International Legal Highlights – May 2021

Historically, cartel enforcement has increased following economic downturns and substantial federal stimulus packages. For example, after the 2008 financial crisis and the 2009 Recovery Act, the DOJ filed 60% more criminal cases than in prior years. We expect this trend to continue in the wake of the unprecedented government stimulus packages passed in 2020 and 2021 and additional potential government spending on infrastructure. In addition to the increased resources, the Division has stepped up its criminal enforcement program with the creation and recent expansion of the Procurement Collusion Strike Force (PCSF), the expansion of criminal investigations and prosecutions into labor markets, higher expectations for corporate cooperators and new potential benefits for corporate entities with compliance programs addressing antitrust violations.

Below we discuss the sectors most likely to be implicated by increased criminal antitrust enforcement, the PCSF and what steps can be taken to prepare and minimize risk in this environment.

EXPECTED INDUSTRY FOCUS

Based on the trends described above and our recent experience at the DOJ, we expect antitrust criminal enforcement to focus in at least the following industries:

• Healthcare – The DOJ remains active in this sector with its ongoing generics investigations and prosecutions and other cases relating to market allocation and labor markets. In fact, all of the charged labor market cases thus far have been in the healthcare industry. The DOJ has stated that investigations and prosecutions for violations in the healthcare sector remain its top focus and stimulus spending will likely serve to increase the DOJ’s attention to healthcare markets. Although healthcare compliance policies have often focused on other fraud and abuse issues, such as the Anti-Kickback Statute and Stark Law, compliance with antitrust laws – including for human resources – is now more critical than ever. In addition, the recently signed Competitive Health Insurance Reform Act significantly narrows the exemption for health and dental insurers from the federal antitrust laws.
• Practice Note: In January 2021, the McCarran-Ferguson Act (the Act), which generally provides that insurance-related conduct is exempt from the US federal antitrust laws, was amended only to the “business of health insurance” (defined to include dental insurance), curbing the breadth of the Act’s antitrust exemption and generally removing the prior health insurance-related antitrust protections.
• Financial Services –In addition to its historical activity in this sector, the DOJ announced last fall it intends to further “lean in” and ramp up its focus on antitrust enforcement in the financial services sector. This includes forming an enhanced relationship with the SEC and signing a memorandum of understanding that permits the two agencies to confer and share information regarding law enforcement and regulation of competition in the securities markets.
• Labor Markets – Since the DOJ’s 2016 proclamation that it intends to investigate and charge wage fixing and naked no-poach agreements as per se criminal violations, the Division has indicted three labor market cases since December 2020. The DOJ has also stated that investigating and prosecuting labor market violations is a “top priority” and that additional charged cases are expected this year.
• Technology – Technology is currently at the forefront of aggressive antitrust enforcement but companies need to think beyond Big Tech platforms such as Google, Microsoft and Facebook as the DOJ remains focused on broader exclusionary conduct that technology and digital market companies engage in to prevent competition.
• Energy – The expected focus in this sector coincides with the Biden Administration’s emphasis and priority on climate change and clean energy policies, as well as recent investigations and prosecutions in this area. (See: here, here, here and here.)
• Construction – The DOJ has historically been active in the construction industry, including its most recent charges relating to companies allegedly defrauding federal programs in the small business administration (SBA) context and public works contracts. (See: here and here.) With the Biden Administration’s proposed $2 trillion infrastructure plan, we expect this enforcement trend to continue, particularly with the rise of the PCSF.
• Defense/Procurement – As discussed below, the DOJ is focused on collusion that victimizes the government and recently expanded the PCSF to include both a domestic and international focus.

THE PCSF WILL AFFECT MANY INDUSTRIES

Investigations and prosecutions relating to procurement are not just about traditional government defense contractors, rather, the PCSF is active in a broad array of industries that contract with the government, including construction, healthcare, defense and energy. The PCSF leads the DOJ’s coordinated national response to combating antitrust crimes and related schemes in government procurement, grant and program funding fraud at the federal, state and local government level. The PCSF has prioritized trainings on recognizing antitrust crimes and red flags of collusion and to date has trained over 10,000 law enforcement agents, analysts, auditors, lawyers and procurement officers from over 500 offices and agencies that investigate a broad swath of conduct in numerous industries. The PCSF recently expanded its domestic reach and in 2021, we expect the PCSF to (1) further expand its platform with PCSF Global; (2) further build out its data analytics program and mine available procurement data, among others, to identify patterns that indicate or suggest collusion and (3) advance some of its dozens of open investigations to the charging stage, where appropriate.

Companies doing business with government agencies – even if it’s only a small percentage of their business – should expect increased scrutiny for bids and the bid award process, including potential changes to the bid award process. Companies should be attentive in ensuring their compliance with the antitrust and government procurement laws, particularly in light of the DOJ’s compliance program guidance (discussed below). Based on our recent experience with the PCSF, companies can minimize their risks in the following ways:

• Carefully review and document any no-bid or high-bid decisions and provide business justifications for such decisions
• Have counsel review any decisions to the team and/or joint bid with other companies in advance
• Have counsel review any sub-contracting arrangements with other companies that bid (or regularly bid) on the same projects in advance
• Ensure bids are legitimate and pricing decisions are determined in good faith and without collusion
• Monitor the procurement process
• Understand the red flags of collusion (indicators, patterns and/or circumstances where collusion may exist) and other indicators that suggest to the government that additional scrutiny of the bid process is warranted.

The DOJ’s recently charged cases provide insight into the breadth of future conduct the PCSF will investigate and pursue, both domestically and abroad and against individuals and corporations. For example, the Division has aggressively investigated and prosecuted individuals for allegedly defrauding the SBA for more than $250 million, as well as bid-rigging at General Services Administration (GSA) Auctions where the alleged loss (less than $70,000) is miniscule in comparison. The DOJ has shown its willingness to step into regional corporate conduct allegedly defrauding the government (See: here and here.), as well as aggressively pursuing allegedly fraudulent conduct on an international scale. (See: here, here and here.) Simply put, the PCSF is not limited to only large-scale or domestic investigations. The emergence from a global pandemic and the unprecedented government stimulus spending just as the PCSF is expanding its reach should bolster the PCSF’s efforts in the coming year.

Practice Note: In the Division’s ongoing North Carolina Drainage public works contract investigation, the indictment alleged bid-rigging between a manufacturer and its supplier, which is typically a vertical relationship and generally subject to the Rule of Reason rather than per se criminal analysis. However, the DOJ alleged the manufacturer and its supplier held themselves out as competitors when submitting the bids in question over a 10-year period. In a recent ruling on a motion to dismiss, the US District Court for the Eastern District of North Carolina (EDNC) held that the allegations were subject to per se criminal analysis. This prosecution demonstrates that the DOJ is willing to aggressively investigate and prosecute competitor relationships that are traditionally examined under a Rule of Reason analysis and instead focus on the specific, alleged transaction(s) between vertical entities. Such prosecutions may be more common where joint ventures or similar teaming agreements are not in place.

WHAT CAN YOU DO TO PREPARE FOR THIS ENVIRONMENT AND MINIMIZE RISK?

Historically, the Division provided no credit to corporate entities for their compliance programs at the charging recommendation stage in criminal antitrust investigations. In a substantial shift, the DOJ announced it would consider corporate compliance programs at the charging and penalty recommendation stages and published its guidance for prosecutors to evaluate such compliance programs. (See: here and here.) More importantly, the DOJ now allows criminal antitrust violations to be resolved with deferred prosecution agreements (DPA).

This is a significant development and opportunity for companies to proactively consider and reevaluate their antitrust compliance programs. An antitrust violation can be costly – it may result in substantial criminal fines, potential suspension or debarment, the criminal investigation and/or prosecution of corporate executives, up to treble damages in parallel civil proceedings and reputational damage. An effective antitrust compliance program may entirely avoid, significantly avoid or lessen these costs. It may also allow detection of potential violations and provide an opportunity to seek leniency or ultimately receive a DPA if leniency is not available.

Based on our recent experience at the DOJ, the following corporate compliance considerations are critical:

• Establish a clear corporate policy of full antitrust compliance
• Encourage management oversight/tone at the top
• Conduct antitrust audits, monitoring and training
• Conduct risk assessment appropriately tailored to business and industry, accounting for prior antitrust concerns in industry and employees having high risk communications or interactions with competitors, and the use of technology and data analytics in such efforts
• Establish best practices for competitor communications/information exchange
• Be diligent. Adapt compliance program as necessary

With appropriately tailored antitrust compliance programs that will identify and detect potential violations, companies should be well-positioned to avoid or minimize risks from the expected DOJ increase in domestic and international criminal antitrust enforcement.

Show Less

What Happened

• Article 22 of the EU Merger Regulation (EUMR) allows for one or more Member States to request the Commission to examine any merger that does not have an EU dimension but meets the following cumulative conditions: it affects trade between Member States, and it threatens to significantly affect competition within the territory of the Member State or States making the request (Article 22 Conditions). Fulfilment of the Article 22 Conditions ensures that a merger has a sufficient nexus with the European Union and the referring Member State(s).
• Traditionally, the Commission has discouraged the use of Article 22 EUMR in merger cases that were not notifiable under the laws of the referring Member State(s). This is principally because the Commission considered such transactions unlikely to have a significant impact on the internal market.
• Recently, however, there has been an increase in the number of mergers involving companies that play, or may develop into playing, a significant competitive role on the market, despite generating little or no turnover at the time of the merger. This development has been found to be particularly significant in the digital economy, where services regularly launch with the aim of building up a significant user base and/or commercially valuable data inventories, before the business is monetised, and in the pharma sector, where transactions have involved innovative companies conducting R&D with strong competitive potential, even if such companies have not yet finalised, let alone exploited commercially, the results of their R&D activities. Because of the absence of, or low, turnover of one the parties to such transactions, they invariably escape assessment under national merger control rules.
• With a view ensuring that non-notifiable yet potentially problematic mergers do not fly under the radar of merger control review, on 26 March 2021 the Commission issued practical guidance (Article 22 Guidance) on when it might be appropriate for a Member State to refer such mergers to the Commission for merger control review.

What This Means

• The Commission encourages, and is more amenable to (discretionally) accepting, referrals in cases where the referring Member State does not have initial jurisdiction over a case, but where the Article 22 Conditions are met, particularly in, although not necessarily limited to, cases involving a transaction where one party:
  – Is a start-up or recent entrant with significant competitive potential that has yet to develop or implement a business model generating significant revenues (or is still in the initial phase of implementing such business model)
  – Is an important innovator or is conducting potentially important research
  – Is an actual or potential important competitive force
  – Has access to competitively significant assets (such as raw materials, infrastructure, data or intellectual property rights)
  – Provides products or services that are key inputs/components for other industries.

