はじめに

2025年6月19日、英国において2025年データ（利用及びアクセス）法（Data (Use and Access) Act 2025、以下「DUAA」）が国王裁可を受けて成立しました。DUAAは、既存のUK GDPR、2018年データ保護法（Data Protection Act, DPA 2018）、2003年プライバシー・電子通信規則（Privacy and Electronic Communications Regulations, PECR）を全面的に置換するものではなく、修正を加える形で独自性を付与するものです。

DUAAは、科学研究における個人データ利用の明確化や、自動化された意思決定（Automated Decision-Making、 以下「ADM」）の要件緩和によるイノベーション促進、さらに特定の正当な利益に関する評価やデータ主体アクセス要求（Data Subject Access Request）対応の簡素化による規制負担の軽減などを主な目的としています。これにより、英国とEUのデータ保護法制との間に看過できない相違が生じます。また、EUから英国へのデータ移転に関する十分性認定の維持にも影響が及ぶ可能性があり、欧州委員会はDUAAの影響を評価するため、現行の十分性認定を2025年12月27日まで暫定延長しています。

企業が留意すべき領域は、(i) ADM規制の緩和、(ii) 国際データ移転基準の変更、(iii) Cookie規制における同意免除範囲の拡大とPECR違反に対する最大1,750万ポンド又は全世界年間売上高の4%の罰金、(iv) 新たな苦情処理制度の導入、(v) ICOの制度改革と権限強化など、多岐にわたります。

英国において、又は英国向けに事業を行う日本企業にとっては、EU GDPR対応の単なるコピーでは不十分となり、英国独自の体制整備を今後行っていく必要があります。まず、本稿ではDUAA成立の経緯、英国のデータ保護法制の現状及び主な改正点を解説し、次稿で施行スケジュール及び実務上のポイントを解説します。

 

成立までの経緯

DUAAは、保守党政権下で提出されていたデータ保護及びデジタル情報法案（Data Protection and Digital Information, DPDI Bill）を基礎として成立しました。DPDI Billは二度、英国議会に提出されながらも総選挙で廃案となりましたが、2024年7月の総選挙で労働党が勝利し、労働党政権が発足し、同年10月23日、DPDI Billの主要部分を引き継ぎつつ一部の論争的規定を削除したDUAA法案が貴族院に提出されました。

議会審議ではAIと著作権が大きな論点となり、特にAI学習における著作権作品利用の透明性義務を巡り庶民院と貴族院の意見が対立しました。背景には、政府が2024年末の協議で「著作権者がオプトアウトしない限り作品をAIモデル学習に利用可能」とする案を提示し、多くの制作者が反発したことがあります。この協議は2025年2月に終了しましたが、同時期に係属していた「Getty Images vs Stability AI」訴訟も議論に影響を与えました。

最終的に、政府がDUAA成立から9か月以内に経済的影響評価及び報告書を公表し、さらに6か月以内に進捗報告を行うことを約束することで妥結しました。

 

英国データ保護法制の現状とDUAAの位置づけ

Brexit後、英国はEU GDPRに代わりUK GDPRを制定し、DPA 2018及びPECRを適用してきました。DUAAはこれらを抜本的に置き換えるのではなく、部分的な修正を加える法改正です。DUAAの多く条項は、既存の慣行やガイダンスの明文化にとどまり、modest change（穏やかな変更）と評価されています。具体的には、データ保護責任者（DPO）、処理活動記録（RoPA）、データ保護影響評価（DPIA）、英国代理人設置義務などは維持され、個人データの定義も変更はありません。当初検討されていた「嫌がらせ的又は過剰なデータ主体要求」への制限も削除され、現行実務が基本的に維持されます。EUとの一定の整合性を保ちながら、データ利用促進や規制簡素化を通じて英国独自の方向性を強めた点に特徴があります。

 

