英国・「データ保護およびデジタル情報法案(データ改革法案)」を読む

英国で、「データ保護およびデジタル情報法案」が提案されています。この法案は、内容的には、データ保護法の改正、英国におけるデジタルウォレット構想、トラストサービスの規定の整備などを含むもので、特にGDPRのイノベーション阻害効果の見直しという観点から注目すべきものというのが私の考えです。

個人的には、今度、シンポジウムで検討するクッキーについては、バナーの廃止・オプトアウトに向かっている点も興味深いです。

今回データ改革法案の全体構造は、このような感じになります。

基本的には、イノベーションの促進と企業の負担軽減によってより成果をあげようという方向性です。いままで、GDPRの経済抑止効果をいっても、なかなか、ちゃんと取り上げられていなかったような気がしますが、今回は、英国でのパブコメをもとにして指示された方向性ということで、注目すべき動向であるということができるものと思われます。

各パートおよび条文のタイトルをまとめます。

1 目次


目次

第1部 データ保護

定義

1 識別可能な生存する個人に関する情報
2 調査及び統計目的の意味
3 科学的研究のための処理に対する同意
4 法執行取扱に対するデータ主体の同意

データ保護の原則

5  取扱いの適法性
6 目的の制限

データ主体の権利

7 データ主体による執拗なまたは過度な要求
8 データ主体の要求に対応するための期限
9 データ対主体に提供されるべき情報
10 データ主体の情報に対する権利:法律専門家の特権による例外

自動化さた意思決定

11 自動化された意思決定

管理者及び処理者の義務

12 一般的な義務
13 英国外のデータ管理者等に対する代理人の要件の撤廃
14 上級責任者
15 記録保持の義務
16 法執行処理のログ記録
17 高リスク処理の評価
18 処理に先立つコミッショナーへの相談
19 法執行処理と行動規範
20 管理者及び処理者の義務:結果的な修正

個人データの国際的な移転

21 第三国および国際組織への個人データの移転

研究等の目的のための処理のための保護措置

22 研究等を目的とする処理のための保護措置
23 第22条:結果的規定

国家安全保障

24 国家安全保障例外

情報機関

25 情報機関及び所轄官庁による共同処理
26 共同処理:結果的な修正

情報コミッショナーの役割

27 機能の実行におけるコミッショナーの義務
28 戦略的優先事項
29 個人データの処理に関する行動規範
30 行動規範:委員会と影響評価
31 行動規範:国務大臣による承認
32 情報コミッショナーに対する執拗な要求または過剰な要求
33 パフォーマンスの分析

執行

34 文書を要求する情報コミッショナーの権限
35 報告書を要求する委員の権限
36 面談通知
37 ペナルティ通知
38 規制措置に関する年次報告書
39 管理者への苦情
40 特定の苦情に対処することを拒否するコミッショナーの権限
41 苦情に関する小改正と結果的改正
42 EITSET規則の結果的な修正

禁止事項および制限事項の保護

43 個人データの処理に関する禁止事項および制限事項の保護

その他

44 英国GDPRに基づく規制
45 細かい修正

第2部 デジタル検証サービス

入門編

46 導入

DVS のトラスト枠組み

47 DVSのトラスト枠組

DVS登録

48 DVS 登録
49 登録の申請
50 登録にかかる費用
51 DVS登録から削除する義務
52 DVS登録から削除する権限
53 DVS の信頼の枠組みの改訂:トップアップ証明書

情報ゲートウェイ

54 公的機関が登録者に情報を開示する権限
55 税務当局が開示する情報
56 情報の開示に関する実践規範

トラストマーク

57 登録者が使用するトラストマーク

補足

58 国務長官による情報提供の要求権限
59 第三者が機能を行使するための手配
60 本編の運用に関する報告

第3部 顧客データ及び業務データ

61 顧客データ及び事業データ
62 顧客データに関連する規定を設ける権限
63 顧客データ:補足
64 ビジネスデータに関する規定を設ける権限
65 ビジネスデータ:補足
66 意思決定者
67 データ規制の施行
68 調査権限等の制限
69 経済的な罰則
70 手数料
71 課徴金
72 経済的支援
73 機密保持とデータ保護
74 本編に基づく規制
75 規制を見直す義務
76 顧客データの提供に関する規定の撤廃
77 本編の解釈

第4部 デジタル情報に関するその他の規定

プライバシー及び電子通信

78 PEC規則
79 加入者または利用者の端末機器への情報の保存
80 未受信の通信
81 “ダイレクトマーケティング “の意味
82 ダイレクトマーケティングを目的とした電子メールの利用
83 民主的関与のためのダイレクトマーケティング
84 第 83 条における表現の意味
85 違法なダイレクト・マーケティングを委員会に通知する義務
86 委員の強制力

トラストサービス

87 eIDAS規則
88 EU適合性評価機関の承認
89 EU規格等の承認撤廃
90 海外の信託商品の承認
91 監督当局と海外当局の協力関係

データの共有

92 事業者への公共サービス提供向上のための情報開示
93 法執行のための情報共有に関する協定の実施

出生および死亡の登録

94 出生および死亡の登録簿の様式
95 地方自治体による機器・設備の提供
96 登記簿への署名の要件
97 既存の登記簿および記録の取扱い
98 軽微な修正と結果的な修正

医療および社会福祉に関する情報基準

99 イングランドにおける医療及び成人社会福祉に関する情報基準

第5部 規制と監督

情報委員会

100 情報委員会
101 情報コミッショナーの職の廃止
102 情報委員会への機能等の移管

バイオメトリックデータの監視

103 バイオメトリック資料の保持と使用の監督
104 CCTV等の規制に関する規定の撤廃
105 バイオメトリクス・データベースの監視

第6部 最終規定

106 結果的な修正を行う権限
107 規定
108 解釈
109 財務上の規定
110 範囲
111 開始
112 過渡的規定
113 短い名称


という目次になっています

目次をみただけで、非常に重要な改正だなあと思うところですし、また、データ保護とトラストサービスの両方がはいっていること、さらに、後者のうち、デジタルIDウォレットに相当する部分が、デジタル検証サービスという概念で整理されていること、などなど、興味深いがたくさんあるということができます。

