Brexit 後の英国のデータ保護: GDPR と英国の GDPR

Brexit は英国のデータ保護の状況を根本的に変えました。 2021 年 1 月 1 日より、英国は EU の法的枠組みを離脱し、EU GDPR は直接適用されなくなりました。英国は、EU GDPR を「英国 GDPR」（2018 年欧州連合 (離脱) 法に基づく）として国内法に保持し、2018 年データ保護法 (DPA 2018) によって補足されました。その結果、EU GDPR と実質的に似たフレームワークが誕生しましたが、重要な違いがあり、英国と EU の間には脆弱な十分性関係があり、企業はこれを注意深く監視する必要があります。

英国の GDPR と EU の GDPR の正確な違いを理解し、両方の管轄区域で事業を展開する企業の二重コンプライアンスを管理することは、英国を拠点とする企業および英国と EU にエクスポージャを持つ国際企業にとって不可欠です。

重要なポイント

• 英国の GDPR は EU GDPR から派生したものですが、現在は別の国内法です - EU GDPR は英国では直接適用されなくなりました
• EUは2021年6月に英国の十分性に関する決定を認め、EU→英国のデータフローを許可したが、サンセット条項と定期的な見直しの対象となる
• 英国→EUのデータフロー：英国はまた、英国のGDPRに基づいてEU→英国のフローを許可し、英国の法律に基づいてEU諸国に十分性を認めた
• 主な違い: 英国の GDPR には、異なる SCC、異なる移転メカニズム、ICO (EDPB ではない) の監督、および進化する英国特有の立場があります。
• 2025 年データ保護およびデジタル情報 (DPDI) 法は英国の GDPR を改正しました - 変更には、正当な利益の緩和、新たに認められた正当な利益、および記録管理の簡素化が含まれます
• ICOの罰金は1,750万ポンドまたは世界売上高の4%に達 - EU GDPRと同じ構造
• 英国の GDPR と EU の GDPR の両方の対象となる企業は、両方の枠組みを独立して満たさなければなりません

---

Brexit 後の英国のデータ保護フレームワーク

英国の GDPR と 2018 年データ保護法

英国のデータ保護フレームワークは、次の 2 つの主要な手段で構成されています。

英国 GDPR: DPA 2018 およびその後の法定文書によって修正された、英国法に保持されている EU GDPR。 EU GDPR の 6 つの法的根拠、データ主体の権利、コントローラー/プロセッサーのフレームワーク、DPIA 要件、DPO の義務を英国固有の修正を加えて保持しています。

2018 年データ保護法: 以下により英国 GDPR を補足します。

• 英国特有の免除の実施（例：法執行機関、国家安全保障、ジャーナリズム）
• ICO の権限と役割の確立
• 特別なカテゴリのデータを処理するための追加条件の提供
• 公的機関向けの DPO 要件の設定
• 刑事犯罪と取り締まりの枠組みの構築

2025 年データ保護およびデジタル情報 (DPDI) 法: 英国の GDPR を修正する重要な改革。業務処理のためのより柔軟な規定、緩和された正当な利益の規定、「認められた正当な利益」(バランステストを回避する新しいカテゴリ)、簡素化された DPIA 要件、およびデジタル ID サービスの新しい規制枠組みを導入します。

---

主な違い: 英国の GDPR と EU の GDPR

---

英国の適切性ステータスと EU→英国のデータ転送

英国に対する EU 十分性決定 (2021 年 6 月)

欧州委員会は、2021 年 6 月 28 日に英国に 2 つの十分性に関する決定を与えました。

1. EU GDPR に基づく適切性の決定: 追加の転送メカニズムを必要とせずに、EU/EEA から英国への個人データの自由な流通を許可します。
2. 法執行指令に基づく適切性の決定: 法執行機関のデータ共有を許可します。

サンセット条項: 英国に対する EU 十分性決定には 4 年間のサンセット条項が含まれており、更新されない限り、2025 年 6 月 27 日に期限切れとなります。欧州委員会は審査を実施し、更新する意向を示しているが、更新プロセスおよび付随条件は政治的および法的発展の影響を受ける。

EU→英国の十分性関係に対するリスク:

