GDPRはEUの規則であるため、一般的にはBrexit後の英国には適用されなくなります。ただし、英国政府はGDPRを英国のデータ保護法に組み込んでおり、2021年1月1日以降は「UK GDPR（英国版GDPR）」が施行されています。

UK GDPRはEU版GDPRとほぼ同様の要件を定めているため、すでにEU GDPRに準拠している企業は大きな修正を行う必要はありません。ただし、国境を越えた取引がある場合は、UK代理人の任命や、英国との間の国際的なデータ移転に関する追加要件に対応する必要が生じる可能性があります。

イギリス政府は、2021年1月1日以降、イギリスに本社・支店・事務所など拠点を持たない、国外（EUやそれ以外）の企業は、以下いずれかの活動をしている場合には代理人の任命が必要であると明言しています：

• イギリスの個人向けに商品やサービスを提供している
• イギリスの個人の行動を追跡・監視している

（参考：ICO「UK代理人に関するFAQ」）

EDPB（欧州データ保護会議）は、GDPRの適用範囲と代理人の任命に関するガイドライン（Guideline 3/2018）を公表しています。これらのガイドラインはもはやイギリスの法律には直接適用されませんが、ICOは、特定の問題を検討する際に依然として有用であるとしています。そのため、イギリス政府が新たな規則を採用しない限り、GDPRの適用範囲を判断するうえで、EDPBのガイドラインが参考になります。

ガイドラインによると、企業がイギリスの個人向けに商品やサービスを提供しているかを判断する際には、以下のような要素が考慮されます：

• イギリスで使用されている言語を使用し、通貨としてポンド（GBP）を提示している
• イギリスの個人を対象にした広告やマーケティング活動を行っている
• イギリス国内から連絡可能な住所や電話番号を掲載している
• イギリス向けのトップレベルドメイン（例：.uk）を使用している
• 商品の配送先としてイギリスを含んでいる

EDPBガイドライン（Guidelines 3/2018）は、イギリスで行動モニタリングが行われているかを判断する際の指標として有用です。EDPBの定義によれば、モニタリングはインターネット上だけでなく、ウェアラブル端末やその他のスマートデバイスを通じても行われます。主なモニタリング活動の例は以下の通りです：

• 行動ターゲティング広告
• 位置情報取得（ジオロケーション）
• クッキーなどの追跡技術を用いたオンライン・トラッキング
• 個人の行動プロファイルに基づく市場調査や行動分析
• 防犯や監視目的のCCTV

はい、あります。まず、公的機関に該当する場合は、イギリス代表者を任命する必要はありません。
また、以下のすべての条件を満たす営利企業であれば、代表者の任命義務から免除されます：

• 個人データの処理が「時折的（occasional）」であること
• データ主体の権利保護に対するリスクが低い処理であること
• 特別なカテゴリデータや犯罪歴に関するデータの処理が「大規模でない」こと

ただし、これらすべての要件を満たす企業は非常に少ないため、実際に例外として適用できるケースはまれです。
（参考：ICO「UK代表者に関するFAQ」）

代理人の選任が義務付けられているにもかかわらず選任していない場合、最大で870万ポンドまたはグローバル年間売上高の2％のいずれか高い方の罰金が科される可能性があります。

イギリスGDPRに基づく法的義務を担うプライバシー代理人には、単なる郵便受けではなく、イギリス国内に拠点を置く資格を持つプライバシー専門家であることが求められます。代理人は書面で任命され、代理人を通じてイギリスGDPRへの準拠を担保するとともに、イギリス国内のデータ主体や監督当局（ICO）との窓口として機能します。

Prighterはどのようにこれらの要件を満たしているのでしょうか？

• Prighterグループ元のイギリス法人であるPrighter Ltdが提供するプライバシー代理人サービスで、Maetzler Rechtsanwalts GmbH & Co KGのグループ体制を背景にしています。
• イギリスに拠点を置く、訓練を受けた弁護士やプライバシー専門家が所属し、国内外を問わず対応が可能です。
• 任命はオンボーディングの流れでオンライン完結。委任状（PoA）は開始時にデジタル署名で交付されます。

（参考：ICO「UK代理人に関するFAQ」）

Prighterでは、イギリスに子会社や支店などの拠点を持たない企業が、法的専門知識とテクノロジーを組み合わせた手法でイギリスのプライバシー規制に準拠できるよう、サポートしています。

メジャー銀行や金融サービス企業、テクノロジー企業などのデータ保護責任者（DPO）を務めた実務経験をもとに、データ主体要求（DSR）対応やデータ侵害対応、処理活動記録の管理に特化したツールを開発してきました。

あらゆるプライバシー関連事項に対応するのはもちろん、効率的かつ専門的にプライバシー対応を行うことで、企業の顧客信頼を高め、ビジネスの成長につなげることを最も重視しています。

当サービスの中核は、UK GDPR第27条に基づく代理人選任です。この要件に加え、効率性の向上や取引先・顧客の信頼獲得を支援するため、以下の機能・サービス・ツールを構築しています。詳細はこちらをご覧ください。