もっとも、それらの事項をブログのレベルで追っかけることは到底不可能なので、この法案のポイントだけを勉強したいと思います。

この法案は、データ改革法と呼ばれています。できるまでの経緯については、については、こちらのページです。

これについての政策的背景、法的背景、地理的適用範囲、解説については、こちらです。 でもって、具体的な改正提案内容を理解したいので、その法的背景のところを翻訳します。番号は、オリジナルのままです。


2 法的背景の翻訳

A 一般的背景

データ保護

53 英国は欧州評議会の「個人データの自動処理に関する個人の保護に関する条約」の締約国であり、1981年に署名が開始された。議会は、条約に定められた基準の遵守を保証するため、1984年にデータ保護法を可決し、1985年に条約を批准した。

54. 1984年のデータ保護法は廃止され、EUデータ保護指令(95/46/EC)(「1995年指令」)を実施する1998年のデータ保護法に置き換えられた。

55. 1995年指令は、EU一般データ保護規則(2016/679)(以下、「EU GDPR」)に置き換えられ、2018年5月25日から英国で直接適用された。これは、データ保護法2018(「DPA2018」)(特に同法第2部)によって英国で補完され、データ保護法1998を廃止し、EU GDPRが提供する軽減措置を行使したものである。

56. EU GDPRは、法執行を目的とする管轄当局による処理には適用されない。当該処理は、DPA2018(特に同法第3部)において英国法に置き換えられたEU指令2016/680の対象となる。

57.データ保護法2018は、諜報機関による処理について、さらなる処理体制を規定している(同法第4部において)。

58. EU GDPRは、欧州連合(離脱)法2018(EUWA2018)第3条に基づきEU移行期間の終了時に英国法に組み込まれ、EUWA2018第8条の権限に基づきデータ保護、プライバシー及び電子通信(改正等)(EU離脱)規則2019によって修正され、英国GDPRが創設された。

59. したがって、英国のデータ保護フレームワークは、3 つの規制レジームから構成される。

  • データ保護法2018の第2部によって補完された英国GDPRが適用される個人データの一般処理、
  • EU指令2016/680(EU法執行指令)を英国法に導入したDPA2018第3部が適用される法執行目的の「管轄当局」(DPA2018第30条およびスケジュール7で定義)による処理
  • DPA2018第4部が適用される英国情報機関による処理

である。

60. Privacy and Electronic Communications (EC Directive) Regulations 2003は、指令2022/58/ECを移殖したものである。これらは、クッキーやダイレクトマーケティングを通じて収集された個人データなど、特定の種類の処理に関するいくつかの特別なルールを含んでおり、英国のGDPRにおける処理の一般的なルールに重なるものである。

61. データ保護およびデジタル情報法案は、これらの既存のデータ保護法源にさまざまな修正を加えている。

法執行データおよび国際アラートデータ共有協定

62. 警察は、法執行データを交換するための広範なコモンロー上の権限を有し、次に法令に基づき、国家犯罪捜査局職員は警吏のすべての権限(データ処理に関するものを含む)を有する。国境警備隊の権限と機能は、特に2007年国境法第2条、1971年移民法第4条、同法別表第2など、いくつかの法的規定から派生している。政府の見解では、以下の根拠から、現在、新たな国内法が必要である。

  • 協定における技術的な実際の運用を可能とするために二次立法の必要があること
  • 運営におけるパートナー(警察等)は、制定法を有しているとしても、より、不遵守のリスクが緩和される法的な確実性を提供してくれる義務を明確に意識すること
  • 国際的なパートナーは、コモンローではない、英国の制定法に起訴をおく協定を必要とし、または、希望すると思われること

警察のバイオメトリックス利用

63.本法案は、警察による生体認証の利用、警察と地方自治体による監視カメラの利用に対する監視の枠組みを簡素化するものである。生体認証委員会と監視カメラ委員会のポストと監視カメラ規範を廃止する。また、本法案は、警察の全国指紋データベース(IDENT1)を同様に監督する警察全国DNAデータベース委員会の名称と範囲を更新し、国務長官がこの委員会の名称と範囲を変更する権限を与えるものである。

出生と死亡の登録

64. 出生と死亡の登録に関する規定は、主に 1953 年出生・死亡登録法、1953 年登録サービス法、 1987 年出生・死亡登録規則によって規定されており、これらは 1836 年から施行されている法律に基づ いている。

デジタル ID 検証サービス

65.データ共有に関する現在の法的枠組みは、デジタル ID 検証サービスを提供する目的で公的機関 が民間組織と情報を共有する能力に制約があることを意味する。これは、共有できる情報の種類と共有できる目的に関して、コモンローの規定の 制限と既存の法律の規定の制限によるものである。法案の新しい権限により、公的機関は、個人情報の保護に役立つ保護措置の下で情報を共有できるようになる。

デジタル経済法2017の第35条に基づくデータ共有権限の拡大

66. 異なる公共機関が保有する情報を共有することで、それらの機関がより良い公共サービスを提供できるようになる。デジタル経済法2017は、個人と世帯に利益をもたらす公共サービスを提供するために、データ共有を許可している。本法案の第91条は、第35条を修正し、これらのデータ共有の権限を、企業、すなわち「事業者」に利益をもたらす公共サービスの提供を支援するために拡張する。

67. この条項では、「事業者」という用語を、営利・非営利を問わず貿易を行う者、および慈善目的のために設立された団体を含むように定義している。

68. 第35条を含むデジタル経済法2017の第5部には、情報を共有できる状況を制限するセーフガード(保護措置)が含まれている。デジタル経済法 2017のセクション35は、デジタル経済法2017のスケジュール4に記載されている特定の公的機関が、個人または世帯の利益でなければならない厳しい制約を受けた目的のために情報を共有することを可能にするゲートウェイを提供する。これらの目的は規則で規定されなければならず、公共サービスの提供の改善またはターゲティングのためのものでなければならない。事業者への公共サービスの提供を改善するための情報共有にも、同じ制約の枠組みが適用される。

医療・成人社会保障制度

69. 情報の処理と IT システムに関する既存の法律では、政策目標を達成するのに十分ではない。既存の立法メカニズムを利用して、医療・成人社会福祉事業者に適切な技術的特徴を持つ情報技術製品・サービスの購入を義務付けたとしても(直接または専門的規制を通じて)、必要とされる供給者市場の全体的な変化をもたらすには不十分であろう。なぜなら、この法律は、処理が依存しているITのプロバイダーや、供給されるすべての情報技術が関連する技術要件を満たすことを保証できるプロバイダーには関係ないからである。