• 英国のデータ保護法の GDPR からの乖離 (DPDI 法と将来の改革による) は委員会の見直しを引き起こす可能性がある
• 英国政府の監視法と大量データ収集の実践は EU の監視の対象となっている
• 英国の裁判所の判決やデータ保護基準を大幅に引き下げる法改正があれば、欧州委員会が適切性を一時停止する可能性があります。

実際的な意味: EU→英国のデータフローについて英国の適切性に依存している企業は、更新の可能性が高いと思われる場合でも、適切性が撤回または一時停止された場合の緊急時対応計画 (英国 IDTA または BCR) を用意する必要があります。

英国→EUのデータフロー

英国の GDPR の国際移転規定に基づき、英国国務長官は EU/EEA 諸国に対する十分性規制を認めました。これは、個人データが追加の移転メカニズムなしで英国から EU/EEA 諸国に流れることを意味します。

---

国際データ転送協定 (IDTA)

英国から英国の十分性に関する決定がない国への移転については、英国の GDPR により適切な保護措置が義務付けられています。 ICO は 2022 年 3 月に 国際データ転送協定 (IDTA) と EU SCC への IDTA 補遺を発行し、英国の転送に関する古いモデル条項を置き換えました。

IDTA の主な機能:

• 単一の文書で 4 つの EU SCC モジュール シナリオ (C2C、C2P、P2P、P2C) をすべてカバーする英国固有の標準契約条項
• 「リスク評価」フレームワーク (EU SCC の必須 TIA ではなく)
• 英国固有の定義と監督当局の参照先
• 変更してはいけない必須の条件。オプション条項が利用可能

EU SCC への IDTA 補遺: 英国の目的に適合させる補遺を追加することで、企業が EU SCC を英国送金の基礎として使用できるようにします。これは、すでに EU SCC を導入しており、別途文書なしで英国への移転をカバーしたいと考えている多くの多国籍企業にとって好ましいアプローチです。

EU SCC からの移行: ICO は、従来の EU SCC 契約を英国 IDTA に更新する期限を延長しました。2022 年 9 月 21 日より前に EU SCC 契約を締結した企業は、2024 年 3 月 21 日までに英国 IDTA に置き換える必要がありました (ICO ガイダンスにより延長)。

適切な転送メカニズムの選択:

---

ICO 執行権限とアプローチ

情報コミッショナー局 (ICO) は、英国の独立したデータ保護監督機関です。 Brexit 後、ICO は EDPB の一部ではなくなり、あらゆる点で独立して活動します。

ICO 執行権限:

• 組織に情報提供を求める情報通知を発行する
• 評価通知の発行（監査）
• 施行通知の発行（コンプライアンス措置の要求）
• ペナルティ通知を発行します。
• 下位段階: 最大 870 万ポンドまたは全世界の年間売上高の 2% (いずれか高い方) — 軽微な違反の場合
• 上位層: 最大 1,750 万ポンドまたは全世界の年間売上高の 4% (いずれか高い方) - 最も重大な違反の場合
• 意図的なデータ犯罪に対する刑事訴追 (DPA 2018 Part 3 および犯罪に基づく)

ICO 執行アプローチ: ICO は歴史的に、罰金にまでエスカレートする前に、叱責や非公式の指導を通じて組織と関わるという、リスクベースの比例的なアプローチを採用してきました。しかし、ICOは、ブリティッシュ・エアウェイズに2,000万ポンド（後に控訴により2,000万ポンドに減額）、マリオット・インターナショナルに1,840万ポンド、公的機関に複数の7桁の罰金を課すなど、多額の罰金を課している。

ポスト DPDI 法: 2025 年の DPDI 法は ICO の枠組みを修正し、データ保護と並行してデジタル経済の繁栄を促進するという「主な目的」を導入し、責任ある AI のための法的実践規範を作成しました。これは、DPDI 以前よりもいくぶんイノベーション寄りの規制アプローチを示しています。

---

二重コンプライアンス: 英国の GDPR と EU の GDPR

英国の GDPR と EU の GDPR の両方の対象となる企業 (EU で事業を展開する英国を拠点とする企業にとって最も一般的な状況) の場合、二重のコンプライアンスを管理するには慎重なプログラム設計が必要です。

二重コンプライアンスの構築:

