ニュース
注意事項: この記事は、英語から自動翻訳されています。原文については、英語の記事をご覧ください。一部の自動翻訳が不自然な場合がありますが、予めご理解いただけますようお願い申し上げます。
Illustration of a weathercock.

ブレグジット後のEUと英国のGDPRにおける代表者の役割

Andreas

Andreas Maetzler

1.貿易協力協定

2020年12月31日の移行期間終了までは、個人情報保護に関する代理人の選任義務は、EU(英国を含む)域内の企業に対してのみ適用され、EU域内に拠点を持たない企業のベンダー・デュー・ディリジェンスに関係していました。英国がEUを離脱した現在、両者は異なる規制と法的規定を持つ2つの独立した市場を形成しています。GDPRはEUの規制であるため、ブレグジット後の英国では一般的に適用されなくなる。しかし、英国政府はGDPRを英国のデータ保護法に組み込んでいる。そのため、2021年1月1日以降、英国版GDPR(「英国GDPR」)が有効となり、企業はこれを遵守しなければならない。良い点は、英国GDPRがEU版から逸脱している点は、企業の義務を変更するのではなく、主に英国での適用のみに関連する点です。2021年1月1日以前にすでにGDPRを遵守していた企業は、移行期間終了後も、以下を除きEUと英国のGDPRを遵守することになる:

Brexitがデータ保護規制の遵守に及ぼす大きな影響は2つある:

  • EU、英国、またはその両方における代理人の任命義務。
  • EUと英国間のデータフローは、EUと英国が2020年12月に合意した貿易協力協定(TCA)の対象となる。

Brexitがプライバシーに与える影響については、こちらで解説しています。

代理人の任命義務

以下の文脈を整理するために、GDPR第27条に基づく義務を簡単に見てみましょう。27 GDPRに基づく義務とブレグジット前のその意味合いを簡単に見てみましょう。第27条27 GDPRは、EU域外に拠点を置く企業が、EU域内の個人への商品・サービスの提供や行動監視に関連する欧州の個人データを処理する場合、欧州代理人を任命する義務を課している。代理人の役割は、現地のデータ保護当局や個人との窓口となることである。EUを拠点とする企業はこの義務の影響を受けないため、当然のことながらEU内ではあまり目立たなかった。しかし、この「隠れた義務」は、英国がGDPRの独自版を施行したことで、ゼロから100になった。外から見れば、EU、英国、あるいはその両方に駐在員を置くことを企業に義務づける2つの法的規定が存在することになる。EU、英国、その他の国に拠点を置く企業にかかわらず、ほとんどの企業がその影響を考慮する必要がある。

第27条27 UK GDPRは、EU GDPRの第27条と対応しているため、両規定は、以下の場合、同じように企業に代理人の選任を義務付けている:

  • 個人に対して商品またはサービスを提供する場合
  • 個人の行動を監視する。

商品やサービスの提供」が何を意味するかは、GDPRの適用範囲に関するEDPBのガイドライン(ガイドライン3/2018)に従う。これらのガイドラインが英国法に直接関係しなくなったとしても、ICOは、特定の問題に対処する際に有用な指針を提供すると述べている。したがって、GDPRの適用範囲を決定する際には、英国政府がこのトピックに関する新たな規制を採択したり、ICOが矛盾する声明を発表したりしない限り、EDPBのガイドラインが役立つ。EPDBのガイドラインによると、企業が特定の地域の個人に商品やサービスを提供しているかどうかを判断する際には、さまざまな要素を考慮する必要がある。考慮すべき要因には以下のようなものがある:

  • 特定の地域で話されている言語を使用している、またはその地域の通貨で支払いを提供している;
  • グーグルやフェイスブックの広告を使用し、その市場に対応する、またはその市場の顧客に向けたその他のマーケティング活動を行う;
  • 特定の市場に関連する参考資料や証言を記載すること;
  • 特定の観光活動など、国際的な性質を持つ活動;
  • 同じ地域の個人がアクセスできる現地の住所や電話番号を記載すること;
  • 当該市場におけるトップレベルドメインの使用
  • 各地域の個人に商品を配送すること。

