特別な関係を構築しデータ移転を可能に－政府、EU離脱後も保護規制の調和を志向－

データ保護の新たな枠組みが必須

欧州委員会によると、データ技術を活用したEUのデータ経済の規模は2015年時点で2,720億ユーロに上り、EUのGDPのおよそ2％に相当する。近年では規模拡大の勢いが増しており、2020年までに約2.4倍、6,430億ユーロ規模に達すると試算されている。

EUにおけるデータ経済・データ移転において、英国の位置付けは小さくない。英下院によると、デジタル産業に参入するEUの大規模事業者の43％が英国でビジネスを開始しおり、英国が行うクロスボーダーのデータ取引の75％はEU加盟国が相手だという。

一方で、データ移転を行う上では個人データ保護などの仕組みが欠かせない。EUでは「データ保護指令」や、その後継となる「一般データ保護規則（GDPR）」（注、2018年5月25日に適用開始予定）などを通じ、加盟国のデータ移転に伴うデータ保護などの枠組みが構築されているものの、EU離脱により英国はこれから外れることとなる。EU加盟国との間でデータ取引を継続するためには、EUとの間で新たなデータ保護の仕組みを整備することが必要となる。

「十分性認定」の取得を不要に

政府が明らかにしたアプローチによると、EUとの間でデータ保護規制などについて、既存の「十分性認定」モデルに立脚した特別な関係を構築するとしている。「十分性認定」とは、当該国のデータ保護措置がEUと同等であることを承認する手続きのことで、現在の英国のデータ保護関連の法制度はEUのデータ保護の枠組みに完全に準拠しており、EU離脱の日までこの状態は続く。これを前提に、英国・EU間でデータ保護の枠組みを相互認証するプロセスについて早期に合意することは双方の利益になるという考えが根底にある。この特別な関係では、英国のデータ保護規制をEUの保護規則と同等と見なすことにより、EUと第三国がデータ移転を行うに当たり、英国が「十分性認定」を取得することなしに、EUとの間でデータ移転を認める。既に政府は、GDPRを英国法に置き換えることなどを柱とするデータ保護法案を公表しており、このような新法を通じてEUとのデータ保護規制の調和を図る考えだ。

また、EUとの規制協力の一環として、英国の規制当局に当たる情報コミッショナーオフィス（ICO）が、EU加盟国当局間におけるデータ保護規制関連の協議に参加するようにしたいとしている。

さらに、既にEUの「十分性認定」を取得しているスイスやニュージーランドなど12カ国・地域とのデータ取引についても、英国はEU離脱後も継続して自由に行えるとの考えが示されている。

今回の発表について、マット・ハンコック・デジタル担当相は「データ保護規則の調和に基づく英国とEUの強固な関係は相互の利益だ」と述べ、「消費者や産業界に対しデータ使用についての確実性を保証したい」と述べた。

（注）ジェトロ調査レポート「EU一般データ保護規則（GDPR）に関わる実務ハンドブック（入門編）」「EU一般データ保護規則（GDPR）に関わる実務ハンドブック（実践編）」参照。

（佐藤央樹）