GDPR対UK GDPR:データ利用アクセス法2025がもたらす実質的な乖離
EUのGDPRとUK GDPRは、Brexit後、同一の条文としてスタートした。2026年2月に施行されたデータ利用アクセス法2025は、最初の実質的な乖離を生み出した。承認済み正当な利益、改革された自動意思決定規則、SAR(本人アクセス請求)の対応時計を一時停止する仕組み、そして分析用クッキーの適用除外は、現在ではUKの枠組みのもとでのみ適用される。
英国が2020年1月31日にEUを離脱した際、EU GDPRが単純に適用されなくなったわけではない。EUの離脱に関する法律2018は、これをUK国内法として存置し、UK GDPRを創設した。データ保護法2018によって補完されたUK GDPRは、当初、EU GDPRをほぼ一語一語映し出すものであった。
4年間、この比較はほぼ学術的なものにとどまっていた。そこへデータ利用アクセス法2025(DUAA)が登場した。2025年6月19日に国王裁可を受け、2026年初頭にかけて段階的に施行されたDUAAは、正当な利益に基づく処理、自動意思決定、本人アクセス権、クッキー同意、そしてICO自身のガバナンスに構造的な変更をもたらした。もはや両制度は同じものには見えない。
本ガイドは、UKGDPRがどのように成立したか、DUAAが何を変更したか、EU十分性認定の現状、そして2026年における二重コンプライアンスがどのようなものかを説明する。
UK GDPRはどのように成立したか
EU GDPRは、英国が加盟国であった期間、そして離脱後の移行期間を通じて、2018年5月25日から2020年12月31日まで英国に直接適用された。2021年1月1日、存置されたGDPRはUK GDPRとなった。
技術的な仕組みは単純明快であった。離脱法はGDPRをUK国内法に組み込み、もはや意味をなさなくなった文言を修正するための制定法文書を認めた。「連合」は「連合王国」となり、EUの諸機関はUKの対応機関となり、そして情報コミッショナー事務局(ICO)は、30以上の欧州DPAのネットワークの中のUK国内DPAではなく、国全体の唯一の監督機関となった。
データ保護法2018は、EUの構造を映し出す関係の中で、UK GDPRと並んで存在する。DPA 2018は、EU加盟国が国内実施法を制定したのと同様の方法で、UK固有の規定と適用除外を定めている。2021年1月1日時点で、UK GDPRとDPA 2018を合わせた枠組みは、実質的にEU GDPRと同一であった。
英国政府は早い段階から、この枠組みを改革する意図を表明していた。数度の頓挫を経て、データ保護・デジタル情報(DPDI)法は2024年10月24日に国王裁可を受け、穏健な変更をもたらした。より大規模で野心的な法律であるDUAA 2025は、その8か月後に続いた。
歴史的にほぼ同一であった時期
2021年から2025年の大半にかけて、UK GDPRとEU GDPRは、ほぼすべての実務上の目的において機能的に同等であった。処理のための六つの適法根拠は同一であった。データ主体の権利(アクセス、訂正、消去、ポータビリティ、制限、異議)は同じであった。72時間の侵害通知義務は同じであった。設計段階からのデータ保護、影響評価、DPO要件、処理者契約、特別カテゴリーデータ規則は、いずれもEUの条文をなぞっていた。
この期間における主な実務上の違いは構造的なものであった。唯一の監督機関としてのICO(30以上のEU DPAに対して)、国際移転についての英国独自の十分性認定、EU標準契約条項の国内版である英国国際データ移転契約(IDTA)、そして制裁金にユーロではなくポンドを用いること、である。
このほぼ同一の状態が、2021年6月に欧州委員会が英国に十分性認定を付与した根拠であった。
データ利用アクセス法2025:乖離の始まり
DUAAは2025年6月19日に制定された。英国政府はこれを、高いデータ保護基準を維持しつつ不必要なコンプライアンス負担を軽減する、イノベーション促進型の改革として位置付けた。EDPBを含む批判者は、一部の変更がEU GDPRの原則から意味のある形で離れていると指摘した。
同法のデータ保護に関する規定の大半は、2026年2月5日に施行された。苦情処理に関する要件は2026年6月19日に施行される。ICOのガバナンス再編は、新理事会が任命された後に続き、2026年後半になる見込みである。
承認済み正当な利益