70. 情報の処理に関連して、重要な法律は、医療・介護法2022(HCA2022)で改正された医療・介護法2012(HSCA2012)第250条である。改正後の第250条により、国務長官は、イングランドにおけるヘルスケア及び成人社会福祉の提供に関する、またはそれに関連する情報の処理に関する基準(「情報基準」)を作成し、公表することができるようになる。この基準は、国務長官、NHS England、医療や成人社会福祉の提供に関連する機能を行使する公的機関、Care Quality Commissionの登録が必要な民間団体に適用することができる。

71. ただし、国務長官はNHSイングランドが公表した情報基準にのみ配慮することが要求される。HSCA2012第267条は、情報サービス提供者(イングランドにおける医療サービス又は成人社会福祉サービスの提供に関連する情報の収集、分析、公表又はその他の普及を含むサービスを提供する者)の認定制度を確立し運営する権限を国務長官に与えている。この規定は、国務長官が、サービス提供者が認定を受けるために満たすべき基準を設定することを認めている。このため、医療・成人社会福祉分野に供給されるIT製品・サービスを認定するための認定制度を設立・運営することはできない。

72. また、医療・成人社会福祉事業の提供者に基準を課すことを可能とする規制権限が2つある。ひとつは、2012年HSCA第3章パート3で、MonitortがNHS財団トラストに対してライセンス条件を設定することを許可している。もう一つは、2008年医療社会福祉法(HSCA2008)に基づくケアの質委員会の規制枠組みで、規制対象の活動に関して、国務長官が規制によってサービス提供者が満たすべき要件を課すことを認めている。現在の規制には、記録の安全性、正確性、完全性、同時性を確保するためのシステムとプロセスの確立という要件が含まれており、この要件を法的に阻止することはできないようである。規制の枠組みには、CQC が登録プロバイダの情報処理を監視する権限も含まれている。

スマートデータスキーム

73. 第3部の条項には、国務長官または財務省が、規制によって、規制で指定された商品、サービス、デジタルコンテンツの供給者、および関連データを処理するその他の者に対して、顧客またはその承認された代理人が、その顧客に関するデータ(顧客データ)および供給者が提供する商品、サービス、デジタルコンテンツに関する文脈情報(ビジネスデータ)へのアクセスを提供できるようにする規制制定権および付属規定が含まれている。これらの条項は、2019年に行われた公開協議で、経済全体の市場に「スマートデータ制度」を導入するための権限を取得することを政府が約束したことを受けている。スマートデータスキームは、顧客の要求に応じて、認可された第三者とのデータの安全な共有を可能にすることを意図している。

74. これらの権限は、オープンバンキング制度に続くもので、競争市場庁は市場調査後、(競争権限に基づき)英国の9大銀行に個人・法人当座預金に関するデータの公開を命じたものである。オープンバンキング制度により、お客様は銀行やクレジットカードの取引データを、アプリケーションやサービスを提供できる第三者と安全に共有することができる。2022年3月現在、オープンバンキングを利用している消費者や中小企業は500万人を超えている。

75. これらの権限は、2021年年金制度法第4部(2004年年金法および2002年金融サービス・市場法を改正するもの)において、個人が自分の年金に関する情報に一度にアクセスできる電子通信サービスである年金ダッシュボードの権限が制定されたことも受けている。

76. これらの権限は、行使される場合、英国GDPR第20条のデータポータビリティの権利を超えて、強化されたデータポータビリティの権利を提供することが期待される。政府の見解では、英国の GDPR は「リアルタイム」または有用な形式での顧客データの提供を保証しておらず、より広い文脈のデータを対象としておらず、顧客が個人でない場合には適用されないとされている。

77. これらの権限は、2013年企業規制改革法(ERRA 2013)第89-91条(顧客データの提供)の規制制定権限に代わるもので、国務長官は、商品またはサービスの供給者が、顧客または承認者の要求に応じて顧客によって承認された人物に顧客データを提供するよう求めるための規制を制定することができるようになる。ERRA 2013 の権限は、サプライヤーが顧客データ公開のための自主的なプログラムを開発することが不可能な場合のバッ クストップとして導入されたものである。

78.  ERRA 2013 の権限は、効果的なスマートデータ・スキームを実現するためにはもはや十分ではない。例えば、より広範なビジネス・データを対象としていない、IT やセキュリティの標準が速いペースで変化する IT 環境で機能するために頻繁な更新を必要とするため、特定の人物によって公表された仕様や技術的要件を参照して規制を設けることを認めていない、サプライヤーが開示する一貫したデータセットを確保するために必要となるデータの収集と保持を求める権限を含んでいない、必要となるであろうデータのオンワード開示や使用を規制する権限を含んでいな い、などである。

79. スマートデータスキームが適用されるデータの多く(すべてではない)は、英国のGDPRが適用される「個人データ」に該当する。規制制定権および規制は、データ保護法の適用を修正または制限するものではなく、むしろ既存の体制を超えて強化されたデータポータビリティを提供するためのものである。

B 領域範囲と適用

80. 第110条は、法案の領域的範囲、すなわち法案が法律の一部を構成する法域を定めている。法案の範囲は、その適用とは異なる場合がある。適用とは、法案が実際的な効果をもたらす場所についてである。本法案における措置の適用範囲と適用を以下にまとめる。

81. 英国における領域範囲と適用に関する立場の要約は、付属書 A の表を参照のこと。

データ保護

82. 本法案のデータ保護改革は、スコットランドには及ばない情報委員会の印鑑に関する規定を除けば、英国全土に及ぶものである。本法案で改正されたデータ保護法は、英国内に設立されたデータ管理者、データ処理者、およびそれらの代理で処理を行う者に適用され、第三国に設立された管理者、処理者による特定の個人データの処理については、一部域外適用もある。

83. データ保護は留保された分野である。スコットランド、ウェールズ、北アイルランドに関する電気通信の留保は、Privacy and Electronic Communications (EC Directive) Regulations 2003の変更に適用される。立法府の同意動議(LCM)は必要ない。

DPA 2018 の Part 3 と Part 4 の変更

84. DPA2018のパート3は、管轄当局(S.30 DPA 20186に定義)およびその代理で処理する者による法執行目的の処理にのみ適用される。DPA 2018の第4部は、情報サービス(第82条(2)に定義)およびその代理で処理する者にのみ適用される。本法律による改正により、国務長官は、特定の状況において、一部の管轄当局が第4部の下でも運用することを許可することができるようになる。データ保護は留保された領域であるため、DPA2018 の第 3 部および第 4 部に関連する規定には LCM は必要ない。

