International Legal Highlights – January 2021

UNITED STATES

WHAT IS THE FUNCTION OF AN MAE PROVISION IN US M&A?

MAE clauses are always included in US M&A agreements. They are frequently used as a stand-alone closing condition and as a qualifier in the bring-down condition of the continued truthfulness at closing of representations made in the agreement. If an MAE occurred, or the representations would no longer be true and reasonably be expected to result in an MAE, a buyer may refuse to close and ultimately terminate the agreement.

HOW IS AN MAE TYPICALLY DEFINED?

An MAE is broadly defined as any event that has, or would reasonably be expected to have, a material adverse effect on the target group’s business, assets, financial condition or results of operations, subject to certain carve-outs. It can also include the seller’s inability to consummate the transaction. Clauses typically do not quantify an MAE.

The finding of an MAE in the United States is subject to specific case law.

The finding of an MAE in the United States is subject to specific case law. Delaware, for example, has the most influential MAE case law. It applies a very high bar to finding an MAE, requiring that it must be “material when viewed from the long-term perspective of a reasonable buyer” and result in a durationally significant reduction in the target’s long-term earnings power.

In Akorn v. Fresenius Kabi (2018), the Delaware Chancery Court provided some guidance on quantitative benchmarks that are likely to influence future decisions: a 40% decline in earnings as indicative of a stand-alone MAE, and a 20% decline in valuation as indicative of an MAE in the bring-down condition. These benchmarks are not dispositive; cases are fact-intensive and may turn on qualitative evidence.

WHAT ARE THE TYPICAL CARVE-OUTS AND EXCEPTIONS?

Typical carve-outs include effects from general economic conditions; conditions in the industry; changes in law or accounting principles; failure to meet projections; deal announcement and certain force majeure events, e.g., war and natural disasters. These are also referred to as “systemic” risks that a buyer is expected to bear, except to the extent that certain carved-out risks affect the business disproportionately.

WHICH ELEMENTS ARE TYPICALLY NEGOTIATED?

While certain market standards have developed, the inability to consummate the transaction, the definition of “disproportionate” and “durational” effects, and certain carve-outs that shift risk in an unacceptable manner, are frequently up for negotiation. A buyer may not be prepared to accept the risk of earthquakes in a seismically active region, for example, or carve-outs for “known” conditions.

WHAT ARE THE CURRENT TRENDS AND ISSUES?

Issues in deal terminations include whether, absent an explicit MAE carve-out, the risk of pandemics is captured in the general systemic carve-outs, e.g., general economic changes or changes in law.

The trend in carve-outs is to include pandemics, but buyers are increasingly demanding more specific closing conditions in addition to an MAE, such as no material loss of key customers, or no material impact on earnings before interest, taxes, depreciation, and amortization (EBITDA).

Committed acquisition financings are expected to continue to adopt the MAE definition of the M&A agreement.

FRANCE, GERMANY AND ITALY

WHAT IS THE FUNCTION OF AN MAE PROVISION IN M&A IN FRANCE, GERMANY AND ITALY?

In addition to being sometimes used as a stand-alone closing condition, an MAE or material adverse change provision is frequently used in the warranty relating to the absence of material changes between the date of the latest accounts and the signing of the acquisition agreement. This warranty is occasionally repeated or “brought-down” at closing. The MAE clause is, however, rarely used to qualify only the bring-down of the seller’s warranties at closing.

HOW IS AN MAE TYPICALLY DEFINED?

An MAE is generally broadly defined as covering any event that has, or could reasonably be expected to have, a material adverse effect on the target’s business and, occasionally, on its future prospects. It is relatively uncommon (and very rare in Germany) to include the target’s inability to consummate the transaction in the definition of an MAE.

Owing to a lack of specific case law, the enforceability of an MAE provision depends on its drafting. This is why the MAE is frequently quantitatively defined as a percentage of the purchase price or a fixed euro amount, by reference to an accounting metric, such as EBITDA, or simply as a loss. A financial threshold may raise issues such as how amounts recovered from insurance, or provisions booked in the accounts regarding the MAE event, affect its calculation.

WHAT ARE THE TYPICAL CARVE-OUTS AND EXCEPTIONS?

The majority of MAE provisions include one or more carve-outs. They usually relate to general economic, market and industry conditions, as well as changes in law and accounting principles. MAE provisions often capture only the target’s material subsidiaries or business units.

The current market trend is to specifically exclude pandemics.

Occasionally, there are exceptions as to the absence of a disproportionate effect of these carve-outs on the target business.

WHICH ELEMENTS ARE TYPICALLY NEGOTIATED?

The financial threshold defining the MAE, as well as the carve-outs relating to changes in market and industry conditions (including whether or not such changes are limited to certain countries, and whether or not a disproportionate effect exception should apply) are generally heavily negotiated. In Germany, the consequences of enforcing an MAE clause, such as a termination fee, is also a topic for negotiation.

WHAT ARE THE CURRENT TRENDS AND ISSUES?

At the beginning of the pandemic, the possibility of invoking an MAE clause in deals signed before the pandemic was a hot topic, especially in relation to broadly defined MAE provisions. The current market trend is to specifically exclude pandemics (including COVID-19) from MAE definitions, as a pre-existing condition. In sectors directly affected by the pandemic, buyers may seek to obtain specific closing conditions covering the consequences of the pandemic on the target.
Until the syndicated and leverage loan markets are more active again, it is unclear whether or not MAE provisions will be widely used in the financing documentation.

UNITED KINGDOM

WHAT IS THE FUNCTION OF AN MAE PROVISION IN UK M&A?

An MAE clause in private treaty transactions is a closing condition giving the buyer rights (including termination) where adverse events occur that render the transaction no longer viable on the agreed terms. In UK public takeovers, the ability to invoke a material adverse effect requires an even higher threshold akin to contractual frustration. For example, in the aftermath of 9/11, the invoking of MAEs by WPP Group PLC following its offer for Tempus Group PLC, and during COVID-19 by Brigadier following its offer for Moss Bros Group PLC, were both rejected.

HOW IS AN MAE TYPICALLY DEFINED?

MAEs include any fact, matter or event which could or could reasonably be expected to materially and adversely affect the business, assets and operations of the target group.

WHAT ARE THE TYPICAL EXCEPTIONS?

Exceptions include

• Any adverse change or event arising from
  • Business or economic conditions
  • National, international, political or social conditions
  • Changes in markets or laws or their interpretation
• A failure to meet any projections, forecasts or revenue predictions
• Changes that apply to industries or markets in which the group operates
• Matters that have been disclosed or arise from the announcement of the transaction or a change of control of the target.

WHICH ELEMENTS ARE TYPICALLY NEGOTIATED?