1. 別個の法人: 英国と EU の事業が別個の法人である場合、それぞれに独自の監督当局 (英国の場合は ICO、EU の場合は関連する国内 DPA) があり、別個のコンプライアンス プログラムを維持する必要があります。

2. 共通の政策ベース: 英国の GDPR と EU の GDPR は、実質的な要件の最大 95% を共有しています。両方の要件をすべてカバーする単一の包括的なプライバシー プログラムを構築でき、その上に英国固有および EU 固有のレイヤーを追加できます。

3. 移転メカニズム: 英国→EU への移転には英国の十分性規制が使用されます (現時点ではメカニズムは必要ありません)。 EU→英国への移行では、英国に対する EU の十分性決定が使用されます (現時点ではメカニズムは必要ありません)。英国とその他の国との間の国内送金には英国の IDTA が必要です。 EU と他国間の国内送金には EU SCC が必要です

4. 主任監督機関: EU GDPR に基づき、EU の事業部門はワンストップ ショップ メカニズムを通じて国境を越えた EU 処理のための主任監督機関を指定できます。これは英国には適用されません - ICO は英国で設立されたすべての事業体を監督します

5. プライバシー通知: 個別のプライバシー通知を維持するか、英国と EU の法的根拠、連絡先情報 (DPO、英国担当者、EU 担当者)、および監督当局の参照先を明確に区別します。

6. DPO の任命: 両方の枠組みで必要な場合は、1 人の DPO が両方の管轄区域にサービスを提供できます。英国のプライバシー通知にある DPO の連絡先の詳細には、英国の義務が記載されている必要があります。 EU 通知では EU の義務について言及する必要があります

---

英国特有のデータ保護に関する考慮事項

PECR (プライバシーおよび電子通信規則 2003)

英国の PECR は、Cookie、電子マーケティング、交通/位置データを管理します。これは英国の GDPR とは別のものであり、DPDI 法によって更新されていませんが、改革は進行中です。主要な PECR 要件:

• Cookie の同意: 必須ではない Cookie については、明確な情報に基づいた同意が必要です
• 電子メール/SMS マーケティング: 個人にはオプトイン同意が必要です。既存の顧客関係と同一/類似製品がある場合にオプトアウト (ソフト オプトイン) が利用可能
• コールドコール: 電話優先サービス (TPS) 上の番号への通話は禁止されています。企業は企業 TPS に登録できます

生体認証データ (英国 GDPR に基づく特別カテゴリ)

個人を一意に識別するために処理される生体認証データは、英国の GDPR における特別なカテゴリです。 DPA 2018 スケジュール 1 では、明示的な同意や雇用法の条件など、特別なカテゴリを処理するための特定の条件が規定されています。

英国以外の設立された管理者の英国代表

英国の GDPR 第 27 条に基づき、英国に設立されていないが英国の GDPR の対象となる管理者および処理者は (英国の個人に商品/サービスを提供するか、英国の個人の行動を監視するため) 英国の代表者を任命する必要があります。これは DPO からの独立した役割であり、自然人または法人にすることができます。

---

英国のデータ保護コンプライアンス チェックリスト

• 英国 GDPR、EU GDPR、またはその両方が組織に適用されるかどうかを判断します
• 英国以外で設立され、英国の GDPR の対象となる場合、英国の代表者が任命される
• 英国の GDPR、ICO、および英国固有の権利を参照するためにプライバシー通知が更新されました
• 英国から非適切な国への送金に対して英国 IDTA または IDTA 補遺が導入されました
• EU→英国への移行メカニズムが検討されました（現在、英国に対する EU の適切性に依存しています - 変更を監視します）
• 英国の GDPR に基づいて必要な場合に任命された DPO。連絡先情報を公開
• 維持される処理活動の記録 (英国 GDPR 第 30 条)
• 高リスクの処理活動のために実施された DPIA
• 正当な利益が法的根拠である場合に文書化された正当な利益の評価
• PECR コンプライアンスの見直し: Cookie の同意、電子マーケティングのオプトイン メカニズム
• 英国の GDPR 義務に関するスタッフ研修が完了
• 侵害通知手順: ICO への 72 時間通知、高リスク侵害の場合は個別通知
• データ主体の権利手続きが実施されました (英国の GDPR スケジュール: 1 か月)
• 従来の EU SCC 契約が確認され、必要に応じて英国 IDTA に更新されました

---

よくある質問

EU GDPR は、Brexit 後も英国に適用されますか?