警察のバイオメトリクス利用

85. 警察のバイオメトリクスとあからさまな監視の使用に関する変更は、イングランドとウェールズに限定される。スコットランドと北アイルランドでは警察活動が委譲されているが、ウェールズにはないため、(本法案が改正する)1984年警察・刑事証拠法は、イングランドとウェールズの警察部隊に適用されるのみである。

86.本法案の適用対象となるのは、イングランドとウェールズの警察部隊である。これらの規定の適用範囲は英国全域である。国際協定は、政府が国務長官の特権的権限として留保しており、国務長官によって切除される。このような協定の実施については、権限が委譲されている。その結果、スコットランド、ウェールズ、北アイルランドからLCMが要求される。

出生と死亡の登録簿

87. 出生と死亡(および一般的な民事登録)に関する立法権は、スコットランドと北アイルランドに委ねられ、これらの管轄区域における出生と死亡の登録について規定する個別の法律が存在する。ウェールズでは、市民登録に関する立法権は委譲されていない。

88. イングランドおよびウェールズにおける出生および死亡の登録に関する1953年出生・死亡登録法および1953年登録業務法を改正する条項は、イングランドおよびウェールズにのみ適用され、拡張される。

89. これらの規定は、スコットランドおよび北アイルランドにおける法律の適用を変更しない軽微で結果的な修正にも効力を持つが、修正された規定の範囲はスコットランドおよび北アイルランドに適用される。LCM(立法同意動議)は必要ない。

90. イングランドおよびウェールズにおける出生登録および死亡登録に加えられた変更の結果、一次法および二次法を修正するための規制を可能にする法案中の条項は、英国全体に適用される。

デジタル ID 検証サービス

91. これらの規定の領域的範囲は、英国全域である。この法律は、英国で設立されたデジタル ID 検証サービス・プロバイダに適用される。

92. これらの条項は、トラスト枠組み、プロバイダの登録、情報共有ゲートウェイ、および信頼マーク の作成を通じて、デジタル検証サービスの提供を規制する。デジタル検証サービスの提供はオンラインで行われるが、それらは対面だけでなく、英国全土 の個人がオンラインで利用することができる。

93. インターネット・サービスの予約は、北アイルランド、ウェールズ、スコットランドで適用される。LCM は必要ない。

デジタル経済法 2017 第 35 条に基づくデータ共有権限の拡張

94. これらの規定の領域的範囲と適用は、英国全域に及ぶ。DEA 2017の第35条と同様に、本規定は英国に拡大適用される(ただし、DEA 2017の第5部第1章の権限は、北アイルランドではまだ開始されていない)。

95. この条項の権限には関連する留保がないため、LCM が必要である。この条項は、企業に対する公共サービスの提供に関するもので、留保された目的だけでなく、分権された目的、つまり分権された公共サービスを企業に提供することでもある。この条項はまた、スコットランドと北アイルランドにはそれぞれ同等の法律があるため、拡大的に分権行政の行政能力を変更することになる。LCMは必要ない。規制を制定する権限の範囲を拡大する。これは、DEA第35条(9)~(12)の公共サービスの提供を改善する情報共有の「特定目的」の定義に合致するために、目的が遵守しなければならない条件を広げ、企業に提供される公共サービスを追加することで実現されるものである。96. 現在、DEA2017のs44及びs45に基づき、第35条に基づく情報共有の権限に関する「適切な国家当局」(内閣府大臣、スコットランド大臣、ウェールズ大臣、北アイルランド財務省のいずれか)は、個人及び世帯に関連する第35条の目的を指定できる(35条(9)?(12)の関連条件が満たされている場合)。

97. この規定により、「適切な国家機関」は、企業に関する目的も指定することができる(第 35 条 (9) – (12) 項の関連する条件が満たされている場合)。したがって、分権行政機関は、規制を通じて、DEA2017の別表4に記載される新たな事業関連の「特定目的」を指定し、「特定目的」の下で情報を共有する権限を有する「特定者」としてDEAの別表4に記載される団体を指定する新たな権限を持つことになる。ヘルス・アンド・アダルト・ソーシャル・ケア制度 98. これらの規定の地域的範囲は、イングランドとウェールズのみである。この法律は、イングランドにおける、またはイングランドに関連する医療または成人社会福祉の提供に関連して、情報技術、情報技術サービス、情報処理サービスのマーケティング、供給、提供、またはその他の方法で利用可能にすることに関係する者に適用される。LCMは必要ない。

スマートデータスキーム

99。これらの規定の適用範囲は、英国全域である。この法律は、英国内で事業を行う企業に適用される。

100.提案の多くの側面は留保されているが、一部の領域は分割されており(例:顧客が個人ではなく企業である場合)、北アイルランドの消費者保護も分割されている。したがって、3つの分権行政すべてにおいてLCMが必要である。


という背景知識をもとに、各改正を確認したいところですが、時間も予算もありません。

3 パブコメ

3.1 経緯

このデータ改革法案は、英国の「国家データ戦略」(2020年12月) に基づいて、2021年9月に発表された「データ 新しい方向性」の諮問書とそれに対するコメントをもとに政府が方針をまとめたものです。