また、「個人の行動を監視する」という基準の解釈は、ガイドライン3/2018に従う。EUにおける個人の個人データのオンライン収集や分析がすべて「監視」に該当するわけではない。データ主体の行動を監視することは、特定の目的のためにデータを収集する意図を意味する。したがって、プロファイリング技術を使用する可能性を含め、インターネット上での個人追跡はすべて「モニタリング」に該当する。EDPBによれば、モニタリングはインターネット上だけでなく、ウェアラブル端末やその他のスマートデバイスを通じても行われる可能性がある。モニタリング活動には以下が含まれる:

  • 行動広告
  • 特にマーケティングを目的とした地理的ローカライゼーション活動;
  • クッキーやフィンガープリンティングなどのトラッキング技術を使用したオンライントラッキング;
  • オンライン上の個人向けダイエットおよび健康分析サービス;
  • CCTV;
  • 個人プロファイルに基づく市場調査およびその他の行動調査
  • 個人の健康状態に関するモニタリングや定期的な報告。

このような活動を行う企業は、その影響を認識しておく必要がある。これまで代理人の必要性について考える必要がなかったEU企業は、英国の個人を対象としているかどうか、したがって英国の代理人が必要かどうかを判断する必要がある。英国企業も同様である:EU GDPRの規定が変わらないとしても、EU域内に拠点を持たない英国企業は、第27条GDPRに基づく欧州代理人の任命義務に該当するかどうかを評価する必要がある。EU域内に拠点を持たない英国企業は、英国がEUから見て「第三国」となった今、GDPR第27条に基づく欧州代理人の選任義務に該当するかどうかを評価すべきである。EU域外および英国に拠点を置く企業は、理想的にはブレグジット前にGDPRに基づくこの義務をすでに認識していたが、英国の新しい規定に基づき英国代理人を選任する必要があるかどうかを慎重に評価すべきである。EU法と英国法の両方を遵守するためには、今すぐ2人の代理人を任命する必要があるかもしれない。すでに欧州代理人を選任しているが、その代理人が英国内に拠点を持たない場合、英国代理人を追加で選任する必要がある。欧州代理人が英国を拠点とし、EU域内に拠点を持たない場合も同様です。この場合、EU域内に設立された欧州代理人を任命する必要があります。最も有利な選択肢は、EUと英国の両方に拠点を持つ代表者を任命することでしょう。 代表者義務に関するその他のご質問については、GDPR FAQおよび英国プライバシーFAQをご参照ください。

illustration.

ブレグジット・ディール」がデータ移転に及ぼす影響

英国のEU離脱に関連する多くの切実な疑問のひとつは、EUから英国への、あるいはその逆のデータ移転にどのような影響があるのかということだった。英国は、英国からEUへのデータ移転は許可されると宣言したが、EUは、EUから英国へのデータ移転は、国際的なデータ移転に関するGDPRの規定に該当するという立場を堅持した。 それにもかかわらず、EUは、追加的な保護措置の必要なくデータの流れを可能にすることで、データ移転をはるかに容易にする妥当性決定への取り組みを開始した。2020年7月の欧州司法裁判所の判決(シュレムス2世)により、EUの妥当性決定採択作業が遅れ、移行期間が2020年12月31日に終了するため、EUと英国のデータ移転はそれほど明るいものではなさそうだった。幸いなことに、新たな懸念はTCAによって解決され、最大6カ月の「橋渡し期間」が設けられた。このつなぎ期間中は、通常通りデータ移転が可能である。しかし、妥当性決定が採択されるかどうかはわからない。したがって、EUから英国にデータを移転する企業は、移行期間終了前にすでに代替的な保護措置を講じておく必要がある。

  • 移行期間終了前に取得され、EU GDPRに基づいて処理されたデータ、または
  • レガシーデータは引き続きEU GDPR(「凍結GDPR」とも呼ばれる)の対象となる。そのためICOは、移行期間終了前に収集されたデータを特定するよう企業に推奨している。英国のデータ保護法は現在、凍結されたGDPRと整合しているため、実際には、企業は離脱協定に準拠するために変更を加える必要はないかもしれない。しかし、英国政府は、レガシーデータを特定し追跡するために、個人データを棚卸しするよう企業に強調している。 欧州委員会により妥当性決定が下された場合、これらの規定は適用されなくなる。 リソース:Gov.uk Guidance: EU委員会ビジネスまたはその他の組織における個人データの使用 ICO:国際データ移転