In exercising its discretion whether to encourage or accept a referral, the Commission may also take into account whether the value of the transaction is particularly high compared to the current turn-over of the target.

What to Bear in Mind

Transactions involving nascent competitors in particular—especially in (though not strictly limited to) the digital economy and pharma sectors—are likely to increasingly be in the Commission’s crosshairs. Mergers that until recently were unlikely to face antitrust scrutiny because of the absence of, or low, turnover of the target now may be referred upwards to the Commission for merger control review. Henceforth, this risk will have to be factored into any deal timeline.

With this risk on the horizon, and with a view to avoiding (potentially significant) business disruption, increased prudence is called for. Merging parties may wish to pre-emptively approach the Commission regarding their intended transaction to solicit an early indication of whether the transaction constitutes a candidate for referral under Article 22 EUMR. If the Commission does become aware of a transaction that, in its view, meets the Article 22 Conditions, it may inform the relevant Member State(s) thereof, and invite the State(s) to make a (discretionary) referral request. If the Commission subsequently picks up the referral, implementation of the transaction will have to be put on hold until the Commission gives the green light. Moreover, the fact that a transaction has already been closed does not preclude a Member State from requesting a referral to the Commission — although the Commission is unlikely to look into a transaction where more than six months has passed since its implementation.

The Article 22 Guidance also gives rise to new opportunities for third parties that have misgivings about a transaction which, up until now, would not have been reviewed and which, absent review, may have a negative impact on their business. It may be, for example, that an aggrieved third party sees that a transaction, which is not prima facie subject to review, will lead to higher prices or risks foreclosing it from the market, in which case it is encouraged to inform the Commission or the competent Member State authority. This may allow a third party pick up any “low-hanging fruit” by positioning itself as a potential purchaser for any remedies that are offered. Even behind the scenes, the mechanism enshrined in the Article 22 Guidance may open doors for third parties to secure strategic concessions from parties to an intended transaction to the extent the parties have not notified the Commission thereof.

Show Less

Takeaways

• DOJ expects compliance programs to be well resourced and to continually evolve.
• DOJ wants companies to assess whether their compliance program is presently working or whether it is time to pivot.
• DOJ uses data in its own investigations and it expects the private sector to rise to the occasion and analyze its own data to identify and address compliance risks.
• The data is there—mountains of it—and the key is to find an efficient way to analyze that data to improve the compliance program.
• Artificial intelligence is an important tool for solving the challenge of big data and identifying and remediating compliance risks effectively, quickly and regularly, in conjunction with further periodic review.

BACKGROUND

In June 2020, DOJ updated its guidance on the Evaluation of Corporate Compliance Programs. The guidance, which was first issued in 2017 and updated in 2019, lays out a series of factors for prosecutors to consider when assessing the effectiveness of corporate compliance programs as part of making charging decisions and negotiating resolutions. The overarching theme of the updated guidance, which provides a roadmap for designing and implementing compliance programs, is a renewed emphasis on the substance and adequacy of resources made available to the compliance program. It also reflects a focus on the need to both continually assess whether the compliance program is working, and use data in a meaningful way to assess the program.

Leadership in DOJ’s Fraud Section has “embraced, wholesale, the proposition that data can and does serve as a significant indicator of fraud, foreign bribery, and other white-collar offenses.” In November 2020, at the Latin American Compliance Conference, Acting Deputy Assistant Attorney General Robert Zink emphasized the premium that DOJ is placing on data analytics. Zink explained that DOJ itself uses data analytics in the Foreign Corrupt Practices Act, healthcare fraud and securities fraud spaces to identify leads and potential misconduct. Zink went on to say that to the extent a company has “ready access to data that could be probative of misconduct, [DOJ] would hope and expect they would avail themselves of the opportunity to mine that data to figure out whether bad stuff is happening.” And so, Zink concluded, “companies that invest and take the time to invest and develop robust data analytics programs are certainly viewed favorably” by Zink and other prosecutors evaluating corporate compliance programs.

OVERVIEW OF DOJ’S UPDATED GUIDANCE: EMPHASIS ON DATA COLLECTION AND ANALYSIS

DOJ’s guidance for corporate compliance programs asks three key questions, each of which companies should answer affirmatively to satisfy the Department’s expectations:

• Is the corporation’s compliance program well designed?
• Is the corporation’s compliance program adequately resourced and empowered to function effectively?
• Does the corporation’s compliance program work in practice?

In weighing whether a compliance program is adequately resourced and empowered to function effectively, the guidance instructs prosecutors to assess whether compliance and other control personnel have “sufficient direct or indirect access to relevant sources of data to allow for timely and effective monitoring and/or testing of policies, controls, and transactions.” The guidance also directs prosecutors to determine whether any “impediments exist that limit access to relevant sources of data,” and, if there are, what the company is doing to address those impediments. The Department views this in light of whether a compliance officer has sufficient autonomy and adequate resources: just like having appropriate seniority, access to the board of directors, and an appropriate team, compliance officers must have a view into the business through its data.

In assessing whether the compliance program works in practice, prosecutors are again guided to evaluate a compliance program’s use of data. DOJ has explained that an effective compliance program will improve and evolve along with the changing risk profile of a company’s business, environment, customers, laws and standards. A key way to ensure continuous improvement is to analyze corporate data and data from the compliance function itself, in conjunction with other methods of risk assessment and control testing.

APPLYING DOJ’S GUIDANCE

In practice, the DOJ’s focus on the use of data means two things for a compliance program.

• First, compliance officers must have access to the right kinds of data, and they must have the technical capability to do something with it.
• Second, a compliance program, according to DOJ’s guidance, must timely and effectively monitor adherence to its policies, its controls and any transactions. It should also use this data to continually understand the risks faced by the company.

Basic email monitoring tools often do not provide the level of visibility into the business that a compliance officer needs. But, it often is impracticable and cost-prohibitive to set trained human eyes on large swaths of corporate data in the ordinary course of business. Using search terms often misses information in this broad context and still requires a significant manual review effort. The updated guidance admonishes compliance officers that they should address impediments that prevent them from meaningfully accessing and using company data, and there are tools that can facilitate overcoming these challenges.

USING ARTIFICIAL INTELLIGENCE

In 2020, roughly 306.4 billion emails were sent and received worldwide each day, and that number is predicted to reach 319.6 billion by 2021 with further increases for the foreseeable future. In addition to the ever-increasing number of emails, there has also been extraordinary growth in the use of collaboration platforms to support remote work during the COVID-19 pandemic. The number of daily active users just for Microsoft Teams increased from 44 million in mid-March 2020 to 75 million in late April to 115 million by October. The sheer number of communications presents a complex challenge for compliance initiatives.

Artificial intelligence (AI) helps address these problems. AI is able to analyze the data and extract a wealth of information quickly, without the need for humans to read an impossibly large number of documents or guess which search terms may be effective. Instead of spending time looking for the proverbial needle in a haystack or relying on a team of people to manually review documents to understand the story in the data, AI can expose that information quickly. When compliance teams use AI tools, they not only gain an early understanding of facts in the documents, they can also see what isn’t in the data.

HOW TO MAKE ARTIFICIAL INTELLIGENCE WORK FOR A COMPLIANCE PROGRAM

Without any human input, AI can analyze the content of millions of documents and extract information like the emotional sentiment of a communication, the people and organizations mentioned or the social network connections among key players. Legal and compliance teams can use patterns identified by the system to point the way toward smarter search techniques that yield rich results. For example, unusual spikes in communication after business hours or with external parties could reveal inappropriate conduct. Or review could focus on documents with high negative sentiment or fraud signals that the system identified automatically. Visualizing the social network to see who is interacting with whom can also guide the direction of an investigation.

Compliance teams can also use machine learning to prioritize relevant documents and avoid review of irrelevant data. As a person indicates which documents are relevant, the system learns from this input and classifies the rest of the dataset for relevance, building a model tailored to the issues of the investigation. The system continually refines and adjusts the algorithm in response to reviewers’ input, and the most relevant documents are prioritized first. Review efforts can focus on higher-level analysis instead of spending time shuffling through an unnecessarily large number of documents.

Another effective approach is to use pre-trained models to classify the data. Pre-trained models are algorithms that have been configured for specific purposes. For example, a model for gifts and entertainment kickbacks may be useful for certain investigations; perhaps a model for pricing and fees is more effective in another scenario. Another example identifies communications with competitors that may show an implicit or explicit agreement. Pre-trained models can identify documents related to those topics without any human input, and they can be further adjusted and customized to fit the specific needs of an investigation.

As the volume of business communications continues to increase with no end in sight, AI is a critical component to a data-driven compliance initiative. Advanced technologies empower compliance officers to be proactive rather than reactive, finding potential problems quickly and mitigating risk to the business.

ARTIFICIAL INTELLIGENCE + HUMAN INTELLIGENCE = GENUINE INTELLIGENCE AND COMPREHENSIVE COMPLIANCE

An experienced team of compliance, e-discovery and subject matter experts can use AI to gain insight into elusive or unpredictable activity that threatens an organization and that may otherwise have been undetectable. Meeting DOJ’s expectations does not mean that organizations must constantly take on comprehensive compliance reviews. Taking a tailored, data-driven compliance approach will allow organizations to review their risk on a regular basis in a precise and efficient manner. When done in partnership with the right team, organizations can do so while protecting privilege and managing a full array of legal and reputational risks. This approach, when coupled with more periodic and comprehensive reviews of policies and procedures, can substantially decrease compliance risk and directly addresses DOJ’s requirements for an effective compliance program.

Show Less

The publishing of the Joint Opinions shall be used as opportunity to give a short overview about the latest developments in European data protection law and a prediction of what is to come, with a focus on the health sector in particular.

LEGAL BASIS AND SIGNIFICANCE OF THE JOINT OPINIONS

On 12 November 2020, the European Commission (Commission) published two drafts of standard contractual clauses (SCC). The first SCC draft shall update the SCC currently in place, covering the transfer of personal data to third countries outside of the EU/EAA independently, whether only controllers, only processors or one or more controllers and processor(s) are involved (Non-EU SCC). The second draft is an entirely new set of SCC aiming to provide on the EU level substantive and procedural rules for the data transfer between controller and processor within the EU/EAA (EU SCC) (jointly New SCC). The EU SCC are based on Art. 28 para. 7 of the Regulation (EU) 2016/679 (GDPR) and Art. 29 para. 7 EUDPR. The Commission used these enabling provisions for the first time; until now only SCC have existed for the transfer and processing of personal data outside of the EU/EAA.

