英国GDPRの概要

一般データ保護規則(GDPR)は、2016年4月に採択され、欧州連合(EU)における包括的なデータ保護規制です。GDPRの主な目的は、個人のプライバシー権を強化し、EU全体でデータ保護法を調和させ、個人データの国際移転を規制することです。2025年6月19日に成立したデータ(利用およびアクセス)法(DUAA)は、英国GDPRの施行以降、英国のデータ保護法における最も重要な進展を示すものです。本稿では、英国GDPR(UK GDPR)を軸に、DUAAがもたらす英国データ利用の変化と、英国データ保護の要点を整理します。

英国GDPRのタイムライン

2016年4月14日:EU議会および理事会によりGDPRが採択
2018年5月25日:GDPRがEU全域で施行開始
2021年1月1日:英国一般データ保護規則(UK GDPR)施行
2024年10月:データ(利用およびアクセス)法案が提出
2025年6月19日:データ(利用およびアクセス)法(DUAA)が国王裁可を受け、法律として成立
2026年半ば(予定):さらなる規定が全面施行され、改革が最終化予定

英国のデータ保護および主要な立法枠組み

DUAAは、自動化された意思決定に関する制限を緩和し、採用、与信スコアリング、パフォーマンス管理、カスタマーサービスなど、さまざまな分野におけるAIの活用を可能にしています。

さらに、DUAAは、特定の目的でデータを処理する場合に適用される新たな適法根拠を導入しています。これらの目的のためにデータを処理する際、組織は従来必要とされていた、自社の正当な利益と個人の権利を比較衡量する(いわゆるバランシングテスト)を実施する必要がなくなります。これは、一定の範囲での英国データ利用における実務負担を軽減する変更点です。また、科学研究を行う研究者は、各プロジェクトごとに個別の許可を取得する代わりに、関連する研究分野を包括する広範な同意を取得することが可能となりました。さらに、本法は、特定の低リスク用途における保存およびアクセス技術(クッキーや類似技術)の利用に関する同意要件を緩和しています。

企業にとってのGDPRの基本原則

DUAAの目的には、個人の権利を保護することに加え、イノベーションおよび経済成長を促進することが明確に含まれています。DUAAの枠組みの中で、英国はデータ保護に関する規制を運用する際に、イノベーション、犯罪防止、国家安全保障といった観点も考慮し得る枠組みになっています。こうした方針は、英国データ保護と経済活動の両立を意識した制度運用の方向性を示しています。

市場参入のためのコンプライアンス戦略

組織は、以下の7つの原則への適合を、文書化、ポリシー、および運用実務を通じて実証する必要があります。

  1. 適法性・公正性・透明性

  2. 目的限定

  3. データ最小化

  4. 正確性

  5. 保存期間の制限

  6. 完全性および機密性

  7. 説明責任

要件を理解するために、組織はデータの収集ポイントおよび処理プロセスを特定する包括的なデータマッピングを実施する必要があります。データマッピングおよび処理の見直しの後、組織はプライバシー関連文書を作成・維持し、個人からの請求に対応するための体制を整備しなければなりません。これは、英国GDPR対応の実務において重要な基礎作業です。

また、組織のデータ処理が個人の権利に高いリスクをもたらす場合には、処理を開始する前にデータ保護影響評価(DPIA)を実施する必要があります。さらに、第三者が個人データを収集する場合であっても、組織は引き続き責任を負うため、第三者との関係を適切に管理する必要があります。