Compliance Program Guidance

On April 30, 2019, the DOJ issued new guidance to prosecutors, drawn from a number of existing departmental sources offering varying degrees of specificity, on evaluating corporate compliance programs. This guidance updates and answers questions posed in previous guidance issued in February 2017, to reflect DOJ’s evolving view of compliance program effectiveness.

Boards and management should make use of recent expanded guidance from the US Department of Justice to ensure that their compliance programs are considered “effective” if and when an investigation arises. Companies should affirmatively answer three fundamental questions in evaluating a compliance program: 1) Is the compliance program well designed? 2) Is the program being implemented effectively and in good faith? 3) Does the compliance program work in practice?

The DOJ details specific factors that prosecutors should consider when investigating corporations and other organizations in the Justice Manual’s “Principles of Federal Prosecution of Business Organizations.” These factors include “the adequacy and effectiveness of the corporation’s compliance program” at both the time of the offense and the time of the charging decision, and remedial efforts to “implement an adequate and effective corporate-compliance program or to improve an existing one.” DOJ’s 2017 guidance offered some general questions to help prosecutors make such an assessment—although it did not provide prosecutors with corresponding answers on compliance program effectiveness.

The “effectiveness” of compliance programs also currently appears in other DOJ policy memoranda and federal sentencing guidelines, but without substantial guidance as to what prosecutors should deem effective. Specifically, Sections 8B2.1, 8C2.5(f) and 82C.8(11) of the US Sentencing Guidelines provide that consideration should be given to whether a corporation had an effective compliance program in place at the time of misconduct when calculating the appropriate fine. DOJ’s memorandum on the selection of compliance monitors (the Benczkowski Memo) also instructs prosecutors to consider, at the time of resolution, whether the corporation has made “significant investments in, and improvements to, its corporate compliance program and internal controls systems,” and whether “remedial improvements to the compliance program” have been tested to demonstrate that the program would prevent or detect similar misconduct.

DOJ’s new expanded guidance provides more specific factors for federal prosecutors to consider when determining whether a company deserves settlement credit through a demonstrated commitment to compliance. While broadly mirroring information in the Justice Manual, past DOJ memoranda and guidance, the federal sentencing guidelines, and many DOJ Deferred Prosecution Agreements and Non-Prosecution Agreements, the updated guidance provides more detail to assist prosecutors in making informed decisions about whether a corporation’s compliance program was effective at the time of the offense and is effective at the time of a charging decision or resolution. Just as importantly, the updated guidance allows corporate boards and executives to make a similar assessment and to address any shortcomings in their organization’s compliance program.

DOJ acknowledges that there is no “rigid formula” when it comes to assessing compliance programs. A company should tailor its compliance program to its specific risk profile. In doing so, however, compliance officers, board members and corporate executives should keep in mind that prosecutors will ask three “fundamental” questions in making an assessment of a company’s compliance program:

1. Is the corporation’s compliance program well designed?

DOJ takes the position that a well-designed compliance program depends on a risk assessment: has the company “identified, assessed, and defined its risk profile?” In turn, does the program devote appropriate scrutiny and resources to the range of possible risks? Prosecutors will look to whether a compliance program is appropriately designed to detect the particular types of misconduct that are likely to occur in the company’s line of business, regulatory landscape and business environment. Well-designed compliance programs also should be periodically updated, often through additional risk assessments.

Under the DOJ guidance, prosecutors will next look to a company’s compliance policies and procedures, including a code of conduct that sets forth the company’s commitment to compliance with relevant laws. The creation of well-designed policies should involve the right people—including appropriate seniority and relevant business units. Such policies should be drafted to be comprehensive, accessible and reinforced through internal controls systems.

The DOJ guidance also expects appropriately tailored training and communications, with a focus on training employees in control functions and high-risk areas. Training and guidance should be accessible and available in appropriate languages. Employees should know the company’s position concerning misconduct. Similarly, employees should have clear, accessible and confidential reporting channels for reporting misconduct—and there should be appropriate processes for investigating such reporting. Such mechanisms are considered “probative” in assessing whether a company has established mechanisms for detecting and preventing misconduct.

The DOJ guidance specifically calls out third-party management and M&A as risk areas where DOJ expects companies to have well-developed programs to assess and address potential compliance issues.

2. Is the program applied earnestly and in good faith? In other words, is the program implemented effectively?

DOJ next looks to whether a company has demonstrated a commitment to the compliance program by senior and middle management. To the government, this is perhaps one of the most important factors in assessing the effectiveness of a compliance program. Prosecutors will ask whether senior management, including the board, has “clearly articulated the company’s ethical standards, conveyed and disseminated them in clear and unambiguous terms, and demonstrated rigorous adherence by example.” Prosecutors will then evaluate whether middle management has reinforced those standards.

DOJ will also ask whether a compliance program has appropriate autonomy and resources, focusing on whether there is sufficient seniority and authority within the organization, sufficient resources and staff to undertake the necessary work of a well-designed compliance program (including internal audit), and sufficient autonomy from management, including access to the board or audit committee.

DOJ will also look to incentives and disciplinary measures taken in response to compliance and non-compliance, respectively. It is critical that appropriate human resources processes are developed and consistently applied.

3. Does the corporation’s compliance program work in practice?

Effective compliance programs cannot exist only “on paper.” They must work in practice. Prosecutors will closely review whether a program was working when misconduct was identified, especially in circumstances where misconduct was not immediately detected. While Section 8B2.1(a) of the US Sentencing Guidelines makes clear that misconduct in and of itself does not mean that a program is ineffective, the DOJ guidance indicates that prosecutors should view identification of misconduct by a compliance program as a “strong indicator that the compliance program was working effectively.” Prosecutors will consider whether and how the company detected potential misconduct, what resources were in place to investigate the potential misconduct, and the “nature and thoroughness of the company’s remedial efforts.”