構造上最も重要な変更は、UK GDPR第6条のもとでの新たな適法根拠、「承認済み正当な利益」の創設である(DUAA第70条および附則4により挿入)。
EU GDPRのもとでは、正当な利益を適法根拠として用いる場合は常に、管理者の利益とデータ主体の権利・自由とを比較衡量する正当な利益評価(LIA)が必要である。近道は存在しない。UK GDPRは、一般的な正当な利益の主張について、この完全な比較衡量の要件を維持している。
しかし、DUAAの附則4は、比較衡量テストが不要となる特定の「承認済み正当な利益」の一覧を挿入している。列挙されたカテゴリーは次のとおりである。
- 不正防止を含む犯罪の予防および検知
- 脆弱な立場にある人々の保護(ネグレクトまたは身体的、精神的、感情的な危害から人を保護すること)
- 2004年民間緊急事態対応法に定義される緊急事態への対応
- 国家安全保障、公共の安全、防衛
- 法令が認める公共の利益に資する任務について公的機関を支援すること
- 内部管理目的でのグループ内における個人データの送信
これらの特定のカテゴリーについては、管理者は比較衡量テストを実施または文書化することなく、承認済み正当な利益の根拠に依拠できる。データ主体は依然として第21条のもとで異議を申し立てる権利を有するが、当該処理は推定上適法である。
EU GDPRにはこれに相当する規定はない。EUにおける正当な利益のための処理は、目的にかかわらず常に比較衡量テストを必要とする。これは実質的な乖離が生じている分野である。
自動意思決定
GDPR第22条は、EUのデータ主体に対し、法的効果または同様に重大な効果を生じる、専ら自動処理に基づく決定に服さない権利を、限定的な例外を除いて付与している。これは歴史的に、完全自動のプロファイリング、信用スコアリング、および類似のシステムに対する重要な制約となってきた。
DUAAは、UK GDPR第22条を新たな第22A条から第22D条に置き換えた(第80条および附則6)。改革されたUKの枠組みは、政府によって「より寛容」であると説明されている。主な変更点は次のとおりである。
- 専ら自動化された意思決定(ADM)の禁止は、現在では、決定が特別カテゴリーデータに全面的または部分的に基づき、かつ法的効果または同様に重大な効果を生じる場合にのみ適用される。
- その他のADM決定については、組織は透明性を確保し、データ主体が意見を述べることを可能にし、請求に応じて人による介入への経路を提供しなければならない。
- 法執行の文脈においては、新設の「積極的な人的審査の適用除外」により、捜査を妨げる場合または国家安全保障を守るために必要な場合には、即時の人的審査を伴わない不利な自動決定が認められる。ただし、合理的に実行可能な限り速やかに人による再検討が行われることを条件とする。
実務上の効果として、より広い範囲の自動決定が、第22条の完全な保護を発動させることなく、英国において適法となる。より寛容なUKの枠組みのもとで構築されたシステムは、EUのデータ主体についてはEU GDPRに準拠しない場合がある。ICOは2026年初頭、更新されたADMガイダンスに関するコンサルテーションを開始した。
SAR対応時計の一時停止
DUAA第75条から第78条は、本人アクセス請求(SAR)について、EU GDPRに相当する規定のない「対応時計の一時停止」の仕組みを導入している。
両制度のもとで、管理者はSARに対して暦月で1か月以内に対応しなければならない(複雑または多数の請求についてはさらに2か月まで延長可能)。EU GDPRのもとでは、この期間はSARを受領した時点から連続的に進行する。
改正されたUK GDPRのもとでは、管理者がデータ主体に対し請求の明確化・絞り込み、または関連データを特定するための追加情報の提供を求める必要がある場合、対応期間は一時停止される。時計は明確化が求められた時点で停止し、明確化が届いた時点で再開する。
同条項はまた、SARの検索が「合理的かつ比例的」であれば足りることを成文化している。これは、従前は英国の判例法によってのみ確立されていた原則である。
対応時計の一時停止の仕組みは、複雑なSARを扱う際のUK管理者により大きな柔軟性を与える。EUの管理者にはこれに相当する手段がなく、明確化の請求はいずれも、進行中の1か月の期間内で対応しなければならない。
クッキーおよびPECR改革
