UK GDPRとは?GDPRとの関係性や押さえておくべきポイントを解説
イギリスのEU離脱に伴い、2021年1月1日にUK GDPR(英国一般データ保護規制)が施行されました。
GDPRとは、個人データの処理や移転を行うためのEUの規則で、EU域内の顧客に向けてサービスを展開する日本企業は、GDPRへの対応が必要です。UK GDPRとは、このGDPRのイギリス版です。
本記事では、GDPRとEUのGDPRの関係性や、EUのGDPRについて詳しく解説します。イギリスを含む欧州へ事業展開する際に押さえておくべきポイントや、対策しておくべき法律を知っておきましょう。
この記事の目次
イギリスのEU離脱に伴い施行されたUK GDPR
イギリスは、2020年1月31日にEU(欧州連合)を離脱し、それに伴いEUのGDPRに基づいてUK GDPRが施行されました。
イギリスはEUのGDPRの下では「第三国」となり、EUの消費者にサービスを提供するイギリス企業は、イギリスとEU、両方のGDPRを守る必要があります。
| GDPR(EU一般データ保護規則) | 2018年に施行された法律。 EU域内の人々に商品やサービスを提供したり行動を監視したりする場合には、データ保護対策を取る必要がある。 |
| UKーGDPR(英国一般データ保護規制) | 2020年のEU離脱に伴い施行された法律。イギリスに設立された企業・組織や、イギリス国内のユーザーにサービスを提供する場合にデータ保護対策を取る必要がある。 |
関連記事:GDPRとは?個人情報保護法との比較や日本企業が意識すべきポイントを解説
関連記事:GDPRに対応したプライバシーポリシーを作成する際のポイントを解説
UK GDPRとは
UK GDPR(英国一般データ保護規制)とは、個人データの処理および英国国外への移転を行うための要件を定めるとともに、処理または移転を行う者が遵守すべき規範・義務を定めた規則です。
2018年に制定されたデータ保護法2(Data Protection Act 2018)は、イギリスで1998年に制定されたデータ保護法の枠組みを更新し定めたものです。その後、英国のEU離脱状況を顧み、2018年にEU離脱法に基づく規制により2021年1月1日にUK GDPRとして改正されました。
UK GDPR は、英国国内の管理者や処理者の拠点活動の過程において行われる「個人データ処理」に適用されます。また、UK GDPRは、一定の場合にイギリス国内に拠点を持たない管理者・処理者による個人データ処理にも適用されます。
UK GDPRで押さえておくべきポイント
本章では、UK GDPRで押さえておくべき以下の2つのポイントについて解説します。
- 個人データの移転
- 代理人・代表者の任命
個人データの移転
日英間におけるデータ移転について、日本側はEUに対して行った個人情報保護法第24条(個人情報保護法第24条は、令和4年4月1日施行のデジタル社会形成整備法第50条による改正前のものであり、現在は第28条)に基づく指定を離脱後においてもイギリスに対して継続することとしています。
また、イギリスとEU間の個人データの移転については、移行期間中もこれまで通り円滑な個人データの移転が可能です。
そのため、イギリスのEU離脱後でも、日英間の円滑な個人データ移転が確保されています。
代理人・代表者の任命
イギリス企業は、EU域内に支店や事務所を持たない場合はEU代理人を任命し、データ保護通知を適宜更新することが必要です。
| 代理人 | EU域内に拠点を置かない企業がEU域内で個人データを処理する場合に、EU域内に代理人を選任することが義務付けられている。代理人は、EU域内の当局との間で、企業の代表として個人データの処理に関する事項を調整する役割を担います。 |
| 代表者 | 代表者は、EU域内に拠点を置く企業が、EU域内で個人データを処理する場合に、EU域内に代表者を選任することが義務付けられています。代表者は、企業のEU域内での個人データの処理に関する責任を負います。 |
代理人は、支店や事務所が代表者として機能することになります。
また、イギリスの法律では、個人データを保有するEU企業はイギリスに代表者を置くことも求められます。