Prosecutors will evaluate whether a compliance program continued to improve and evolve through ongoing risk assessment, periodic testing and review. Internal audit should conduct periodic compliance audits based on identified risks, compliance controls should be tested, and gap assessments should be undertaken from time to time.

Finally, companies must undertake analysis and remediation of identified underlying misconduct. Root cause analyses are a key component of determining the appropriate scope and extent of remediation when compliance violations are identified.

Self-Disclosure Guidance

At the American Bar Association’s Annual National Institute on White Collar Crime on March 8, 2019, Assistant Attorney General Brian Benczkowski clarified the US Department of Justice (DOJ) self-disclosure program under the FCPA Corporate Enforcement Policy. The policy includes a presumption that the government will decline to prosecute business organizations that meet the DOJ’s standards of “voluntary self-disclosure,” “full cooperation,” and “timely and appropriate remediation.” However, the policy explains that this presumption can be negated if “aggravating circumstances” exist involving the nature of the offender or the seriousness of the offense.

In providing insight on how the DOJ is applying this policy, Benczkowski explained that prompt investigation and self-disclosure of FCPA issues may allow companies to overcome aggravating factors that otherwise could prevent the DOJ from declining prosecution. He highlighted that two recent DOJ declinations “make clear that aggravating factors like high-level executive involvement in the misconduct will not necessarily preclude a declination when the company’s actions are otherwise exemplary.”

Companies have wrestled with whether to self-report potential violations of the FCPA when aggravating circumstances are present. The FCPA corporate enforcement policy states that aggravating factors include, but are not limited to, the following:

· Involvement of company executive management in the misconduct

· A significant profit to the company from the misconduct

· Pervasiveness of the misconduct within the company

If the DOJ determines that aggravating circumstances do exist warranting criminal prosecution for a company that nevertheless has voluntarily disclosed the wrongdoing, fully cooperated, and timely and appropriately remediated, the policy (1) requires the government to recommend to the sentencing judge a 50 percent reduction off the low end of the US Sentencing Guidelines fine range (except in the case of a criminal recidivist), and (2) generally will not require the appointment of an independent monitor if the company has implemented an effective compliance program.

Benczkowski’s speech provides important clarity for management and boards. While misconduct in one recent DOJ investigation “reached the highest levels of the company,” the DOJ declined prosecution because that company had voluntarily self-disclosed conduct within two weeks of when the company’s board learned of it. The rationale for the declination, according to Benczkowski, was that the swift disclosure allowed the DOJ to bring charges against the company’s former president and former chief legal officer in connection to their alleged involvement in the conduct.

Benczkowski also clarified the DOJ’s approach to crediting self-disclosures in the M&A context. When companies uncover potential FCPA violations during a corporate merger or acquisition, the DOJ will provide credit in those circumstances. Applying the self-disclosure policy “to the M&A context avoids chilling acquisition activity by law-abiding companies, who might otherwise walk away from worthwhile investments due to the risk of FCPA enforcement,” Benczkowski said. According to Benczkowski, the DOJ does not want “the good corporate actors to cede the field to higher-risk entities that may only perpetuate illegal conduct.”

Conclusion

While the DOJ continues to incentivize companies to identify culpable individuals while moving away from punishing corporate entities and shareholders for those individual actions, companies must affirmatively build effective compliance programs and report misconduct to accrue credit with the government. Time is of the essence in identifying who may be involved in potential FCPA violations. In instances where senior management is implicated, the board should be informed immediately to assess whether self-disclosure is appropriate. Management and boards should not be deterred by potential aggravating circumstances or factors when considering whether to self-report misconduct. The DOJ may still decline prosecution if the company’s actions in responding to the conduct are “exemplary.” When misconduct is identified post-acquisition, acquiring companies should promptly respond, remediate and consider whether to self-report. Self-disclosure credit still may apply in these circumstances.

EURO FIFTY MILLION GDPR FINE ON GOOGLE BY FRENCH DATA PROTECTION AUTHORITY

Although the significance of the fine imposed has received a great deal of attention, in our view, four other issues of this decision are likely to have more important implications for the Japanese companies operating in Europe. We will thus first address those four issues below before the issue of the fine.

1. Procedure

There are four procedural particularities in this case.

First, the investigation was initiated following complaints lodged by two non-profit organizations, Max Schrems’ None of Your Business and the French advocacy group La Quadrature du Net, in accordance with Article 80 GDPR. This indicates that if a well-known not-for-profit organization lodges a basic but sufficiently argued claim, it might be sufficient for a data protection authority to launch an investigation. Also, the success of the collective complaint of this case may encourage data subjects to utilize a collective complaint and/or redress mechanism provided for under Article 80 GDPR.

Second, the investigation was only carried out online and no on-site inspection was conducted. A data protection authority may now easily investigate digital businesses even if their offices are located outside its geographical jurisdiction. There is therefore an elevated risk of investigations by data protection authorities for global digital businesses.

Third, the CNIL’s investigation focused on the privacy policy and the terms of service; however, it also extended to an assessment of the use of Android and Google Account, digital tools. Once an investigation starts, its scope can be expanded to areas indirectly related to the subject-matter of the investigation.

Lastly, the CNIL dismissed Google’s claim that its right to a fair trial guaranteed under Article 6 of the European Convention on Human Rights was infringed due to the lack of English translations of the fining decision and the opinion of the rapporteur and due to the insufficient time limits to provide observations. If the CNIL intends to address a non-French entity in its infringement decision, as it did in this case (the addressee of the decision was Google LLC), it should be more lenient with regard to the time limits to provide observations given that the CNIL provides all documents in French.

2. Main Establishment

Google claimed that its “main establishment” is Google Ireland Limited and the lead supervisory authority is thus the Irish data protection authority and that the CNIL lacked jurisdiction. Under the One-Stop Shop mechanism introduced by the GDPR, the supervisory authority of the main establishment is competent to act as lead supervisory authority for the cross-border data processing. This mechanism was created with a view to reducing administrative burden for entities carrying out cross-border data processing activities and to avoiding inconsistent decisions from multiple data protection authorities.

