欧州委、英国に対するGDPR十分性認定を採択

欧州委員会は6月28日、EUの一般データ保護規則（GDPR、注1）の十分性認定を英国に与える実施決定を採択した。今回の決定により、7月1日以降もEUから英国への個人データの移転が引き続き認められることになる。

EUでは、GDPRに基づき、欧州経済領域（EEA、注2）から域外国への個人データの移転を原則禁止している。域外国への個人データの移転は、欧州委が移転国に対して行う「十分性認定」（法整備などに基づき十分に個人データ保護を講じていること）や、欧州委が指定する契約書のひな型である標準契約条項（SCC）の使用など適切な保護措置に基づく場合に限り、例外的に認められている。英国はEU離脱に伴い「域外国」となったものの、2020年12月24日に締結したEU・英国間の通商・協力協定により、2021年6月30日まではEUから英国への個人データの移転を暫定的に認めていたが、7月1日以降は十分性認定が必要となることから、欧州委の判断に注目が集まっていた（2021年2月22日記事参照）。

4年間に限定適用するなど、英国の今後の動きに注視

今回の決定に関して、欧州委は、現時点では英国の個人データ保護制度（2021年2月15日レポート参照(391KB)）は、引き続きGDPRと同一のルールに基づいていることから、十分な保護が認められるとした。ただし、英国への十分性認定をめぐっては、安全保障に関する英国法を念頭に置いたEU司法裁判所の違法判決（2020年10月8日記事参照）など、問題点が指摘されていた。今回の十分性認定に向けた欧州委の審査においても、加盟国代表で構成される欧州データ保護会議（EDPB）が、安全保障目的での英国の個人データ保護制度の適用除外の運用や、英国で新たに導入された適用除外における司法的統制の実効性などを明らかにするべきとして、欧州委へ意見書で求めていた。これに対して、欧州委は、英国当局による個人データへのアクセスにおいては、安全保障目的であっても、独立した司法機関による事前承認を原則必要とし、捜査権限審判所（Investigatory Powers Tribunal）への提訴も認められるなど、英国が司法的統制を制度化したことから、十分な保護が与えられていると判断したとみられる。

ただし、英国はこれまでも、将来的には独自のデータ保護制度を構築するとして、GDPRからの逸脱の可能性も示唆していることから、欧州委は、今後も英国の法制度やその運用を注視し、英国の法改正などにより十分な保護が確保されなくなった場合には、十分性認定を取り消す可能性もあるとした。さらに、今回の決定の有効期限は2025年6月27日までの4年間とし、自動的に更新はされないとする条項を初めて導入。更新には再度、審査プロセスを経る必要があるとした。

（注1）「特集 EU一般データ保護規則（GDPR）について」を参照。

（注2）EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。

（吉沼啓介）