まとめられた方針については、2022年6月にまとめられています。

3.2 概要

本回答の提案は、5 つの章にわたる 30 の見出しに整理されています。内容は、以下のとおりです。

  1. 責任あるイノベーションへの障壁を減らす 第1章は、個人データ処理に関連する現行法、定義、要件の解釈について、企業に明確性と確実性を提供することに関するものである。コンサルテーション・ペーパーの該当する章には、正当な利益の根拠を利用し、研究その他の目的のために個人データへのアクセスや個人データの共有をより可能にすることによって、個人データ処理への信頼を高めるための様々な提案が含まれています。また、政府は、最先端のデータ駆動型テクノロジーの発展に伴い、個人データをいつ、どのように責任を持って利用できるかについて、組織により確実性を持たせるための改革も提案しています。
  2. 企業の負担を減らし、人々のためにより良い結果をもたらす。第2章は、個人データの処理に関して、企業への不釣り合いな負担を減らし、人々により良い結果をもたらすことに関するものである。コンサルテーション・ペーパーの該当する章には、英国がデータの権利に関する成果ベースのコンプライアンス体制に移行するのを支援するための様々な提案が含まれています。これは、説明責任の要件を強化する一方で、個人の権利を保護するために必要な成果を満たすための最も効果的かつ適切な手段を見出す機会と柔軟性を組織に提供するものです。また、対象者のアクセス要求が組織に与える不釣り合いな影響を軽減するための改革や、プライバシーおよび電子通信規則の規則を変更することにより、不必要なクッキーバナーを制限する方法なども含まれています。
  3. 貿易の促進とデータの流れに対する障壁の軽減 第3章は、貿易の促進と個人データの流れに対する障壁の削減に関するものである。コンサルテーション・ペーパーの該当する章には、国際貿易を支援し、国境を越えた個人データの流れに対する不必要な障害を排除する、自律的な英国の国際移転体制を構築するための様々な改革が盛り込まれている。
  4. より良い公共サービスの実現 第4章は、個人データの利用とアクセスを改善することにより、より良い公共サービスを提供することに関するものである。コンサルテーション・ペーパーの該当する章には、デジタル経済法の下でのデータ共有ゲートウェイをより有効に活用し、より連携した迅速な公共サービスを促進する、COVID-19から学んだ教訓を適用する、アルゴリズムの使用に関する明確な情報を提供することにより政府の処理活動の透明性を高める、警察による生体データの収集、使用、保持に関する法的枠組みを簡素化する、などの提案が含まれています。
  5. 情報コミッショナー庁の改革 第5章は、英国の独立したデータ保護規制機関であるICOの改革に関するものである。コンサルテーション・ペーパーの該当する章には、独立した理事会を持つ新しい近代的なガバナンスの枠組みを導入し、ICOにその活動が成長、革新、競争に与える影響について説明するよう求める提案が含まれていた。

3.3 各章ごとのパブコメ等

1章 責任あるイノベーションのための障壁を減らす

1.1 概要

コンサルテーション第1章で、政府は、科学的発見を促進し、最先端技術を可能にし、経済と社会に真の利益をもたらすために、個人データを革新的かつ責任を持って利用することの重要性を強調した。

個人データの利用に関する明確で一貫したルールは、データ駆動型の新技術の採用を支援する。政府の改革案は、組織が責任を持って個人データをいつ、どのように利用できるかについて、より確実性を高めることを目的としており、法律が最先端のデータ駆動型テクノロジーの発展に遅れをとらないようにするための重要なステップとなる。データ駆動型テクノロジーの開発と導入は、英国企業に国際的な競争力を与えるであろう。これらのテクノロジーは、ビジネスをより効率的に、つまりより生産的にする。そして、これらの恩恵は、新しい革新的な製品、雇用の増加、価格の低下を通じて、英国の消費者が実感することになる。

1.2 研究目的

英国は科学と研究の分野で世界第2位であり、研究成果の54%は世界をリードしている。個人データは、多くの部門にわたる幅広い研究活動の中心にあり、研究活動における個人データが経済やより広い社会にとって重要であることは、UK GDPRに反映されている。

既存の法律には、研究目的のための処理を促進するための具体的な規定と例外規定がすでにある。しかし、研究目的のための個人データの使用をめぐる法律は複雑で、関連する規則がさまざまな法律にまたがっているため、重要かつ革新的な研究のための法的確実性を確立することが難しくなっている。さらに、既存の枠組みの中には、研究者の前に不必要な障壁を置き、研究の進捗を遅らせたり、止めてしまったりするものもある。

この問題に対処するため、政府は、法律を再構築し、その明確性を向上させ、責任ある研究者が利用できる個人データをより多く解放するためのいくつかの提案について意見を募集している。

「科学的研究」の定義(質問 1.2.2, 1.2.3,)
回答者の大多数は、科学研究の定義を法律で定めるという提案に賛成しており、回答者は、定義があれば研究者にとっての明確さが向上し、より確実なものになるはずだと主張している。新しい法的な定義を設けると、既に可能な処理の範囲が狭まるか、科学研究を装った他の種類の処理活動が含まれるように範囲が拡大するという理由で、この提案に同意しない回答者もいた。

また、政府は、現行の159条の文章が、科学研究の新たな法的定義の根拠として適切かどうかも尋ねた。これについては、さまざまな意見があった。約3分の1の回答者は、159条が研究者に理解される明確で広範な根拠を提供しているという理由で、適切な根拠であることに同意している。約3分の1の回答者は、現在の定義は曖昧すぎるとし、同意しておらず、同様の割合の回答者は意見を持たなかった。

定義を説明文から英国GDPRの本文に移すことで、研究者とデータ主体の双方に、何が科学研究を構成するかについて、より明確で可視性のあるものになる。研究は常に進化する分野であり、規制当局がガイダンスを提供する能力を維持しながら広範な定義を維持することで、定義が将来にわたって保証されるため、リサイタル159に見られる現在の文言は、これを行うのに適した基盤となる。さらに、政府は、歴史的研究と統計目的の定義も既存の説明文に基づき法律に追加し、現在法律で認められている研究分野全体の一貫性と明瞭性を確保する予定である。

研究規定の統合(質問1.2.1)

政府は、研究固有の規定を統合してまとめることを提案した。回答者の大多数は、これが法律の明瞭性を高めるという理由でこの提案に同意し、ICOからのこれに関するさらなるガイダンスを歓迎すると指摘する回答者もいた。しかし、この提案に同意しない回答者もおり、そのほとんどは、ICOからのガイダンスによって同じ効果がよりよく達成される、あるいは現在の枠組みは十分に明確であると考える回答者であった。

ICOは最近、研究のためのデータ処理に関するガイダンスの協議を開始した。このガイダンスの草案は、現行の研究規定を表にしたもので、このガイダンスに基づくアプローチは、この提案に対する賛否両論の回答者から一定の支持を集めた。このガイダンスを念頭に置き、政府は、法律全体を章立てにするのではなく、特定のセクションのみを移動させることで、より的を絞ったアプローチで法律を簡素化する予定である。

研究目的のための適法性の根拠(質問1.2.4, 1.2.5, 1.2.6, 1.2.7)

政府は、科学研究者が英国GDPR第6条にある既存の適法性の根拠を使おうとして直面する困難と、研究用の別の合法的根拠に対する意欲について意見を求めている。回答者の大多数は、最も適切な合法的根拠を特定することが研究の障害にならないことに同意した。