In the context of the New SCC, the Commission has requested the EDPB) and EDPS to consult on the New SCC drafts according to Art. 42 para. 2 EUDPR by commenting and giving advice on whether and how they might be improved. The EDPB and EDPS published their joint opinions in mid-January 2021 (Joint Opinions); they are available on the EDPB website.

BACKGROUND AND THE LATEST DEVELOPMENTS AS TO THE NEW NON-EU SCC DRAFTS

The planned update of the Non-EU SCC should be seen in the context of the latest developments in the area of European statutory as well as case law on data protection:

The transfer of personal data, which are undergoing processing or are intended for processing after transfer to a third country or to an international organization, may only take place, if (i) the data processing is legally justified and (ii) the transfer – including onward transfers of personal data from the third country or an international organisation to another third country or international organisation – takes place on the basis of one of the safeguards laid down in the GDPR (Art. 44 et seqq.) or the EUDPR (Art. 46 et seqq.). SCC are considered one of the possible safeguards to transfer personal data to third countries in compliance with the legal standards and requirements of European data protection law (Art. 46 para. 2 c GDPR, Art. 48 para. 2 b GDPR).

The current sets of SCC were issued in 2001 and 2004 and then amended in 2010 under the former Data Protection Directive 95/46/EC of 24 October 1995. The SCC have remained in place pursuant to Art. 46 para. 5 sentence 2 GDPR after the GDPR became effective on 25 May 2018. However, these former law-based SCC do not comply fully with the requirements of the GDPR and the EUDPR. An update has been long overdue, inter alia, as the current SCC do not cover all possible scenarios of data transfer outside of the EU/EAA, but only the transfer of personal data from a EU/EAA controller to a controller or a processor located in a third country. Furthermore, the Court of Justice of the European Union (CJEU) decision on 16 July 2020 in a dispute between Maximillian Schrems and Facebook Ireland Ltd (C-311/18), known as Schrems II decision, had significant impact on the data transfer into third countries based on SCC, for the United States in particular.

In the Schrems II decision, the CJEU stated that transferring personal data to third countries can not be a meant to water down the level of data protection guaranteed in the EU/EEA. With that said, the CJEU declared that the transfer of personal data into the United States based on the EU-US Privacy Shield, an adequacy decision pursuant to Art. 45 GDPR with regard to the United States, violates fundamental rights of European data subjects, as the US level of data protection is not equal to the protection guaranteed by the GDPR. Due to the CJEU decision, the data transfer based on the EU-US Privacy Shield had to be stopped immediately. Since then, a data transfer to the United States  is permitted only if it can be legitimized by another safeguard pursuant to Art. 44 et seqq. GDPR. As to the data transfer outside of the EU/EAA based on SCC, the CJEU provided in the Schrems II case some important clarifications, too. Although the CJEU upheld in general the validity of the current SCC, the Court underlined that data exporters may be obliged to implement supplementary measures to fill possible gaps in the protection of fundamental rights and freedoms of individuals and bring it up to the level required by EU law. Consequently, controllers and processors transferring personal data to third countries shall be responsible for verifying, on a case-by-case basis, if the law or practice of the third country impinges on the effectiveness of the appropriate safeguards intended by the used Art. 46 para. 2 c GDPR transfer tool. The CJEU did not specify which supplementary measures these could be. To help data exporters with the complex task of assessing third countries’ laws and practices as well as identifying appropriate supplementary measures where needed, the EDPB adopted on 10 November 2020 recommendations on supplementary measures (Recommendations on Supplementary Measures). The Recommendations on Supplementary Measures provide to data exporters a series of steps to follow to assess and identify the correct supplementary measures required in the individual case as well as examples of possible measures that might be adequate.

On 12 November 2020, the Commission published the drafts on the New SCC. The Non-EU SCC shall update the existing SCC, bringing them in line with the current EU data protection regulations and providing an answer to the issues arisen by the CJEU in its Schrems II decision. As to the latter, the Non-EU SCC contain specific provisions for scenarios in which third countries’ laws will affect compliance with the Non-EU SCC and/or in which third countries’ public authorities may request access to personal data transferred from the EU/EAA. These provisions in the Non-EU SCC, once the new SCC became effective, do not release the data exporter to assess and identify on a case-by-case basis possibly required appropriate supplementary measures, as the EDPB underlines in its Recommendations on Supplementary Measures.

From the date of entry into force of the New Non-EU SCC, controllers or processors may continue to rely on the SCC concluded between them before that date for a transitional period of one year, provided the clauses remain unchanged (with the exception of possibly required supplementary measures). In the case of relevant changes to the SCC, the data exporter shall replace the existing SCC with the New Non-EU SCC within one year.

Furthermore, there are sectors where the EU or a member states may rely on Art. 49 para. 5 GDPR and exclude by means of an express limitation because of important reasons of public interest that specific categories of personal data are transferred on the basis of the – current or future – Non-EU SCC to a third country outside of the EU or an international organisation. German Federal Minister of Health Jens Spahn used this exception rule in the context of his legislative empowerment to enact an ordinance for digital health applications – so-called DiGAs (Digitale Gesundheitsanwendungen) – introduced in the German statutory healthcare system in December 2019. Pursuant to Sec. 4 para. 3 of the DiGA Ordinance, the processing of personal data as controller or processor related to DiGAs may only take place within Germany, in an EU member state or in a country equivalent thereto and within a third country only if an adequacy decision pursuant to Art. 45 GDPR is available. Despite the question whether Sec. 4 para. 3 of the DiGA Ordinance is a legitimate limitation of personal data transfer and compliant with the requirements under Art. 49 para. 5 GDPR, DiGA manufacturers are not allowed under current German law to process personal (patient) data in the United States or use a tool or other services of companies, which process personal data in the United States, as the data transfer cannot rely any more on the (invalidated) EU-US Privacy Shield.

BACKGROUND AS TO THE EU SCC DRAFTS

As already mentioned, the New SCC Drafts comprise a version, which is for the first time based on Art. 28 para. 7 GDPR and Art. 29 para. 7 EUDPR, i.e., an EU-wide overarching SCC document for agreements between controllers and processors bound by the GDPR and/or the EUDPR.

According to the Commission, these new sets of SCC are justified by the interest of a coherent approach to personal data protection throughout the EU and the free movement of personal data. The new EU SCC can be used by natural or legal persons, public authorities, agencies or other public bodies in the EU member states under the GDPR as well as by Union institutions, bodies, offices and agencies under the EUDPR. Pursuant to the EU SCC recitals, the use of the new EU SCC is not obligatory. They are just one possible instrument to comply with the European data protection requirements for situations, in which (1) two controllers, (2) one controller and one processor or (3) two processors, all subjects to the GDPR and/or the EUDPR, are involved in the data processing. Alternatively, the controller(s) and processor(s) are free to negotiate an individual data processing agreement pursuant to Art. 28 para. 3 sentence 1 GDPR, provided that the agreement contains the compulsory elements laid down in Art. 28 para. 3 sentence 2, para. 4 GDPR, Art. 29 para. 3, para. 4 EUDPR respectively. The parties may also rely only in part on the new EU SCC and integrate other clauses or additional safeguards in their processing agreement given that the additional clauses do not contradict, directly or indirectly, the SCC or prejudice the fundamental rights or freedoms of data subjects. In scenarios in which personal data are both processed within the EU as well as transferred and processed outside of the EU in a third country, it will be finally sufficient under the New SCC that the controller(s) and/or processor(s) rely on the Non-EU SCC drafts only. The Commission points out this aspect in recital 10 of the EU SCC Draft by stating “To fulfil the requirements of Article 46(1) Regulation (EU) 2016/679, the Commission adopted standard contractual clauses pursuant to Article 46(2)(c) Regulation (EU) 2016/679. Those clauses also fulfil the requirements of Article 28(3) and (4) of Regulation (EU) 2016/679 for data transfers from controllers subject to Regulation (EU) 2016/679 to processors outside the territorial scope of application of that Regulation or from processors subject to Regulation (EU) 2016/679 to sub-processors outside the territorial scope of that Regulation.” That is an improvement and overdue step to less paperwork for the parties involved, as the current non-EU SCC additionally require an agreement under Art. 28 GDPR or Art. 26 GDPR.

KEY CONTENT OF THE JOINT OPINIONS

The Joint Opinions of the EDPB and the EDPS comprise each (i) a core part with general comments and (ii) an annex with additional comments made directly within the Draft SCC. There is no hierarchy between the two parts of the Joint Opinions, but they are meant to complete each other and shall be considered together.

The Joint Opinions clearly show that the EDPB and EDPS understand their consultation role as an assignment to be a “peer discussion partner” of the Commission. The EDPB and EDPS suggest corrections and at some points deletions to the drafts on the New SCC, but in particular they focus on those chapters in the drafts, which in their view require further clarification in the course of the ongoing drafting process. The EDPB and EDPS seek to contribute to the scope to publish at the end of the drafting process clear and unambiguous SCC, which can be easily used by everyone and do not need any further clarifications or guidelines for interpretation. This mindset runs like a golden thread through both Joint Opinions.

The EDPB and EDPS suggest, inter alia,

• To clarify whether the EU SCC shall cover only the processing of personal data between controllers and processers located within the EU/EAA or also situations where the controller and/or the processor have to comply with the GDPR according to Art. 3 para. 2 GDPR;
• To clarify whether in situations where several scenarios of the Non-EU SCC are affected and therefore several modules of the SCC must be applied, the parties can enter into one SCC document only or whether several documents are required;
• To assist the contracting parties with more clarity on how to rule comprehensively, but at the same time in an efficient way, on the rights and obligations of each party under the clauses, guaranteeing a high level of transparency with regard to the allocation of responsibility and accountability; and
• To clarify and complete the requirements for the parties to comply with the obligations, which derive from the Schrems II decision and/or which are described in the Recommendations on Supplementary Measures. The New SCC Drafts should cover all possible scenarios, in which third countries’ laws or acts of third countries’ authorities may legally  or factually impinge the data protections rights guaranteed under the GDPR/ EUDPR.

PROSPECTS AND FURTHER DEVELOPMENTS WITH REGARD TO DATA PROTECTION IN THE HEALTHCARE/ LIFE SCIENCES SECTOR

Now, it is again the Commission’s turn. The Commission has to go through the Joint Opinions and assess to which extent it will consider the suggestions provided by EDBP and EDPS. There is no timeframe for the Commission to respond to the Joint Opinion and either to consider the suggestions given in the New SCC or overrule them. Therefore, not only the question “whether and to which extent” the Commission will consider the suggestions, but also “when” is currently open.