そのため、EUに拠点を置く企業では、取り扱われる情報がUK GDPR規則の対象になっているかを判断するために、記録の見直しと分離を行う必要があります。
UK GDPRが適用される日本企業とは
UK DGPRが適用されるケースは下記の2つです。
- イギリス国内に拠点を構えて活動したとき
- イギリスに拠点はないが、イギリスに向けて事業を展開をしたとき
2つめのケースでは下記のような場合にUK GDPRが適用されます。
- 日本国内の事業者が欧州を含めたグローバル市場に対してECサイトを展開したとき
- 欧州市場に対するマーケティングキャンペーンを行ったとき
- 日本国内の事業者が欧州市場から収益をあげているとき
具体的には下記のようなケースが当てはまります。
- 日本国内の事業者がゲームアプリをイギリス国内所在のプレイヤーに配信し、プレイヤーの氏名や課金履歴を収集するとき
- ポンド決済可能で英語表記があり、英国向け配送に言及しているECサイトで顧客の住所・氏名・口座情報を収集するとき
- 日本国内の事業者が、イギリス国内所在の個人に対してメ ールマガジンを配信するため、氏名・メールアドレスを管理するとき
- 日本国内の事業者がイギリス国内に所在する個人から、アプリで位置情報を取得して分析するとき
- 日本国内の事業者がWeb サイト上からクッキー情報を取得して個人の好みを分析して行動ターゲティング広告を配信するとき
- 日本国内の事業者が、ウェアラブル端末(スマートウォッチなど)を通じてイギリス国内に所在する個人の健康関連情報を取得・管理するとき
下記は、UK GDPRの適用範囲フローチャートです。
参照:「英国一般データ保護規制(UK GDPR)」実務ハンドブック|日本貿易振興機構(ジェトロ) ロンドン事務所海外調査部
UK GDPRに違反した場合の3つのリスク
本章では、UK GDPRに違反した場合のリスクを3つ紹介します。
- ICOから多額の制裁金を含む罰則を科せられるリスク
- データ主体等による損害賠償請求等の法的請求を受けるリスク
- 個人データの保護に関する対応が不十分であるとしてビジネスにおける信用を失うリスク
ICO(Information Commissioner’s Office)は情報権を守るために設立されたイギリスの独立機関です。UK DGPRの規則違反が判明すれば、ICOから罰金を課せられる可能性があります。
罰金も高額で、2019年にはイギリスの航空会社ブリティッシュ・エアウェイズに対して1億8300万ポンド(ブリティッシュ・エアウェイズの世界収益1年分の1.5%)の制裁金が課せられました。
また、「マリオット」や「リッツカールトン」などの有名ホテルを手掛けるマリオット・インターナショナルでも、9900万ポンドの制裁金が課せられています。
これらの処分は公表されるため、高額な制裁金を課されるだけではなく、ブランド価値の低下も考えられます。1度落ちたコーポレートブランドは、向上させることが非常に困難です。ブランド力を低下させないためにも、個人データの取扱いには十分に気を付ける必要があります。
まとめ:UK GDPR の改正の動向には注視が必要
UK GDPR(英国一般データ保護規制)は、イギリスのEU離脱に伴い2021年1月1日に改正された比較的あたらしい法律の1つです。
また、本記事で紹介したイギリス国内向けのUK DGPRと、EU諸外国に適応されるEU-DGPRの2つの法律がイギリスでは適応されています。
現在も多角的に個人情報に関する規制の見直しが進められています。そのため、既にイギリスやEU諸国へ事業参入している日本企業でも、今後のUK GDPR改正の動向は注視しておくべきでしょう。
UK GDPR違反を犯してしまうと、高額の制裁金が課せられるだけではなく、コーポレートブランドの失墜にもつながってしまいます。自社のセキュリティ体制の見直しや、規則の変更、対策をしておくことが重要です。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。近年、グローバルビジネスはますます拡大しており、専門家によるリーガルチェックの必要性はますます増加しています。当事務所では国際法務に関するソリューション提供を行っております。
モノリス法律事務所の取扱分野:国際法務・海外事業
カテゴリー: IT・ベンチャーの企業法務
