、取引の信頼性を守るためにも、戦略的な法的助言が不可欠です。

免責事項

本記事は一般的な情報提供のみを目的としたものであり、法律的助言を構成するものではありません。本文で取り上げたシナリオは架空のものであり、実在の事象または団体との類似は偶然にすぎません。法域ごとに法律及び規制要件は異なり、ここでの分析は全ての法的または実務的選択肢を網羅するものではありません。具体的な案件に即した助言については、Katherine Chan Law Office または有資格の法律専門家にご相談ください。本記事の内容に依拠した行為について、いかなる責任も負いません。