英政府が移行期間後のGDPRガイダンスを発表

英国政府は10月2日、移行期間終了後の「一般データ保護規則（GDPR）」についてのガイダンスを発表した。GDPRは、EUにおける個人情報保護の枠組みのことで、個人データの処理や移転などに関するルールを定めており、2018年5月25日から適用が開始されている。同規則では、十分性認定を受けた国への個人データの移転などの一部条件を除いて、原則として欧州経済領域（EEA）（注）域外の第三国への個人データの移転が禁止されており、EU離脱により第三国となった英国への対応に注目が集まっていた。

英国は個人データに関し、EUのGDPRの高い水準を維持するとし、移行期間終了後には英国法に導入（UK GDPR）することを計画している。将来的には、必要に応じて独自の法改正を行う可能性があるとしながらも、移行期間終了時には、個人データの処理に関して、現在のEUのGDPRのルールがそのまま適用される見込み。また現在、EUは英国に対する十分性の評価を進めており、このまま移行期間中に十分性が認定されれば、EEAから英国への個人データの移転はこれまでどおり可能となる。しかし、移行期間中に認定されなかった場合は、EEAから英国へ個人データの移転を行うために必要な手段を講じる必要がある、としている。在英企業が取り得る代表的な手段として、個人データの移管元であるEUの事業者との間での標準契約条項（SCC）の締結などが挙げられている。

他方、英国からEEAやジブラルタル、EUの十分性認定対象国への個人データの移転に関しては、現状、これまでと同様に認めるとしている。なお、日本については、英国側で移行期間終了後もEUの日本に対する十分性認定の効果を維持するための手続きが完了しており、円滑な個人データ移転が日英間で確保されている。また、EEA内に拠点を有する英国企業は、移行期間終了後に英国およびEU双方のGDPRに準拠しなければならない。EEA内に拠点は持たない場合でも、EEAの個人データを扱う場合、EEA内に代理人を設置するなどの対応を行う必要が生じる可能性があるとしている。

GDPRに関連する手続きなどの詳細については、英国個人情報保護監督機関（ICO）サイトを参照。

（注）EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。

（尾崎翔太）