2003年プライバシー・電子通信規則(PECR)は、EUのeプライバシー指令をUK法において実施し、クッキーおよび類似の追跡技術を規律する。PECRは歴史的に、すべての非必須クッキーについて事前の同意を要求してきており、これが英国とEU全域のウェブサイトでおなじみのクッキー同意バナーを生み出している。
DUAAはPECRを改正し、同意が不要となる保存・アクセス技術の三つの新たなカテゴリーを設けた(2026年2月5日施行)。
- 統計クッキー: ウェブサイトのパフォーマンスを測定・改善するために用いられる分析クッキー。データが他の目的に利用されず、無料のオプトアウトが利用者に提供されていることを条件とする。
- 表示設定クッキー: 言語や表示設定などの利用者の選好を記憶するクッキー。無料のオプトアウトが利用可能である場合。
- 緊急支援クッキー: 緊急支援サービスを可能にするために必要なクッキー。
統計クッキーおよび表示設定クッキーについては、管理者が利用者にとって無料かつ容易なオプトアウトの仕組みを提供する場合にのみ、適用除外が適用される。ICOは2025年秋にガイダンス草案を公表しており、確定版のガイダンスは2026年春に公表される見込みである。
EUにおいては、eプライバシー指令は改正されていない。すべての非必須クッキーは依然として事前のオプトイン同意を必要とする。長らく議論されてきたeプライバシー規則は依然として制定されていない。英国のウェブサイトは、現在では(オプトアウトの提供を条件に)同意バナーなしに分析クッキーを利用できるが、EU向けページの同一のクッキーは依然として事前の同意を必要とする。
これとは別に、DUAAはPECRの制裁金上限を50万ポンドから1,750万ポンドまたは全世界年間売上高の4%(いずれか高い方)に引き上げ、UK GDPRの制裁金水準と一致させた。これにより、電子通信の執行はデータ保護の執行と整合するものとなった。
科学研究に関する規定
DUAA第67条および第68条は、英国の研究に関する規定を明確化し、拡大している。重要な変更は二つある。
第一に、「科学研究」の定義が(従前は前文にのみ置かれていたが)主たる立法に書き込まれ、商業的な科学研究、例えば臨床試験を実施する製薬会社などを明示的に含むこととなった。これにより、商業的な研究主体が研究処理の柔軟性の恩恵を受けるか否かについての曖昧さが取り除かれる。
第二に、DUAAは科学研究について「包括的同意」を可能にする。すなわち、当初の時点で具体的な研究目的を定義することが合理的に不可能な場合、関連する研究分野をカバーするより広範な同意が有効となる。これは、縦断的研究およびバイオバンクにおける一般的な実務を反映している。
EU GDPRのもとでは、これらの原則は前文および第89条に存在するが、一部の加盟国ではより制限的に解釈されてきた。UKによる成文化は、より大きな法的確実性を提供する。
スマートデータ制度
DUAA第1部は、「スマートデータ制度」に関する法定の枠組みを確立している。これはUK GDPRの中核的な変更とは別のものだが、データ実務家にとって関連性がある。
スマートデータ制度は、顧客がAPIを通じて認可された第三者と金融データを共有することを可能にする英国のオープンバンキング・モデルを、他の分野へと拡大するものである。国務大臣および財務省は、あらゆる分野(エネルギー、住宅ローン、保険、年金その他)において「データ保有者」を指定し、認可された第三者からの請求に応じて顧客データを利用可能にすることができる。
2025年時点で、英国の消費者・事業者の約5分の1がオープンバンキング・サービスを利用している。DUAAはオープンバンキングを法定の基盤の上に置き、このモデルを経済全体に拡大するための法的インフラを構築する。政府の目標は、2035年までに20を超える新たなスマートデータ制度を実現することである。
スマートデータ制度はUK GDPRを直接改正するものではないが、スマートデータ制度を通じて共有されるデータは、関与する各管理者についてUK GDPRの要件を遵守しなければならない。
ICOが情報委員会へ
DUAA第6部は、情報コミッショナー事務局を情報委員会(IC)に改称し、そのガバナンスを再編する。ICOは、単独の情報コミッショナーではなく、独立した議長と最高責任者を有する理事会によって主導されることになる。