Negotiations will focus on the subjective/objective interpretation of the MAE clause and whether or not the clause is forward looking and triggered by events that could reasonably be expected to have material adverse effects. Other areas of negotiation typically include group/individual application and financial thresholds.

WHAT ARE THE CURRENT TRENDS AND ISSUES?

In private treaty transactions, MAE clauses are heavily negotiated, but seldom triggered or litigated, and mostly seen in larger transactions with an international dimension. Limited conditionality is borne out of the sellers’ focus on agreeing a certain funds deal, with limited opportunity for the buyer to terminate once the deal is signed.

Leading case law’s high watermark in Grupo Hotelero Urvasco v Carey Value Added [2013] requires that adverse change be i) material, ii) not temporary, and iii) financial condition is determined by reference to information covering the relevant period. Parties exercise remedies upon a breach of a material term and instead utilise MAE to negotiate changes/pricing. COVID-19 has given rise to some buyers terminating acquisition agreements, resulting in potential litigation, although UK and supra-national regulators have urged caution before the exercise of remedies and reputation remains a key consideration.

Show Less

In order to set minimum common standards across the European Union, the European Commission proposed a new directive on “the protection of persons reporting on breaches of Union law”. Following approval by the European Parliament on 16 April 2019, Directive (EU) 2019/1937 received European Council approval and was officially adopted by the European Union on 7 October 2019.

The Directive must be transposed by Member States into domestic law by October 2021.

MATERIAL SCOPE (ARTICLE 2)

The material scope of the Directive relates to breaches of EU law in a broad range of areas, including public procurement; nuclear, radiation, product and food safety; transport; financial services; environmental and consumer protection; and data privacy. While there are certain areas of law to which the Directive does not apply (see below), Member States will be free to extend the scope of whistleblower protection.

The Directive also covers breaches affecting the European Union’s financial interests (as referred to in Article 325 of the Treaty on the Functioning of the European Union), and breaches of the rules of the internal market, such as breaches of competition law rules.

The Directive is not intended to affect the application of EU or national law regarding the protection of classified information, the protection of legal and medical professional privilege, the secrecy of judicial deliberations and rules on criminal procedure.

PERSONAL SCOPE (ARTICLE 4)

The broad personal scope of the Directive encompasses all individuals “working in the private and public sectors who acquired information on breaches in a work-related context”, regardless of the nature of their responsibilities.

The Directive protects employees, the self-employed, shareholders, and persons working under the supervision or direction of contractors. Surprisingly, whistleblowers can be individuals whose work-based relationship is yet to begin but have nonetheless acquired information regarding a breach of EU law during the recruitment process. The Directive also applies to persons reporting information on breaches acquired during a work-based relationship that has since ended.

The Directive extends its protection to colleagues or relatives of the whistleblower, who may suffer retaliation in a work-related context; and even to legal entities that the whistleblower owns, works for, or is otherwise connected with in a work-related context.

REPORTING SYSTEM (ARTICLES 7, 8, 10 AND 15)

The Directive creates a dual reporting system, consisting of both internal reporting to an impartial person or designated department within an organisation, and external reporting to an independent and autonomous authority, as designated by Member States.

Although internal reporting is encouraged in the first instance if “such channels are available” and “can reasonably be expected to work”, the decision to choose between external reporting channels and internal reporting channels lies with the whistleblower and will depend “on the individual circumstances”.

The Directive imposes an obligation on certain public and private organisations to set up an internal procedure to handle whistleblower reports.

With respect to the private sector, this obligation applies to companies with more than 50 employees (or with an annual turnover of €10 million), private legal entities of any size operating in the area of financial services, and those vulnerable to money laundering or terrorist financing, as regulated under EU Acts. Given how low these thresholds are, many small companies will be required to integrate these reporting procedures, creating a significant implementation burden.

In the public sector, this obligation applies to States, regions, and municipalities with over 10,000 inhabitants, or any other public entity.

Companies must acknowledge receipt of a report, to the whistleblower, within seven days, and “follow-up” within three months. Authorities are also obliged to acknowledge receipt to the whistleblower within seven days, unless this will threaten the whistleblower’s anonymity, and follow-up within three months. In exceptional cases, the follow-up can be extended to a maximum of six months.

As a last resort, whistleblowers have the right to report to the media and to non-governmental organisations. Recourse to the media is also permitted in the first instance when there are “reasonable grounds to believe that an imminent danger for the public” exists.

The term “public interest” is not defined in the Directive and its meaning is therefore subject to the whistleblower’s interpretation, which may also vary depending on the sector concerned. A lack of clear and objective criteria may result in whistleblowers bypassing internal and external reporting channels.

SCOPE OF WHISTLEBLOWERS’ PROTECTION (ARTICLES 5 AND 19 TO 24)

SUBJECT MATTER OF THE PROTECTION

Under the Directive, protection is granted against breaches or omissions: “i) that are unlawful and relate to the Union acts and areas falling within the scope of the Directive; ii) or defeat the object or the purpose of the rules in these Union acts and areas.”

These protections are extended to any person who has reasonable grounds to believe the information gained in his/her work environment was true at the time of reporting, and complies with the requirements of the Directive in relation to reporting channels and procedure.

According to the Directive, the whistleblower’s intent should be irrelevant when determining whether or not the protection should be granted. The Directive does not impose a condition of “good faith”. Instead, it requires that the whistleblower has “reasonable grounds to believe” that the information is true.

Whistleblowers have the right to report to the media and to non-governmental organisations.

This means there is a real risk of abuse by malicious individuals, such as an unsuccessful job applicant. Article 23 does, however, provide for penalties against reporting persons “where it is established that they knowingly reported or publicly disclosed false information”.

PROHIBITION OF RETALIATION

The Directive defines retaliation as threatened or actual acts or omissions that cause unjustified detriment to the whistleblower and have been triggered by the reporting, and provides a non-exhaustive list of direct and indirect behaviours that constitute retaliation.

After the whistleblower has demonstrated a prima facie case of retaliation following an alert, the alleged retaliator needs to prove that they were not acting in retaliation and their actions were based exclusively on justified grounds. Proving a negative act is likely to be a difficult task.

ANONYMOUS REPORTING

The Directive requires that the confidentiality of whistleblowers and of anyone mentioned in their report be preserved, while leaving it to Member States to decide whether or not reporting may be anonymous.

PENALTIES

The Directive requires Member States to “provide for effective, proportionate and dissuasive penalties” against those who retaliate against whistleblowers.

