英国DUAAとは?UK GDPR改正のポイントと日本企業の対応を解説

2025年6月19日、英国においてデータ利用・アクセス法(正式名称:Data (Use and Access) Act、以下「DUAA」)が成立しました。DUAAは、英国の個人データ保護の基本法制であるUK GDPRなどを広範に改正するものであり、Brexit後の英国データ保護法制における最大級の改革といえます。施行は段階的に進められ、データ保護関連の主要規定は2026年2月5日に施行されました。
改正の内容は、新たな適法化根拠「認定正当利益」の新設、自動化された意思決定(ADM)に関する規制の緩和、DSAR(データ主体アクセス要求)対応の合理化、苦情処理体制の整備義務、Cookie規制の見直しなど多岐にわたります。英国向けに事業を展開する日本企業には、自社のデータ処理の適法化根拠やプライバシーポリシー、社内手続の見直しといった対応が求められます。
本記事では、DUAAの全体像と施行スケジュール、UK GDPRの主要改正ポイント、国際データ移転ルールの変更とEU十分性認定の更新、そして日本企業が取るべき実務対応について、英国の公的機関の情報に基づき解説します。
この記事の目次
英国のデータ保護法制を大きく変えたDUAAとは
DUAAは、2025年6月19日に国王裁可(Royal Assent)を受けて成立した英国の法律です。英国政府は、Brexit後の独自路線として、データ保護の水準を維持しつつ、企業のコンプライアンス負担を軽減し、データ利活用によるイノベーションと経済成長を促進することを立法の目的として掲げてきました。数年にわたる法案の廃案と再提出を経て、最終的に成立したのがDUAAです。
ここで重要なのは、DUAAの法的な位置づけです。DUAAは、UK GDPR、2018年データ保護法(Data Protection Act、以下「DPA」)、およびプライバシー・電子通信規則(Privacy and Electronic Communications Regulations、以下「PECR」)という既存の3つの法令を「改正」する法律であり、これらを廃止したり置き換えたりするものではありません。「DUAAによりUK GDPRが廃止された」という理解は誤りです。改正後も、英国のデータ保護法制の柱は引き続きUK GDPR・DPA 2018・PECRであり、DUAAはその内容を部分的に修正するものと理解する必要があります。
英国の規制当局であるICO(英国情報コミッショナー事務局)も、DUAAはUK GDPR・DPA 2018・PECRを改正するものであって置き換えるものではないこと、変更の多くは企業に新たな義務を課すというよりも、より柔軟な対応を可能にする性質のものであることを明示しています。
参考:ICO|The Data (Use and Access) Act 2025 (DUAA) – what does it mean for organisations?
なお、UK GDPRの詳細については、下記の記事にて詳しく解説しています。
DUAAの段階的施行スケジュール

DUAAの規定は、成立と同時に一斉に施行されたわけではなく、段階的に施行されています。自社に関係する義務がいつから適用されるのかを正確に把握することが、対応の第一歩となります。主なスケジュールは以下のとおりです。
| 時期 | 施行内容 |
| 2025年6月19日 | DUAAが国王裁可を受けて成立。一部の規定は成立と同時に発効 DSARにおける合理的・比例的な検索範囲の明確化など一部規定が即時施行 |
| 2026年2月5日 | DSAR対応の合理化(回答期限の一時停止措置など)、認定正当利益、ADM規制の見直し、Cookie規制の見直しなど、データ保護関連の主要規定が施行 |
| 2026年6月19日 | 組織に対するデータ保護苦情処理手続きの整備義務(第103条)の施行 |
このように、企業実務に大きな影響を与えるデータ保護関連の主要規定は、2026年2月5日にすでに施行されています。英国向けにサービスを提供している日本企業にとって、DUAA対応は「これから準備する」段階ではなく、「すでに適用が始まっている」段階にあるという認識が必要です。
参考:ICO|Data (Use and Access) Act
DUAAによるUK GDPRの主要改正ポイント
それでは、DUAAによってUK GDPRの内容は具体的にどのように変わったのでしょうか。ここでは、日本企業の実務に影響が大きいと考えられる6つの改正ポイントを取り上げ、それぞれ「改正内容」「従来との違い」「日本企業の実務への影響」の順に解説します。
新たな適法化根拠「認定正当利益」の新設
