Iphone

データプライバシーの実践が会社の売却を成功させるか失敗させるか

データプライバシーの実践が会社の売却を成功させるか失敗させるか
Yahoo CEO マリッサ・メイヤー (GeekWire File Photo)

ヤフーのベライゾンへの売却は、2013年のデータ侵害に関する最近の公表により、危機に瀕するか、大幅に減額される可能性があります。これは大企業だけの問題ではありません。買収を希望する中小企業も懸念する必要があります。なぜなら、プライバシー侵害は買収規模に関わらず、買収企業に負債として移転することになるからです。

昨年、投資家、弁護士、スタートアップの創業者にとって、会社を売却する際にデータ プライバシーが最優先事項となりました。

最近の報告によると、データプライバシー違反に対する罰金は、来年には1500億米ドルに達するか、あるいはそれを超える可能性があります。そのため、データプライバシーは既にM&Aの評価、そして売却を実行するために取締役や役員が提供する必要のある補償に多大な影響を与えています。

データプライバシー規制の遵守は容易ではありません。多くの場合、各顧客は個人データの利用について個別に同意する必要があります。また、企業はデータをどのように利用しているかを知る権利、その利用に異議を申し立てる権利、そして企業のシステムからデータを削除してもらうよう要求する権利も有しています。規制当局や潜在的なビジネスパートナーから連絡があった場合、データプライバシーリスクへの露出を把握しておくことが不可欠です。

M&A評価への影響

約1年前までは、プライバシーは取引評価においてせいぜい二次的な考慮事項に過ぎませんでした。しかし、顧客データを買収における主要な資産と捉え、対象企業のデータ取り扱い方針に起因するリスクへのエクスポージャーをより深く理解する買い手が増えるにつれ、プライバシー慣行評価は買収全体のリスク評価と評価において重要な要素となっています。顧客基盤が拡大するほど、データプライバシー慣行に起因する買い手のリスクエクスポージャーは大きくなります。

マドロナ・ベンチャー・パートナー兼クムロCEOのビル・リヒター氏。(マドロナ写真)

元マドロナ・ベンチャー・グループのベンチャーパートナーで、現在はクムロのCEOを務めるビル・リヒター氏は、最近、会社がプライバシーを侵害した場合に買主を補償するための保険に加入する必要があった取引を完了した。

「大企業が中小企業を買収すると、データプライバシーに対する意識は非対称になります。巨大消費財ブランドはプライバシーについて全く異なる考え方を持っています」と彼は述べた。

規制当局は、企業規模の観点から「ピラミッドの頂点」に焦点を当て、そこからより規模の小さい企業へと降りていく傾向があります。リヒター氏によると、ピラミッドの頂点と底辺が出会うのはM&A取引のみです。これは買い手にとって莫大な責任とリスクへの懸念を生み出し、結果として評価額に影響を与える可能性があります。

迫りくる締め切り

会社の本社がどこにあるかに関係なく、創設者は世界的なプライバシー規制に精通していなければなりません。

例えば、欧州連合(EU)の一般データ保護規則(GDPR)は、世界で最も厳格なプライバシーポリシーの一つとして2018年5月に施行され、既に他の国々がデータプライバシー基準を策定する際の指針となりつつあります。たとえ米国の小規模企業であっても、EUの消費者に関する情報を収集したり、EUでサービスを販売したり、製品を発送したり、EU専用のウェブサイトを運営したりすると、GDPRが適用されます。実際、GDPRの適用を受けるには、EUに従業員が1人もいなくても構いません。違反に対する罰金は、企業の世界全体の売上高の最大4%に上ります。これは、規模の大小を問わず、企業にとって大きな打撃となります。

成長段階にある企業、特にスタートアップ企業にとって、データプライバシーに関する綿密な計画は、収益性の高い売却の成否を左右する可能性があります。考慮すべき点をいくつかご紹介します。

グローバルに考える:あなたにとって、あるいは将来的に重要になる可能性のあるすべての法域におけるプライバシー規制を常に把握し、各国が法域外適用を行っている場所や方法に細心の注意を払ってください。これは、将来的に時間と費用を節約することにつながります。

データの価値を重視する: eBayのグローバルプライバシーオフィサー、マーカス・モリセット氏は、企業はまず、あらゆる種類の企業データが取引において価値があるかどうかを理解するべきだと推奨しています。彼はデータをプルトニウムに例え、「核反応を起こしているなら非常に価値がありますが、そうでない場合は、保管や廃棄に費用がかかるだけです」と述べています。もしデータに価値があるのであれば、その発生源、過去の執行措置の有無、譲渡条項の有無を確認し、購入者に影響を与える問題がないことを証明する必要があります。

通知と同意:データの使用方法について顧客に通知し、同意を得ることも検討してください。GDPRの施行が迫る中、明示的な同意はより重要になるでしょう。また、顧客への通知と同意を継続的に追跡する方法も必要です。プライバシーに関する通知は、明確にアクセスでき、正確で、将来を見据えたもの(つまり、将来のユースケースを考慮できるほど幅広いもの)である必要があります。また、事業または資産の売却または譲渡が発生した場合の対応についても言及する必要があります。

投資家は、プライバシーとデータセキュリティを最優先に考えていない企業を買収することで、大きなリスクを負うことへの意識を高めています。DLAパイパーのプライバシー専門弁護士、ケイト・ルセンテ氏は、投資家は、社内でのデータ収集、保管、利用方法、そして買収企業へのデータ移転方法に関連するリスクに、より敏感になっていると述べています。

また、そのデータの使用に伴ってどのような権利が移転されるのか、データの全部または一部が移転できるのか、顧客に移転を事前に通知する必要があるのか​​どうかについても知っておくことを勧めています。これらの質問への答えは、プライバシー通知の内容、取引の種類(合併や資産売却など)、対象となる管轄区域によって異なります。

ルセンテは、記録管理の不備により、取引価格が大幅に値下げされた事例を経験しました。この取引では、同社の顧客基盤の約80%が米国、約10%がEUとカナダ(いずれも買収における個人データの移転に関して米国よりも厳しいプライバシー法を有する)にあり、買収対象企業が適切なプライバシー慣行を実施していることを文書化できなかったため、買収側は買収完了後に顧客データの大部分が使用不可と見なしたため、取引価格が大幅に値下げされました。

誠実に事業を運営していることを証明してください。GDPRや同様の規制が拡大するにつれて、監査が強化され、注目を集める訴訟も起こる可能性が高くなります。

GDPRでは、企業はデータ侵害を顧客と規制当局に通知することが義務付けられており、後者の場合、企業のプライバシーポリシーの監査が行われる可能性が高くなります。監査や訴訟において、個人データを利用者から得た同意に沿った方法で使用していることを証明できる手段を確保しておくことが重要です。

効果的なデータプライバシー対策は、あらゆる企業の成長戦略に不可欠です。企業が顧客や従業員のプライバシーデータを適切に管理しないと、企業価値が著しく下落したり、M&A取引が頓挫したりする可能性があります。