NEXT STEPS

Questions remain about whether or not Member States will make use of their power to extend the scope of the Directive, and how it will impact on existing national whistleblower laws, such as Loi Sapin II in France. It is also unclear how the Directive will interact with other laws and regulations, such as the General Data Protection Regulation. In addition, its “one-size-fits-all” approach will create bureaucratic burdens for sectors that already possess a legal framework for the reporting of certain infringements, such as the financial sector,

In light of the uncertainties and opportunities for abuse, the Directive will doubtless prove tricky to implement in practice. It does, however, provide employers across all industries with the opportunity to adopt a uniform and global approach to whistleblowing. Companies should seek advice and start preparing now to hit the October 2021 deadline.

Show Less

IN DEPTH

BACKGROUND

Following the enactment of the FCPA, Congress directed DOJ to provide advisory opinions through Opinion Procedure Releases. The regulations governing these releases, 28 CFR § 80, allow companies that are either issuers or “domestic concerns” under the FCPA to obtain an opinion from the attorney general about whether “certain specified, prospective—not hypothetical—conduct conforms with the Department’s present enforcement policy regarding the antibribery provisions” of the FCPA. The regulations also impose a number of requirements on companies that request opinions:

1. The request must be submitted in writing and signed and certified by a senior officer with operational responsibility;
2. The transaction must be a real one and the requestor must be a party to the transaction;
3. While the transaction in its entirety need not involve only prospective conduct, requests will only be considered for portions of a transaction that involve only prospective conduct;
4. DOJ also takes the position that an executed contract is not a prerequisite and that in most instances a request should be made prior to the requestor’s “commitment to proceed with a transaction”;
5. The requesting company is under an affirmative obligation to make “full and true disclosure” with respect to the conduct at issue;
6. Requests must be specific and must include “all relevant and material information bearing on the conduct … and on the circumstances of the prospective conduct, including background information, complete copies of all operative documents and detailed statements of all collateral or oral understandings, if any”;
7. After submitting a request, a company “must promptly provide” follow-up information requested by DOJ in writing, which must also be signed and certified; and
8. DOJ is authorized to conduct “whatever independent investigation it believes appropriate” in connection with any request for an opinion.

RECENT ADVISORY OPINION

In this case, a US-based investment advisor sought DOJ’s opinion regarding the intended payment of $237,500 in fees to a foreign investment bank affiliate of which a foreign government held a majority ownership stake. The payment was to be made to the bank itself as compensation for services that helped the requestor acquire a portfolio of assets from another office of the same foreign investment bank. The requestor indicated that it received “specific, legitimate services” from the investment bank’s advisory unit; and that the compensation (0.5% of the assets’ value) to be paid for the services was “commensurate” with services provided and “commercially reasonable,” even though there was no signed agreement with the foreign investment bank for the services.

DOJ advised that it would not bring an enforcement action in that matter because the payments from the requestor were going to the bank unit and not to any individual. DOJ further explained that the arrangements contemplated were “transparent.” The requestor sought to confirm that the payment would be used for the bank unit’s operations and would not be forwarded to another entity. Accordingly, because there had been no “corrupt offers, promises or payments of anything of value, directly or indirectly, to any individual in connection with this transaction,” DOJ found that there were “no indicia” that the contemplated payment was intended to corruptly influence a foreign official in violation of the FCPA.

AN ADVISORY OPINION MAY NOT BE REALISTIC, BUT IT IS AN OPTION IN CERTAIN CIRCUMSTANCES

In instances where compliance questions arise before, during and immediately after a deal, it is always critical for companies subject to the FCPA to promptly assess the legal risk and to remediate when appropriate. While seeking DOJ’s opinion provides the greatest certainty in moving forward with a deal, it only can be sought in limited circumstances. If a deal has already closed, if a company has already made a commitment to proceed or if any of the conduct at question has already occurred, then DOJ will not provide an advisory opinion under departmental regulations.

Even in circumstances where an opinion can be sought, obtaining an opinion prior to engaging in a deal often can be unrealistic due to a number of factors, including timing constraints and a lack of information. DOJ officials have acknowledged this quandary. Assistant Attorney General Miner noted in 2018 that while seeking an opinion “may take a little more time,” it nonetheless “sometimes makes sense to slow down to assess risks.” In the new advisory opinion, the requestor submitted its original request in November 2019, submitting supplemental information in January, February, June and July 2020. While DOJ can expedite its analysis in issuing advisory opinions based on timing needs of the requesting company, this timeline demonstrates why requesting an opinion may not always be feasible.

Further, while documents and information provided by a requesting company to DOJ are exempt from disclosure, DOJ’s opinion will be publicly available. The opinions typically reveal significant information about planned transactions, commercial relationships and the industry of the requesting company. It may not be desirable in some instances to put significant detail out into the marketplace.

That said, the fact that the DOJ has finally issued an advisory opinion—more than 24 months after Assistant Attorney General Miner’s remarks—demonstrates that the option, even if available in only limited circumstances, is real. In transactions that necessarily take time to review, the advisory opinion option is another tool that companies can at least consider to ensure FCPA compliance and avoid potentially costly investigations. Moreover, the recent advisory opinion—which follows DOJ’s FCPA Corporate Enforcement Policy encouraging self-disclosure in exchange for a declination (issued in November 2017) and DOJ’s very recent updates to the FCPA Enforcement Guidance (issued in July 2020)—is yet another example of DOJ’s eagerness for proactive engagement around FCPA compliance.

Show Less

Whether or not it passes, the proposed CPRA highlights the fluid state of the US legal environment for data protection, which has left businesses around the world struggling to account for the uncertain risks and compliance costs posed by these developments.

It did not have to be this way. The developments in California are due in part to the failure of the US Congress to enact comprehensive federal data protection legislation. Despite widespread support, compromise on a federal standard remains elusive, with legislators unable to agree on critical questions, such as whether or not the law will pre-empt state laws like the CCPA

CCPA: ORIGINS AND OVERVIEW

The CCPA originated as a state “ballot initiative,” a type of referendum that is uniquely powerful in California. After negotiations with the California legislature, the initiative’s sponsors withdrew the initiative from the 2018 ballot in exchange for the enactment of a slightly watered-down version of the CCPA through the standard legislative process.

As enacted, the CCPA applies to the broadly-defined “personal information” of California residents, granting individuals various rights with respect to businesses that process their information. Businesses that process California personal information and either exceed US$25 million in annual revenue, process the data of more than 50,000 consumers per year, or generate 50% of their revenues from data sales, are subject to the law. Because a business need satisfy only one of these thresholds to be covered by the CCPA, the law applies to a wide range of companies, including many that have only a handful of California customers or otherwise incidentally process the personal information of California residents. Notably, businesses need not have a physical presence in California—or even in the United States—to be subject to the CCPA.

The CPRA would modify the definition of “sale” to explicitly encompass digital advertising.