主な改正点

UK GDPRを含めた英国のデータ保護法制の主な変更点は以下のとおりです。

(1) 科学研究
科学研究（scientific research）の定義が明確化され、営利・非営利を問わず商業研究も含まれることが明文化されました。研究目的は柔軟に設定でき、広範な同意が有効とされます。また、通知義務は不可能又は不釣り合いな場合に免除されます。研究目的の利益衡量要件は廃止され、データ最小化や仮名化の推進が明記されました。

(2) 自動化された意思決定（ADM）
従来禁止されていた専ら自動化された意思決定（ADM）が、一定条件下で認められました。重大な決定では保護措置（情報提供・異議申立て・人間の介入）が必須とされています。AIによる採用や評価が実務上想定されています。ICOは2026年春までにガイダンスを更新予定です。

(3) 認められた正当な利益（RLI）
個人データの処理の新たな根拠として、従来な正当な利益とは別に、認められた正当な利益（recognised legitimate interest , RLI）という概念が導入され、犯罪防止や緊急対応など特定の公共目的で利用可能になりました。この場合、利益衡量テストは不要とされております。従来型の正当な利益（ダイレクトマーケティング等）には依然として利益衡量が必要です。

(4) 目的外利用
データの再利用が互換性ありとされる条件が明確化され、研究・公共安全・犯罪防止・法的義務などが例示されました。同意データの再利用はより厳格に制限されています。

(5) データ主体アクセス要求（DSARs）

データ主体アクセス要求（DSARs）への対応において、組織は「合理的かつ比例的な検索（reasonable and proportionate search）」を行えば足りる旨が法制化され、DSARs対応の負担が軽減されます。これは2024年1月1日に遡って適用されます。また、要求の不明確さや、組織が本人確認又は要求の範囲の明確化のためにさらなる情報を必要とする期間は、対応期限の一時停止（stop the clock）が可能となります。

(6) 苦情処理義務

個人には、UK GDPR遵守に関して組織へ直接苦情を申し立てる新たな権利が付与されました。これにより、ICOにエスカレーションされる前に、まず組織が自ら苦情を処理する責任を負います。組織は、電子フォームの設置など苦情申立ての手段を整備し、30日以内に受領を確認するとともに、遅滞なく対応し、進捗や結果を通知する義務が課されます。将来的には、苦情件数のICOへの報告義務が二次法により導入される可能性もあるとされています。

(7) 国際データ移転
移転基準が「実質的に低くない」と緩和され、国際データフローが容易になります。もっとも、EU十分性認定への影響が懸念され、EUは英国の十分性認定の有効期限を2025年12月まで延長しました。

(8) 子どものデータ保護
子どもが利用する可能性が高いサービス提供者は「より高い保護」を考慮する義務を負い、ICOの年齢適合設計コード（Age appropriate design code, AADC）準拠が推奨されます。

(9) Cookie規制
統計や機能改善など低リスクCookieについては同意が不要になりました。一方、違反罰金はGDPRと同水準（最大1,750万ポンド又は売上高4%）に引き上げられました。慈善団体によるソフトオプトインや通信事業者の通知期限延長も導入されています。

(10) ICO改革
ICOは「Information Commission」（以下「IC」）に改称され、委員会制に移行、新たな調査権限が付与され、虚偽供述は刑事罰対象となるなど権限強化が行われます。

(11) その他

• スマートデータスキーム：同意に基づきデータを第三者と共有。
• デジタル認証サービス（DVS）：本人確認枠組みを整備。
• 国家地下資産登録（NUAR）：地下インフラのデジタル化。
• AIと著作権：政府に影響評価提出義務。
• ディープフェイク犯罪：非同意生成を刑事罰化。
• 出生・死亡登録のデジタル化、公共サービス情報共有なども導入。

 

さいごに

次稿では、DUAAの施行スケジュール及び実務上のポイントを解説します。

 

問い合わせ先：ロンドンオフィス　工藤明弘、山下翔