In the meantime, the EDBP adopted in its 45th session on 2 February 2021 its response to the request from the Commission for clarifications on the consistent application of the GDPR with regard to health research. The EDPB’s response is available on its website. The response is to be considered a first step to overcome some common misunderstandings and misinterpretations as to the application of the GDPR in the scientific health research sector. The EDPB underlines in its answers that most of the Commission’s questions require further and deeper-digging analysis and a search for examples and best practices. Thus, the Commission’s questions cannot be fully answered at this stage. Rather, The EDPB is currently working on guidelines on the processing personal data for scientific research purposes, which shall provide a more comprehensive interpretation of the various provisions in the GDPR that are relevant for the processing of personal data in this context. The guidelines shall be published in the course of 2021.

If you have any questions, please contact Romain Perray

Show Less

IN GENERAL: WHAT DOES THE EU-UK TRADE AND COOPERATION AGREEMENT (TCA) COVER?

Essentially, the agreement between the European Union (EU) and the United Kingdom (UK) covers three main sections: Free trade between EU and UK, judicial cooperation in criminal matters and arrangements for the prevention and settlement of disputes between the parties to the TCA.

• The free trade agreement between EU and UK not only regulates trade in goods and services, but also in digital trade, intellectual property, competition, public procurement, energy and the coordination of social security systems.
• It does not regulate judicial cooperation in civil and commercial matters;
• British companies no longer have the automatic right to offer services throughout the EU. If they want to continue operating in the EU, they must also be based there.
• All imports from UK into the EU are subject to customs formalities and must meet EU standards, they are therefore subject to appropriate controls. Special regulations apply to goods transported between Northern Ireland and the EU.

CCORPORATE LAW: WHAT CONTINUES TO APPLY, WHAT NO LONGER APPLIES

All rights and obligations that UK had as an EU member state (and during the transition period) no longer apply to it. Since EU legislation also affects many areas of national law in UK, UK has undertaken a comprehensive incorporation of European legal acts that existed immediately before the end of the transition period into national law (retained EU law) in order to avoid legal uncertainties. However, this does not apply to all EU law. In particular, the following are excluded from such incorporation:

• European legal forms (SE, SCE, EEIG): It is no longer possible to establish new European companies with their head office or registered office in the UK. Companies existing at the time of the UK exit were automatically transformed with effect from January 1, 2021, preserving their legal identity: SE became the “UK Societas”, EEIV became “UKEIG”. The SCE as a legal form ceased to exist in UK without replacement as there was no need for a transformation (there simply were no SCEs in UK). The previous legal bases (SE Regulation, EEIG Regulation) were incorporated into national law accordingly.
• Cross-border mergers (Verschmelzungen): The directive-based regulation enabling cross-border mergers was repealed with effect from January 1, 2021, so that a merger of an EU company with a UK company is no longer possible. On the German side, there is a transitional provision in the form of Sec. 122m Transition Act (Umwandlungsgesetz), but in practice this will no longer be feasible in the absence of a corresponding provision from UK.
• Cross-border change of legal form/ cross-border spin-off (Spaltung): The freedom of establishment pursuant to Artt. 49, 54 TFEU in and for UK companies ceases to apply and thus also a cross-border change of legal form and a cross-border spin-off which was made possible by the ECJ on this basis, ceases to be possible. Even without the implementation of the Directive on Cross-Border Conversion Measures (Directive (EU) 2019/2121), which has been issued in the meantime, the ECJ had enforced the enabling of these corporate law measures for companies within the EU, to the extent that they are also possible for domestic companies (ECJ, judgment of July 12, 2012 – C-378/10 – VALE; ECJ, judgment of October 25, 2017 – C-106/16 – Polbud).
• Branches: UK is now a “third country”, so branches of EU/EEA companies in UK must meet the special requirements for those from third countries. The same applies to branches of UK companies in an EU/EEA state.
• Financial reporting: The International Financial Reporting Standards (IFRS) have been incorporated into UK law. However, amendments to the IFRS adopted at EU level no longer apply directly in UK, where only the UK-adopted international accounting standards now in force are applicable and must be taken into account by UK companies in their balance sheet from now on.

CESSATION OF THE FREEDOM OF ESTABLISHMENT – APPLICATION OF THE SEAT THEORY (SITZTHEORIE)

A company incorporated in EU with its administrative headquarter in UK can no longer invoke freedom of establishment, nor can a UK company with its administrative headquarter in the EU. What are the consequences?

• As a result, the mandatory application of the incorporation theory (Gründungstheorie) throughout the European Union, as pronounced by the ECJ, no longer applies in relation to UK. According to the incorporation theory, the legal provisions applicable to a company are those which apply under the law of the state under which it was incorporated, irrespective of the actual seat of the company’s administration.
• In German corporate law, as in many other EU countries, the seat theory still prevails for non-EU companies (unless, as with USA, separate agreements apply). According to the seat theory, a company is governed by the legal system in which its administrative headquarter, i.e. the actual seat of management, is located.
• For UK companies with their administrative headquarter in Germany, German (company) law is now generally applicable. A UK limited company with its administrative headquarter in Germany now runs the risk of no longer being recognized as UK Ltd (or corporation a all) in Germany. The company would have to be assessed according to German corporate law, where it does not meet the incorporation requirements of a German corporation (especially a German limited liability company). Accordingly, it would be regarded in Germany as a partnership (Commercial Partnership (OHG) or a civil law partnership (GbR), depending on whether it operates a commercial trade (Handelsgewerbe). In case such Limited has only one sole shareholder, it would be regarded as a sole businessman (Einzelkaufmann) or co called “small trader” (Kleingewerbetreibender). Anyway, it would lose its limitation of liability in Germany. This is particularly interesting for the Limited (UK) & Co. KG, which was quite popular in practice in the past and which always has its administrative seat in Germany.
• The legal consequence or rather the continuation of the incorporation theory for UK companies is quite controversial under the TCA. A clarifying regulation would certainly be advisable here, as the result of a strict application of the seat theory appears hardly manageable in practice.
• For companies seated in UK or in member states of the EU following the incorporation theory, this has no effect, as only the law of the respective state of incorporation continues to apply to the company.

***

– 1   Source and further references: https://www.bmjv.de/DE/Themen/FokusThemen/Brexit/Gesellschaftsrecht/Brexit_Gesellschaft_node.html, https://ec.europa.eu/info/relations-united-kingdom/eu-uk-trade-and-cooperation-agreement_en (the entire agreement is also available here) (both last accessed on March 9, 2021); and Schmidt, Brexit: Implikationen des EU-UK TCA im Bereich des Gesellschaftsrechts, GmbHR 2021, 229 et seq.

Show Less

歴史的に見ても、カルテルに対する執行は景気後退や連邦政府による大規模な景気刺激策の実施後に増加する。例えば、2008年の金融危機と2009年の復興法制定の後、司法省は前年に比べ60％多い刑事事件を開始した。この傾向は、2020年および2021年に可決された前例のない政府の景気刺激策及び今後の追加的なインフラ投資にも当てはまると考えられる。予算の拡大に加えて、反トラスト局は、調達共謀対策本部（Procurement Collusion Strike Force）（PCSF）の設置とその任務の最近の拡大、労働市場での刑事事件の捜査及び訴追の拡大、企業に対する協力要求、反トラスト法違反に対するコンプライアンスプログラムを備えた企業への新たな優遇措置の可能性などを通じて、執行プログラムを強化している。

以下では、反トラスト法に関する執行の強化やPCSFの影響を受ける可能性が最も高い産業分野と、このような状況下でリスクを最小化するためにどのような準備ができるかについて解説する。

より深く

重視される産業

上記の傾向と筆者の司法省での最近の経験から、反トラスト法に基づく執行では、少なくとも以下の産業が重視されると考えられる。

• ヘルスケア – 司法省は、現在進行中のジェネリック医薬品に関する捜査及び訴追や、市場分割や労働市場に関連するその他の事件において未だ積極的な姿勢を見せている。実際、これまでに起訴された労働市場に関する事件は、すべてヘルスケア産業に関するものである。司法省は、ヘルスケア分野における違反行為の捜査、訴追は引き続き最重要課題であると述べており、景気刺激策により、司法省のヘルスケア市場への注意はさらに高まることが予想される。ヘルスケア分野のコンプライアンスポリシーは、連邦反キックバック法やスターク法（医師の自己利益のための患者紹介に関する法律）などの他の不正や濫用の問題に重点が置かれることが多いが、人事部門を含めた反トラスト法へのコンプライアンスが、これまで以上に重要になっている。また、最近署名された競争的医療保険改革法（Competitive Health Insurance Reform Act）では、医療・歯科保険者の連邦反トラスト法の適用免除範囲が大幅に縮小された。

– 実務上の注意点：2021年1月、保険関連行為の米国連邦反トラスト法からの免除を一般的に規定しているマッカラン・ファーガソン法が、「医療保険事業」（歯科保険を含むと定義されている）に関してのみ改正された。これにより、同法による反トラスト法の適用免除の範囲が縮小され、これまでの医療保険関連に対する反トラスト法からの保護が一般的に取り除かれた。

• 金融サービス – 司法省は、この分野を歴史的に重視しているのに加え、昨年秋に、金融サービス分野における反トラスト法の執行にさらに重視、注力する意向であると発表した。これには、SEC（米国証券取引委員会）とのより強固な関係性の構築や、証券市場における競争法の規制と執行に関する情報を両機関が共有し協議する旨の覚書の締結が含まれる。
• 労働市場 – 司法省が2016年に、賃金固定や従業員の引き抜きを禁止するだけの合意は当然（per se）違法行為に当たるとして捜査及び訴追する意向を表明してから、反トラスト局は2020年12月以降に、3件の労働市場に関する事件で起訴を行った。また司法省は、労働市場の侵害に対する捜査及び訴追は「最優先事項（top priority）」であり、今年も複数の事件で起訴が見込まれていると述べた。
• テクノロジー – 現在、テクノロジー分野は積極的な反トラスト法執行の最前線だが、企業は、グーグル、マイクロソフト、フェイスブックといった巨大プラットフォーム以外も執行の対象になりうることを頭に入れておく必要がある。実際、司法省はテクノロジーやデジタル分野の企業が競争を阻害するために行う広範な排除行為にも焦点を当てている。
• エネルギー – バイデン政権の気候変動やクリーンエネルギー政策の重視と、この分野における最近の捜査及び訴追の傾向を見ると、エネルギー分野への注力が見込まれる。
• 建設業 – 司法省は、歴史的に建設業において積極的な姿勢を見せており、直近の起訴では、中小企業庁（Small Business Administration）や公共事業契約における連邦プログラムを不正に利用したとされる企業が問題となった。バイデン政権が提案している2兆ドル規模のインフラ計画では、特にPCSFの権力強化により、このような執行の傾向が続くものと予想される。
• 防衛・調達 – 以下で述べるように、司法省は政府の利益に反する共謀に特別の注意を払っており、最近ではPCSFがその権力を拡大し、国内と国外の双方を対象範囲とした。