• UK代理人サービス：UKプライバシー代理人プログラムにご加入いただくことで、当社が正式な代理人として任命されます。弁護士やプライバシー専門家で構成された高い専門性を誇るチームが、データ主体からの要求や監督当局からの問い合わせ対応を全面的にサポートします。
• 信頼の獲得：貴社専用のコンプライアンスランディングページをご提供。ブランドに合わせたカスタマイズはもちろん、プライバシーやセキュリティ関連の証明書、プライバシー／クッキーポリシーを掲載できます。顧客やパートナーへ貴社の準拠状況を明確に示せる窓口として、要求の受け口兼対応プラットフォームとして機能します。
• プライバシーソフトウェアツール：既存または将来のクライアントからのデータ主体要求（DSR）を一括管理できるツールを提供。時間・リソース・コストを削減し、コンプライアンスリスクを大幅に軽減します。さらに、ICOからの標準的な要求（例：処理活動記録の提出依頼）にも対応済みです。

ここが当社の強みが発揮される部分です。Prighterでは、データ主体要求（DSR）管理ツールを開発し、クライアントや監督当局から届くすべてのプライバシー要求を一元的に受け付け、構造化し、フィルタリングします。独自のAI技術により、数百万件規模の要求もこのツール1つで対応可能です。

DSRツールは、データ主体とのやり取りを含む正式な処理要件すべてに対応し、それらをサポートします。実際にデータベース上で行う操作（例えば対象者の削除）は、常にお客様自身が決定します。本ツールは、要求のライフサイクルを正確に管理し、制度上の要件を満たすとともに、判断に役立つガイダンスの枠組みを提供する設計です。

「Prighter DSR」を見る

一般に、EU/EEA（欧州経済領域）に拠点（本社・支店など）を持たない企業は、以下に該当する場合、GDPR第27条に基づくEU代理人の選任が必要です：

• EU/EEAの個人に商品やサービスを提供している
• EU/EEAの個人の行動をモニタリングしている

Brexit以降、イギリスはEUの加盟国ではなくなり、イギリスに拠点があってもEU/EEA内の拠点とはみなされません。従って、このルールはイギリス企業にも適用されます。つまり、EU/EEA市場に拠点なしで商品・サービス提供や行動モニタリングを行っているイギリス企業は、GDPR第27条に基づくEU代理人を選任しなければなりません。

公的機関の場合、代理人の選任義務は適用されません。
また、以下すべての条件を満たしている場合は、この義務から免除されます：

• 個人データの処理が一時的である（断続的かつ非体系的である）
• 処理がデータ主体の権利に与えるリスクが低い
• 処理が特別なカテゴリのデータや犯罪に関するデータを大規模に扱うものではない

Art. 27 GDPR代理人の選任に関するさらなるご質問については、「EU GDPRに関するFAQ」をご参照ください。

イギリスおよびEU/EEAのいずれにも拠点がなく、

• EU/EEAの個人に対して商品やサービスを提供している、または
• EU/EEAの個人の行動をモニタリングしている

…企業は、EUの規則とイギリスの規則の両方に準拠するため、EUとイギリスの両方で代理人を選任する必要があります。

PrighterはEUとイギリスの両方にオフィスを構えているため、EU代理人およびイギリス代理人の両方のサービスを提供可能です。

手続きは迅速かつ簡潔で、数分で完了します。以下のポイントでリスクなく進められます：

1. リスクゼロの14日間無料トライアルを提供
   代理人任命が完全にリスクなしで行えます。
2. プランを選択
   会社規模（Eurostatの分類／従業員数で定義）に応じたプランをご用意。従業員にはパートタイマーやフリーランスも含まれます。
3. 会社情報の入力
   これを完了すると、無料トライアルが開始されます。
4. 委任状（PoA）のダウンロード
   登録後、「委任状をダウンロード」できます。代理人任命の証拠として、監督当局からの要求時に使用されます。署名後、アップロードをお願いします。
5. 情報とPoAの確認
   当社チームが数時間以内に内容を確認・審査します。
6. 代理人任命の完了
   PoA承認後、Prighterが正式にイギリスプライバシー代理人として任命されます。クライアント専用画面にログインでき、委任状、ホームページ・プライバシーポリシー用のテンプレートなどをご利用いただけます。

DPOの任命と異なり、プライバシー代理人の選任についてはICOへ通知する必要はありません。ICOが企業について照会する場合は、企業のプライバシーポリシーに記載された情報を参照します。

ただし、UKプライバシー代理人とは異なり、NIS代理人の任命はICOへの通知が必要ですのでご注意ください。

UK GDPR第27条に基づき、各法人には代理人が必要です。しかし、Prighterではグループ向けパッケージもご用意しております。

それぞれの法人には個別に代理人が必要です。ただし、Prighterグループパッケージでは、1つのメインアカウント＋各グループ企業用サブアカウントで代理人契約を一括管理できます。内部での中央管理拠点を1つ選定し、メインとサブの一元ログイン運用となります。

対応可能なグループ企業数はプランによって異なります：

• 「スモールエンタープライズ」パッケージ：2社まで
• 「ミディアムエンタープライズ」パッケージ：5社まで
• 「ラージエンタープライズ」パッケージ：無制限

なお、対象となるグループ企業は、同じ業種に属し、同じ製品または関連ブランドを展開している必要があります。

定額制で、Eurostat分類（従業員数ベース）およびカバー対象法人数で料金が変わります。月額19ユーロ〜。全プランで14日間の無料トライアルをご利用いただけるため、安心してお試しいただけます。

料金体系は明朗で、データ主体からの要求ごとの追加請求はありません。月次・四半期・年次払いが可能で、四半期払いには割引、年次払いにはさらに大きな割引があります。

支払方法はクレジットカードまたは銀行振込を選択可能。銀行振込は年次契約時に EUR／USD／GBP に対応しています。

ご不明点があれば、サポートチームまでお気軽にお問い合わせください！