はじめに

2025年6月19日、英国において2025年データ（利用及びアクセス）法（Data (Use and Access) Act 2025、以下「DUAA」）が国王裁可を受けて成立しました。DUAAは、既存のUK GDPR、2018年データ保護法（Data Protection Act, DPA 2018）、2003年プライバシー・電子通信規則（Privacy and Electronic Communications Regulations, PECR）を全面的に置換するものではなく、修正を加える形で独自性を付与するものです。

前回のブログでは、DUAAの成立までの経緯、英国データ保護法制の現状とDUAAの位置づけ、主な改正点について解説しました。今回のブログではDUAAの施行スケジュール、現時点でICOが公表しているガイダンス案、及び日本企業が留意すべき実務上のポイントについて解説していきます。

施行スケジュール

前回のブログで御紹介したとおり、DUAAは、(i) 自動化された意思決定（Automated Decision-Making、 ADM）規制の緩和、(ii)認められた正当な利益（recognised legitimate interest , RLI）という新たな適法化根拠の導入、(iii) 国際データ移転基準の変更、(iv) Cookie規制における同意免除範囲の拡大とPECR違反に対する最大1,750万ポンド又は全世界年間売上高の4%の罰金、(v) 新たな苦情処理制度の導入、及び(vi) ICOの制度改革（Information Commission, ICへの改組）と権限強化など様々な変更を含みますが、それらの改正は段階的に施行されます。

DUAA成立日の2025年6月19日に一部規定は即時発効しており、また8月19日には法執行機関関連やICの権限強化に関する規定が発効しました。残りの規定は概ね6か月から1年以内に施行され、DVS（デジタル認証サービス）やスマートデータスキームはさらに時間を要するとされています。

さらに、IC(O)は今後「苦情処理」、「認められた正当な利益」、「国際移転」、「ダイレクトマーケティングPECR」などに関する新ガイダンスを2025年冬頃に、「ADM・プロファイリング」に関するガイダンスを2026年春頃に公表予定です。企業はこれらを注視し、順守体制を随時調整する必要があります。

 

ICOによるガイダンス草案の公表

ICOは、2025年8月21日にDUAAによる以下の改正点に関するガイダンス草案を公表し、コンサルテーション（意見公募手続き）を開始しました：

• 認められた正当な利益（Recognised Legitimate Interests, RLI）
• データ保護に関する苦情申し立て（data protection complaints for organisations）

まず、認められた正当な利益に関するガイダンス草案の目的は、この適法化根拠が既存の「正当な利益」とどのように異なるかについて、実践的な例を示し、組織がDUAAで新たに導入される、認められた正当な利益を活用できるようにすることとされております。コンサルテーションの期限は2025年10月30日です。

認められた正当な利益のガイダンス草案の概要は以下のとおりです。ガイダンス草案は、認められた正当な利益の内容を解説し、依拠できる条件を解説するものとなっております。

• 新しい法的根拠：従来の「正当な利益」とは別に新設された適法根拠
• 限定的な適用範囲：犯罪防止、緊急時対応、セーフガーディングなど、公的利益に関わる事前承認済みの5目的にのみ利用可能
• 利益衡量テスト不要：法律上、既に均衡が考慮されているため、従来必要だった個人の権利とのバランス評価は免除
• 要件：利用が必要かつ比例的であることを証明する義務あり
• 適用除外：公的機関による公的職務や、自動意思決定（ADM）の唯一の根拠としては利用不可

一方、データ保護に関する苦情申し立てに関するガイダンス草案の目的は、苦情処理の要件及び遵守のための手続きを定めることにあるとされております。コンサルテーションの期限は2025年10月19日です。なお、全ての組織は2026年6月までにデータ保護に関する苦情申し立ての仕組みを導入する必要があります。

データ保護に関する苦情申し立てのガイダンス草案の概要は以下のとおりです。苦情申し立てプロセスにおいて、組織が遵守すべき又は推奨される事項が定められており、実務上重要となります。

