欧州委、英国にGDPRの十分性認定を与える方針

(EU、英国)

ブリュッセル発

2021年02月22日

欧州委員会は2月19日、EUの一般データ保護規則(GDPR、注1)の十分性認定を英国に対して与える方針だと発表外部サイトへ、新しいウィンドウで開きますした。十分性認定が正式に決定されれば、EUから英国への個人データの移転が引き続き認められることになる。

GDPRとは、個人情報保護の観点から、欧州経済領域(EEA、注2)から域外国(第三国)への個人データ移転を原則違法とするEU規則で、第三国へのデータ移転は、欧州委が移転国に対して行う「十分性認定」(法整備などに基づき十分に個人データ保護を講じていること)や、欧州委が指定する契約書のひな型の標準契約条項(SCC)の使用など、適切な保護措置に基づく場合に限り例外的に認めている。

英国はEU離脱に伴う移行期間が2020年12月31日に終了したことから、EU法の適用から外れて「第三国」となった。そのため、1月1日以降はEUから英国への個人データの移転に関して、適切な保護措置を取らない限り違法となるため、欧州委の十分性認定の可否が問題となっている。ただし、EUと英国が12月24日に締結した「通商・協力協定」(2020年12月25日記事参照)により、2021年6月30日まではこれまでどおり、EUから英国への個人データの移転を暫定的に認めている。

欧州委は今回の方針の根拠として、英国の個人データ保護に関する国内法(UK GDPR)(2020年10月7日記事参照)はEUのGDPRを基にしていることと、英国はEU離脱後も欧州人権裁判所(注3)の管轄権に服することなどを挙げている。ただし、英国政府は必要に応じて独自の法改正を行う可能性に言及しており、長期的にはEUのGDPRとの乖離が懸念されている。そこで、欧州委は今回の十分性認定の有効期間を4年間とし、英国の個人データ保護規制の改正などを引き続き注視するとしている。

欧州委は今後、欧州データ保護会議の意見を考慮し、加盟国の承認を求めた上で、正式に十分性認定を決定する見込み。

なお、英国からEUへの個人データの移転は、EEA加盟国に対して英国が十分性認定を行っており、従来どおりデータの移転ができる。

(注1)GDPRやSCCについては、ジェトロのウェブサイト「特集 EU一般データ保護規則(GDPR)について」を参照。

(注2)EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。

(注3)欧州人権裁判所は欧州人権条約に基づいており、EUの最高裁に当たるEU司法裁判所とは別個の独立した司法機関。EU全加盟国は欧州人権条約を批准しており、欧州人権条約はEU法の一般原則の一部にもなっている。

(吉沼啓介)

(EU、英国)

ビジネス短信 6e448b678664707a