研究目的のために新たな合法的根拠を設けるかどうかについては様々な意見があり、支持する回答者は、新たな合法的根拠は、現在最も適切な合法的根拠の特定に苦労している研究者の助けになると指摘している。この提案に反対する回答者は、特に159条にある科学研究の広範な定義との関連で、誤用される可能性があると主張した。

政府は、研究者が個人データの処理に既存の合法的根拠を使用することに満足していることを示す証拠があるため、現時点では研究のための新しい合法的根拠を設定する提案を進める必要はないと考えている。

広範な同意の使用の明確化(質問1.2.8)

データ収集の時点で処理の目的を完全に特定することが不可能な場合に、科学研究者がより具体的でない同意の形式を使用できるようにする、幅広い同意の使用を明確にすることについては、さまざまな意見があった。支持する回答者は、柔軟性、革新性、明確性をもたらすと歓迎している。この提案に反対する回答者は、確実性に欠けるため乱用される可能性があることを懸念している。

また、おそらく序文に記載されているため、多くの回答者は、広範な同意がすでに英国のGDPRの概念であることを現在認識していないことが目立った。このことは、この文脈における広範な同意に関連して、より明確で透明性のあるものにする必要性を示していると政府は考えている。

不確実性や誤用に関する懸念を軽減し、組織や個人の間で広範な同意の可能性と使用に関する認識を向上させるために、政府は、法律の表面に記載することによって、説明文の広範な同意に関する規定をより目立つようにすることを目指す。

さらなる処理に関するルールの明確化(質問1.2.9)

回答者のほぼ半数は、適法性の根拠の設定を含む、研究のための個人データの再利用またはさらなる処理に関する現行の規則を明確にする提案に同意した。約3分の1は同意していない。幅広い同意と同様に、この提案に反対した人の中には、透明性の欠如と、組織が研究を装って個人データを予期せぬ方法で使用するリスクを懸念する人もいた。しかし、賛成派は、さらなる処理を明確にすることにメリットを感じている。

研究のための新たな適法性の根拠のセクションで説明したように、政府は研究のための適法性の根拠を確立するための提案を進める必要はないと考えている。これは、一般的に、適切な適法性の根拠を特定することは、研究者にとっての障害にはならないという証拠に鑑みてのことである。しかし、組織と個人の両方にとって法律の透明性と明瞭性を支援するために、政府はさらなる処理の明確化に関するより幅広い提案を進める予定である。これらの改革は、さらなる処理に関するセクション(1.3項)でさらに概説されている。

第 13 条が要求する情報提供の免除(質問 1.2.10, 1.2.11)

回答者の大多数は、管理者がデータ対象者に英国GDPR第13条が要求する情報を提供することを義務付ける例外を導入する提案に同意しなかった。この例外は、個人データがデータ対象者から直接取得され、研究目的で再利用される場合に適用されるが、第13条が要求する情報を提供することが不釣り合いな労力を伴う場合に限られる。この提案に対する反対派は、透明性の低下に対する懸念と、個人が自分の個人データを管理できなくなることへの懸念を挙げている。賛成派は、第13条3項の情報提供の要件は、研究者、特に長期的な研究を行う研究者に障害をもたらす可能性があると主張した。例えば、特定の病状(退行性神経疾患など)に関する研究では、研究者は直接収集したデータと間接的に収集した仮名付きデータを混在して保有することがあり、研究する際にデータ対象者に再接触することが不可能か、ほぼ不可能な場合がある。

データ対象者への再連絡が不相応な努力となるような状況で研究が妨げられないように、政府は、現在第14条5項(b)にある免除を、研究目的に限って再現する予定である。この変更は、管理者がデータ収集の時点でデータ対象者に第13条(1)&(2)の関連情報をすべて提供することを免除するものではない。しかし、この変更により、個人データが研究目的のために使用される場合、その研究目的のための情報提供が免除されることになる。

政府は、現在英国GDPRのRecital 62に記載されている文言を施行文に取り入れることで、何が不釣り合いな努力であるかを明確にする。この分野における既存のICOガイダンスと並んで、この法改正は、免責事項の使用が適切な場合について明確化することになる。

1.3 さらなる処理

個人データの再利用(「さらなる処理」とも呼ばれる)は、イノベーションの促進を通じて経済的・社会的利益をもたらすことができる。個人データが適法に再利用されることについての明確さは、重要である。データ対象者は透明性から、データ管理者は確実性から、そして社会は再利用の機会を解き放つことから利益を得ることができるのである。

特定の状況下でのデータの再利用の価値を認識し、英国のGDPRは、個人データのさらなる処理が、その収集目的と両立すると考えられる場合のルールを定めている。政府は、コンサルテーションにおいて、不確実な領域を特定し、法律の明確性を向上させ、それによって個人データの革新的な再利用とデータ主体の透明性を促進するための提案を示した。

さらなる処理に関する明確性(質問1.3.1)

更なる処理に関する現行の規定が分かりにくいかどうかについては、様々な意見があった。法律が分かりにくいと感じている人は、個人データの再利用に関する規則について組織のコンプライアンスチームや法務チームが不明確であるため、組織内の研究努力やイノベーションの推進が遅れていると説明している。また、管理者とデータ対象者の間では、さらなる処理が合法となる時期について異なる解釈がなされており、完全に禁止されるという見解もあれば、条文よりも説明文の方がはるかに明確なガイドであると強調する人もいた。

政府は、これらの反応は、現行の枠組みが十分に明確でないことを示しており、対策が必要であると判断している。政府は、個人データを合法的に再利用する方法を組織に明らかにし、データ主体には自分のデータがどのように再利用されるかを理解するための透明性を与えるため、法律を簡素化してこれに対処する予定である。

重要な公共の利益を保護する法律に基づく場合、互換性のない目的のためのさらなる処理の明確化(質問1.3.2)

政府は、重要な公共の利益を保護する法律に基づく場合、互換性のない目的でのさらなる処理の明確化など、潜在的な混乱を引き起こすさらなる処理の様々な要素について意見を求めた。より明確な説明が必要かどうかについては、様々な意見があった。回答者の中には、明示的な互換性テストに合致しない目的でのさらなる処理に懸念を示し、常に禁止されていると考えている者もいた。しかし、現行の法律では、特定のケースにおいては許容されている。

