英国、新データ保護改革法案の提案を公表
英国、新たなデータ保護改革法案の提案を公表
英国政府はこのほど、英国のデータ保護法改正案を発表した:新たな方向性英国の現行法(英国GDPR、プライバシー・電子通信規則、2018年データ保護法)は廃止されないが、大幅な変更の対象となる。これらの提案の背景には、英国を「最も魅力的なグローバル市場」として確立する狙いがある。政府は、とりわけイノベーションを促進し、より杓子定規なコンプライアンス要件の一部を削除することで企業の貴重な時間とリソースを解放するデータ体制の改善を通じて、これを達成できると考えている。
企業のコンプライアンス負担の軽減(およびクッキーバナーの廃止)
**プライバシー管理プログラム:**説明責任の原則は個人の権利を保護するための基本的な部分であると考えるが、それにもかかわらず、政府は一部の組織に生じる「不釣り合いな負担」を軽減しようとしている。 プライバシー管理プログラム」は、英国GDPRのより規範的な要素の一部に取って代わる。これには、独立したデータ保護責任者を任命する必要性を削除することが含まれ、その代わりに、組織全体にコンプライアンス文化を根付かせることを任務とする上級責任者を任命する要件に置き換えられる。リスクを特定し管理するという要件は残りますが、DPIAを実施する必要性は現在の形でなくなり、処理活動の記録(RoPA)を維持するというArt30の要件もなくなります。興味深いことに、コンサルテーションの回答者の多くは、RoPAの使用を廃止するという提案に反対している。
**対象者アクセス要求(DSAR):**政府は、DSARへの回答を拒否するための閾値を「明白に根拠がない、または過度なもの」から「煩わしい、または過度なもの」に変更する予定である。これにより、このテストは情報公開法の制度に沿ったものになる。政府は、データ主体が要請を行う際に支払う名目的な手数料を再導入する計画や、要請の処理にかかる費用の上限を導入する提案を断念した。この変更による影響は、実際のところほとんどないかもしれないが、間違いなく、要請を拒否できる状況が狭まる可能性がある。
**クッキー:**ウェブサイトは、英国居住者に対してクッキーのバナーを表示する必要がなくなる。多くのウェブユーザーが両手を挙げて歓迎する変更である。さらに近い将来、政府は、少数の他の非侵入的な目的のために、明示的な同意なしにユーザーのデバイスにクッキー(および同様の技術)を置くことを許可する予定です。これらの変更はウェブサイトだけでなく、スマートフォン、タブレット、スマートテレビ、その他の接続デバイス上のアプリなどの接続技術にも適用される。長期的には、同意のオプトアウト・モデルへの移行が意図されている。これは、ユーザーがクッキーの使用をオプトアウトする方法について明確な情報を与えられ、それが簡単にできるのであれば、最初に同意を求めなくてもクッキーを設定できることを意味します。これは、子供向けのウェブサイトには適用されにくいことに注意してください。また、電子マーケティング(電子メールやテキストなど)のいわゆる「ソフトオプトイン」方式を拡大し、慈善団体などの非商業組織もこの恩恵を受けられるようにする計画もある。重大なのは、一部の規則が緩和される代わりに、重大な違反に対する罰則が強化されることで、罰金の最高額が英国のGDPRの最高額(1750万ポンドまたは全世界の年間売上高の4%のいずれか高い額)に引き上げられる。
イノベーションのためにデータの力を引き出す
今回の協議の主な焦点は、イノベーションの重要性と、科学的ブレークスルーを推進し、社会経済的利益をもたらす最先端技術を可能にするための個人データの責任ある利用であった。この分野での提案は、個人データをこのような目的でいつ、どのように使用することができるかについて、組織により確実性を持たせ、英国の法律がデータ主導の技術に遅れないようにすることを目的としている。提案には以下が含まれる:
- 英国GDPRの159項に基づく**「科学的研究」の定義の**作成;
- 広範な同意の使用に関する明確化(データ収集の時点で処理の目的を完全に特定することが不可能な場合、科学的研究がより具体的でない同意の形式を使用することを認める);
- 管理者が変更された場合に個人データをさらに処理する能力を明確にし、当初の法的根拠が同意である場合は、非常に限定された状況を除き、さらなる処理を行うことができないことを明確にする;
- 管理者が処理の合法的根拠として正当な利益に依拠するために、バランステストを適用する必要のない、慎重に定義された限られた数の処理活動を生み出す;
- **AIと機械学習:**AIに関して、バイアスの軽減に関するものを含むいくつかの措置が提案されている。
- いつデータが**「匿名化」さ**れたとみなされるかを明確にする。
国際的なデータ移転
国際的なデータ移転に関して政府は、*「リスクベースの意思決定と結果に焦点を当てた適切性評価に英国がよりよくアプローチできるようにし、データフローに関する英国のコミットメントを引き続き支援する」*改革も進めると述べた。これには、妥当性判断に対するリスクベースのアプローチや、国務長官が海外にデータを移転するための新たな英国のメカニズムを創設したり、英国の法律で要求される成果を達成する場合には、他の国際的なデータ移転メカニズムを英国の法律で承認したりする権限が含まれる。
より良い公共サービスの提供
この分野の改革は、COVID-19パンデミックから学んだ教訓を基に設計されている。政府は、統合された相互運用可能なデータ・エコシステムに対する現在の課題を特定し、その解決を目指している。これには、公共サービスを提供する非公共団体、緊急時の健康データ処理、公共の安全や国家安全保障に関する対策などが含まれる。
情報コミッショナー事務所の改革
ICOの改革も計画されているが、この提案が個人や組織に直接影響を与えることはないだろう。ICOの構造を変更することで、最終的な権力を一人の情報コミッショナーに委ねるのではなく、独立した理事会を設置し、行政への指示と監視を行うことが望ましいとされている。また、ICOが作成する法定ガイダンスは、政府による事前承認の対象となることが提案されており、このことはICOの独立性に疑問を投げかけている。
我々の考え
私たちは、プライバシー管理プログラムに関する提案がどのように展開されるのか、また、例えばRoPAのように、同じ文書や措置が別の名前で使用されることになるのか、熱心に見守りたいと思います。誰もが答えを知りたがっているのは、欧州委員会がこの変更をEU法から大きく逸脱しているとみなし、英国に関する妥当性判断の見直しを求めるかどうかという点だろう。政府はそのような影響はないと確信しているようだが、この自信が見当違いかどうかは時間が経ってみなければわからない。
また、EUと英国のGDPRの両方が適用される企業が、この変更にどう対処するかも注目される。例えば、EU GDPRのもとでもDPOが必要な企業が、英国のコンプライアンス・ニーズとの関係でDPOの利用を停止する可能性はどの程度あるのだろうか。企業がまだEU GDPRの適用を受けている場合、意図したコンプライアンス負担の軽減の効果は限定的かもしれない。
最後のポイントとして、英国に設立されていないが、英国GDPRの第3条に該当する企業が英国の代表者を任命する必要性は変わっていない。逆に、EUに設立されていない英国企業は、依然としてEU代表者を任命する必要があります。ブレグジット後のEUおよび英国GDPRにおける代表者の役割については、こちらをご覧ください。