The CNIL rejected Google’s claim and concluded that it was competent to handle this matter in the absence of Google’s main establishment in the EU. Relying on the definition of “main establishment” under Article 4(16) GDPR, the CNIL found that Google Ireland Limited did not have any decision making power concerning the purposes and means of data processing carried out in the context of the creation of a Google Account during the configuration of a mobile phone using Android. Google Ireland Limited’s role was more or less limited to the conclusion of contracts with European clients.

This is the first time that an EU Member State data protection authority has ruled on the concept of “main establishment”. Thus, some may try to argue that this is an isolated case and the other EU data protection authorities will not necessarily follow the CNIL approach. However, they most likely will do so in view of the fact that there seems to be consensus with regard to the CNIL’s conclusion. As a matter of fact, when the CNIL informed the other EU data protection authorities of its position concerning the issue of the main establishment to launch the cooperation mechanism under the GDPR, none of them opposed it.

According to the CNIL’s approach, for an EU entity to be qualified as the main establishment in a matter concerning a digital tool or IT system, it must have an active role in the choice and operation of that digital tool or IT system. However, Japanese companies often centralize IT systems at their headquarters in Japan. As a result, it will be difficult for them to claim that one of their EU subsidiaries is the EU main establishment when an IT system is under investigation.

Without the main establishment located in the EU, there is a risk that multinational companies may be subject to multiple fines by different data protection authorities in case the cooperation mechanism does not function properly. The Uber cases are a good illustration of this risk, although they pre-date the application of the GDPR. The American parent company (not its European subsidiaries) was fined € 435,000 by the British authority, € 600,000 by the Dutch authority and € 400,000 by the French authority respectively over the same data breach incident. The total fine amounted to € 1,435,000.

3. Transparency Principle

As shown by the fact that the majority of the sanctions issued in the last few months concerned security failures, the data security issue has gained attention as the primary risk associated with data processing. In such a context, the CNIL’s decision reminds us that the other data protection principles are as essential as the data security and their breaches can entail significant consequences.

In particular, the CNIL made it clear that transparency must not be neglected by any data controller even when complex multiple processing operations are involved. In the Google case, the CNIL found that Google failed to achieve a level of transparency required under Articles 12 and 13 GDPR. In accordance with Article 12 GDPR, when a data controller provides a privacy notice or communicates to data subjects, it must do so “in a concise, transparent, intelligible and easily accessible form, using clear and plain language”.

However, for the CNIL, the privacy notice provided by Google to data subjects to fulfil its obligation under Article 13 GDPR was excessively scattered across several documents, each of which contained buttons and links for complementary information. The users were required to carefully go through a great deal of information to identify relevant information. Due to this complex structure, certain information was not easily accessible.

The CNIL also found that Google did not provide information in an intelligible and clear manner. Google can have an in-depth knowledge of users by combining different types of data from different sources, such as geolocalisation and viewed contents. Such combination represents a highly intrusive nature, which requires a higher level of the “intelligible” and “clear” nature of the information provided. However, the information provided by Google to the users did not allow them to sufficiently understand the consequences of the data processing concerning them. In particular, the description of the purposes did not enable the users to measure the extent of the processing and of the potential intrusion into their private life. Further, the description of the collected data was particularly imprecise and incomplete. Accordingly, the CNIL concluded that the information Google provided lacked intelligible and clear characteristics.

4. Consent

In line with Article 6 GDPR, Google relied on the users’ “consent” to process their personal data for the purposes of personalized advertising. In this regard, according to Article 4(11) GDPR, “consent” means “any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.”

However, for the same reasons as those for the lack of transparency (excessively scattered information), the CNIL found that the users were not sufficiently informed. Moreover, the CNIL found that consent was not unambiguous since the account preference settings were pre-ticked by default and there was basically no affirmative action by the users to consent to ad personalization. Further, the CNIL found that consent was not specific because users were obliged to accept all data processing operations for different purposes as a whole. Accordingly, the CNIL concluded that consent on the basis of which Google processed personal data was not valid.

5. Fine

By the Google decision, the CNIL has made the most known risk related to the GDPR, i.e. a heavy financial penalty, a reality. Until then, the risk had remained a theoretical one. The amount of the fines given after the GDPR became applicable on 25 May 2018 remained reasonable. For instance, the fines imposed by the Baden-Württemberg Land authority and the Portuguese authority for GDPR infringements in 2018 were € 20,000 and € 400,000.

The CNIL’s Google decision has crossed a threshold. The fine amount is substantial and it has significantly increased relative to previous fines. In July 2017, CNIL imposed a fine of € 100,000 on Darty, a major retailer of household electrical appliances. In June 2018, two weeks after the GDPR became applicable, the CNIL fined Optical Center € 250,000.

In Google, in order to justify such an increase, the CNIL primarily based its argumentation on the extent of the infringements. It rejected Google’s argument that the violations only concerned 7% of the Android users, i.e. the users creating a new Google account while configuring a new device using the Android OS.The CNIL considered that the violations affected all the Android users on the French market as they were in a similar situation.

6. Comment

Companies in most industries gather data concerning their users (or customers) from multiple sources, such as contracts, user accounts, web browsing, and geolocalisation. The data thus accumulated allows those companies to have an in-depth knowledge of users’ behavior, including their habits, opinions, and social interactions. For the companies, such knowledge is valuable in offering more targeted advertisements or services. However, from the users’ point of view, the significant amount of data collected by the companies and the complexity of its processing represent a high risk of intrusion into their private life. As such, it is essential that the companies enable the users to understand their processing of their personal data in a transparent manner.