情報委員会はまた、その職務を遂行するにあたり、イノベーションの促進の望ましさに配慮するという法定の義務を負うことになる。批判者は、これが、監督機関が「完全な独立性」をもって(第52条)、かつ競合する商業目的を持たずに行動すべきというEU GDPRの要件との緊張関係を生じさせると指摘している。
完全なガバナンス移行は、2026年後半に見込まれる新理事会の任命次第である。それまでは、既存のICOの構造が新たな名称のもとで運用される。
DUAAはまた、ICOに強化された執行手段を与えた。管理者に対し自己の費用で独立した監査を依頼するよう求める権限、そして情報通知を通じて証人への聴取を強制する権限である。
EU十分性認定:2031年まで更新
英国が2021年1月1日にEU単一市場を離脱した際、EU GDPR第46条は、組織がEUから英国へ個人データを移転する前に、十分性認定、標準契約条項、拘束的企業準則、またはその他の承認された仕組みを有することを求めた。
欧州委員会は2021年6月、英国に関する十分性認定を採択し、英国の枠組みが本質的に同等の保護を提供していると判断した。当初の決定には4年間の日没条項が含まれており、更新されない限り2025年6月に失効することとされていた。
2025年12月の更新
欧州委員会は2025年12月19日、EU GDPRに基づくものと法執行指令に基づくものの、英国に関する両方の十分性認定を更新した。更新された決定は2031年12月27日まで、6年間延長される。
更新にあたり、欧州委員会は、新たに制定されたDUAA 2025を含む英国のデータ保護の枠組みを評価し、DUAAの改革にもかかわらず、保護は依然としてEU基準と「本質的に同等」であると結論付けた。
EDPBは2025年10月20日、十分性認定草案に関する意見を採択し、延長を支持しつつも、特定の懸念を提起した。
- 国務大臣の権限: 議会による限定的な監督のもとで、自動意思決定規則、国際移転の仕組み、ICOのガバナンスを二次立法によって改正する権限は、監視されるべきである。
- 英国の二次移転十分性テスト: 第三国の十分性評価に関する新たなUK基準(「実質的に低くない」保護)は、従前のUKテストに含まれていた要素を省いており、EUの十分性基準を満たさない国への二次移転を可能にし得る。
- ICOの構造と独立性: ICOのガバナンスの変更、およびイノベーションを考慮するという新たな義務は、継続的な評価を必要とする。
- 国家安全保障の適用除外: 暗号化の回避を認める技術能力通知、および国家安全保障を理由とするデータ保護原則の適用除外は、綿密な監視を要する。
EDPBのアヌ・タルス議長は、理事会が「英国と欧州のデータ保護の枠組みの間の継続的な整合を歓迎する」と述べつつ、6年間にわたる実効的な監視を求めた。
十分性認定の実務上の意味
十分性認定は、EUおよびEEA加盟国から英国への個人データの移転をカバーする。実務上は次のとおりである。
- EU/EEAの管理者から個人データを受け取る英国の組織は、SCC、拘束的企業準則、その他の移転保護措置を必要としない。
- 英国の処理者または共同管理者へデータを送るEUの管理者は、自由にこれを行うことができる。
- この決定が取り消されまたは停止された場合、そのような移転のすべてが直ちに代替の仕組みを必要とすることになる。
英国からEUへの移転は別個に扱われる。英国はUK十分性規則のもとでEU/EEAを十分性のあるものとして認定しており、これらの移転も追加の保護措置なしに流通する。
執行:ICO対EUの各DPA
| ICO/情報委員会(英国) | EUの各DPA | |
|---|---|---|
| 機関の数 | 1(全国) | 30以上(加盟国ごとに1) |
| 主導機関モデル | 該当なし | ワンストップショップ:越境処理についての主導DPA |
| GDPR/UK GDPRの制裁金上限 | 1,750万ポンドまたは全世界売上高の4% | 2,000万ユーロまたは全世界売上高の4% |
| PECR制裁金上限(2026年2月以降) | 1,750万ポンドまたは全世界売上高の4% | eプライバシー指令:加盟国により異なる |
| DPAの独立性 | イノベーションを考慮する法定の義務 | 「完全な独立性」(第52条) |
| DUAA後の監査権限 | 管理者の費用負担で外部監査を要求可能 | 加盟国により異なる |