Perhaps the most interesting right under the CCPA is the right of consumers to opt-out of “sales” of personal information. Whether or not a data transfer amounts to a “sale,” as defined by the CCPA, depends on a number of factors, including the purpose of the transfer, whether or not any “value” was provided in exchange, the contract terms, and how the data is ultimately used. The applicability of these provisions remains hotly contested, especially in data-centric industries such as digital advertising. Many companies have opted to take risk-based positions while waiting for the meaning of these provisions to be clarified.

In addition to the CCPA’s privacy rights, which are enforceable only by the California Attorney General (AG), the CCPA grants California residents a private right of action to sue companies whose unreasonable security practices lead to a data breach. This right only extends to breaches of certain sensitive categories of personal information, such as financial account information. Impacted individuals can obtain guaranteed statutory damages of US$100 to US$750 per person, a fact that has already resulted in a surge of class action lawsuits following the law’s entry into force in January 2020.

The AG is also responsible for issuing regulations. The proposed final regulations would clarify a number of procedural and substantive ambiguities in the CCPA’s text and impose additional recordkeeping and procedural requirements on businesses. At the time of publication, however, the final regulations are still pending administrative approval and are unlikely to take effect until October 2020 or later, adding to the compliance uncertainties that businesses face.

THE CPRA JOINS THE FRAY

Without doubt, the CCPA’s impact is large. By the state of California’s own estimates, compliance costs alone will exceed US$50 billion for covered businesses. Dozens of amendments have been carefully considered by California legislators; in drafting the CCPA regulations, the AG produced over 500 pages of analysis.

Despite this effort, the proposed CPRA would substantially amend the CCPA.

The proposed changes are numerous. As one example, the CPRA would create a right for California consumers to “limit” the processing of “sensitive personal information,” which is a new subcategory of personal information that combines and builds on existing “sensitive data” categories under US and EU law. While the steps companies would take to comply with such requests would be similar to the obligations they face under the CCPA in relation to consumer requests to opt out of the “sale” of their data, the applicability of this right is potentially far broader, and many companies that do not “sell” personal information under the current law would have to substantially revise their data practices to comply with the CPRA. Further, the law would modify the definition of “sale” to explicitly encompass digital advertising, with significant implications for the vast majority of websites.

Unlike the ballot initiative behind the CCPA, which was ultimately withdrawn, advocates have given no indication that a legislative compromise will be reached for the CPRA. Early signs point to widespread support for the initiative, which will be voted on in November. If passed, most of the provisions would not take effect until 2023, but preparations for many businesses would need to begin immediately.

FEDERAL LEGISLATION REMAINS STALLED

The surge in data protection law in California can be attributed in large part to the ballot initiative process and the efforts of a group of well-funded advocates. These developments can, however, also be partly attributed to the failure of the US Congress to pass even baseline federal data protection legislation, leaving the states to respond to heightened public support for privacy regulation on their own.

Without doubt, the CCPA’s impact is large.

Congress has the power to pass laws regulating data protection throughout the entire country and, if it wishes, to pre-empt state laws such as the CCPA. A federal standard is supported by members of both political parties, business interests, and privacy advocates alike, and various stakeholders have proposed legislation that would establish such a standard.

Despite this widespread agreement on the need for a federal law, little consensus has emerged on the details. Proponents have split along two primary fault lines: the mechanisms for enforcement, and the scope of state pre-emption. Democratic politicians and privacy advocates have tended to support strong enforcement, including private rights of action and minimal pre-emptive effect, allowing more-restrictive state laws like the CCPA to remain in force. Republicans and business interests, on the other hand, have generally advocated against private enforcement and in support of wide-reaching pre-emption.

Adding to the impasse, other issues that intersect with online privacy, such as the moderation of social media content, have given rise to sharply partisan debates, threatening the viability of any bipartisan efforts to reach a compromise, especially in a Presidential election year.

Accordingly, while a US federal data protection law is possible in the coming years, it is not likely to happen anytime soon and, even if passed, its potential impact on state laws like the CCPA is unclear. For the foreseeable future, then, businesses that collect or process California data will need to grapple with the moving target of California law.

For more information, visit McDermott’s CCPA Resource Center.

Show Less

米国

米国のM&AにおけるMAE条項の機能は?

米国のM&A契約は、常にMAE条項を含んでいる。MAE 条項は、契約の中で、独立（stand-alone）のクロージング条件として、また表明保証の内容がクロージング時においても真実であるという再表明（bring-down）条件の中で責任の範囲を限定する条項（qualifier）として頻繁に用いられる。もしMAEが発生し、または表明保証の内容がもはや真実でなくなりかつMAEが生じる合理的な可能性がある場合には、買主はクロージングを拒否し、最終的には契約を解除することができる。

MAE条項の一般的な定義は?

MAE を広く定義すれば、対象企業の事業、資産、財務状況または経営成績に重大な悪影響を及ぼす、または及ぼす合理的可能性がある事由であり、何らかの例外規定（carve-outs）が定められる。またMAE には、売主が取引を達成できない場合が含まれることもある。通常、MAE 条項が数値的に定義されることはない。

米国における MAE は、特別な判例法理に基づいて認定される。

米国における MAE は、特別な判例法理に基づいて認定される。デラウェア州法は、最も影響力をもつMAEについての判例法理である。デラウェア州法は、MAE の認定に高いハードルを設定しており、その要件として「合理的な買主の長期的な視点から見たとき、重大」であり、その結果対象会社の長期的な収益力が継続的に著しく低下することを要求している。

2018 年の Akorn v. Fresenius Kabi 判決において、デラウェア州衡平法裁判所は今後の判断に影響を与えうる定量的な判断基準についての指針を示した。すなわち、独立条件におけるMAE に関しては事業収益の40% 減、再表明条件における MAE に関しては企業価値の20% 減を基準とした。これらの判断基準は絶対的なものではなく、個々のケースでは事案の内容や、質的要素に関する証拠により変わる可能性がある。

典型的な例外規定及び除外事由は?

典型的な例外規定に含まれる事由として、一般的な経済状況、産業の状況、法律や会計原則の変更、予測の不達成、取引の発表、戦争や自然災害などの不可抗力事由による影響が挙げられる。これらは、「体系的（systemic）」リスクとも呼ばれ、事業に不均衡な影響を与える場合を除き、買主が負担することとされているリスクである。

交渉においてよく問題になる点は?

