欧州連合(EU)から英国への個人データの移送について、EU加盟国の間で合意が成立した結果、そうしたデータ移送は新たな制限なしに継続できることになった。これにより、英仏海峡をはさんで操業する多く企業が法律上の複雑な事務手続きに時間やコストをかけなくても済むようになった。
EU加盟国27カ国すべてが、英国に対して「十分性」という特別なステータスを付与することに賛成票を投じた。これは、英国の法律がEUの一般データ保護規則(GDPR)と同等レベルの個人データ保護を提供すると認めるものだ。欧州委員会は現地時間6月28日、英国の十分性認定を承認したと発表した。
十分性が付与された国は、EU市民の個人データを受信、処理する権限を得る。そして多くの組織が実務上、この権限に依存している。
英国はEU離脱(ブレグジット)によってGDPRによる保護の適用対象外となり、市民の個人データを国内法に従って管理するようになっている。このためEU当局は、英国の国内法がEUのデータ保護基準を満たしていることを確認するための審査を実施する必要があったのだった。
もしも十分性を付与する決断が下されていなければ、組織はEU市民のデータの合法的な処理を保証するために、標準契約条項(SCC)と呼ばれる特別な契約を作成する必要があった。経済学者らは、合法的なデータの流れを維持するためのこうした新たな契約を締結するコストは小規模企業ほど負担が大きいとし、その総額は16億ポンド(約2400億円)に及ぶ可能性があると見積もっている。
このため、英国にとって十分性の獲得は、ブレグジットをめぐる交渉で重要な目標となっていた。欧州委員会(EC)は2021年に入り、英国への十分性付与に関する決定の詳細を概説する草稿文書を公開した。これには、英国の法律がGDPRと同等レベルのデータ保護を実際に提供しているとの決定が記されている。
そしてこの決定が欧州データ保護会議(EDPB)によって4月に承認され、加盟国によって今回公認された結果、十分性はその適用に向けて進み出した。EUや英国の組織や企業がこの発表を歓迎したのは驚くにあたらないだろう。