The question is how to achieve the requisite level of transparency when providing a privacy notice in relation to complex and often multiple data processing operations. As the CNIL acknowledges, presenting all information concerning complex data processing in one document may be counterproductive. In such a case, a layered approach is encouraged but the layers should not require five or six actions on the part of the user to have a comprehensive view of the information on the data processing. In particular, the preference setting of the user’s account should occur quickly and at the latest in the second document. As to the content, the information must enable the users to understand how their personal data is used and how they can control the scope and manner of such use in a simple manner.

Without a transparent privacy notice, consent also becomes invalid due to the lack of the “informed” nature. Similarly, consent should not be obtained collectively in one action for several processing purposes. For each purpose, there should be a blank (as opposed to pre-ticked) box so that the user can decide whether to accept or refuse processing with respect to each purpose and not with respect to all purposes or a combination of different purposes.

Bearing these points in mind, the companies will need to verify and if necessary, reconsider their ways of presenting privacy notices and of obtaining consent taking into account the users’ perspectives. Without it, and without the EU main establishment, they may face fines in several jurisdictions that they may have never regarded as important from a commercial point of view.

BEYOND CFIUS: FOREIGN INVESTMENT REVIEWS OUTSIDE THE UNITED STATES

David J. Levine | Raymond Paretzky | Louise Aberg

Other governments are following suit, adopting or enhancing CFIUS-like regimes to review foreign direct investment (FDI) in businesses deemed to involve sensitive or critical industries, technology, or infrastructure.

In the European Union, a regulation laying out an FDI framework for EU Member States was adopted on 5 March 2019. The regulation sets out basic procedural requirements that Member States with an FDI system will need to follow with respect to transparency, timeframes, protection of confidential information, and judicial redress.

The European Commission will also be able to issue an opinion to Member States on FDI likely to affect projects of EU interest. This new framework will coexist with the national regimes.

In December 2018, Germany revised its FDI regime to lower the thresholds applicable to certain industries.

It had already tightened its regime in 2017 by adding critical infrastructure, such as energy and telecommunications, to its scope of review.

At the end of 2018, France adopted a decree extending the breadth of its screening process to new sensitive areas, such as research and development in cybersecurity, artificial intelligence, and robotics.

Reacting to Chinese investment in the Hinkley Point nuclear project, in 2018 the UK Government published a white paper to review FDI in sectors that pose national security risks, such as advanced technologies, dual-use technologies, and national infrastructure.

FDI regulatory requirements vary widely in the Asia- Pacific region and in the Middle East.

Australia has a protectionist approach, and focuses its review on acquisitions of Australian real estate, agricultural land and agribusiness, and investments in sensitive industries, such as media, telecommunications, transport, and defence.

In China, foreign investment laws designate industries as “encouraged,” “restricted,” or “prohibited.” FDI is prohibited, for example, in the media, natural resources, and military sectors.

In Japan, the government will review FDI in a variety of sensitive industries, including military, aerospace, and nuclear energy, as well as in critical infrastructure, such as electricity, gas, communications, and broadcasting.

Israel announced in early 2019 that it would adopt an FDI screening system, notably to counter Chinese investment in technology companies.

The global trend in many countries towards more restrictive control of FDI creates new regulatory obstacles for companies engaged in cross-border deals. Foreign investors should carefully consider reporting and review requirements and procedures in advance of any such transaction. If an FDI filing is required or advisable, foreign investors should engage authorities as early as possible, as FDI review procedures may impact timing and other strategic elements of cross- border transactions.

コンプライアンスプログラムガイダンス

2019年4月30日、DOJは、企業コンプライアンスプログラムの評価に関する、具体性の程度が様々な、多数の既存の部門別ソースから引き出した、検察官に対する新たなガイダンスを公表した。このガイダンスは、コンプライアンスプログラムの有効性に関するDOJの変化する見解を反映するため、2017年2月に公表された前ガイダンスにおいて提起された質問を更新し、それに回答している。

取締役会及び経営陣は、調査が発生した場合に、自社のコンプライアンスプログラムが確実に「有効」とみなされるようにするために、DOJから最近出された拡充されたガイダンスを活用するべきである。企業は、コンプライアンスプログラムを評価する際に、3つの基本的な質問に「はい」と答えるべきである。 1) コンプライアンスプログラムは適切に設計されているか？ 2) プログラムは効果的にそして誠意をもって実施されているか？ 3) コンプライアンスプログラムは実際に機能しているか？

DOJは、司法マニュアルである「企業訴追の諸原則」において、検察官が企業や他の組織を捜査する際に考慮すべき具体的な要素について、詳しく述べている。これらの要素には、違反時と起訴決定時の両方における「企業のコンプライアンスプログラムの適切性と有効性」、及び「適切かつ効果的な企業コンプライアンスプログラムの実施又は既存のプログラムの改善」のための是正努力が含まれている。DOJの2017年のガイダンスは、検察官がそのような評価を行うことを助けるためのいくつかの一般的な質問を提供した。もっとも、それは検察官に、コンプライアンスプラグラムの有効性に関する回答は提供していなかった。

コンプライアンスプログラムの「有効性」は、現在他のDOJのポリシーメモランダム及び連邦量刑ガイドラインにも現れているが、検察官が何を有効とみなすかについての実質的な指針は伴っていない。具体的には、米国の量刑ガイドラインのセクション8B2.1, 8C2.5(f) と 82C.8(11)は、適切な罰金を計算するに際して、不正行為時に企業が効果的なコンプライアンスプログラムを実施していたかどうかを考慮する必要があると規定している。コンプライアンスモニターの選択についてのDOJのメモランダム（Benczkowski メモ）も、検察官に対し、起訴決定時に、企業が「自社のコンプライアンスプログラム及び内部統制システムに重大な投資と改善を行った」かどうか、プログラムが類似の不正行為を防止又は検出することを実証するために「コンプライアンスプログラムの是正的改善」がテストされたかどうか、を考慮するように指示している。