調達共謀対策本部（PCSF）は多くの産業に影響を及ぼすと予想される

調達に関連する捜査及び訴追は、伝統的に国防分野において政府と契約している事業者に対するものであったが、PCSFはむしろ、建設、医療、防衛、エネルギー等の幅広い分野で政府と契約する事業者を対象としている。PCSFは、反トラスト法違反及び関連スキームを取り締まるための国内対策の連携を主導し、その対象は連邦政府、州政府、地方政府レベルでの政府調達、助成金、プログラムに関わる不正行為に及ぶ。PCSFは、反トラスト法違反や共謀の兆候を探知するための訓練を優先的に実施しており、これまでに、多様な業界の幅広い行為を調査する500以上の事務所や機関に所属する、１万人以上の捜査官、会計士、弁護士及び調達担当者に対しトレーニングを行ってきた。PCSFは最近、国内における活動範囲を拡大し、さらに2021年には、（1）PCSF Globalによる活動範囲のさらなる拡大、（2）特に共謀の存在を示すパターンを特定するための、データ分析プログラムの強化と、利用可能な調達に関するデータの充実、（3）数十件の捜査中の事件での起訴手続きへの移行が予想される。

政府機関とビジネスを行っている企業は、たとえそれがビジネスのごく一部であっても、落札手続きの変更の可能性等を含む、入札や落札手続きに対する監視の強化を想定しておく必要がある。企業は、特に後述のDOJのコンプライアンスプログラムガイダンスを考慮しながら、反トラスト法及び政府調達関連法の遵守に努める必要がある。PCSFに関する筆者の最近の経験から、企業はリスクを最小化するために以下の方法をとることができると考えられる。

• 入札なしまたは高額入札の決定は慎重に審査して文書に記録し、このような決定に対するビジネス上の正当化根拠を示す
• チーム編成や他社との共同入札に関する決定については、事前に弁護士の確認を取る
• 同じプロジェクトに入札する（または定期的に入札する）旨の他社との下請け合意は、事前に弁護士の確認を取る
• 入札が正当で、価格決定が談合によらず、誠実に行われていることを確認する
• 調達プロセスを監視する
• 談合の兆候（談合の存在を示す指標、パターン、状況）や、入札手続きに対する追加調査の必要を考える上で政府が考慮するその他の指標を理解する

司法省が最近起訴した事件を見ると、PCSFが今後、国内外の個人及び企業に対して捜査・訴追を行う際の傾向が見えてくる。例えば、反トラスト局は、中小事業局から2億5,000万ドル以上を詐取したとされる個人を積極的に捜査・訴追しているが、同じく積極的に捜査・訴追した一般調達庁（General Services Administration）のオークションでの入札談合では、被疑事実となった被害額（7万ドル未満）はごく僅かだった。司法省は、政府に対する詐欺が疑われる地域的な企業の行為に対して厳しく追及する構えを見せていると同時に、国際的な規模での不正が疑われる行為も積極的に追及している。簡単に言えば、PCSFは大規模な捜査や国内捜査だけにとどまるものではない。PCSFが活動範囲を拡大するのと同時に生じた、世界的なコロナウィルスの感染拡大と、政府による前例のない景気刺激策が、今後のPCSFの活動強化につながることは疑いがない。

実務上の注意点: 反トラスト局が起訴したノースカロライナ州の公共下水工事請負契約に関する事件において、公訴事実は製造業者とその供給者との間の入札談合（bid-rigging）とされており、これは典型的な垂直的関係であるから、一般には当然違法（per se criminal）の枠組みより、むしろ合理の原則（Rule of Reason）に従う事案である。しかし司法省は、製造業者とその供給者は、10年以上にわたって当該入札時に競争者として振る舞っていたと主張した。ノースカロライナ州東部地区連邦地方裁判所（EDNC）は、起訴に対する異議申立てを却下する近時の決定の中で、公訴事実は当然違法の判断枠組みに従うと判断した。本件は、司法省が、伝統的に合理の原則に基づいて判断されていた競争者間の関係を積極的に捜査・訴追し、不正の疑いのある特定の垂直的取引に焦点を当てる意思であることを明らかにしている。このような起訴は、ジョイントベンチャーや同様の協業契約が結ばれていないケースでより多く見られる。

このような状況に備え、リスクを最小限に抑えるためにできることは何か

これまで司法省は、反トラスト法に基づく刑事事件の起訴段階では、企業のコンプライアンスプログラムを考慮していなかった。しかし、この点に関して大きな変化があり、司法省は、企業のコンプライアンスプログラムを起訴及び科刑意見を決める段階で考慮すると発表し、検察官がコンプライアンスプログラムを評価するためのガイダンスを公開した。さらに重要なことに、司法省は現在、反トラスト法違反刑事事件を起訴猶予合意（DPA）で解決することを認めている。

これは企業にとって重要な変化であり、反トラスト法のコンプライアンスプログラムを積極的に検討し、見直す機会となる。反トラスト法違反に問われると、多額の刑事上の罰金、営業停止または禁止の可能性、企業役員の捜査・起訴、並行して行われる民事訴訟での最大3倍の懲罰的損害賠償、風評被害など、多くのコストを支払わなければならない可能性がある。効果的な反トラスト法のコンプライアンスプログラムは、これらのコストを完全または大幅に回避し、また軽減することにつながる。さらに、コンプライアンスプログラムにより潜在的な

違反行為を発見できれば、リニエンシー（課徴金の減免）を求めたり、リニエンシーが使えない場合でも執行猶予合意が可能になる。

筆者の司法省での最近の経験に基づくと、以下のような企業コンプライアンスの検討が非常に重要である。

• 反トラスト法を遵守するという明確な企業ポリシーの確立
• 経営陣による監督（management oversight）・トップによる価値観の醸成（tone at the top）
• 反トラスト法に関する監査、監視、トレーニングの実施
• 事業や業界に合わせた適切なリスク評価の実施、業界における過去の反トラスト法上の懸念材料や、競争相手とリスクの高いコミュニケーションや交流を持つ従業員の報告、またこの際技術やデータ分析の活用を考慮する
• 競争者とのコミュニケーション／情報交換におけるベストプラクティスの確立
• 必要に応じたコンプライアンスプログラムの改善

Show Less

より深く

問題の所在

• EU企業結合規則 [1]（EUMR）第22条によれば、EU規模 [2]には該当しないが、次の条件をすべて満たす合併について、一または複数の加盟国は審査を欧州委員会に要請することができる。すなわち、加盟国間の取引に影響を及ぼし、かつ審査を要請した加盟国の領域における競争に重大な（significant）影響を及ぼすおそれがある場合である（22条要件）。22条要件を満たす合併は、EU及び当該加盟国と十分な関連性（sufficient nexus）があると認められる。
• 従来、欧州委員会は、関係する加盟国の国内法では届出が認められない合併に関しては、EUMR第22条を行使しないよう求めてきた。これは主に、欧州委員会はそのような取引がその国内市場に重大な影響を及ぼす可能性は低いとみなしてきたためである。
• しかし近年、合併時には売上高がほとんど、あるいは全くないにもかかわらず、市場での重要な競争者となっている、またはなりうる企業を対象とする合併が増えている。このような動きは、デジタル経済及び医薬品業界において特に顕著に見られる。デジタル経済では、ビジネスとして収益化する前に、多くのユーザーの獲得やビジネス上価値の高いデータを収集する目的でサービスが日々開始されている。また、医薬品分野では、商品化はおろか、研究開発すら終わっておらず、未だ結果が出ていないが、高い競争力を秘めた研究を行っている革新的な企業が存在する。これらの企業は、売上がなく、あってもごく僅かであるため、このような企業をターゲットとする取引は、国内の企業結合ルールをすり抜けてしまうのである。
• このように、届出がされないが潜在的に問題のある合併が、企業結合審査の網の目を潜り抜けてしまわないよう、欧州委員会は、2021年3月26日、このような合併について、加盟国が企業結合審査を欧州委員会に要請するのが適切と考えられる場合についての実務ガイダンス（22条ガイダンス）を発表した。

22条ガイダンスの内容

• 欧州委員会は、審査を要請する加盟国が事案に対する最初の管轄権を持たない場合でも、22条要件が満たされている場合に要請を推奨するケース、つまり（裁量により）要請を受諾する可能性が高いケースとして、次のような取引を例示的に列挙している。すなわち、取引の一方当事者が：

– 重要な潜在的競争力を有するスタートアップ企業または新規参入企業で、まだ大きな収益を生み出すビジネスモデルを開発または実施していない（または、そのようなビジネスモデルが実施初期段階にある）

– 重要なイノベーターであるか、または潜在的に重要な研究を行っている

– 実際に、または潜在的に重要な競争力を持っている

– 競争上重要な資産(原材料、インフラ、データ、知的財産権等)にアクセスできる

– 他の産業にとってカギとなるサービスや製品を提供している。

欧州委員会は、要請を推奨または受諾するかどうかの判断に当たり、買収価格が対象企業の現在の収益と比較して特に高いかどうかも考慮する可能性があるとしている。

注意すべき点

欧州委員会は、新興競争者が関係する取引で、特にデジタル経済や医薬品分野に関わるもの（この分野に限られるという意味ではないが）に対しては、ますます監視を強める可能性が高い。収益がない、あるいは少ないという理由で、これまで競争法上の審査を受ける可能性が低かった合併も、要請によって欧州委員会の企業結合審査の対象となるかもしれない。今後は、このリスクを取引計画を立てる上で考慮する必要がある。