一定のマーケットスタンダードが形成されてきているとはいえ、取引達成の不能、「不均衡（disproportionate）」で「継続的な（durational）」影響の定義、そして受け入れ難い方法でリスクを転嫁する例外規定などは、よく交渉で議論される。例えば地震が多い地域では、買主は地震のリスクを負担することに簡単に合意できないだろうし、「既知の（known）」条件についての例外規定も同様であろう。

最近の傾向及び問題点は？

取引の解除に関する問題として、明示のMAEの例外規定がない場合、パンデミックのリスクは体系的な例外規定、例えば一般的な景気の変動や法改正といった条項に含まれるのか、という点が挙げられる。

パンデミックを例外事由に含めるのが最近の傾向であるが、買主は、MAE に加え、重大な主要顧客の喪失がないこと、EBITDA（金利・税金・償却前利益）に重大な影響がないことなど、より具体的なクロージング条件を求めるようになってきている。

買収のための資金調達では、対象となるM&A契約のMAEの定義を流用することが予想される。

フランス、ドイツおよびイタリア 

フランス、ドイツおよびイタリアの M&A におけるMAE 条項の機能は？

MAE またはMAC条項は、独立したクロージング条件として用いられるだけではなく、直近の決算日と買収契約締結日の間に重大な変更がないことを保証する際によく用いられる。この保証は、場合によって繰り返し求められたり、クロージング時に「再表明」されることがある。しかし、MAE条項が、クロージング時における売主による保証の再表明の範囲を制限するためだけに用いられることはほとんどない。

MAE の一般的な定義は？

通常 MAE は、対象企業の事業、場合によっては将来の見通しに対して、重大な悪影響を与える、または与える合理的可能性がある全ての事由を対象とするものとして、広く定義される。対象企業の取引達成不能が MAE の定義に含まれることは比較的珍しい（ドイツにおいては極めてまれである）。

特別の判例法理がないため、MAE 条項の実効性は条項の文言に依存する。そのため、MAEは数値により定義されることが多く、その場合EBITDA などの財務分析指標に基づいた買収価額に対するパーセンテージや一定金額、または単に損失額が基準として定められる。金額的基準を定めた場合、保険により填補された金額、および MAE 事由に関して勘定科目に計上された引当金がその計算にどのような影響を及ぼすのかなどの問題が生じる可能性がある。

典型的な例外規定及び除外事由は？

大多数のMAE条項は、一つ以上の例外規定を備えている。通常、例外規定は、一般的な経済、市場、産業の状況及び法律や会計原則の変更に関わる事由を定めている。MAE 条項は、対象企業の重要な子会社や事業部門に限定して適用される場合が多い。

最近は、パンデミックを明示的に除外する傾向にある。

場合により、これらの例外規定の事由が対象会社に不均衡な影響を与えるものでない場合に限る、というただし書きが付されることがある。

交渉においてよく問題になる点は？

一般的に、MAE を定義する際の金額的基準や、市場及び業界の状況変化に関する例外規定（それらが特定の国々に限った変化であるか、不均衡な影響というただし書きが付されるべきかなどを含む）については、激しい交渉が行われる。ドイツでは、解除違約金など、MAE 条項が発動した場合の結果も交渉におけるトピックとなる。

最近の傾向及び問題点は？

パンデミックの発生初期においては、パンデミックの発生前に締結された案件で MAE 条項を行使することができるかどうかという点が、とりわけ広く定義されたMAE条項との関係で議論となった。最近では、COVID-19 を含むパンデミックについては、MAE の定義から、既定の条件としては明示的に除外する傾向にある。パンデミックの影響を直接受ける分野では、買主は、対象会社に対するパンデミックの影響について定める特別なクロージング条件を付けるように求める場合がある。

シンジケートローンやレバレッジドローンが再び活発になるまで、資金調達に関する契約文書でMAE 条項が広く使われるようになるかどうかは不透明である。

英国 

英国の M&A における MAE 条項の機能は？

二当事者間取引における MAE 条項は、合意した条件での取引を実行不可能にする悪影響が生じた場合に、解除権を含む権利を買主に与えるというクロージング条件である。英国の上場企業の買収で重大な悪影響を主張するためには、履行不能に等しいさらに高い基準が求められる。たとえば、米国の同時多発テロ事件発生直後の WPP Group PLC のTempus Group PLC に対する買収提案や、コロナ禍中のBrigadier の Moss Bros Group PLC に対する買収提案の中で MAEの発生が主張されたが、いずれも認められなかった。

MAE の一般的な定義は？

MAE には、対象企業グループの事業、資産及び経営に重大な悪影響を及ぼしうる、または及ぼす合理的可能性のある事実、問題及び事態が含まれる。

典型的な例外事由は？

例外事由には次の事項が含まれる。

• 以下により生じる不利益な変化または事由
  • 景気または経済の状況
  • 国内的、国際的な政治または社会情勢
  • 市場の変化または法律もしくはその解釈の変更
• 将来の見通し、予測または予測売上の不達成
• 当該企業が事業を展開する産業分野または市場に影響を与える変化
• 当該取引の発表または対象会社の経営権の変更により生じた、または明らかになった事項

交渉においてよく問題になる点は？

交渉で焦点となる事項は、MAE 条項の解釈にあたって主観的な基準を採るか客観的な基準を採るか、またMAE条項が将来予測を考慮したもので、重大な悪影響を及ぼす合理的可能性がある事由が発生した場合にも適用されるかといった点である。その他交渉上頻繁に問題となるのは、MAE条項が適用される企業・個人の範囲や金額的基準についてである。

最近の傾向及び問題点は？

二当事者間取引では、MAE 条項についての重点的な交渉が行われるが、実際に問題になったり紛争になることはほとんどなく、また問題になるとしても専ら比較的大規模で国際的な要素を含んだ取引においてである。このようにMAE条項の行使の機会が限定的なのは、売主が、契約締結後に買主が契約を解除できる場面を限定して金銭面での一定の合意に達することを第一に考えているからである。

現在支配的な判例法理の到達点である 2013 年のGrupo Hotelero Urvasco v Carey Value Added 判決は、悪影響がi）重大で、ii）一時的なものではなく、かつiii）問題となる期間を範囲とする情報に基づく金銭的基準が定められていることを要求している。当事者は重大な条件違反に対しては救済措置条項を行使し、MAEはむしろ契約内容の変更や価格決定についての交渉のために使われている。英国や国際機関の規制当局は救済措置条項を行使する前に警告手段に訴えることを強く推奨し、また行使にあたっては企業のレピュテーションを強く考慮すべきであるにもかかわらず、COVID-19により、一部の買主は訴訟に発展するような買収契約の解除を行っている。

Show Less

EU全体に共通する最低限の基準を定めるため、欧州委員会は「EU法違反に関する通報者保護」についての新しい指令案を提出した。2019 年 4 月 16 日に欧州議会による承認後、EU指令2019/1937 （以下「EU指令」という）は欧州理事会の承認を受け、2019 年 10 月 7 日に正式にEUにより採択された。

