英国Data (Use and Access) Act 2025の成立

DUAAにおける主な改正内容

(1) 追加的な適法化根拠の明文化

　UK GDPRの下では、個人データを処理するための適法化根拠（lawful ground）が必要であり（UK GDPR6条）、その一つとして「正当な利益」（legitimate interest）が規定されています。DUAAにおいては、正当な利益として認められる場面としてこれまで認識されてきたいくつかの場面が、「認められた正当な利益」（recognized legitimate interest）として明文化されました。例えば、ダイレクトマーケティングに必要な場合、グループ間での内部管理目的に必要な通信、ネットワークやITシステムのセキュリティの確保に必要な場合等が当該「認められた正当な利益」に含まれます。また、このほかにも、国家安全保障、公共の安全、緊急事態、犯罪予防等に必要な場合も適法化根拠として明文化されました。このような事由については、個別に適法化根拠として規定されることにより、これまで正当な利益に依拠して個人データを処理するために必要であったバランシング・テスト等の詳細な評価プロセスを実施する必要がなくなるものと考えられます。

(2) 目的外利用が認められる場合の明確化

　UK GDPRの下では、個人データは、収集した際の目的のためにのみ利用されることが原則であり、新たな目的が当初の目的に整合するものでない限り当該新たな目的での利用は許容されません（UK GDPR5条1項(b)）。DUAAは、いかなる場合に新たな目的での処理が認められるのかを明確にする規定を置いています。例えば、本人の同意がある場合、科学的・歴史的研究目的の場合、統計目的の場合、公共の安全を確保する目的の場合、緊急事態に対応する目的の場合、管理者が法令上の義務を遵守する目的の場合等が含まれます。

(3) データ主体の権利行使への対応についての追加規定

　UK GDPRの下では、データ主体の権利行使については、管理者（controller）は権利行使を受けてから遅滞なく、遅くとも1か月以内に必要な対応をとることとされています（UK GDPR12条3項）。DUAAは、ICOのガイドラインを明文化し、データ主体からのアクセスの権利に係る権利行使に応えるためのデータ主体からの追加情報や本人確認情報が不足する場合は、対応期限へのカウントダウンが止まる旨を明確にしました。また、データ主体からのアクセス権に係る権利行使を受けた管理者（controller）は、当該権利行使に対応するために合理的かつ比例的な調査を行えば足りることも明文化されています。

(4) 自動化された意思決定についての条件

　自動化された意思決定（automated decision-making）は、UK GDPR22条を改正し、一定の枠組みの中で自動化された意思決定を活用できるようにするための条件が新たに規定されました。具体的には、DUAAの規律の適用を受ける自動化された意思決定の範囲を明確化し、当該自動化された意思決定を実施するための条件やセーフガード（保護措置）の内容を規定しています。

(5) 子どものデータ保護についての追加的義務

　DUAAは、子どもの利用が想定されるオンラインサービスについて、UK GDPR25条における既存の「データ保護バイ・デザイン／バイ・デフォルト」の義務を一歩進め、子どもの要保護性を踏まえてサービスの設計段階からリスクやサポート策を考慮する義務を導入しました。

(6) 越境移転の要件の改正

　DUAAは、UK GDPR5章における越境移転の要件を改正しています。UK GDPRの下では十分性認定（adequacy decision）を受けた国・地域への個人データの移転は包括的に認められていますが、DUAAでは、国務大臣（Secretary of State）が別途定める規則において越境移転が許容される要件が規定されることになります。当該規則の下では、データ保護テスト（data protection test）が満たされる場合に越境移転が許容されることになっており、移転先の国におけるデータ保護水準が英国よりも大幅に低い（materially low）ものでない場合はデータ保護テストが満たされることになっています。

(7) cookie規制についての本人同意の例外拡大とその一方での制裁金の高額化

　PECRは、EUのいわゆるePrivacy Directiveに基づいて制定されていた英国法であり、cookie等の情報を個人の端末に保存する場合又は収集する場合は、原則として本人の同意を要求しています。DUAAは、本人の同意なくcookie等の情報を保存又は収集できる場面が拡大し、統計目的で情報を収集する場合、ユーザの設定したウェブサイトの外観や機能を提供するために必要な場合、ユーザからの緊急の支援要請に応じて位置情報にアクセスする場合が含まれます。

　他方、PECRの違反については、UK GDPRの水準と合わせ、最高で1,750万ポンド又は全世界売上高の4%の制裁金が課されることになりました。

日本企業への影響

　英国におけるデータ保護規制は、Brexit以降も概ね欧州のGDPRと同様の規律が設けられており、日本企業においては、GDPRへの対応と同様の対応を行う整理を行ってきたものと思われます。DUAAは、個人データを取り扱う事業者にとって好ましい方向での改正が多いものの、GDPRとは異なる規律や要請も含むものであり、また、DUAAの施行により欧州のGDPRにおける規律から乖離する部分も生じるため、英国独自のデータ保護対応の要否についてより実質的な検討が必要になってくるものと思われます。そして、ICOでは、DUAAによるUK GDPRの改正事項についてウェブサイト上でサマリーを示し、かつ今後もガイダンスをアップデート等していく旨を公表していますので、このような資料も参考になるものと考えられます。

　また、英国との間の個人データの移転については、現状はEUや日本との関係では十分性認定によって互いに自由な個人データの移転が可能になっていますが、DUAAによる改正により、引き続き十分性認定が維持されるのか、英国への個人データの越境移転について何らか影響が生じることがないか、状況を注視する必要があります。