第一の改正ポイントは、認定正当利益(recognised legitimate interests、以下「RLI」)という新たな適法化根拠の新設です。UK GDPRのもとで個人データを処理するには、同意や契約の履行などの適法化根拠(lawful basis)が必要ですが、DUAAにより、UK GDPR第6条の適法化根拠としてRLIが追加されました。
従来、正当利益(legitimate interests)を根拠として個人データを処理する場合、事業者は、自らの利益とデータ主体への影響を比較衡量するバランシングテスト(正当利益評価)を実施する必要がありました。これに対し、RLIに依拠する場合には、このバランシングテストが不要となります。ただし、RLIの対象は、犯罪の予防、要保護者のセーフガーディング、緊急対応、国家安全保障など、公益性の高い限定された類型に絞られています。
注意すべきは、RLIと「通常の」正当利益との区別です。DUAAでは、ダイレクトマーケティング、グループ内でのデータ共有、ネットワークセキュリティが正当利益の「例示」として法定されましたが、これらはRLIではなく通常の正当利益として位置づけられており、引き続き正当利益評価が必要です。「マーケティング目的ならバランシングテストが不要になった」という理解は誤りであり、実務上混同しやすいポイントであるため注意が必要です。
日本企業の実務への影響としては、まず、英国で行っているデータ処理のうち正当利益を根拠とするものについて、RLIに該当するのか、通常の正当利益にとどまるのかを整理し直す必要があります。多くの民間企業の処理は通常の正当利益の範疇にとどまると考えられるため、正当利益評価の記録を引き続き適切に作成・保管する体制を維持することが重要です。
自動化された意思決定(ADM)に関する規制の緩和
第二の改正ポイントは、完全自動化された意思決定(Automated Decision-Making、以下「ADM」)に関する規制の見直しです。これは、DUAAが導入した改正の中で、EU GDPRとの最も大きな乖離が生じた部分といえます。
従来のUK GDPR第22条は、EU GDPRと同様に、本人に法的効果または重大な影響を及ぼす完全自動化された意思決定を原則として禁止し、限定的な例外のみを認める構造でした。DUAAにより、この従来の第22条は廃止され、新たな規定(第22A条から第22D条)に置き換えられました。新しい枠組みでは、特別カテゴリデータ(人種、健康情報等のセンシティブなデータ)を用いないADMについては原則禁止が撤廃され、その代わりに、本人への十分な情報提供、意見表明の機会の付与、人間の関与や決定の再審査を請求できる仕組みといったセーフガードを講じることが義務付けられています。
従来との違いを一言でいえば、「原則禁止・例外許容」から「原則許容・セーフガード義務」への転換です。AIを活用した採用スクリーニング、与信判断、不正検知などにADMを利用しやすくなる一方、セーフガードの実装という新たな実務対応が求められます。
日本企業の実務への影響としては、英国の顧客や従業員に対してAI・アルゴリズムによる自動判定を用いている箇所を特定し、必要なセーフガードが実装されているかを確認することが求められます。また、EU GDPR第22条の原則禁止は従来どおり維持されているため、英EU双方で事業を行う企業は、同じADMでも英国とEUで異なるルールが適用されるという前提で社内体制を設計する必要があります。
DSAR(データ主体アクセス要求)対応の合理化
第三の改正ポイントは、DSAR(データ主体アクセス要求)への対応の合理化です。DSARとは、データ主体が事業者に対し、自身の個人データの開示等を求める請求をいいます。
DUAAにより、DSARへの対応にあたって事業者に求められる検索の範囲は「合理的かつ比例的(reasonable and proportionate)」なもので足りることが法定化されました。従来もICOのガイダンス等で同様の考え方は示されていましたが、法律上明文化されたことで、事業者は過度に広範な検索義務を負わないことについて、より明確な根拠をもって対応できるようになりました。また、本人確認や請求内容の明確化を行っている間、対応期限の進行を一時停止できる仕組みも導入されました。
日本企業の実務への影響としては、DSAR対応の社内マニュアルを改訂し、検索範囲の考え方や、期限の一時停止(クロック・ストップ)を適用できる場面と手順を明記しておくことが挙げられます。英国の消費者や従業員からのDSARは日本本社のデータにも及び得るため、日英間での対応フローの整備が重要です。
苦情処理体制の整備義務
第四の改正ポイントは、データ保護に関する苦情への対応体制の整備義務です。これは、DUAAの中では数少ない、事業者に新たな義務を課す方向の改正です。