制裁金の水準は、金額の面では概ね同等である。両方の規制当局の適用を受ける組織にとって、英国とEU双方のデータ主体に影響する侵害は、認識してから72時間以内に、ICOと関係するEUの主導DPAの双方への別個の通知を必要とする。
乖離は十分性認定を脅かすか
2025年12月の更新は、現在の乖離の水準が、欧州委員会の「本質的に同等」という許容範囲内にあることを確認している。2025年から2031年の期間において精査を招く可能性が最も高い分野は次のとおりである。
二次移転: 第三国の十分性に関する英国の新たな「実質的に低くない」基準は、EUが認定していない国への英国側の二次移転を可能にし得る。EUのデータが英国に流入し、その後、保護水準の低い国へ二次的に移転されることは、十分性認定の根拠を損ないかねない。
二次立法の権限: 国務大臣は、主たる立法を経ることなく、ADM規則や国際移転の仕組みを含むUK GDPRの枠組みをさらに改正することができる。データ主体の保護を低下させるこれらの権限の行使は、欧州委員会による見直しを引き起こし得る。
ICOの独立性: 情報委員会の執行のパターンが、データ保護法よりも商業的またはイノベーションに関する考慮によって形作られているように見える場合、EDPBのコメントを招く可能性がある。
ADMの実務: 英国の組織が、EU GDPR第22条のもとでは違法だが英国の第22A条から第22D条のもとでは許容される自動意思決定システムを稼働させ始め、これらの決定がEU居住者に影響を及ぼす場合、十分性認定をめぐる摩擦が生じ得る。
十分性認定は、2031年以前であってもいつでも停止または取り消され得る。EUから英国への重要なデータフローを有する組織は、予防措置として、緊急時用のSCCまたはIDTAを維持すべきである。
並列比較
| 特徴 | EU GDPR | UK GDPR(DUAA後、2026年) |
|---|---|---|
| 施行開始 | 2018年5月25日 | 2021年1月1日(存置);DUAA:2026年2月5日 |
| 監督機関 | 各国のDPA(30以上) | ICO(情報委員会へ移行中) |
| 承認済み正当な利益 | 相当する規定なし。常に完全なLIAが必要 | 附則4の一覧(犯罪、保護、緊急事態、国家安全保障、グループ内):LIA不要 |
| 自動意思決定(第22条) | 専ら自動化されたADMに服さない権利(例外あり) | 第22A条から第22D条に置き換え。禁止は特別カテゴリーデータに限定。透明性と異議申立ての権利が広く適用 |
| SAR対応期限 | 1か月(連続進行) | 1か月(明確化の請求中は一時停止) |
| 分析用クッキー | 事前の同意が必要 | 無料のオプトアウトが提供されれば適用除外 |
| 表示設定クッキー | 事前の同意が必要 | 無料のオプトアウトが提供されれば適用除外 |
| PECR制裁金上限 | 該当なし(eプライバシーは加盟国により異なる) | 1,750万ポンドまたは全世界売上高の4%(2026年2月以降) |
| 科学研究の範囲 | 第89条、前文ベース。商業研究は議論あり | 成文化。商業研究を明示的に含む。包括的同意が許容 |
| 二次移転の十分性テスト | 「本質的に同等」 | 「実質的に低くない」 |
| DPAの独立性 | 「完全な独立性」(第52条) | イノベーションを考慮する義務 |
| 制裁金上限(GDPR/UK GDPR) | 2,000万ユーロまたは全世界売上高の4% | 1,750万ポンドまたは全世界売上高の4% |
| データ侵害通知 | DPAへ72時間以内 | ICOへ72時間以内 |
| DPO要件 | あり(一定の組織) | あり(一定の組織) |
| 移転の仕組み | 十分性認定、SCC、BCR | 同一の仕組み。新たな「実質的に低くない」十分性テスト |
| データポータビリティ/スマートデータ | GDPR第20条(個人の権利のみ) | 第20条に加えDUAAのスマートデータ制度(分野レベルのポータビリティ) |
二重コンプライアンス:2026年に両制度を運用する
英国とEU双方の居住者から個人データを収集する組織は、両制度を同時に満たさなければならない。DUAA施行後の主な実務的ステップは次のとおりである。
プライバシー通知: UK GDPRとEU GDPRの適法根拠が異なる箇所を反映するよう更新すること。UK法のもとで承認済み正当な利益に依拠する処理であっても、EU向けの処理については依然として完全なLIAを必要とする。通知は、いずれの監督機関(ICOまたは関係するEUのDPA)がいずれの処理に適用されるかを明確にすべきである。
