英国は1月31日をもって欧州連合(EU)から離脱した。これにより、英国とEUは今後10カ月をかけて離脱後のポリシーの詳細を詰めていくことになる。ポリシーが決まるまでの間、データのプライバシー関連を含む規則は、今まで通りのかたちで運用される。しかしGoogleは、移行期間の満了を待たずして、プライバシー関連の利用規約を改定しようとしている。同社は、英国のEU離脱を受け、2020年3月31日をもってGoogleの欧州法人に代わって、Google LLC(Googleの米国での運営主体)が英国ユーザーのアカウントに対して責任を持つサービス提供者兼データ統制者になる方針だと報じられた。
その内容について検討する必要があるのは、法律家やデータ保護の専門家だけだと考えているのであれば、その考えは改めなければならない。この決定は、英国ユーザーのプライバシーにすぐさま大きな変化をもたらすものではないかもしれないが、ゆくゆくは影響が及ぼされるはずだ。Google LLCが英国における個人データのデータ統制者になるということには、以下の意味が内包されている。
- Googleの英国での事業は欧州のデータ保護規制対象外となる。EUの一般データ保護規則(GDPR)の域外にも効力を及ぼすような性格により、Google LLCは英国ユーザーの個人データに関しては、GDPRの規則に依然として従う必要がある[注]。しかし今後、EU域内のあらゆるデータ保護機関(DPA)からGoogle Irelandに対して課される決定や執行行為はすべて、英国内でのGoogleの業務に適用されなくなる。Googleの決定が発表されたのは、複数のDPAが欧州におけるプライバシー関連のプラクティスを調査しているタイミングだった。このため、DPAの調査結果によって欧州のユーザーにもたらされるメリットが、英国のユーザーにもたらされるかどうかは分からない。
- 英国の十分性を有したステータスのための条件がより複雑になる。英国の情報コミッショナーオフィス(ICO)は、移行期間が完了するまで、さらにはおそらくその後もGDPRが適用されると明言した。これは今後の英国における個人データに適用される規則だけでなく、将来的にEUから英国へ移送されるデータに適用される規則についての話でもある。実際のところ、英国の規制体制は、同国の十分性を有したステータスを認定する上での欧州委員会(EC)の決定を左右する要素となる。とは言うものの、他の大手企業もGoogleの後に続く(自社に利益をもたらすようなかたちで英国がプライバシー標準に手を加えるというのであれば、その可能性は高い)となれば話はより複雑になる。こういったことが現実となり、英国が自国の標準を現状から大幅に変更したとEUが判断した場合、英国の十分性に向けた条件はより込み入ったものとなる。そうなると、EUから英国へのデータ移送に依存しているすべての企業は頭の痛い問題を抱えることになる。
- 英国政府は同国のGoogleユーザーデータに容易にアクセスできるようになる。Google LLCは米国に拠点を持つ他の企業と同様に、2018年のUS-UK CLOUD(Clarifying Lawful Overseas Use of Data)Act(米国と英国間における海外データの合法的使用の明確化に関する法律)をはじめとする法律の適用対象となる。US-UK CLOUD Actに従えば、米国市民が保有しているデータはそれがどこに格納されていたとしても、米司法当局の令状や召喚状で要求された場合に開示しなければならない。そして二国間協定を介することで、他の国の政府も米国のクラウドプロバイダーに対して、法執行を目的とした自国市民のデータへの直接アクセスを求められるようにもなる。Google LLCが英国ユーザーのデータ統制者となれば、英国政府にとってGoogle LLCの統制下にある市民のデータに合法的にアクセスすることがより容易になるわけだ。
[注]英国には移行期間が満了するまでGDPRが適用され続ける。さらに、英国政府は「UK GDPR」(英国版GDPR)の採用計画を発表している。この名前が示すように、UK GDPRはEUによる既存のGDPRと整合性を有したものとなり、英国における既存の「Data Protection Act 2018」(2018年のデータ保護規則)にも適合するものとなる。さらにICOと英国の裁判所も独自にこれら規則の施行を監視することになるはずだ。