DUAAにより、組織は、本人からのデータ保護に関する苦情を受け付けるための手段(電子的な苦情フォーム等)を整備し、苦情の受領から30日以内に受領確認を行い、不当な遅滞なく対応することが義務付けられます。従来、本人からの苦情への対応は良き実務(グッドプラクティス)として推奨される位置づけでしたが、法律上の義務へと格上げされた点が大きな違いです。
日本企業の実務への影響としては、英国向けのウェブサイトやプライバシーポリシーに苦情受付窓口を明示し、電子フォーム等の受付手段を用意すること、30日以内の受領確認と対応状況の管理を可能にする社内フローを構築することが求められます。
Cookie規制の緩和とPECR制裁金の引き上げ
第五の改正ポイントは、Cookie等に関する規制の見直しです。英国では、Cookieの利用はPECRにより規律されており、原則として利用者の同意が必要とされてきました。
DUAAにより、統計目的やウェブサイトの機能改善目的等の一部のCookieについては、利用者にオプトアウト(拒否)の手段を提供することを条件に、同意要件が緩和されました。ただし、この例外の範囲は比較的狭く、広告目的のCookieなどには引き続き同意が必要です。「Cookieバナーが全面的に不要になった」わけではない点に注意が必要です。
一方で、規制緩和と同時に、執行面は大幅に強化されました。PECR違反に対する制裁金の上限は、従来の50万ポンドから、UK GDPRと同水準(最大1,750万ポンドまたは全世界年間売上高の4%のいずれか高い方)へと引き上げられました。Cookieや電子メールマーケティングに関する違反のリスクが、金額面で桁違いに大きくなったことを意味します。
日本企業の実務への影響としては、英国向けウェブサイトのCookieバナーと同意管理の設計を見直し、同意が不要となるCookieと引き続き同意が必要なCookieを分類したうえで、オプトアウト手段の提供を含む適切な実装を行うことが挙げられます。制裁金上限の引き上げを踏まえると、「Cookie対応は後回し」という判断のリスクは従来よりも格段に高まっています。
子どものデータ保護の明文化
第六の改正ポイントは、子どものデータ保護に関する義務の明文化です。
DUAAにより、子どもが利用する可能性が高いオンラインサービスの提供者は、サービスの設計において子ども特有の保護の必要性を考慮する義務を負うことが明文化されました。これは、ICOが従来から運用してきた年齢適合設計コード(Children’s Code)の考え方を、実質的に法律のレベルへ引き上げるものです。
従来との違いとしては、規制当局のコードという位置づけから、法律上の考慮義務へと根拠が強化された点が挙げられます。ゲーム、教育サービス、動画・SNS系サービスなど、子どもが利用し得るサービスを英国向けに提供する日本企業は、年齢確認の仕組み、デフォルト設定のプライバシー保護水準、子ども向けの分かりやすい情報提供などについて、設計段階からの検討(プライバシー・バイ・デザイン)が求められます。
国際データ移転ルールの変更とEU十分性認定の更新
DUAAは、英国から第三国への個人データ移転のルールも変更しました。従来、英国から第三国へデータを移転するための十分性の判定は、当該国の保護水準が英国と「本質的に同等」であることを基準としていました。DUAAにより、この基準は、第三国の保護水準がUK GDPRの水準より「実質的に低くない(not materially lower)」ことを求める新しいデータ保護テストへと変更されました。表現上は柔軟化の方向であり、英国政府が独自の判断で移転先国を拡大しやすくなる枠組みといえます。
このような英国独自の路線に対して、実務上最大の懸念とされていたのが、EUから英国へのデータ移転を支えるEU十分性認定の帰趨でした。この点、欧州委員会は2025年12月19日、英国に対する十分性認定を2031年12月27日まで更新しました。これにより、EEA(欧州経済領域)から英国への個人データ移転は、引き続き追加的な保護措置なしに行うことができます。DUAAによる改正を経てもなお、英国の保護水準はEUから十分と評価されたことになります。
日英間のデータ移転についても、日本の個人情報保護法に基づく英国の指定と、英国側の日本に対する十分性認定により、引き続き円滑な移転が確保されています。したがって、日本企業が英国子会社や英国の取引先との間で行う通常のデータ移転について、DUAAを理由として直ちに追加的な移転手続が必要になるものではありません。もっとも、自社のデータフローがどの移転根拠に依拠しているかを把握しておくことは、有事の際の対応の前提として引き続き重要です。
DUAAによるICOの再編と執行体制の強化