正当な利益評価: 対応するUKの処理が承認済み正当な利益に依拠している場合であっても、EU向けの処理については別個のLIAを維持すること。UKにおいてLIA要件が存在しないことは、EUにおける義務を取り除くものではない。
自動意思決定: すべての完全自動意思決定を、第22条(EU)と新たなUKの第22A条から第22D条の双方に照らして見直すこと。より寛容なUKの枠組みのもとで適法なシステムであっても、EUのデータ主体についてはより厳格なEUの規則を遵守しなければならない。
SAR手続: 対応時計の一時停止の仕組みは、UK GDPRのSARにのみ適用される。EU GDPRのSARは連続的な1か月の期限で進行する。単一のSARがUKとEU双方の個人データにまたがる場合、EU GDPRの期限を拘束力のあるものとして扱うこと。
クッキー同意: EU向けページは、分析用クッキーおよび表示設定クッキーについて、引き続き完全なオプトイン同意を必要とする。UK向けページは、PECRの適用除外のもとで、これらのクッキーカテゴリーについてオプトアウトモデルへ移行できる。混在する利用者層については、位置情報または選好ベースのアプローチを検討すること。
国際移転: EUから英国への移転は十分性認定によってカバーされる。英国からEUへの移転はUK十分性規則によってカバーされる。十分性認定の停止に備えたヘッジとして、EUから英国への流れについて緊急時用のSCCを維持すること。
代理人: 英国のみに設立された(EUには設立されていない)組織は、EU GDPR第27条のもとでEU向け処理についてEU代理人を必要とする。EUのみに設立された組織は、UK GDPR第27条のもとでUK代理人を必要とする。これらは異なる法人であってもよい。
侵害通知: 英国とEU双方のデータ主体に影響する単一のインシデントは、認識してから72時間以内に、ICOと関係するEUの主導DPAの双方への通知を必要とする。
UKの枠組み単独についての詳細は、英国データプライバシー法に関するガイドを参照されたい。EU側については、EUデータプライバシー法ガイドを参照されたい。
最新の動向(2024-2026年)
2026年5月: ICOによるクッキーガイダンスの確定版が近く公表される見込み。ADMガイダンスに関するICOのコンサルテーションが進行中。
2026年2月: DUAAの主要なデータ保護規定が施行。承認済み正当な利益、新たなADMの枠組み、SAR対応時計の一時停止、クッキー適用除外が運用開始。PECR制裁金は1,750万ポンドの水準に引き上げ。
2025年12月: 欧州委員会がGDPRおよび法執行指令に関する英国の十分性認定を更新、2031年12月27日まで有効。
2025年10月: EDPBが十分性認定の更新を支持する意見を採択する一方、国務大臣の権限、英国の二次移転テスト、ICOの独立性について監視すべき懸念を指摘。
2025年6月: DUAAが国王裁可を受ける(2025年6月19日)。ICOは、新規定の施行にあたり、比例的かつ支援的なアプローチを取ると発表。
2024年10月: DPDI法が国王裁可を受け、DUAAに先立つBrexit後のUK GDPR改革の第一弾を導入。
2021年6月: 欧州委員会が当初の英国十分性認定を採択。
2021年1月: UK GDPRが存置EU法として成立。
Frequently Asked Questions
英国はBrexit後も依然としてGDPRの対象ですか。
EU GDPRはもはや英国に直接適用されない。代わりに、英国は独自のUK GDPRを有しており、これはEUの離脱に関する法律2018を通じて国内法として存置され、データ保護法2018によって補完されている。両法はほぼ一語一語同一のものとしてスタートしたが、2026年2月に施行されたデータ利用アクセス法2025は、正当な利益、自動意思決定、SAR処理、クッキー同意において実質的な相違をもたらした。
データ利用アクセス法2025とは何であり、いつ施行されましたか。
データ利用アクセス法2025(DUAA)は2025年6月19日に国王裁可を受けた。そのデータ保護に関する主要な規定は2026年2月5日に施行された。同法はUK GDPRおよびDPA 2018を改正し、承認済み正当な利益(列挙されたカテゴリーについてLIA不要)、改革された自動意思決定規則、SAR対応時計の一時停止の仕組み、PECRのもとでの新たなクッキー適用除外、より高いPECR制裁金、拡大された科学研究に関する規定、そしてICOの情報委員会への移行を導入した。