(1)苦情の対象
苦情の対象は幅広く、例えば以下のようなケースが含まれるとされております：

• 開示請求（Subject Access Request, SAR）などの権利行使への対応に不満がある場合
• データ侵害（data breach）の影響を受けた場合
• Personal Dataの保管場所・保管期間・正確性などの取扱いに不満がある場合

(2)苦情受付の方法
組織は、直接苦情を申し立てられる手段を設けることが必要とされています。具体的な苦情申立て方法としては、書面や電子フォーム、電話、オンラインポータル、ライブチャット、あるいは対面での受付といった手段を提供することが可能とされています。

さらに、ガイダンス草案では苦情手続きを文書化して公開することが望ましいとされており、その際には専門用語を避けて平易な言葉で説明することが推奨されています。また、スタッフが苦情を認識して適切に担当部署へ転送できるよう、社内研修を行うことも求められています。

(3)代理人・子どもからの苦情
第三者が代理で苦情を申し立てる場合には、組織はその人物が申立人の代理として行動する権限を必ず確認する必要があるとされております。証拠としては、委任状（power of attorney）や署名入りの書簡（signed letter of authority from the person they are acting on behalf of）などが考えられるとされております。

子どもやその代理人から苦情を受ける場合には、手続き全体を分かりやすい表現で説明することが望ましく、加えて、子どもに自らの権利を理解して行使できる能力があるかを評価することも必要です。

(4)苦情受領後の対応
組織が苦情を受け取った場合には、以下の対応が必要です：

• 苦情を受領したことを30日以内に確認し通知
• 不当な遅延なく調査を開始し、その進捗を申立人に適切に伝達
• 調査の結果は、不当な遅延なく申立人に通知し、結論に至った理由を明確に説明することが望ましいとされています。
• さらに、申立人が結果に不満を持つ場合には、ICOに苦情を申し立てる権利があることを案内することが推奨されています。

 

日本企業が留意すべき実務上のポイント

前回のブログで解説したとおり、英国におけるデータ保護規制は、Brexit後も概ねEUのGDPRと同様の枠組みが維持されており、多くの日本企業もこれまでEU GDPR対応と同様の対応を講じてきたと考えられます。もっとも、DUAAは規制緩和を含む一方で、GDPRとは異なる内容も多々導入しており、DUAA施行後は英国とEUのデータ保護法制の乖離が拡大する可能性があります。

既にUK GDPRやPECRに準拠している企業では大規模な対応は不要と見込まれますが、多くの企業で少なくともDSAR対応、苦情処理手順、Cookieポリシー、プライバシー通知、国際移転手続きの見直しが必要となると考えられます。さらに、事業内容によっては、ADM、RLI、科学研究、子ども向けサービスも改正の影響は大きいと予想されます。

また、EUとの規制上の乖離が進むことで欧州委員会による十分性認定に影響が及ぶ可能性もあり、EU依存度の高い企業にとっては注視が必要です（但し、欧州委員会（European Commission）は、2025年7月22日に十分性決定に関する草案（Draft Adequacy Decision）を公表しており、十分性が認められる旨の方向性を示しております。）。

今後、企業はDUAAの内容を正確に把握した上で、自社への影響を検証し、以下のような対応を進める必要があります。

• プライバシー通知、Cookieポリシー、DSAR手順、苦情処理体制の整備
• ADM、RLI、科学研究に関する新ルールの影響評価
• 従業員向けトレーニングや内部ポリシーの改訂
• EU十分性認定の動向監視と、SCCs・BCRs等代替手段の準備
• IC発行予定のガイダンスを参照した順守体制の調整

英国において、あるいは英国向けに事業を行う日本企業は通常はEUでも事業を行っているかと存じます。そうした日本企業としては、EU GDPRとUK GDPRの双方の枠組みを踏まえつつ、両制度の相違点を的確に理解し、DUAAに適切に対応していくことが今後不可欠となります。

問い合わせ先：ロンドンオフィス　工藤明弘、山下翔