加盟国はEU指令を、2021 年 10 月までに国内法化しなければならない。

実体的適用範囲（第2条） 

EU指令の実体的適用範囲は、公共調達、原子力・放射線・製品および食品の安全、輸送、金融サービス、環境および消費者保護、データプライバシーなど、幅広い分野における EU 法違反に及ぶ。EU指令が適用されない特定の法分野（下記参照）もあるが、加盟国は、公益通報者保護の対象範囲を自由に拡大できる。

EU指令はまた、EUの（EUの機能に関する条約第 325 条で言及される）財政的利益に影響を及ぼす違反や、競争法違反など国内市場に関するルール違反もカバーしている。

EU指令が、機密情報の保護、法律家および医療従事者の秘匿特権の保護、司法上の評議の秘密、刑事訴訟のルールに関する EU 法または国内法の適用に影響を与えることはない。

人的適用範囲（第 4 条） 

EU指令の広範な人的範囲には、「民間および公共部門で業務に従事し、業務に関連する違法行為についての情報を得た」すべての個人が、その業務上の地位の性格に関わらず含まれる。

EU指令は、従業員、個人事業主、株主、および契約者の指示・監督の下で働く者を保護する。意外かもしれないが、まだ業務上の関係にはないが、採用過程で EU 法違反に関する情報を取得した者もEU指令が適用される通報者に該当しうる。EU指令はまた、既に終了した業務関係の期間中に得た違反に関する情報を通報する者にも適用される。

EU指令は、業務関係上の報復を受ける可能性のある通報者の同僚または親族、さらに通報者が所有、従事する、または業務上の関係を有する法人に対しても適用される。

通報システム（第7条、第8条、第10条および第15条） 

EU指令は、組織内の中立な立場の者や指定部署への内部通報と、加盟国が指定する中立で独立した機関への外部通報という、2つの通報システムを用意している。

内部通報は、もし「そのような手段が利用でき」、「正常に機能することが見込まれる」場合には、最初にとるべき手続きとして推奨されているものの、外部通報制度を使うか内部通報制度を使うかの判断は、通報者に委ねられており、「個々の状況」に応じて選択できる。

EU指令は、特定の公共および民間の機関に対して、通報者の通報を取り扱う内部通報処理体制の整備義務を課す。

民間部門では、当該義務は、従業員 50 人以上（または年間売上高が 1,000 万ユーロ以上）の会社、規模を問わず金融サービス分野を扱う私法人、および EU の規制が及ぶマネーロンダリングやテロリストへの資金提供に対し脆弱性のある私法人に適用される。これらの要件がどれほど緩やかかを考えれば、多くの小規模企業がこれらの通報処理体制を整えなければならず、実務運用上大きな負担となることだろう。

公共部門では、当該義務は人口が 10,000 人を超える州、地域、地方自治体、またはその他の公共団体に適用される。

企業は、通報の受領を 7 日以内に通報者に通知し、3 ヵ月以内に「追跡調査」を行う必要がある。公的機関も、通報の受領を 7 日以内に通報者に通知（ただし、通報者の匿名性が脅かされる場合は除く）し、3ヵ月以内に「追跡調査」を行う義務がある。例外的な場合には、追跡調査は最大6ヵ月まで延長することができる。

最後の手段として、通報者はマスメディアや非政府組織に通報する権利を有する。「公共の利益に差し迫った危険があると考える合理的根拠」が存在する場合は、最初からマスメディアを通じた手段に訴えることも認められる。

「公共の利益」という概念はEU指令の中で定義されていないため、その意味は通報者の解釈に委ねられ、その解釈も関係する部門により様々なものとなりうる。明確で客観的な解釈基準が存在しないことは、通報者が内部・外部通報制度を使わず、一足飛びにマスメディアに通報してしまうという事態を招きうる。

公益通報者保護制度の適用範囲（第5条、および第19条から第24条） 

保護の対象事項 

EU指令に基づく保護は、違反や過失行為のうち、「i）違法で、かつEUの活動やEU指令の適用範囲に含まれる分野に関連するもの、ii）またはこれらのEUの活動や分野における規則の目的または意義に抵触するもの」 について認められる。

これらの保護は、通報の時点において、勤務場所で得た情報が真実であると考える合理的根拠があり、通報手段および手続きがEU指令の定める要件に則ったものであれば、誰にでも及ぶ。

EU指令によれば、保護が認められるか否かを判断する際、通報者の主観面を考慮すべきではない。つまり、EU指令は「良心（good faith）」に基づくかどうかという点を要件としていない。その代わり、通報者がその情報が真実だと「思う合理的根拠」が必要である。

通報者は、マスメディアや非政府組織に通報する権利を有する。

これは、不採用者などによる、悪意に基づく濫用のおそれが十分にあることを意味する。もっとも、第 23 条は、「虚偽の情報を、故意に通報または公に開示した」通報者に対する罰則を定めている。

報復の禁止 

EU指令は、報復について、通報を原因とする、通報者に不当な不利益を生じさせる脅迫的もしくは実行を伴う行為または不作為、と定義し、報復に該当する直接および間接的な行動の非限定的なリストを掲げている。

通報者が、通報後の報復行為の存在を一応（prima facie）証明した場合、申立てを受けた報復者は、報復行為をしていないこと、および当該行為が正当な根拠にのみ基づいて行われたことを証明する必要がある。不存在の証明は難しい仕事となる可能性が高い。

匿名による通報 

EU指令は、通報者および通報内で言及された者全員の匿名性を保持するよう要求しているが、匿名による通報の可否の判断は加盟国に委ねられている。

罰則 

EU指令は、加盟国に対し、通報者に報復した者に「効果的、衡平かつ抑止的な処罰をする」ことを要求している。

次のステップ 

残る問題としては、加盟国がEU指令の対象範囲を拡大する権利を行使するかどうか、あるいはEU指令が、フランスのサパン Ⅱ 法などの既に存在する公益通報に関する国内法にどのような影響を与えるのかといった点が挙げられよう。また、EU指令が一般データ保護規則（GDPR）などの他の法律や規則とどのように関係するのかも明らかではない。さらに、このような「画一的」なアプローチは、金融業界など既に特定の違反行為を通報する法的枠組みを有する業界に無駄な負担を課すことになる。

以上のような不明確な点や濫用の可能性に照らすと、EU指令を実務に落とし込むのが骨の折れる作業になることは間違いないだろう。他方で、EU指令が、あらゆる業界の雇用者が統一的かつグローバルな通報制度を整える機会となることも事実である。企業は、期限である2021 年 10 月の期限に間に合うよう、今すぐアドバイスを求め準備に取りかかるべきである。