このようなリスクを前に、企業には（重大なものになりかねない）ビジネスの中断という危機を回避するため、より一層の慎重さが求められる。合併当事者は、計画中の取引について、欧州委員会に事前相談をし、早期に当該取引がEUMR第22条による審査要求の対象となりうるかについての示唆を得たいと思うかもしれない。しかし、もし欧州委員会が当該取引の存在に気づき、22条要件に該当すると判断した場合、関係する加盟国にその旨を伝え、（任意の）審査を要請するよう求めることができる。そして、仮に欧州委員会が要請を受諾した場合、欧州委員会が許可を出すまで取引を停止しなければならなくなる可能性がある。また、取引がすでにクローズしているという事実は、欧州委員会への要請を妨げるものではない。ただし、欧州委員会が、終了から6カ月以上経過した取引を審査する可能性は低い。

また、22条ガイダンスは、今まで審査対象とならなかった取引が、審査されなければ自分のビジネスに悪影響を及ぼすかもしれないとおそれている第三者に対し、新たな要請の機会を与えている。例えば、第三者は、審査対象となることが一見明らかではない取引が、将来の価格上昇や自身の市場からの排除につながりうると考えた場合、欧州委員会や管轄の当局に通報することが推奨されている。このことは、第三者が自らを潜在的な買主と位置づけることで、提示された救済策からいとも簡単に利益を得ることを可能にするかもしれない。さらに22条ガイダンスの規定するメカニズムは、当事者が計画中の取引を欧州委員会に届け出ていない場合、水面下で第三者が取引当事者から戦略的な譲歩を引き出すことすら可能にするかもしれない。

訳注

[1] 企業結合規制に関するEC規則（規則（EC）139/2004）

[2] EU規模（EU dimension）とは、上記規則1条の定める、企業結合の結果生じる売上高に基づく基準を超える取引を指す。EU規模に該当する取引は、欧州委員会の専属管轄となり、該当しない取引は各加盟国の管轄となる。

Show Less

本稿の要点

– DOJは、コンプライアンスプログラムが充実し、また継続的に進化することを期待している。

– DOJは、企業が自社のコンプライアンスプログラムが現在機能しているのか、それとも方針転換の時期に来ているのかを検討することを求めている。

– DOJは、自らの捜査でもデータを使用しており、民間企業にも機会を見つけて自社データを分析し、コンプライアンスリスクを特定して対処することを求めている。

– データはそこにある。それも山のように。重要となるのは、コンプライアンスプログラムを改善するために、そのデータを分析する効率的な方法を見つけることである。

– AIは、ビッグデータの問題を解決し、コンプライアンスリスクを効果的、迅速、頻繁に特定し改善するための、定期的なレビューと並ぶ重要なツールとなる。

より深く

背景

2020年6月、DOJは、「企業のコンプライアンスプログラムの評価」に関するガイダンスを改訂した。このガイダンスは 2017年に発行、2019年に改訂され、検察官が起訴の判断や交渉を行う中で企業のコンプライアンスプログラムの有効性が問題となった場合、その評価において考慮すべき諸要素を定めている。この改訂版ガイダンスは、コンプライアンスプログラムの設計と実施のためのロードマップを提供するもので、コンプライアンスプログラムに利用可能なリソースの内容とその妥当性がガイダンスに通底する主題となっている。またこのガイダンスは、コンプライアンスプログラムがきちんと機能しているかどうかを継続的に評価すること、及びその評価にあたりデータを有意義な方法で使用することの必要性も強調している。

DOJ詐欺対策部門のトップは、「データが不正行為、外国人の贈賄、その他のホワイトカラー犯罪の重要な端緒となり得る、また実際になっているという主張には、全面的に同意している」と述べた。2020年11月、ラテンアメリカ・コンプライアンス会議で、Robert Zink司法次官補代理はこう述べて、DOJがデータ分析を重視していることを強調した。Zink氏は、DOJも、海外腐敗行為防止法、医療詐欺、証券詐欺の分野で、事件の手がかりや不正の疑いのある行為を発見するためデータ分析を用いていると説明した。また、企業が「不正行為の証拠がありそうなデータにすぐアクセスできる場合、企業がこれを利用して、不正が行われているかどうかを明らかにするため、証拠となるデータを探し出すことを（DOJは）求めている」と続けた。そしてZink氏は、「強固なデータ分析プログラムの構築に時間とコストを投じている企業は、（Zink氏自身や他の企業コンプライアンスプログラムを評価する検察官から）好意的に見られるのは当然だ」と結論づけた。

DOJ の改訂版ガイダンスの概要：データ収集と分析の重視

企業のコンプライアンスプログラムに関するDOJのガイダンスは、3つのカギとなる質問を企業に対して投げかけており、企業はすべての質問に対し肯定で答えることが求められる。

1. コンプライアンスプログラムはよく設計されているか？
2. コンプライアンスプログラムは効果的に機能するのに十分なリソースと権限を備えているか？
3. コンプライアンスプログラムは実際に機能しているか？

改訂版ガイダンスは、コンプライアンスプログラムが効果的に機能するのに十分なリソースと権限を備えているかという点を重視しており、検察官に対し、コンプライアンスまたはその他の管理者が、「ポリシー、管理及び取引の迅速かつ効果的なモニタリングやテストを実施するために、重要なデータへの十分な直接または間接的なアクセス」ができているかどうかを評価するよう指示している。また、検察官は、「重要なデータへのアクセスを制限する障壁があるかどうか」、障壁がある場合、企業はその問題に対してどのように対処しているかを判断するべきであると定めている。つまりDOJは、コンプライアンス・オフィサー（CO）が十分な自律性と適切なリソースを有しているかどうかという観点に立って検討するよう求めている。適切な年功序列、取締役会へのアクセス、適切なチームの構成と同様に、COにはデータを通じたビジネスに対する監視の目を持つことが求められている。

コンプライアンスプログラムが実際に機能しているかの判断においても、ガイダンスは検察官に、コンプライアンスプログラムのデータ使用について評価するよう求めている。DOJは、コンプライアンスプログラムが効果的であるためには、企業のビジネス、環境、顧客、法律及び基準等のリスク特性の変化とともにプログラムが改善され、進化していかなければならないと説明する。継続的な改善のカギとなるのは、企業データやコンプライアンス機能自体のデータの分析を、他のリスク評価やコントロールテスト手段と併せて行うことである。

DOJのガイダンスの適用

実務上、DOJがデータ使用を強調していることは、コンプライアンスプログラムにとって二つのことを意味する。

• まず、COは、適切な種類のデータへのアクセスと、それを扱う技術的能力を有していなければならない。
• 次に、DOJのガイダンスによれば、コンプライアンスプログラムは、ポリシーの遵守、その管理、及びすべての取引を迅速かつ効果的に監視していなければならない。また、このデータを利用して、企業が直面するリスクを継続的に把握することが求められている。

通常の電子メール監視ツールでは、COが必要とするレベルのビジネスの可視性を確保できないことが多い。しかし、通常の業務の中で、人の手で大量の企業データを監視することは現実的ではなく、莫大なコストもかかる。キーワード検索でも、これほど広範囲の場合、情報を見逃してしまうことが多く、また手作業によるレビューも必要になる。改訂版ガイダンスは、COが重要な企業データへのアクセス及び利用を妨げる問題に対処することを要求しているが、この問題の解消に役立つツールがあるので、取り上げてみたい。

AIの活用

2020年、全世界で1日に約3,064億通の電子メールが送受信され、その数は2021年には3,196億通に達し、当面はさらに増加すると予想されている。増え続ける電子メールに加えて、コロナ禍中、リモートワークを支援するするコラボレーションプラットフォームの利用が劇的に増加した。Microsoft Teamsの一日のアクティブユーザー数だけを見ても、2020年3月中旬に4,400万人、4月下旬に7,500万人、10月には1億1,500万人と増加の一途をたどっている。膨大な数のコミュニケーションは、コンプライアンスの取り組みを一層困難なものにしている。

AIはこのような問題に対処するために役立つ。AIを使えば、膨大な文書を読んだり、どの検索語句が有効かを考えたりすることなく、データを分析し、豊富な情報を素早く抽出することができる。AIは、まさに干し草の山の中の針を探すような作業に時間を費やしたり、データ内のストーリーを理解するために手作業で文書を確認するチームに依頼することなく、探している情報をすぐに発見することを可能にするツールである。コンプライアンスチームはAIツールを使用することで、文書にある事実を早期に理解できるだけでなく、データに表れていないものは何かを発見することもできる。

コンプライアンスプログラムの中でどのようにAIを活用するか

AIは、人力で入力しなくても、何百万もの文書の内容を分析し、あるコミュニケーションにおける人の感情、言及されている人や組織、カギとなる人物のソーシャルネットワーク上のつながりなどの情報を抽出することができる。法務及びコンプライアンスチームは、このようなシステムによって検出されたパターンを使って、よりスマートな検索方法を見つけ、情報に富んだ結果を得ることができる。例えば、営業時間外や社外の関係者とのコミュニケーションが異常なほど急増していれば、そこから不適切な行為の発見につながる可能性がある。また、システムが自動的に検出したネガティブな感情や不正のシグナルが高い文書を重点的にレビューすることもできる。ソーシャルネットワーク上で誰と誰がつながっているかを可視化し、確認することで、調査の方針を立てることもできる。

コンプライアンスチームは、機械学習を利用して、関連する文書に優先順位をつけ、無関係なデータのレビューを回避することもできる。関連性の高い文書をインプットすると、システムはこれを学習し、残るデータセットを関連性に応じて分類し、調査中の問題にあったモデルを設計する。また、このシステムはレビュー担当者のインプットに応じてアルゴリズムを改良・調整し続けるため、最も関連性の高いドキュメントが優先的に表示されるようになる。これによりレビューでは、不必要に多くの文書に目を通すことなく、より高度な分析に時間を割くことが可能になる。

もう一つの効果的なアプローチは、事前に学習済みのモデルを使ってデータを分類することである。学習済みモデルとは、特定の目的のために設定されたアルゴリズムである。例えば贈答品や接待によるキックバックを検出するためのモデルはある特定の調査には有効かもしれないが、別の場面では価格や手数料にあわせたモデルの方が効果的かもしれない。また、別の例として、明示または黙示の合意の存在が疑われる競合者とのコミュニケーションの発見に特化したモデルもある。学習済みモデルは、人の手によるインプットを必要とせず、これらのトピックに関する文書を探し出すことを可能にし、さらに調査のニーズに合わせて調整・カスタマイズすることもできる。

ビジネスコミュニケーションの増加に終わりの見えない昨今、AIはデータ駆動型のコンプライアンスを実施する上で不可欠な要素である。先進的なテクノロジーは、潜在的な問題を迅速に発見し、ビジネス上のリスクを軽減するため、COが受け身ではなく主体的・積極的に行動することを可能にするのである。