このことは、データ再利用のルールと許可についてより明確にする必要性と、より高い透明性の必要性を再確認するものである。したがって、政府は本提案を進める。

管理者が変更された場合のさらなる処理の明確化(質問1.3.3)

政府は、管理者の変更をさらなる処理とみなすかどうかを明確にすることが有益であるかどうかについて意見を求めた。回答者の大多数はこの提案を支持し、明確化することが有益であることに同意した。約3分の1の回答者は、明確化が必要であることに同意していない。一部の回答者は、管理者の変更があった場合、処理は新たな処理に分類されるべきで、さらなる処理には分類されないと考えた。また、元のデータ管理者が収集した個人データを第三者が再利用することを許可し、第三者の専門知識を活用することの重要性を強調する回答者もいた。

政府は、新たな処理とさらなる処理の区別をさらに明確にするための立法を計画している。

当初の法的根拠が同意である場合の追加処理の明確化(質問1.3.4)

政府は、当初の法的根拠が同意である場合のさらなる処理について明確化する必要があるかどうかを尋ねた。回答者の大多数は明確化が必要であることに同意し、約3分の1は同意していない。データの再利用に関しては、同位の概念が尊重されなければならないという回答者からの強い支持があった。

政府は、最初の法的根拠が同意である場合、非常に限られた状況を除いて、さらなる処理を行うことができないことを成文化する予定である。

1.4 適法な利益

データ管理者は現在、英国GDPR第6条1項(f)に基づく正当な利益の根拠に依拠する際、3つのテストを完了することが求められている。

  • 正当な利益を特定すること。
  • 処理が意図された目的にとって必要であり、より侵入性の低い手段では達成できないことを証明する。
  • 個人データ処理における自社の利益がデータ主体の権利を上回るかどうかを判断すること。

正当な利益評価の3番目の部分は、「バランシングテスト」として知られることがある。ICOのガイダンスでは、3つの部分からなる正当な利益評価の結果を文書化し、コンプライアンスを実証することを推奨している。

協議に先立ち、政府は、適法な利益評価を完了し記録するために必要な時間と労力について懸念する組織があることを認識していた。また、正当な利益の根拠を用いることは、他の根拠よりも複雑でリスクが高いと認識している組織もあった。彼らは、バランステストを正しく完了できず、その結果、ICOの調査を受け、規則違反の強制措置につながる可能性があることを懸念していた。組織は、責任に関する心配を減らすために、個人の同意を求める傾向があるが、それは同意への不適切な依存や、一部の顧客やサービス利用者の「同意疲れ」につながる可能性がある。

正当な利益のバランステストの適用除外(質問1.4.1、1.4.2、1.4.3、1.4.4)

これらの問題に対処するため、政府は、組織がバランステストを適用せず、同意に不必要または不適切に頼ることなく個人データを使用できる正当な利益の限定的かつ網羅的なリストを作成することを提案した。そのようなリストの一部として、いくつかの処理活動を検討することを提案した。

その中には、以下のような、その活動の公益的な性質に起因するものが含まれている。

  • 犯罪防止と保護目的のために必要な処理
  • 犯罪防止や安全保障のために必要な処理、公的機関による法定広報や公衆衛生・安全メッセージの配信
  • その他、商業目的での個人データの非侵入的な使用を含むもの。
  • デバイスにセキュリティアップデートをインストールする目的で顧客データを処理する。
  • 社内の研究開発目的のための個人データの処理
  • 顧客サービスの向上を目的としたビジネス・イノベーションのための個人データの処理

限定された包括的なリストを作成することで、組織はより自信を持って個人データを処理できるようになるという回答者の意見は分かれている。同意した回答者の中には、人事(HR)業務や不正行為の検出など、日常的な事業活動をさらにリストに追加すべきだという意見もあった。それでも、このような改革を支持する人の多くは、誤用を避けるために、関連する処理活動の正確な定義などのセーフガードの重要性を強調した。反対意見の中には、個人の権利を保護するためにケースバイケースの検討を続ける必要性を強調し、バランシングテストの廃止が国民の信頼水準に与える影響について懸念を表明する者もいた。

回答者の大多数は、子どものデータについてはバランシングテストを維持することに同意しており、反対意見はごくわずかであった。

様々な意見があることを踏まえ、政府は、当初は慎重に定義された限られた数の処理行為に関して、この提案を追求するつもりである。これには、データ管理者が犯罪防止や保護に関する懸念の報告のために行う処理活動や、その他の重要な公益上の理由のために必要な処理活動が含まれると思われる。政府は、リストに追加すべき他の情報処理活動が確認された場合に備えて、そのリストを更新する権限を設けることを提案している。いかなる変更も議会の精査を受けることになる。

政府は、このアプローチが個人の権利を継続的に保護することがいかに重要であるかを認識している。バランス・テストが削除された活動については、政府は子供のデータについて追加の保護措置が必要かどうかを検討する予定である。この法律が、虐待の迅速な報告や児童の福祉を守るためのその他の措置を妨げることがないようにする目的で、ある活動がリストに追加された場合は、その必要はないかもしれない。さらに、データ管理者は、リストアップされた活動のうちの1つのための処理がデータ保護の原則のすべてに準拠し、英国のGDPRの第6条1項(f)の必要性テストに適合していることを証明する必要がある。処理が特殊カテゴリデータを含む場合、管理者は、英国GDPR第9条およびDPA2018の別表1にある条件および保護措置に準拠することも求められるであろう。

リストに掲載されていない処理活動については、データ管理者は引き続きバランシングテストを実施する必要がある。

1.5 AIと機械学習

諮問文書に示されているように、責任を持って使用すれば、データ駆動型の人工知能(AI)システムは、私たちの生活に驚くべき利益をもたらす可能性がある。AIと機械学習のアプリケーションの開発は、データに依存しており、その収集、管理、使用に関する要求がある。政府のコンサルテーションでは、特にAI技術と英国のデータ保護体制との相互作用に焦点が当てられている。

2021年9月に国家AI戦略を発表した後、政府はAIガバナンスに関する白書を提出する予定である。これは、AI技術の出現から生じるさまざまなガバナンスの問題にわたって、政府がAIにおける英国のリーダーシップをどのように構築する予定であるかを示すものである。