DOJの更新・拡充されたガイダンスは、コンプライアンスへのコミットメントを実証した企業が和解減免に値するかどうかを判断するに際して、連邦検察官が考慮すべきより具体的な要素を記載している。更新されたガイダンスは、司法マニュアル、過去のDOJのメモランダムとガイダンス、連邦量刑ガイドライン、及び多くのDOJの起訴猶予合意と不起訴合意に含まれる情報を大まかに反映してはいるが、検察官が企業のコンプライアンスプログラムが違反時に有効であったのか、起訴の決定又は決議時に有効であるかどうかについて、十分な情報を得たうえでの判断を行うことを助ける詳細を記載している。同様に重要なこととして、同ガイダンスは、企業の取締役会及び経営幹部が、同様の評価をすること及び組織のコンプライアンスプログラムの欠点に対処することを可能にする。

DOJは、コンプライアンスプログラムの評価に関しては、「厳格な公式」は存在しないということを認めている。企業は、自社のコンプライアンスプログラムを自社特定のリスクプロファイルに合わせて策定する必要がある。ただし、その際、コンプライアンスオフィサー、取締役、企業幹部は、検察官が企業のコンプライアンスプログラムを評価する際に3つの「根本的な」質問をすることに留意する必要がある。

1. 企業のコンプライアンスプログラムは適切に設計されているか?

DOJは、適切に設計されたコンプライアンスプログラムは、リスクアセスメント、すなわち企業が「リスクプロファイルを特定、評価、定義したか？」ということによって決まるという立場をとっている。次に、プログラムは、起こり得る様々なリスクにつき適切な精査をなし、適切な資源を注ぎ込んでいるか？検察官は、コンプライアンスプログラムが、企業の事業分野、規制環境、ビジネス環境で発生する可能性が高い特定の種類の不正行為を検出するように適切に設計されているかどうかに着目する。適切に設計されたコンプライアンスプログラムは、多くの場合追加のリスク評価を通じて、定期的に更新される必要もある。

DOJのガイダンスの下で、検察官は次に、関連法の遵守に対する企業のコミットメントを示す行動規範を含む、企業のコンプライアンス方針及び手続を注視する。適切に設計された方針の策定には、適切な年功と関連する事業単位を含む、適切な人員が関わるべきである。このような方針は、包括的で、アクセス可能で、かつ内部統制システムを通じて強化されるものとして作成されるべきである。

DOJのガイダンスは、企業が、統制機能と高リスク職務をもつ従業員のトレーニングに重点を置いた上で、自社の必要性に合わせたトレーニングとコミュニケーションを設計することを要求している。トレーニングとガイダンスは適切な言語で利用可能かつアクセス可能であるべきである。従業員は、不正行為に関する企業の立場を知っておく必要がある。同様に、従業員は、不正行為を報告するための明確で、アクセス可能、かつ秘密が保持された通報手段を持つべきであるし、通報内容を調査するための適切な手続きがあるべきである。そのようなメカニズムは、企業が不正行為を検出及び防止するためのメカニズムを確立したかどうかを評価する際に「証拠」と見なされる。

DOJのガイダンスは、第三者管理及びM&Aをリスク分野としてみており、これらに関し企業が潜在的なコンプライアンス問題を評価・対処するための充実したプログラムを持つことを要求している。

２.プログラムは熱心にそして誠意をもって適用されているか？言い換えれば、プログラムは効果的に実施されているか？

DOJは次に、企業が上級管理職及び中間管理職によるコンプライアンスプログラムへのコミットメントを示したかどうかを検討する。政府にとって、これはおそらく、コンプライアンスプログラムの有効性を評価する上で最も重要な要素の一つであろう。検察官は、取締役会を含む上級管理職が、「会社の倫理基準を明確に示し、それらを明確な表現で伝え広め、模範として厳格な遵守を示したかどうか」を尋ねるであろう。検察官はそれから、中間管理職がこれらの基準を強化したかどうかを評価するであろう。

DOJは、コンプライアンスプログラムが適切な自律性と資源を有しているかも尋ねるであろう。その際、DOJは、組織内に十分な年功と権限があるか、適切に設計されたコンプライアンスプログラムの必要な業務（内部監査を含む）を行うための十分な資源と人員があるか、取締役会又は監査委員会へのアクセスを含む、経営陣からの十分な自律性があるかに重点を置くだろう。

DOJは、遵守と違反のそれぞれに対するインセンティブと懲戒処分にも注意を向けるであろう。適切な人事評価制度を設け、一貫して適用することが重要である。

3. コンプライアンスプログラムは実際に機能しているか?

効果的なコンプライアンスプログラムは、「文書上」のみに存在すればよいわけではない。それらは実際に機能しなければならない。検察官は、特に不正行為が直ぐに検出されなかった状況において、不正行為が特定された時点でプログラムが機能していたかどうかを綿密に調査する。量刑ガイドライン8B2.1(a)が、不正行為それ自体がプログラムに効果がないことを意味するものではないことを明らかにする一方、DOJのガイダンスは、検察官は、コンプライアンスプログラムによる不正行為の特定を、「コンプライアンスプログラムが有効に機能していたということを示す、強い指標」として見るべきであると指摘している。検察官は、企業が不正行為の恐れのある行為を検出したかどうか、またどのように検出したか、そうした行為を調査するためにどのような資源が用意されているか、そして「企業の是正活動の性質と徹底度」を考慮する。

検察官は、コンプライアンスプログラムが継続的なリスク評価、定期的なテスト及び審査を通じて、改善及び発展をし続けたかどうかを評価するであろう。内部監査は、特定されたリスクに基づいて定期的なコンプライアンス監査を実施するべきであるし、コンプライアンス統制はテストされるべきである。さらに、時折ギャップ評価が実施されるべきである。

最後に、企業は特定された根本的な不正行為の分析と是正を行わなければならない。根本原因の分析は、コンプライアンス違反が特定された場合に、適切な改善の範囲と程度を決定するための重要な要素である。