Show Less

背景

FCPAの制定後、連邦議会は司法省に対し、意見公表手続き（Opinion Procedure Releases）を通じて勧告的意見を公表するように指示した。この手続きについて定める連邦規則集第 28 編第 80 部は、FCPAの定める、米国で証券を発行している企業（issuers）または国内企業（domestic concerns）のいずれかに該当する場合、当該企業は「特定の具体的かつ将来的な（つまり仮定的でない）行為が、（FCPA の）贈収賄防止条項に関する司法省の現行の執行方針に適合する」か否かについて司法長官から意見を得ることができるとしている。同規則はさらに、意見を求める企業に対し、複数の要件を課している。

1. 意見を求める申立ては、書面で提出しなければならず、事業運営上の責任を有する上級役員の署名および認証を受けたものでなければならない。
2. 取引は実際に存在するものでなければならず、申立人は当該取引の当事者でなければならない。
3. 取引全てが将来の行為に関わるものである必要はないが、申立ては、将来の行為に関する部分に限り検討される。
4. 司法省は、契約が締結済みであることは必須の条件ではなく、申立てはほとんどの場合において、申立人が「取引を進める意思表示（commitment to proceed with a transaction）」をする前になされるべきであるという立場を取る。
5. 申立企業は、問題となる行為に関し、「完全かつ真正な開示」を行う積極的義務を負う。
6. 申立ては、具体的でなければならず、また「当該行為…および将来の行為の状況について関連性が高く重要な情報（背景事情、取引の実行に関わるすべての文書の完全な写し、もし存在する場合はすべての付随的または口頭の合意事項の詳細な報告書を含む）」を含まなければならない。
7. 申立書の提出後、企業は、司法省が要求する追加情報を書面にて「速やかに提供しなければならない」。当該情報も署名済みかつ認証済みでなければならない。
8. 司法省は、意見を求める申立てに関し、「司法省が適切と判断するあらゆる独自の調査」を実施する権限を有する。

直近の勧告的意見

本件では、米国に本社を置く投資顧問会社が、外国政府が過半数の持分を有する外国投資銀行の関連会社に 23 万 7,500 ドルを支払うことに関し、司法省の意見を求めた。この支払いは、外国投資銀行が、申立人による当該銀行の別拠点からの資産ポートフォリオの取得を助けたことに対する対価として、当該銀行自体に対してなされる予定であった。申立人は、外国投資銀行との署名済み契約書は存在しないものの、当該銀行のアドバイザリー部門から「具体的で正当なサービス」を受けたこと、および支払予定のサービス報酬（資産価値の 0.5 %）が提供されたサービスに「見合う」ものであり、「商業的に妥当」であることを示した。

司法省は、申立人による支払いが個人ではなく銀行の事業部門に向けたものであることから、本件について執行措置を行わないことを通知した。さらに司法省は、問題の取引が「透明性を有する」ものであると説明した。申立人は、支払いが銀行の事業部門の運営に使用されるものであり、他の法人に送金されないことの確認を求めていた。これに応じて、司法省は、「当該取引に関連して、いかなる個人への直接的または間接的な有価物の不正な提供、約束または支払い」も存在しないことから、問題の支払いがFCPAに違反して外国公務員に不正な影響を及ぼすことを意図したものである「兆候は存在しない」と結論付けた。

勧告的意見を得ることは現実的でない可能性があるが、特定の状況下では選択肢の一つとなる

取引前、取引中および取引後にコンプライアンス問題が生じた場合、FCPAの適用対象となる企業は、法務リスクを速やかに評価し、適切な時期にこれを是正することが常に重要である。司法省の意見は、取引を進めるうえで最大級の確実性をもたらすが、意見を求めることができるのは限定的な状況に限られる。取引がすでに完了している場合、企業が取引を進める意思表示をすでにしている場合、または問題の行為が既に発生している場合、司法省は省の定める規則に基づく勧告的意見を述べることはない。

意見の要請が可能な状況であっても、時期的な制約および情報の不足などの要因により、取引開始前に意見を得ることは非現実的である場合が多い。司法省高官はこの問題を認めている。2018 年、Miner 司法次官補は、意見の要請には「少し長い時間がかかるかもしれない」が、それでも「リスクを評価するために、取引のスピードを落とすことが理にかなう場合もある」と述べた。直近の勧告的意見に関して言えば、申立人は当初の要求を 2019 年 11 月に、補足情報を 2020 年 1 月、2 月、6 月、7 月に提出した。司法省は、申立企業の時間的な希望を踏まえ、勧告的意見の発表に必要な分析を迅速化することができる。しかし、本件の時間経過を見ると、意見を求める申立てが常に実行可能とは言えない理由を如実に示している。

さらに、申立企業が司法省に提供した文書と情報が第三者に公開されることはないが、司法省の意見は公開される。この意見は通常、計画中の取引、ビジネス関係、および申立企業の業界について非常に重要な情報を明らかにするものである。場合によっては、重要な詳細情報を市場に公開するのは望ましくない可能性がある。

とはいえ、司法省が Miner 司法次官補の発言から 24 カ月以上を経て、ついに勧告的意見を発表したという事実は、たとえ限定的な状況においてのみ利用可能であったとしても、勧告的意見を現実に得られることを示している。レビューに時間がかかる取引においては、勧告的意見というツールは、企業が FCPA を確実に遵守し、コストがかかる司法省による調査の可能性を回避するための手段として、少なくとも考えられる一つの選択肢である。さらに、司法省が FCPA 違反企業に対する執行方針（2017 年 11 月公表）で不起訴処分と引き換えに自己開示を促し、FCPA 執行ガイダンスを最近更新したこと（2020 年 7 月公表）に続いて、今回の勧告的意見を発表したことは、FCPA コンプライアンスに積極的に関与しようとする司法省の意欲の強さを示すもう一つの例であるといえよう。

Show Less

採否にかかわらず、CPRA案はデータ保護を取り巻く米国の法的環境が、世界中の企業を予測できないリスクとコンプライアンス体制構築のためのコストとで悩ませる、流動的な状態にあることを如実に表している。

これはなるべくしてなったことではない。カリフォルニア州におけるこのような法整備は、連邦議会が包括的な連邦データ保護法を制定できないでいることに一部起因するものである。広範な支持にもかかわらず、連邦法が CCPA のような州法を無効とするかといった重要な点について立法者の間で合意ができておらず、連邦基準をめぐる妥協案の見通しは立たない。

CCPA―立法経緯および概要

CCPA は、カリフォルニア州の「住民提案投票制度（ballot initiative）」と呼ばれる極めて強力なレファレンダムの一種によって生まれた。カリフォルニア州議会との交渉後、この住民提案の提案者は、わずかに穏健的な内容になったCCPAを通常の立法手続きで採択することと引き換えに、住民提案を2018年の投票から撤回した。