個人データはEUと英国の間で依然として自由に流通できますか。
はい。欧州委員会は2025年12月19日、EU GDPRおよび法執行指令に基づく移転をカバーする、英国に関する両方の十分性認定を更新した。更新された決定は2031年12月27日まで有効である。EUから英国への個人データ移転は、その期間中、基礎となる処理がEU GDPRを遵守している限り、標準契約条項その他の移転の仕組みを必要としない。
UK GDPRにおける承認済み正当な利益とは何ですか。
承認済み正当な利益は、DUAAの附則4によってUK GDPR第6条に挿入された新たな適法な処理カテゴリーである。これらは、犯罪の予防および検知、脆弱な立場にある人々の保護、緊急事態への対応、国家安全保障および公共の安全、法令が認める公共の利益に資する任務の支援、そしてグループ内でのデータ移転をカバーする。通常の正当な利益に基づく処理とは異なり、これらのカテゴリーは正当な利益評価を必要としない。EU GDPRにはこれに相当する規定はない。EUにおける正当な利益への依拠はすべて、完全な比較衡量テストを必要とする。
DUAAのもとで本人アクセス請求に何が変わりましたか。
DUAAは対応時計の一時停止の仕組みを導入した。1か月のSAR対応期限は、管理者がデータ主体に対し明確化または追加情報を求める場合に一時停止し、その明確化が届いた時点で再開する。同法はまた、SARの検索が合理的かつ比例的であれば足りることを成文化している。これらの変更はUK GDPRのSARにのみ適用される。EU GDPRのSARは、明確化のやり取りにかかわらず、依然として連続的な1か月の期限で進行する。
事業者はUK GDPRとEU GDPRの双方を遵守する必要がありますか。
英国とEU双方の居住者の個人データを処理する場合は必要である。EU顧客に販売する英国拠点の企業は、当該顧客についてEU GDPRを、英国居住者についてUK GDPRを遵守しなければならない。これには現在、承認済み正当な利益評価(EUについては完全なLIA、UKについてはLIAが不要な場合もある)、SARの期限、自動意思決定のロジック、そしてUK対EUの利用者層に対するクッキー同意のアプローチについて、それぞれ別個の管理が必要となる。
DUAAはEU十分性認定を脅かしますか。
直ちには脅かさない。欧州委員会はDUAAを評価したうえで2025年12月に十分性認定を更新し、現在の乖離を許容できるものと判断した。しかし、EDPBは継続的な監視を要する分野を指摘した。英国の新たな二次移転十分性テスト、二次立法を通じてこの枠組みをさらに改正する国務大臣の権限、そしてイノベーションを考慮するというICOの義務である。これらの権限が行使されてデータ主体の保護が弱められた場合、2031年の失効前に十分性認定が見直される可能性がある。
Sources and References
- データ利用アクセス法2025(2025年法律第18号)(legislation.gov.uk).gov
- データ保護法2018(legislation.gov.uk).gov
- データ利用アクセス法2025:データ保護・プライバシーの変更点 - GOV.UK(gov.uk).gov
- データ利用アクセス法ファクトシート:UK GDPRおよびDPA - GOV.UK(gov.uk).gov
- データ利用アクセス法2025 - ICO(ico.org.uk).gov
- DUAA施行に関する声明 - ICO、2026年2月(ico.org.uk).gov
- 承認済み正当な利益 - ICO(ico.org.uk).gov
- 欧州委員会、英国との個人データの自由かつ安全な流通を認める決定を更新 - 欧州委員会、2025年12月(ec.europa.eu).gov
- 英国十分性認定草案:EDPBが意見を採択 - EDPB、2025年10月(edpb.europa.eu).gov
- EU十分性認定 - 欧州委員会(commission.europa.eu).gov
- EEAからの個人情報の受領 - ICO(ico.org.uk).gov
- 英国国際データ移転契約 - ICO(ico.org.uk).gov