自主的開示ガイダンス

2019年3月8日に開催された米国法曹協会のホワイトカラー犯罪についての年次学会において、反トラスト局長であるBrian Benczkowskiは、DOJのFCPA企業実施ポリシー（Corporate Enforcement Policy）に基づく自主的開示プログラムにつき説明した。 ポリシーには、政府が、「自主的な開示」、「全面的な協力」、「適時・適切な是正」というDOJの基準を満たす企業組織について、訴追免除するという推定が含まれている。しかし、当該ポリシーは、 違反者の性質や違反の深刻さに関し 「加重事由」 が存在する場合には、この推定が否定される可能性があると説明している。

DOJがこのポリシーをどのように適用しているかについての洞察を提供するにあたって、Benczkowskiは、企業はFCPA問題の迅速な調査と自主的開示により、本来であればDOJによる訴追免除を妨げる可能性のある加重事由を克服することができるかもしれないと説明した。同氏は、近時の2つのDOJの訴追免除は、 「不正行為における上級幹部の関与といった加重事由があっても、その他の点において企業の行為が模範的である場合には、当該加重事由が必ずしも訴追免除を排除するわけではない」ということを明確にしていると強調した。

企業は、加重事由が存在する場合に、FCPA違反の恐れのある行為を自主的に開示するか否かについて苦闘してきた。FCPAの企業実施ポリシーは、これに限定されるものではないが、以下のものが加重事由に含まれると述べている。

· 不正行為への企業経営陣の関与

· 不正行為から企業へもたらされた重大な利益

· 企業内での不正行為の広汎性

企業が不正行為の自主的な開示を行い、全面的な協力をし、適時・適切な是正を行ったにもかかわらず、当該企業に対する刑事訴追を必要とする加重事由が存在するとDOJが判断する場合、当該ポリシーは、 (1)政府に対し、 判決を下す裁判官に、米国判決ガイドラインの罰金範囲の下限から50％の減額を行うよう推奨することを求めており、 また(2) もし企業が効果的なコンプライアンスプログラムを実施している場合には、一般的に独立モニターの選任を求めないこととしている。

Benczkowskiのスピーチは、経営陣と取締役会にとって重要な明瞭さを提供する。ある最近のDOJの調査における不正行為は 「企業の最高レベルに達した」 が、同社が取締役会がそれを知ってから2週間以内に自主的開示を任意で行ったため、DOJは訴追免除を行った。Benczkowskiによれば、訴追免除の根拠は、迅速な開示により、DOJが当該行為に関与したとされる同社の元社長及び元最高法務責任者に対して告発することが可能になったということであった。

また、Benczkowskiは、M&Aの文脈における、自主的開示を評価するDOJのアプローチについても説明した。企業の合併や買収の際に企業がFCPA違反の恐れのある行為を発見した場合、DOJは減免を与えるつもりである。自主的開示ポリシーを 「M&Aの文脈に適用することは、そうでなければ、FCPA執行のリスクのために価値ある投資から手を引いてしまうであろう遵法企業による買収行為を萎縮させてしまうことを回避することができる」とBenczkowski は述べた。Benczkowski によれば、DOJは、 「善良な企業組織が、違法行為を永続させるだけかもしれない高リスクの組織に、その分野を譲るということ」を望んでいない。

結論

DOJは、引き続き企業に有責の個人を特定するよう奨励しつつ、有責個人の行為について企業組織や株主を処罰することから距離を置きつつあるが、企業は、効果的なコンプライアンスプログラムを積極的に構築し、政府から減免を得るために不正行為を報告しなければならない。FCPA違反の恐れのある行為に関与した人物の特定において、時間は極めて重要な要素である。上級幹部が関与している事案の場合、自主的開示が適切か否かを評価するために、取締役会に直ちに情報提供がなされなければならない。経営陣と取締役会は、不正行為の自主的報告をするか否かを検討するに際して、潜在的な加重事由又は要素によって思いとどまるべきではない。企業の問題となる行為への対応が「模範的」である場合には、DOJは訴追免除をする可能性がある。買収後に不正行為が特定された場合、買収企業は迅速に対応し、是正し、自主的報告を検討するべきである。自主的開示の減免は、これらの状況においても依然として適用される可能性がある。

EURO フランス個人データ保護局によるグーグルに対する5000万ユーロのGDPR罰金

1. 手続

本件においては、4つの手続上の特殊性がある。

第一に、GDPR第80条に従って、2つの非営利団体である、マックス・シュレムスのNone of Your Business及びフランスの活動家グループLa Quadrture du Netによる異議申し立ての後、調査が開始された。これは、著名な非営利団体が、基本的ではあるが十分に議論されている異議申立てを行った場合に、データ保護当局が調査を開始するのに十分であるという可能性を示している。また、本件の集団的な異議申立ての成功は、データ主体がGDPR第80条に基づいて規定されている集団的な異議申立て及び/又は救済メカニズムを活用することを奨励する可能性がある。

第二に、調査はオンラインのみで行われ、現場での検査は行われなかった。データ保護当局は、現在、たとえ事業所が地理的に管轄外にある場合であっても、デジタルビジネスを容易に調査できる可能性がある。それゆえ、グローバルデジタルビジネスにとって、データ保護当局による調査のリスクが高まっているといえる。

第三に、CNILの調査は、プライバシーポリシーと利用規約に焦点を当てていた。しかし、それはまた、アンドロイドやグーグルアカウント、デジタルツールの利用の評価についても拡大していた。ひとたび調査が開始されると、その範囲は調査の主題に間接的に関連する分野にも拡大することができる。

最後に、CNILは、罰金の決定及び報告者の意見についての英訳を欠いていること、並びに回答を提供するための時間制限が不十分であることによって、欧州人権条約6(3)に基づいて保証されている公正な裁判の権利が侵害されたとのグーグルの主張を棄却した。もしCNILが、その侵害決定において非フランス法人を名宛人として意図している場合、本件がそうであるが（決定の名宛人はGoogle LLCである）、CNILが全ての文書をフランス語で提供していることを考慮すれば、回答提供の時間制限についてより寛大であるべきである。

