英国と欧州連合(EU)は何年にもわたる交渉の末、ついにブレグジット(英国のEU離脱)後の貿易協定に署名したが、すべての懸案事項が解消されたわけではない。そしてこれから協議が必要とされているものの1つに、欧州大陸から英国への個人データの移動に関する合意がある。
英国はEUを離脱した結果、EUの一般データ保護規則(GDPR)の適用対象外となった。GDPRの適用対象となっている国々の間では個人データの自由な移動が認められているものの、英国の組織が今後もEU市民の個人情報を管理し続けようとするのであれば、データの移動を規制する新たなメカニズムの構築が必要ということになる。
しかしブレグジットの貿易協定において、個人データの移動に関して英国は暫定的に、EU域外の国とは見なされないという取り決めがなされた。これによりEU市民の個人情報は、懸案事項に関する合意が締結されるまで、引き続き英国に自由に移送できることになった。
こうした合意が締結されれば、EUの規制当局は英国の法律がGDPRと同等レベルのデータ保護を提供すると認め、十分性という特別なステータスを英国に付与することになる。
しかし、データの移動に関する協定が今後6カ月以内に締結されずに移行期間が終了した場合、英国は同国内の組織がEUからの個人データを合法的に処理し続けられるよう保証するために、代替のメカニズムを模索しなければならなくなる。
データのプライバシーに関するコンサルティングを手がけるSecurysの創業者であるBen Rapp氏は、ブレグジット協定がデータ移送の問題の解決にほとんど役に立たないという見方をしている。同氏は米ZDNetに対して「これは本当の成果ではない」と述べた上で、「これはもう1つの移行期間にすぎない。難題への対応を6カ月先延ばしにしただけだ。議論の方向性については何らの合意もなされていない。議論の方向性を決定するための期間が延長されたにすぎない」と続けた。
英国の現行の規制はGDPRと足並みがそろっている。そして今後6カ月の間に英国のデータ保護制度に変更が加えられる際、それらはすべてEUの合意を得る必要があるとブレグジット協定で定められており、合意なき変更が加えられた場合には即座に移行期間が終了する。
Rapp氏は「現時点では英国のデータ保護法はGDPRであるため、EUは英国の規則が変更されない限り、もう少し時間をかけて決断してもよいと判断した」と述べ、「英国は暫定的な移行期間を与えられた代償として、独自の規制を設けるための新たな権限の行使を控える点に同意した」と続けた。
もしも移行期間が設けられなかった場合、すなわちEUが英国の十分性を認めなかった場合、英国の組織はブレグジット初日から実務上の著しい困難に直面していたはずだ。名前やIPアドレス、人事管理情報、あるいは配達先情報に至るまでのさまざまな情報の移送を1回実施するにも検証と、ほとんどの場合には標準契約条項(SCC)と呼ばれる特別な契約を経る必要に迫られていたはずだ。
SCCは移送されるデータの詳細を網羅した契約であり、送信側と受信側の双方によって署名される必要がある。そして受信側は技術的/法的に大きな負担を強いられる。SCCのような適切なデータ移送メカニズムを全社的に実装するコストは高く、最近のレポートによると英国企業全体のコストは16億ポンド(約2240億円)にも達する可能性があると推定されている。
