こんにちは。
お読みいただきありがとうございます。

本日のテーマは、The Data Protection and Digital Information Bill（DPDI Bill）です。

DPDI Billは、イギリスにおける個人データ保護に関する一般法であるUK GDPR及びData Protection Act 2018の改正を含む、現在の個人データ保護法制のアップデートを目的とした法案です。

そして、「Bill」という名前のとおり、DPDI Billは、まだ「Act」になっていない審議中の法案です。その意味で、仮に現行の案がそのまま可決されて施行されることになった場合であっても、実務への影響はまだ少し先のことです。そもそも、法案が可決されずに終わる可能性もあります(*1)。

とはいえ、もし、DPDI Billが法律となり施行された場合には、英国の個人データ保護の枠組みに、小さくない変更が生じます。現時点では、お客さんに「UK GDPRとGDPRは同じ内容です」と説明しているものの、今後はこの説明が妥当しなくなってくる可能性があります。

そういうわけで、今回は、今後の推移を見守る意味でも、DPDI Billの内容を皆さんに共有したいと思います。

ご注意：この記事は、GDPRを既にご存じの方向けに書いており、専門的なタームを逐一解説することをしていません（管理者、処理者の定義やDPIAのことなど）。読んでいてよく分からないことがあれば、こちらから探してみてください（宣伝）。

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。

DPDI Bill（2023年12月6日時点）

こちらが、DPDI Billの現行案です。

そして、こちらが、UK ParliamentのDPDI Billの審議状況等の詳細についてのWebサイトです。ここからも、DPDI Billの現行案のPDFのダウンロードが可能です。

なぜか埋め込みができないのでウェブサイトのURLを貼り付けます↓↓
https://bills.parliament.uk/bills/3430

審議の状況

イギリスの法律の制定プロセスは、日本と似ており（我々がイギリスを参考にしたので当たり前ですが）、庶民院（House of Commons）が日本でいう衆議院、貴族院（House of Lords）が参議院に近いです。DPDI Billについては、両院での可決を予定しており、その後、国王の裁可を得て、ようやく法律となります(*2)。

審議の状況ですが、まず昨年11月末に庶民院での審議を終えて、現在は、貴族院の委員会での審議が行われています。

英国の個人データ保護法はどう変わるのか？

変更点を紹介するまえに、ざっくりと、英国の個人データ保護法が、DPDI Billによってどのように変わることが想定されているのかを見ていきます。

DPDI Billのキーワードは、簡素化（simplification）です。

つまり、改正の趣旨としては、イギリスの管理者のコンプライアンスコストを軽減し、個人データの処理の柔軟性を向上させることにあります。

もっとも、政府の説明によれば、DPDI Billは、UK-EUのデータフローにおける軋轢を生じさせるものではなく、漸進的な変更を意図しているとのことです。

以下では、2023年12月6日時点のDPDI Billをベースに、重要と思われる変更点について紹介していきます。

主な変更点

「個人データ」の定義の変更

現在の個人データ（personal data）の定義の主要部分は、「識別された自然人又は識別可能な自然人に関する情報」ですが、この識別可能（identifiable）がマジックワードとなり、個人データの範囲が不明瞭に広がりすぎて、管理者の事業活動に萎縮効果を及ぼしているという批判があります。

このような背景の下で、DPDI Billは、個人データの定義に変更を加えました。具体的には、次の場合に限って、自然人が識別可能とみなされるようになります(*3)。

この限定は、実務上、主に次の二つの影響があると考えられます。

まず、理論的には個人が識別可能な個人データであっても、時間・コストが見合わないような方法でのみ識別可能なものは、個人データに該当しなくなる可能性があります。

次に、識別を行う主体が管理者、処理者、又は、情報を受領する第三者に限定されたことにより、仮名化された個人データは、それを復元するための情報を持たない者にとっては、個人データに該当しないと解されます。

TMIの野呂先生がBreyer事件の評釈記事で、識別可能性の客観（絶対）説と相対（相対）説の対立を紹介されています。もし、DPDI Billが通れば、UK GDPRの下では、識別可能性の基準は相対説であることが確定します。

「承認された正当な利益」の導入

DPDI Billは、個人データの処理の合法性の根拠に、承認された正当な利益（recognised legitimate interests）を加えることを予定しています(*4)。

承認された正当な利益に基づく個人データの処理については、通常の正当な利益に基づく場合とは異なり、いわゆるバランステストの実施が要求されません。

承認された正当な利益は、DPDI BillのSchedule 1に列挙されており、緊急事態、犯罪、要保護者の保護、及び、デモクラティック・エンゲージメントが含まれています。

煩雑（vexatious）なデータ主体の権利行使の拒否・費用請求

UK GDPRでは、管理者は、データ主体からの権利行使（Art 15-22, 34）について、明らかに根拠のない場合（manifestly unfounded）又は過剰な性質のものである場合に限り、これを拒否するか、合理的な費用を請求できます（Art 12(5)）。

DPDI Billでは、この"manifestly unfounded"を"vexatious"に置き換えました(*5)。この言葉をなんと訳そうか迷ったのですが、煩雑、というのが近いかなと思います。