DUAAは、実体的なルールの改正に加えて、規制当局の組織と権限にも大きな変更を加えました。従来のICOは、法定法人であるInformation Commissionへと再編されます。単独の情報コミッショナーが権限を担う従来の体制から、理事会型のガバナンス構造を備えた組織へと移行するものであり、英国の他の規制当局と足並みを揃えた近代化と位置づけられています。
同時に、調査権限も強化されました。DUAAにより、規制当局は、拘束力のある評価通知や、関係者の事情聴取を求める通知等の権限を新たに与えられ、調査への実効性が高められています。前述のPECR制裁金上限の引き上げと併せて考えると、DUAAの全体像は「ルールの柔軟化」と「執行の強化」のパッケージであることが分かります。
ここで強調しておきたいのは、DUAAを「規制緩和の法律」とだけ捉えるのは危険だという点です。確かに個々の義務の内容には柔軟化された部分が多いものの、違反した場合に規制当局が行使できる手段はむしろ強化されています。英国市場でのレピュテーションを重視する日本企業にとって、執行体制の強化は、コンプライアンス体制を見直す十分な理由となります。
DUAA施行を受けて日本企業が取るべき対応

それでは、DUAAの施行を受けて、英国・欧州向けに事業を展開する日本企業は具体的に何をすべきでしょうか。ここでは、優先的に取り組むべき5つの対応を挙げます。
- 適法化根拠の棚卸し:英国で行っている個人データ処理の一覧(処理活動記録)を確認し、各処理の適法化根拠を再点検します。正当利益に依拠している処理については、RLIに該当するのか通常の正当利益なのかを区別し、後者については正当利益評価の記録が整備されているかを確認します。
- ADM利用箇所の特定とセーフガード実装:採用、与信、不正検知、価格設定など、完全自動化された意思決定を利用している業務プロセスを洗い出し、本人への情報提供、意見表明の機会、人間による再審査の請求手段といったセーフガードが実装されているかを点検します。AIの業務利用が拡大している今、この棚卸しはAIガバナンスの整備とも直結します。
- DSAR対応手順の改訂:DSAR対応マニュアルに、「合理的かつ比例的」な検索の考え方と、本人確認等の間の期限一時停止の手順を反映します。英国からの請求が日本本社に保存されたデータに及ぶ場合の社内連携フローも確認しておくべきです。
- 苦情処理体制の整備:電子的な苦情フォーム等の受付手段を用意し、30日以内の受領確認と不当な遅滞のない対応を可能にする管理体制を構築します。この義務は2026年6月までに段階施行されるため、対応の緊急度は高いといえます。
- 英EU両対応企業における二重管理体制の確認:EU GDPRとUK GDPRの双方が適用される企業では、ADM規制をはじめとして両者のルールが乖離し始めています。共通のポリシーで対応できる部分と、英国向け・EU向けで書き分けるべき部分を整理し、二重管理の体制を確認することが必要です。
いずれの対応も、自社のどの処理に英国法が適用されるのかという適用範囲の整理が出発点となります。UK GDPRやGDPRの域外適用の考え方については、下記の関連記事を参照してください。
まとめ:DUAA施行後はUK GDPRとEU GDPRの二重対応が必要に
本記事では、2025年6月に成立し、主要規定が2026年2月5日に施行されたDUAAについて、その位置づけ、施行スケジュール、UK GDPRの主要改正ポイント、国際データ移転とEU十分性認定、そして日本企業が取るべき対応を解説しました。
DUAAはUK GDPRを廃止するものではなく、認定正当利益の新設、ADM規制の見直し、DSAR対応の合理化、苦情処理体制の整備義務、Cookie規制の見直しなどを通じて、既存の枠組みを改正するものです。EU十分性認定の更新により日英・英EU間のデータ移転の基盤は維持されましたが、ADM規制をはじめ、UK GDPRとEU GDPRの内容は着実に乖離し始めています。今後、英国と欧州の双方で事業を行う日本企業には、「GDPR対応を一度行えば足りる」という発想ではなく、UK GDPRとEU GDPRという2つの制度への二重対応を前提としたコンプライアンス体制の構築が求められます。
当事務所による対策のご案内
モノリス法律事務所は、IT・インターネット法務と国際法務の双方に強みを持つ法律事務所です。DUAAの施行を踏まえたUK GDPRコンプライアンス体制の見直し、適法化根拠の整理と処理活動記録の点検、ADMに関するセーフガードの設計、DSAR対応手順の改訂、苦情処理体制の整備など、英国データ保護法対応をワンストップで支援しています。また、当事務所は、EU GDPRとUK GDPRの双方に対応したプライバシーポリシーの整備や、データ移転体制の構築を含むGDPR対応支援サービスを提供しています。
