人工知能＋人間の知能＝真の知能と包括的なコンプライアンス

経験豊富な電子情報開示（e-Discovery）、コンプライアンス、専門家（SME）のチームであれば、たとえ企業を脅かす活動が、通常の方法では検出できないような高度に設計されたもの、あるいは予見不可能なものであったとしても、AIを駆使することでその情報をつかむことができる。DOJの求める水準を満たすということは、常に包括的なコンプライアンス審査を受けなければならないという意味ではない。適切に設計されたデータ駆動型コンプライアンスは、企業が正確かつ効率的なリスクの見直しを頻繁に実施することを可能にする。適切なチームの協力の下で実施すれば、企業は権利を保護し、あらゆる法的及び風評リスクを管理しつつ、このようなコンプライアンスを実施することができる。このアプローチを、より包括的なポリシーや手続きの定期的なレビューと併用すれば、コンプライアンスリスクを大幅に減少させ、効果的なコンプライアンスプログラムの構築というDOJの要求に直接応えることが可能になるだろう。

Show Less

より深く

本稿は、この共同意見の発表を契機として、本稿では欧州データ保護法の最新動向と今後の展望について医療分野にも適宜言及しながら紹介するものである。

共同意見の法的根拠及び意義

2020年11月12日、欧州委員会は、標準契約条項（SCC）の2つの草案を発表した。第一の草案は、現行のSCCを改訂するもので、データ移転が管理者・処理者の間でのみ行われたか、複数の管理者及び処理者により行われたかを問わず、EU/EAA以外の第三国への個人データ移転のみを対象範囲とする（EU外SCC）。第二の草案は、EU/EAA域内の管理者と処理者の間のデータ移転に関するEUレベルの実体及び手続的ルールを定める、全く新しいSCCである（EU内SCC）（本稿ではEU外SCCとEU内SCCを併せて新SCCという）。このEU内SCCは、GDPR第28条7項及びEUDPR第29条7項 を根拠条文とする。既存のSCCは、EU/EAA域外への個人データ移転及び処理のみを対象としており、欧州委員会がこれらの条文に基づきSCCを策定したのは今回が初めてである。

新SCCに関し、欧州委員会は、EUDPR第42条2項に基づき、EDPBとEDPSに対して、新SCC草案の改善点についての意見及び助言を求めた。両機関はこれを受け、2021年1月中旬に共同意見を発表し、この意見書はEDPBのウェブサイトで公開されている。

EU外SCCの新草案の背景と新動向

EU外SCCの改訂案は、欧州のデータ保護法及びそれに関する判例の近年の動向と関連しているため、この文脈に沿って見ていく必要がある。

第三国または国際機関で処理されている、または処理が予定されている個人データの移転は、以下の条件を満たす場合にのみ可能である。すなわち、(i)データ処理が法的に正当化され、(ii)移転（第三国または国際機関から他の第三国または国際機関への個人データの転送を含む）がGDPR第44条以下またはEUDPR第46条以下の定めるいずれかの保護措置を実施して行われる場合である。SCCは、EUデータ保護法の法的基準および要件に準拠して個人データを第三国に移転するためにとり得る保護措置の一つである（GDPR第46条第2項（c）、第48条第2項（b））。

現行のSCCは、1995年10月24日のデータ保護指令95/46/ECに基づき、2001年と2004年に決定され、2010年に改訂された。このSCCは、GDPRが2018年5月25日に発効した後も、GDPR第46条5項第2文により効力を維持している。しかし、これら旧法に基づくSCCは、現行のGDPRおよびEUDPRの要件を完全には満たしていない。とりわけ、現行のSCCは、EU/EAA域外へのデータ移転のすべてのパターンを網羅しておらず、EU/EAA域内の管理者から第三国に所在する管理者または処理者への個人データ移転のみを対象としているため、改訂が長く待たれていた。さらに、Maximillian SchremsとFacebook Ireland Ltdとの間の訴訟（C-311/18）における、2020年7月16日の欧州司法裁判所（CJEU）の判決（いわゆるシュレムスII判決）は、特に米国との関係で、SCCに基づく第三国へのデータ移転に大きな影響を与えた。

シュレムスII判決において、CJEUは、個人データを第三国に移転することが、EU/EEA域内で保障されているデータ保護のレベルを低下させる手段になってはならない述べ、続けて、米EU間のプライバシーシールド（米国との間でのGDPR第45条に基づく十分性認定）に基づいて個人データを米国に移転することは、米国のデータ保護レベルがGDPRの下での保護レベルと同等ではない以上、欧州のデータ主体の基本的権利の侵害に該当すると判断した。この判決により、米EU間のプライバシーシールドに基づくデータ移転は直ちに停止させられることとなった。またCJEUは、シュレムスII判決の中で、SCCに基づくEU/EAA域外へのデータ移転に関するいくつかの重要な点についても明確にした。現行のSCCについて、CJEUはその有効性を基本的に支持したものの、データ輸出者は、個人の基本的権利と自由の保護に関し、EUと第三国との間で生じうるギャップを解消し、EU法が要求する保護水準にまで引き上げるための補完的措置を実施する義務を負う場合があると強調した。したがって、個人データを第三国に移転する管理者及び処理者は、GDPR第46条2項(c)の定める移転手段（つまりSCC）を用いた場合でも、第三国の法律または慣行が意図した適切な保護措置の有効性を阻害しないかどうかを、ケースバイケースで確認する責任を負う。もっともCJEUは、補完的措置の具体的内容については明らかにしなかった。EDPBは、第三国の法律や慣行を評価し、必要に応じて適切な補完的措置を特定するというデータ輸出者に課せられた複雑な作業を補助するため、2020年11月10日に補完的措置に関する勧告を採択した。この勧告は、データ輸出者に対して、個々のケースで必要な補完的措置を評価・特定するために行うべき一連の手順、及びとりうる措置の例を示している。

2020年11月12日、欧州委員会は新SCCに関する草案を公表した。EU外SCCは、既存のSCCを改訂し、現行のEUデータ保護規制と足並みをそろえるとともに、CJEUがシュレムスII判決で提起した問題に対する回答を提供するものである。後者の点に関し、EU外 SCCは、第三国の法律がEU外SCCの遵守に影響を与える場合と、第三国の公的機関がEU/EAAから移転された個人データへのアクセスを要求する場合に関する特別の規定を設けた。新たなSCCが発効しても、このEU外SCCの規定は、EDPBが「補完的措置に関する勧告」で強調しているように、必要な補完的措置をケースバイケースで評価・特定する義務からデータ輸出者を解放するものではない。

新しいEU外SCCの発効日後、1年間の経過措置期間中は、（補完的措置が必要となる場合を除き）条項の内容に変更がない場合、発効日以前に管理者または処理者が締結したSCCは依然として有効である。もしSCCに重要な変更があった場合、データ輸出者は1年以内に既存のSCCを新しいEU外SCCに置き換える必要がある。

さらにGDPR第49条5項により、特定の分野においては、EUまたはEU加盟国は重要な公共の利益を理由として、（現行または将来の）EU外SCCに基づいて特定のカテゴリーの個人データをEU以外の第三国または国際機関へ移転することを、明示的に制限することができる。ドイツ連邦保健大臣Jens Spahnは、2019年12月にドイツの法定医療制度に導入された、DiGA（Digitale Gesundheitsanwendungen）と呼ばれるデジタルヘルスアプリケーションに関する規則制定過程で、この例外規定を適用した。DiGA規則第4条3項によると、DiGAに関する個人データは、ドイツ国内、EU加盟国またはそれに相当する国、及びGDPR第45条に基づく十分性認定を受けた第三国においてのみ処理することが認められる。この規定が個人データ移転に対する正当な制限であり、GDPR第49条5項の要件を満たしているかどうかという問題はあるが、現行のドイツ法下では、DiGAを利用する事業者が米国で個人（患者）のデータを処理したり、米国で個人データを処理する企業のツールやその他サービスを利用することは、米EU間プライバシーシールドが無効となったため、認められない。

EU内SCC草案の背景

すでに述べたように、新たなSCC草案は、GDPR第28条7項及びEUDPR第29条7項に基づく初めてのSCCを含んでいる。言い換えれば、GDPRまたはEUDPRが適用される管理者と処理者間の契約のための、EUの包括的なSCCができたということである。

欧州委員会によれば、新SCCは、EU全体の個人データ保護に対して一貫したアプローチをとるという利益と、個人データの自由な移動という利益によって基礎づけられる。新しいEU内SCCは、GDPRの下ではEU加盟国内の自然人、法人、公的機関、部局、その他の組織が使用でき、EUDPRの下ではEUの機関、組織、事務局、部局が使用できる。EU内SCCの前文によれば、新しいEU内SCCの使用は義務ではなく、EU内SCCは、EUのデータ保護要件を遵守するための1つの手段に過ぎない。このSCCは、(1)2人の管理者、(2)1人の管理者と1人の処理者、または(3)2人の処理者がデータ処理に関与し、そのいずれにもGDPRまたはEUDPRが適用される場合に使用できる。また、管理者と処理者は、GDPR第28条3項に従い、自由に個別のデータ処理契約の内容を決めることができる。ただし、その契約は、GDPR第28条2項第2文及び第4項、EUDPR第29条3項及び4項が定める必須事項を含まなければならない。また当事者は、新しいEU内SCCの一部のみを利用して他の条項と組み合わせたり、追加的な保護措置を処理契約に加えることもできるが、この場合、追加した条項が直接的または間接的にSCCと矛盾しない、またはデータ主体の基本的な権利または自由に反しないことが条件となる。個人データが、EU域内で処理され、かつEU域外の第三国にも移転されて処理される場合、新SCCの下では、管理者・処理者はEU外SCCのみを結べば十分である。この点について欧州委員会は、EU内SCCの前文第10項で、「GDPR第46条1項の定める要件を満たすため、欧州委員会は同規則第46条第2項(c)に基づきSCCを決定した。これらの条項は、GDPRの対象となる管理者から対象外の処理者へのデータ移転、またはGDPRの対象となる処理者から対象外の復処理者へのデータ移転を行うための同規則第28条3項及び4項の要件も満たす」としている。 現行のEU外SCCでは、さらにGDPR第26条または第28条に関する合意も必要であるため、これは当事者の作業の手間を減らす、長く待たれてきた改善策である。

共同意見の骨子

EDPBとEDPSの共同意見は、(i)コアとなる一般的意見と、(ii)SCC草案に直接コメントした追加意見により構成されている。この2つの意見に優先順位はなく、相互に補完するものであり、同時に検討する必要がある。