いいえ、EU GDPR は 2021 年 1 月 1 日に英国で直接適用されなくなりました。ただし、英国は EU GDPR を「英国 GDPR」の形で国内法として保持しました。これは実質的には似ていますが、現在は英国の別の法令となっています。 EU/EEA の個人の個人データを処理する場合、または EU に拠点を置く施設を所有する場合、EU の GDPR は、Brexit に関係なく、ビジネスのそれらの側面に引き続き適用されます。

英国と EU の業務には個別の DPO が必要ですか?

単一の DPO が英国と EU の両方の義務を果たすことができます。ただし、DPO が両方のフレームワークに関する十分な知識を持ち、両方の管轄区域のデータ主体および監督当局にアクセスできることが条件となります。 DPO の連絡先の詳細は、両方の管轄区域のプライバシー通知で公開される必要があり、DPO は EU の義務に関する EDPB のガイダンスと並んで英国固有の ICO ガイダンスを認識している必要があります。

EU が英国の十分性を撤回するとどうなりますか?

EU→英国のデータ フローには、代替転送メカニズム (通常は EU SCC) が必要になります。企業は、EU→英国への移転に関する EU 標準契約条項に署名し、移転影響評価を実施する必要があります。これは運用上重要ですが、不測の事態を計画している企業にとっては対処可能です。実際の混乱は、正式な移転文書のない非公式のデータ フロー (従業員データ、EU と英国の組織間で共有されるクラウド インフラストラクチャ) に依存している企業にとって最も大きくなります。

DPDI 法に基づく「認められた正当な利益」とは何ですか?

2025 年 DPDI 法は、「認められた正当な利益」を導入しました。これは、英国の GDPR に基づく 3 つの部分からなる正当な利益のバランス テストを完全に必要としない処理目的の新しいカテゴリです。認められた正当な利益には、データを収集した組織によるダイレクト マーケティングが含まれます。管理目的でのグループ内転送。ネットワークおよび情報セキュリティの目的。安全/法令順守のための従業員の監視と管理。企業は、正式なバランステストを文書化することなくこれらに依存できるため、これらの特定のユースケースのコンプライアンスが簡素化されます。

英国のデータ保護は海外に住む英国国民にどのように適用されますか?

英国の GDPR は英国の個人を保護します。英国の市民権や国籍とは関係ありません。英国に居住する EU 国民は英国の GDPR によって保護されています。フランスに居住する英国国民は、フランスで適用される EU GDPR によって保護されます。法律は主に領土に適用され、市民権に基づいたものではありません。英国国民のデータは、英国国外に所在する場合、管理者/処理者が英国で設立されている場合や英国の個人を対象としている場合を除き、本質的に英国の GDPR の対象にはなりません。

英国の Cookie は英国の GDPR または PECR によって管理されますか?

Cookie は主に、英国の GDPR によって直接管理されるのではなく、英国の 2003 年プライバシーおよび電子通信規制 (PECR) によって管理されます。 PECR では、Cookie に関する明確な情報と、必須ではない Cookie に対する同意が必要です。英国の GDPR は、Cookie を通じて収集された個人データに適用されます (Cookie が個人データを処理する場合)。両方のフレームワークを同時に満たす必要があります。PECR は Cookie の配置を制御します。英国の GDPR は、収集された個人データのその後の処理を管理します。

---

次のステップ

Brexit 後の英国のデータ保護の状況は、特に英国と EU の管轄区域をまたがって同時に事業を展開している企業にとって、多くの企業が予想していたよりも複雑です。 ICO ガイダンス、DPDI 法の改革、および EU の十分性関係に歩調を合わせるには、継続的な注意が必要です。

ECOSIRE は、企業が英国と EU の二重コンプライアンス プログラムを設計および維持し、適切な国際データ転送メカニズムを実装し、テクノロジー プラットフォームにプライバシー バイ デザインを構築するのに役立ちます。

詳細: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。英国のデータ保護法は、法律と ICO のガイダンスを通じて進化しています。あなたの組織に特有のアドバイスについては、英国の資格のある法律顧問にご相談ください。