改正の趣旨としては、管理者がデータ主体からの権利行使を合法的に拒否できる場面を広げるところにあると思われますので、管理者としては歓迎すべき改正ですね。

自動化された意思決定に関する規制枠組みの変更

UK GDPRは、データ主体が、自動化された意思決定を一般的に拒否する権利を有することを定めています（Art 22）。

DPDI Billは、このArt 22をまるっと削除して、新たな規定（Art 22A-22D）を挿入することとしています(*6)。

その趣旨は、AIを活用した自動化された意思決定の利用によるイノベーションの余地を残すことにあるとのことです。やはりAIがらみですね。

この新たな規定は、ちょっと分量が多く、この限られた紙幅で簡潔に誤りなくまとめる自信は無いのですが、ざっくり言うと、自動化された意思決定の一般的禁止を取っ払い、リスクが高い特別なカテゴリーの個人データに関するものについてのみ制限することが定められています。

EU AI Actが盛り上がっている中で、イギリスはAI法制に関して、独自の道を進みつつあります。以下でまとめていますので、よければどうぞ。

現地代理人の撤廃

UK GDPRは、英国に拠点を有していない管理者及び処理者に対して、英国内に代理人を設置することを義務付けています（Art 27）。

DPDIでは、この義務が削除されることを定めています(*7)。

現地代理人の設置は、域外適用を受ける日本の管理者及び処理者に少なくない負担を課していると感じていたので、この改正は個人的には歓迎されるものだと考えています。

データ保護オフィサーの撤廃と上級責任者（SRI）の導入

UK GDPRのデータ保護オフィサー（DPO）に関する規定（Art 37-39）が削除されて、代わりに、上級責任者（Senior Responsible Individual）（SRI）が導入されます(*8)。

SRIは、公共団体、又は、個人の権利と自由に高いリスクを生じさせる可能性のある処理を行う組織に、その選任が義務付けられます。

管理者のSRIと処理者のSRIは、若干タスクが異なります。また、DPDI Billは、SRIが組織の経営層（senior management）でなければならない旨を定めており、現行のUK GDPRの下で独立性が要求されるDPOとは、また違った立ち位置の役職となるかもしれません。

記録が求められる処理活動の限定

UK GDPRは、小規模事業者に認められる例外を除いて、基本的に全ての管理者及び処理者に対して、個人データの処理に関する活動を記録することを求めています（Art 30）。

DPDI Billでは、Art 30がまるまる削除されて、新たな規定に置き換えられます(*9)。該当規定を全部きちんと読めていないのですが、DPDI Billでは、リスクの高い処理に関してのみ、適切な記録が求められるようになります。

Art 30に基づく処理活動の記録は、実務的にも負担が大きいように思えます。個人的には、このようなDPDI Billのリスクベースのアプローチは歓迎したいです。

データ保護影響評価（DPIA）の見直し

DPIAも、DPDI Billの下で改正の対象となっています(*10)。

具体的には、名称が、Assessment of High Risk Processingに変更されるとともに、Art 35(3)に定められている事実上DPIAの実施が必須となる場面を定めた規定は削除されました。

また、DPIAの結果、リスクが高いと判断された場合の当局との事前協議（Art 36）については、"must"から"may"へと変更になりました。

国際データ移転

DPDI Billは、国際データ移転について定めているUK GDPRの第5章（Art 44‐50）をまるまる新しい条文に置き換えるようです(*11)。

新しい条文は、Schedule 5に定められています。

ざっと読む限り、基本的には、内容に変更が無いように思われます。もっとも、この点は、色々な方の分析結果を待つ必要がありそうですね。

EUのイギリスに対する十分性認定は維持されるのか？

ここまで読むと、DPDI BillがUK GDPRの大改正とまでは言えないもの、細かい改正点が積み重なって、もはや、EU GDPRと同じ内容の法令とは断言できないような気がしてきます。

ここで問題となるのが、現在イギリスが得ているEU GDPRの十分性認定が、仮にDPDI Billが法律となった後も維持されるのか、という点だと思います。

政府は、今回の改正があったとしても、EUの十分性認定は維持される見込みであるというスタンスです。十分性認定が取り消される事態は、政府としても避けたいはずなので、その点は慎重に考慮して、法案を作ったことを期待したいですね。

PECRの改正

DPDI Billは、UK GDPR（及びDPA 2018）の改正のほか、いくつかの新たな規定と他のデータ関連法令の改正を含んでいます。

そのひとつが、PECRの改正です。PECRとは、イギリスがEU加盟国時代に制定したePrivcy指令を実行する国内法であり、いわゆるBrexit後も維持されています。詳しくは、こちらをご覧ください。

DPDI BillによるPECRの改正点をここで網羅することはできませんが、違法なダイレクトマーケティングに関する制裁金の上限額を、現在の50万ポンドから、UK GDPRと平仄を合わせて、全世界売上高の4％又は1750万ポンドのいずれか高い方に引き上げることが提案されています(*12)。

まとめ

いかがだったでしょうか。
本日は、DPDI Billを紹介しました。

以下のとおり、まとめます。

ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。

【注釈】
*1　最近の例では、ビジネスと人権に関する英国の主要な法律であるModern Slavery Act 2015（2015年現代奴隷法）の改正が、事実上立ち消えになったことがあります。
*2　法律の制定プロセスの説明は、こちらの政府のサイトが比較的まとまっていますので、気になる方は読まれてみてください。
*3　s. 1(2), DPDI Bill
*4　s. 5(2)(b), ibid
*5　s. 9, ibid
*6　s. 14, ibid
*7　s. 16, ibid
*8　s. 17, ibid
*9　s. 18, ibid
*10　ss. 20-21, ibid
*11　s. 25, ibid
*12　s. 117 and Sche 10, ibid

免責事項：
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

X（Twitter）もやっています。
こちらから、フォローお願いします！

このほかにも、データ法に関する解説を書いています。
よければご覧ください。