この共同意見は、EDPBとEDPSが自分たちの協議の役割を、欧州委員会と「対等の相談役」と位置付けていることを表している。EDPBとEDPSは、新SCC草案の修正、削除すべき点を指摘しているが、起草プロセスの中でさらなる明確化が必要だと思われる章を重点的に指摘している。EDPBとEDPSは、さらなる明確化や解釈のためのガイドラインを必要とせず、誰もがすぐ活用できる明瞭なSCCを目指しており、これが２つの意見を貫くコンセプトとなっている。

EDPBとEDPSはとりわけ、次の点を強調した。

• EU内SCCは、EU/EAA域内の管理者及び処理者の間の個人データ処理のみを対象とすべきか、それともGDPR第3条2項 により、（EU/EAA域外の）管理者及び/又は処理者に対してGDPRの遵守が義務付けられる場合も対象とすべきかを明確にすること
• EU外SCCの定める複数の状況が関係し、そのためSCCの複数の規定を適用しなければならない場合、当事者は一つのSCCを締結していれば済むのか、複数のSCCが必要になるのかを明らかにすること
• 契約当事者の便宜のため、条項における各当事者の権利と義務について、どのように包括的かつ効果的に規定するかをより明確にし、責任と説明責任の分担について高い透明性を確保すること
• シュレムスII判決が提示した義務と、「補完的措置に関する勧告」で明らかにされた義務を遵守するための要件を明確化し完全なものにすること。新SCCは、第三国の法律または第三国の公的機関の行為が、GDPR/EUDPRの保障するデータ保護に関する権利を法的または事実上侵害しうるすべてシナリオをカバーしなければならない。

ヘルスケア/ライフサイエンス分野におけるデータ保護の展望と今後の展開

次は再び欧州委員会の出番である。欧州委員会は共同意見に目を通し、EDPBとEDPSの提案をどの範囲で考慮するかを検討することになる。欧州委員会が新SCCに関する提案を受け入れるか拒否するかについて検討し、共同意見に回答するのに、期限は設定されていない。したがって、欧州委員会が提案を考慮するかどうか、どの程度考慮するかに加えて、「いつ」検討するかについても、現時点では未定である。

一方、EDPBは、欧州委員会からヘルスケア研究におけるGDPRの一貫した適用について明確化するよう求められており、2021年2月2日の第45回会合で、これに対する回答を決定した。EDPBの回答は、ウェブサイト上で公開されている。この回答は、ヘルスケア研究の分野における、GDPRの適用に関するよくある誤解及び誤った解釈を是正する第一歩と見ることができる。EDPBは回答の中で、欧州委員会の質問の大半が、より深く掘り下げた分析と、事例やベストプラクティスの模索を必要とするものであると強調している。したがって現段階では、欧州委員会の質問に完全な形で答えることはできていない。他方で、EDPBは現在、科学研究目的の個人データ処理に関するガイドラインを準備しており、このガイドラインが、ヘルスケア研究における個人データ処理と密接に関係するGDPRの種々の規定について、より包括的な解釈を与えることになるだろう。このガイドラインは、2021年中に発行される予定である。

^[1] EUデータ保護規則（規則（EU）2018/1725）は、GDPR（規則（EU）2016/679）と異なり、EUの機関、組織、事務局及び部局による個人データ処理に適用される。

[2] GDPR第28条7項は、同条3項及び4項の定める処理者が拘束されるべきデータ処理上の義務に関し、欧州委員会はSCCを定めることができると規定する。EUDPR第29条7項もGDPR第28条7項とパラレルの構造を持つ。

^[3] GDPR第3条2項は、EU域内のデータ主体の個人データ処理をEU域外の管理者または処理者が行う場合でも、その処理が、当該データ主体への物品もしくはサービスの提供、または当該データ主体のEU域内での行動の監視に関わるものである場合には、GDPRの適用が及ぶと定めている。

Show Less

英EU通商協力協定（TCA）の概要は？

まず、このEU・英国間の協定は、3つの主な分野を対象としている。EUと英国の間の自由貿易、刑事事件における司法協力、そしてTCA当事国間の紛争の予防と解決のための取り決めである。

• EUと英国の間の自由貿易協定は、物品やサービスの貿易だけでなく、デジタルトレード、知的財産、競争、公共調達、エネルギー分野、及び社会保障制度の調整に関する規制も含む。
• 民商事の司法協力については規定していない。
• 英国企業は、EU域内でのサービスの提供が自動的に認められる権利を失い、EU域内で事業を継続するためには、EU域内に拠点を置かなければならない。
• 英国からEUへのすべての輸入品は、税関手続きの対象となり、EUの基準を満たす必要がある。北アイルランドとEUの間で輸出入される商品には特別な規制が適用される。

会社法：何が引き続き適用され、何が適用されなくなるか？

英国がEU加盟国として（及び移行期間中に）有していたすべての権利及び義務は、もはや英国に対して適用されなくなった。EU法は英国の国内法の多くの分野にも影響を与えていたため、英国は、法適用に関し不透明な状況を生まないために、移行期間終了直前に存在したEU法規を「留保されたEU法（retained EU law）」として国内法に包括的に組み込む作業を行った。ただし、すべてのEU法が国内法化されたわけではないため注意が必要である。特に、以下の点は留保されたEU法から除外されている。

• EU法下の会社形態（SE、SCE、EEIG）：英国に本店または登記上の事務所を置くEU企業を新たに設立することができなくなった。英国のEU離脱時に存在していた会社は、2021年1月1日以降、法人格の同一性を保ったまま自動的に会社の種類が変更された。SE（Societas Europaea）は「UK Societas」となり、EEIG（European economic interest grouping）は「UKEIG」となった。SCE（Societas cooperativa Europaea）は変更の必要がなかったため（英国内にSCEが存在しなかった）、消滅した。従前の会社形態に関する規定は国内法として組み込まれた（SE規則、EEIG規則）。
• 国境を超える合併（Mergers/Verschmelzungen）：国境を超える合併を可能にしていたEU指令に基づく法律が2021年1月1日付で廃止されたため、これに基づくEU企業と英国企業の合併はできなくなった。ドイツ側には、移行に関する法律（Umwandlungsgesetz）第122m条という移行規定があったが、英国側に対応する規定がないため、実際上不可能となった。
• 国境を超える会社の変更／分割（Spin-off/Spaltung）：EU機能条約第49条及び第54条の定める設立の自由は英国企業に対して適用されなくなるため、これに基づいて 欧州司法裁判所（ECJ ）が認めている国境を超える会社の変更 及び会社分割も不可能となる。最近発効された国境を超える会社の変更等に関する指令（指令(EU) 2019/2121）の施行がなくても、ECJは、加盟国に対し、自国企業に対して認めている範囲で、EU域内の企業に対してもこれらの会社法上の行為を認めるよう命じていた（ECJ,2012年7月12日,C-378/10,VALE判決及びECJ,2017年10月25日,C-106/16,Polbud判決）。
• 支店：現在、英国は「第三国」に当たるため、EU/EEA域内の企業の英国支店は、第三国の支店に対する特別な要件が課される。EU/EEA域内にある英国企業の支店についても同様である。
• 財務報告：国際財務報告基準（IFRS）は英国で国内法化されている。しかし、EUレベルでのIFRSの改正は、英国には直接適用されない。したがって、今後英国企業は、バランスシートにおいて、現在英国で採択され発効している国際会計基準のみを考慮しなければならない。

設立の自由の終了 – 本拠地法主義 (Seat theory/Sitztheorie)の適用

英国に経営管理地（本社）を置いていたEU企業は、もはや設立の自由を享受することはできず、EU域内に経営管理地を置く英国企業も同様である。これによりどのような影響があるだろうか？

• 設立の自由が適用されなくなる結果、ECJによるEU域内での設立準拠法主義（Incorporation theory/Gründungstheorie）の普遍的な適用 は、英国には及ばなくなった。設立準拠法主義によれば、実際の事業活動の本拠地にかかわらず、会社にはその会社が設立された国の法律が適用される。
• ドイツの会社法では、他の多くのEU諸国と同様に 、EU域外の会社に対しては依然として本拠地法主義が適用される（ただし、米国のように個別の協定が適用される場合を除く）。本拠地法主義によれば、会社はその本社、すなわち実際の経営の本拠が置かれている場所の法により規律される。
• ドイツに経営管理地を置く英国企業には、現在、ドイツ（会社）法が一般的に適用される。ドイツに経営管理地を置く英国の有限責任会社は、ドイツでは英国Ltdとして（またはそもそも会社として）認められないというリスクにさらされている。ドイツ法が適用される結果、会社の形態はドイツ会社法により評価されなければならないが、英国Ltdはドイツの会社（特にドイツの有限責任会社）の設立要件を満たしていない。したがって、ドイツでは、商取引（Handelsgewerbe）を行っているかどうかに応じて、合名会社（OHG）または民法上の組合（GbR）に分類されることになる。さらに、このような有限責任会社に構成員が一人しかいない場合には、商人（Einzelkaufmann）またはいわゆる「小商人」（Kleingewerbetreibender）とみなされる。いずれにしても、ドイツでは有限責任性を失うことになる。これは特に、これは実務において過去に非常に人気のあった会社形態であり、常にドイツに経営管理地を置いていた、Limited (UK) & Co. KGとの関係で興味深い問題である。
• この法的影響、つまり英国企業に対して設立準拠法主義の適用を継続するかどうかは、TCAの下でも論争の的となっている。本拠地法主義を厳密に適用した場合、実務上多くの不都合が生じるため、明確な規定を設けることが望ましい。
• 英国または設立準拠法主義をとるEU加盟国 に本拠を置く会社には、設立国の法律のみが会社に適用されるため、このような影響はない。

[1] 国境を超える会社の変更（Conversions of legal form）とは、外国への本店移転を含む変更をいう。

[2] ECJは、一連の著名判決（Centros判決、Überseering判決、Inspire Art判決）で、他のEU加盟国で適法に設立された会社を承認しないことは、EU法の定める設立の自由に反すると判示した。

[3] 例えば、フランスも本拠地法主義をとる。もっともドイツと異なり、外国会社の承認については設立国の法律に従い適法に設立されていれば認められる。他に本拠地法主義をとるEU加盟国としては、オーストリア、ベルギー、ギリシャ、ルクセンブルクが挙げられる。なお日本は一般に設立準拠法主義をとっているとされている。

[4] 設立準拠法主義をとると理解されているEU加盟国としては、アイルランド、フィンランド、スウェーデン、デンマーク、オランダ、イタリア、スペイン、ハンガリー、チェコなどが挙げられる。

Show Less