この立法により、CCPAはカリフォルニア州民の広範に定義された「個人情報」に適用され、州民の情報を取り扱うビジネスに関して、様々な個人の権利を保障することとなった。カリフォルニア州の個人情報を処理する企業であって、年間収益が2,500 万米ドルを超えるか、年間 50,000 人を超える消費者のデータを処理するか、またはデータ販売から収益の 50 %を生み出すかのいずれかを満たす企業は、この法律の対象となる。これらの条件を一つでも満たす企業は CCPA の適用対象となるため、同法は幅広い会社に適用され、カリフォルニア州の顧客をほんの一握りしか持たない企業や、意図せずにカリフォルニア州民の個人情報を処理する企業にも及ぶ。特に、カリフォルニア、さらには米国内に物理的な拠点を持たない企業も、CCPAの対象となる点は特筆に値する。

CPRAは、デジタル広告に適用範囲が及ぶことを明示するため、「販売」の定義を変更する予定である。

おそらくCCPA が定める権利のうち最も興味を引くものは、消費者が個人情報の「販売（sale）」をオプトアウトする権利であろう。データ転送がCCPAの定義する「販売」に該当するか否かは、転送の目的、データと引き換えに何らかの「対価」が提供されたか、契約条項、データの最終的な用途等、複数の要素によって決定される。これらの規定の適用については激しい議論があり、特にデジタル広告業界のようなデータ中心の産業において顕著である。多くの会社はリスクを考慮に入れた立場を取り、これらの規定の意味が明確化されるのを待っているというのが現状だ。

カリフォルニア州司法長官（AG）のみが執行できる CCPA のプライバシー権に加えて、CCPAはカリフォルニア州民に対し、ある企業の不適切な保護体制がデータ侵害を引き起こした場合、当該企業を提訴する権利を保障している。この権利は、金融口座情報等の、特定のセンシティブ情報に対する侵害に対してのみ及ぶ。侵害により影響を受けた者は、1人につき 100 米ドルから 750米ドルの法定損害賠償を受けることができる。これにより、2020 年 1 月の施行以来、クラスアクションが急増している。

司法長官は自らの責任で規則を公布する役割も担っている。最終規則案は、CCPAの手続上および実体上曖昧な点を明確にし、企業に対し追加の記録管理および手続的要件を課すことを予定している。ただし、公布の時点では、最終規則は未だ行政による承認待ちの状態であり、2020 年 10 月以降まで発効する見込みは低く、企業にとってコンプライアンス上の新たな不確定要素となっている。

CPRAが新たに議論に加わる

CCPAのインパクトは、間違いなく大きい。カリフォルニア州による予測によると、対象となる企業のコンプライアンス費用だけでも 500 億米ドルを超える。カリフォルニア州の立法者によって多くの修正案が慎重に検討されてきた。CCPAの条文の起草にあたっては、司法長官は 500 ページを超える分析報告書をまとめている。

こうした努力にもかかわらず、CPRAはCCPAを実質的に改正するものと考えられる。

修正事項は多岐にわたる。例えば、CPRAはカリフォルニア州内の消費者が「センシティブな個人情報（sensitive personal information）」の処理を「制限（limit）」する権利を新設している。「センシティブな個人情報」とは個人情報の新たなサブカテゴリーで、米国および EU 法の定める「センシティブ・データ」のカテゴリー群を統合し構成したものである。このような基準を満たすために企業が取りうる手順は、CCPAの下で企業がデータの「販売」をオプトアウトする消費者の請求に関して行うべき義務と似ているが、この権利の適用範囲は遥かに広範なものとなる可能性があり、現行法の下では個人情報の「販売」をしていないとされている多数の企業も、CPRAに適合するようにデータ取扱いのプラクティスを大幅に見直す必要があるだろう。さらに同法は、デジタル広告を明示的に含むよう「販売」の定義を改めるため、大多数のウェブサイトに重大な影響が及ぶと考えられる。

CCPAの前身の住民提案が最終的に撤回されたのとは異なり、CPRAの推進者らは これまで立法による妥協的解決の可能性を示唆していない。初期の調査は、11 月に投票が行われるこの提案が幅広い支持を集めていることを示している。もし可決されても、大部分の規定は 2023 年まで発効しないが、多くの企業は直ちに準備を開始することを迫られるだろう。

連邦法は行き詰まったまま

カリフォルニア州におけるデータ保護法制の勃興は、住民投票手続制度と資金力のある推進者グループの努力に依るところが大きいといえるかもしれない。しかしながら、この法発展の一因は、連邦議会が連邦データ保護法制のベースラインさえ可決することができず、各州が州レベルでのプライバシー法整備を求める世論の期待に応える必要があったことにあると見ることもできよう。

CCPAのインパクトは、間違いなく大きい。

連邦議会は、米国全土に及ぶデータ保護に関する法律を可決し、必要であれば、CCPA のような州法を連邦法の専占に基づき無効にする権限を有している。連邦基準は、民主党及び共和党の議員、財界、プライバシー保護を求める団体によって一様に支持されており、様々な利害関係者がそのような基準を確立するための立法を提案してきた。

連邦法の必要性については、このような幅広い意見の一致があるにもかかわらず、その詳細についてのコンセンサスはわずかしか得られていない。連邦法の支持者は、執行のメカニズムと州法が優先する範囲という2つの根本的な問題をめぐり、分断されている。民主党の政治家とプライバシー保護推進派は、私的訴権を含む強力な執行力や、連邦法の専占の効力を最小限に留め、CCPA のようなより制限的な州法を存続させることを支持する傾向にある。一方、共和党員および財界は、概して私的執行に反対し、連邦法が広い範囲で優先されることへの支持を表明している。

こうした議論の袋小路に加え、ソーシャルメディア上の投稿への規制などのオンライン上のプライバシーに関わる他の諸問題が激しい党派的議論の対象となったことで、特に大統領選の年であったこともあり、妥協案に至るための超党派的な取組みが難しくなってしまった。

以上のことから、米国連邦データ保護法の成立が今後数年間の内にあり得るとしても、近いうちに制定される公算は低い。また、たとえ可決されたとしても、CCPA のような州法に与える影響は不透明である。したがって、当面の間、カリフォルニア州のデータを収集または処理する企業は、カリフォルニア州法という動く的に狙いを定める努力が求められるだろう。

より詳しい情報については、マクダーモットの CCPA 資料センター（McDermott’s CCPA Resource Center）をご覧ください。www.mwe.com/ccpa

Show Less