2. 主たる拠点

グーグルは、その「主たる拠点」がGoogle Ireland Limited にあり、したがって主任監督当局はアイルランドのデータ保護当局であること、及びCNILは管轄権を欠いていることを主張した。GDPRによって導入されたワンストップショップのメカニズムの下では、主たる拠点の監督当局が、国境を越えたデータ処理のための主任監督当局として活動することができる。このメカニズムは、国境を越えたデータ処理活動を実施する事業体の管理上の負担を軽減するとともに、複数のデータ保護当局による整合しない判断を回避することを目的として設けられた。

CNILは、グーグルの主張を拒絶し、EUにグーグルの主たる拠点がない場合であっても、CNILは本件の問題を取り扱うことができると判断した。GDPR第4条(16)の下での「主たる拠点」の定義に依拠して、CNILは、アンドロイドを使用した携帯電話の環境設定内のグーグルアカウント作成の文脈において実施されるデータ処理の目的及び手段に関して、Google Ireland Limitedは意思決定権限を有していないと判示した。Google Ireland Limitedの役割は、ヨーロッパの顧客との契約締結にほぼ限定されていた。

EU加盟国のデータ保護当局が、「主たる拠点」の概念について判断をしたのは、これが初めてである。そのため、これは孤立したケースであり、他のEUデータ保護当局はCNILのアプローチに必ずしも従わないであろうと主張しようとする人がいるかもしれない。しかし、CNILの結論に関してコンセンサスがあると思われる事実を考慮すると、他のEUデータ保護当局もそうする可能性が高い。事実、CNILが他のEUデータ保護当局に、GDPRの下での協力メカニズムを開始するために、主たる拠点の論点に関するその立場を知らせた際に、彼らは誰も反対しなかった。

CNILのアプローチによれば、デジタルツール又はITシステムに関する問題において、EUの主体が主たる拠点としての適格を認められるためには、そのデジタルツール又はITシステムの選択と運用において積極的な役割を担う必要がある。しかし、日本企業は、しばしばITシステムを日本の本社に集中させている。その結果として、ITシステムが調査中であるとき、彼らがEU子会社の一つがEUの主たる拠点であると主張することは困難になる。

EUに主たる拠点がないと、協力メカニズムが適切に機能しないとき、多国籍企業が異なるデータ保護当局による複数の罰金の対象になる危険性がある。GDPRの発効前の事例であるが、ウーバーのケースはこのリスクを良く示す例である。米国の親会社（ヨーロッパの子会社ではない）は、同一のデータ侵害事件について、英国当局から43万5000ユーロ、オランダ当局から 60万ユーロ、フランス当局から40万ユーロ、それぞれ罰金を科された。合計の罰金は、143万5000ユーロに及んだ。

3. 透明性ポリシー

ここ数か月に出された制裁の大半がセキュリティーの違反に関わるものであった事実が示すように、データセキュリティーの問題は、データ処理に関連する主なリスクとして注目を集めている。そのような状況において、CNILの決定は、他のデータ保護原則が、データセキュリティーと同様に不可欠であり、その違反が重大な結果を伴うということを思い起こしてくれる。

特に、CNILは、複雑な複数の処理操作が含まれる場合であっても、透明性はいかなるデータ管理者によっても無視されてはならないということを明らかにした。グーグルのケースにおいて、CNILは、グーグルがGDPR第12条及び第13条に基づいて求められる透明性のレベルを達成していなかったと判断した。GDPR第12条によれば、データ管理者がプライバシー通知を提供したり、データ主体に伝達をする際には、「簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式」でしなければならない。

しかし、CNILにとって、GDPR第13条に基づく義務を果たすためにグーグルからデータ主体に対して提供されたプライバシー通知は、補足情報のためのボタンとリンクを含むいくつかの文書に過度に散らばっていた。ユーザーは、関連する情報を識別するために、大量の情報を注意深く確認する必要があった。この複雑な構造のため、特定の情報には容易にアクセスができなかった。

また、CNILは、グーグルが理解しやすく、明確な方法で情報を提供していなかったとも判断した。グーグルは、位置情報や視聴したコンテンツなど、様々なソースからの様々な種類のデータを組み合わせることで、ユーザーに関する深い知識を得ることができる。このような組み合わせは、非常に煩わしい性質を表し、それは提供される情報のより高いレベルの「理解しやすい」、「明確な」性質が必要となる。しかし、グーグルからユーザーに提供された情報では、ユーザーに関するデータ処理の結果を十分に理解することができなかった。特に、目的の説明では、ユーザーが処理の程度及び私生活への潜在的な侵入の程度を測定することができなかった。さらに、収集されたデータの説明は、特に不正確で不完全なものであった。したがって、CNILは、グーグルが提供した情報は、理解しやすさ及び明確さの特徴を欠いていると結論づけた。

4. 同意

グーグルは、GDPR第6条に沿って、パーソナライズド広告の目的で個人データを処理することについてのユーザーの「同意」に頼った。この点に関して、GDPR第4条(11)によると、「同意」とは、「自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するもの」を意味するとされる。

しかし、透明性の欠如（過度に散らばった情報）の理由と同じ理由で、CNILは、ユーザーが十分に情報提供されていないと判断した。また、CNILは、デフォルトでアカウント設定が事前にチェックされており、広告のパーソナライゼーションについて同意するためのユーザーの積極的な行為が基本的に存在しないため、同意は明瞭でないと判断した。さらに、CNILは、ユーザーは全体として様々な目的のために全てのデータ処理操作を受け入れる義務を負うため、同意は特定されていないと判断した。したがって、CNILは、グーグルがデータ処理した根拠となる同意は無効であると結論づけた。

5. 罰金

グーグルの決定により、CNILは、GDPRに関する最も知られているリスク、すなわち大きな経済的リスク、を現実のものとした。それまでは、そのリスクは理論的なものにとどまっていた。2018年5月25日にGDPRが発効された以後の罰金の額は穏当なままであった。たとえば、2018年にバーデン＝ベルテンベルク州当局及びポルトガル当局によって科されたGDPR違反に対する罰金は、2万ユーロ及び40万ユーロであった。

CNILのグーグル決定はしきい値を踏み越えた。罰金額は重大であり、以前の罰金と比較して著しく増加した。2017年7月、CNILが、家電製品の大手小売店であるダーティーに10万ユーロの罰金を科した。GDPRが発効されてから2週間後の2018年6月、CNILはオプティカル・センターに25万ユーロの罰金を科した。

そのような規模の変化を正当化するために、CNILは、主にその違反の程度に基づいて議論を行っている。CNILは、ユーザーの7%、すなわち新しいデバイスを設定している間に新しくアカウントを作成したユーザーのみが違反に関わるものであるとのグーグルの議論を否定した。CNILは、彼らが同様の状況に置かれているとして、違反はフランス市場における全てのアンドロイドユーザーに影響を与えたと考えた。

6. コメント

ほとんどの業界の企業は、契約、ユーザーアカウント、ウェブブラウジング、位置情報などの複数のソースからユーザー（又は顧客）に関するデータを収集している。このように蓄積されたデータは、これらの企業が、習慣、意見、社会的交流を含むユーザーの行動についての深い知識を持つことを可能にする。企業にとっては、このような知識は、よりターゲットを絞った広告やサービスを提供するのに役に立つ。しかし、ユーザーの視点から見ると、企業が収集した膨大な量のデータとそのデータ処理の複雑さは、彼らの私生活に侵入する高いリスクを表している。そのため、ユーザーが透明性のある方法で自分の個人データの処理を理解することを企業が可能にすることが不可欠である。

問題は、複雑でしばしば複数であるデータ処理操作に関するプライバシー通知を提供する際に、必要なレベルの透明性をどのように達成するかということである。CNILが認めているように、複雑なデータ処理に関する全ての情報を1つの文書に表示することは、逆効果となってしまう可能性がある。このような場合、階層化されたアプローチが推奨されるが、データ処理についての情報の包括的な見通しを得るために、ユーザー側での5回又は6回の操作を求めるべきではない。特に、ユーザーアカウントの基本設定は、速やかに、少なくとも2回の操作で登場するべきである。コンテンツに関しては、情報によって、ユーザーが自身の個人データがどのように使われ、その使用についてどのように範囲と方法を簡単にコントロールすることができるかを理解することができなければならない。

透明性のあるプライバシー通知がないと、「事前の説明を受けた上での」という性質を欠くため、同意も無効となる。同様に、同意は、いくつかの処理目的のために1つの行為でまとめて取得されるべきではない。ユーザーが、全ての目的や異なる目的の組み合わせに関してではなく、それぞれの目的に関して、受け入れ又は拒絶の判断ができるようにするために、それぞれの目的のために空白のボックス（事前にチェックされたものではない）がなければならない。

これらの点を念頭に置いて、企業は、ユーザーの視点を考慮して、プライバシー通知の表示に関する方法及び同意の取得の方法を検証し、必要があれば見直しをする必要があるであろう。それがなければ、そしてEUの主たる拠点がなければ、彼らは、商業的な見地からこれまで重要視していなかったかもしれない複数法域における罰金ということに直面するかもしれない。

EUにおいては、2019年3月5日に、EU加盟国に対しFDIの枠組みを規定する規則が採択された。この規制は、透明性、期限、機密情報の保護、司法上の救済に関して、FDIシステムを持つ加盟国が従う必要のある基本的な手続上の要件を定めている。欧州委員会は、EUの利害に関わるプロジェクトに影響を与える可能性のあるFDIについて、加盟国に対し意見を表明することもできるようになる。この新しい枠組みは、加盟国の制度と共存することになる。

ドイツは、既に2017年に、エネルギー、電気通信などの重要なインフラストラクチャーを審査の範囲に加えることで、制度を強化したが、2018年12月に、特定の産業に適用される基準を引き下げるために、FDI制度を改正した。

2018年末、フランスは、審査手続き対象範囲をサイバーセキュリティの研究開発、人工知能、ロボティクスなどの新しいセンシティブな分野にまで拡大するという政令を採択した。

2018年に英国政府は、ヒンクリー・ポイント原子力プロジェクトへの中国の投資に反応して、先進技術、軍民両用技術、国家インフラなどの国家安全保障上のリスクをもたらす分野におけるFDIを審査するためのホワイトペーパーを発表した。

FDI規制の要件は、アジア太平洋地域と中東で大きく異なる。

オーストラリアは、保護主義的なアプローチを取り、オーストラリアの不動産、農地、及びアグリビジネスの買収、並びにメディア、電気通信、輸送、防衛などのセンシティブ産業への投資に審査の焦点を当てている。

中国では、外国投資法が産業を「奨励」、「制限」又は「禁止」と指定している。例えば、メディア、天然資源、軍事分野においては、FDIは禁止されている。

日本では、政府は、軍事、航空宇宙、原子力などのセンシティブ産業や、電気、ガス、通信、放送などの重要インフラにおけるFDIを審査するであろう。

イスラエルは、2019年初頭に、特にテクノロジー企業への中国の投資に対抗するために、FDI審査制度を採用すると発表した。

多くの国々でFDIの規制が厳しくなるというグローバルな傾向は、国際的な取引を行う企業にとって新たな規制上の障害を生み出す。そのため、外国投資家は、そのような取引に先立ち、届出を慎重に考慮し、審査要件と手続きをチェックする必要がある。FDIの届出が必要又は推奨される場合、FDIの審査手続は国際的な取引の時期やその他の戦略的要素に影響を与える可能性があるため、外国投資家はできる限り早くに当局と接触を取るべきである。