コンサルテーションでは、組織が責任を持ってAIシステムを構築または展開し、リスクを管理し、個人がデータの権利が尊重されていると信頼できるようにしながら、慎重にイノベーションを行うために、改革がどのように役立つかを探った。

AIの文脈における公平性(質問1.5.1、1.5.2、1.5.3、1.5.4)

AIガバナンスは生きた議論である一方、政府はAIシステム(とその利用)が公正であることを期待している。「公正」は非常に文脈依存的な概念であり、公正の概念は様々な法的枠組みに存在するため、AIの文脈における公正をナビゲートすることは複雑な作業である。機械学習やAIの利用という文脈で公正は発展的な意味を持ち、AIシステムの利用によって生じる不公正な結果をどのように防ぐことができるかという問題がある。

政府は、公平性に関する現在の法的義務が明確であるかどうか(AI駆動型技術の開発という観点と、既存のデータ保護体制内の両方)についての見解を求めた。また、政府は、公平性に関連する概念(特に結果)の評価において、どのような立法制度や規制当局が役割を果たすべきかについても見解を求めた。

AIシステムを開発・展開する際に、公正さに関して現行の義務が十分に明確であるかどうかについては、様々な意見があった。同様に、既存のデータ保護体制がAIシステムを開発・展開する組織に課す公平性の要件が全体的に明確であるかどうかについても、意見が分かれた。回答者の中には、データ保護法における公平性の義務が、明らかに異なる非差別の法的概念とどのように相互作用するかについて、ある程度の混乱を指摘する者もいた。また、「結果の公正に関する実質的な概念」の策定は、データ保護法の範囲外であると考える回答者もいた。回答者の約 3 分の 1 は、データ保護体制における結果の公平性の実体的な概念の発展がリスクをもたらすこと に同意している。データ保護法は、個人情報が含まれることを前提に、経済界で起こりうるすべてのAIユースケースを効果的にカバーすることができないし、最適な場所でもないと回答しており、リスクをもたらすという意見には異論もあった。

また、コンサルテーションでは、AIと公正さに関する様々な公開質問も行われた。

回答者は、従来はデータ保護の範囲外であったものの、より広範な公正の領域に存在する以下のような措置や保護措置の重要性を強調した。

  • AI開発者が、AI開発プロセスにおいて、公平性と偏見緩和のためのツールを使用することを支援するためのガイダンス。
  • AIの開発に携わる個人および団体の定期的な評価
  • より広範な開発プロセスへの影響を受けるステークホルダー集団の参加
  • アルゴリズム影響評価の実施と公表

規制当局が公正さの実質的な評価において役割を果たすことを支持する意見が多く、ICOや金融行動監視機構(FCA)のような特定分野の規制当局を支持する意見があったが、明確なコンセンサスは得られていなかった。回答者は、明確性を高めるために、当局と規制当局の間の規制協力の必要性に言及した。

データ保護法が、より広範なAIガバナンスの公正さ(fairness)の問題を扱うのにふさわしい場所であるかどうかについては、コンセンサスが得られていなかった。回答は次のことを示していた。

  • データ保護における公正さの問題は、AIガバナンスの全体的なアプローチの一部として考慮される必要がある。
  • データ保護規制の対象外である非個人データの使用からも、公正さの問題が生じる。
  • ICOの役割は、より広い規制状況の中に位置づけられるべきである。
    政府は、AIガバナンス白書の一環として、より広いAIガバナンスにおいて公正さが果たすべき役割を検討するが、現在のところ、これに関する法制化は予定していない。

信頼できるAIシステムの構築(質問1.5.5、1.5.6、1.5.7、1.5.8、1.5.9)

政府は諮問文書において、AIシステムの開発を目的として個人データを処理する際に、組織が適法性の根拠を特定する際に課題を経験するかどうか、また、組織がデータの再利用制限をうまく切り抜けられないかどうかについて、さまざまな公開質問を行った。

回答者からは様々な意見が寄せられたが、明確なテーマはなかった。研究目的の個人データ処理に関する規定が適用される組織の種類をさらに明確にすることが有益であると述べた回答者もいれば、合法的な根拠に関する既存のガイダンスで十分であると示唆した回答者もいた。

AIを活用した自動意思決定の利用は、今後数年で大幅に増加すると思われる。AIを活用したサービスが善の力となり、不用意に消費者を害することがないようにすることが重要である。政府は、AIツールに取り組む組織には、害を及ぼすことなく実験するスペースが必要であることを認識している。コンサルテーションでは、AIをテスト・訓練する目的で、組織が個人データをより自由に使用できるようにすべきかどうかについて意見を求めた。回答者の大多数は、現時点では、AIを訓練するための個人データの使用に関する現行の要件を変更する必要があるとは考えておらず、回答者は、既存の規定によって組織が実験することがすでに可能であると述べている。

AIにおけるバイアスの緩和(質問1.5.10、1.5.11、1.5.12)

信頼できるAIシステムのもう一つの重要な側面は、データセットに潜在するバイアスを組織が確実に認識できるようにすることである。諮問文書にあるように、偏りの監視と修正には、個人データの利用が伴うことがある。

政府は、偏りを軽減する目的でそのようなデータを処理することを、バランステストを適用せずに、組織が処理を実行するために依拠することができる正当な利益のリストに含めるべきかどうかについての意見を求めていた。政府はまた、さらなる法的明確化が必要かどうか、スケジュール1、パート2 DPA 2018のパラグラフ8が十分なゲートウェイとなるか、代わりに、適切なセーフガードを条件として、偏見の監視と修正を目的とするセンシティブデータの処理を支援する新しい条件を作成すべきかどうかについての意見も求めた。

回答者の大多数は、AIシステムにおける偏りモニタリングと補正に関連して、どのようにセンシティブデータを合法的に処理できるかについて、追加の法的明確化が必要であることに同意した。一部の回答者は、偏見モニタリングと補正のためのセンシティブデータの処理に新しい条件を導入することのメリットについて洞察を示し、これにより別表1のパラグラフ8に含まれないセンシティブデータの処理が可能になることを指摘した。多くの回答者は、十分な保護措置が実施されない場合、抜け穴が生じる可能性についての懸念を強調しており、政府はこれらの懸念を認識している。

政府は、AIシステムの偏りを監視・修正する目的でセンシティブ個人データの処理を可能にするため、DPA2018の別表1に新たな条件を導入する予定である。この新条件は、この目的のために処理する場合、再利用の制限やセキュリティおよびプライバシーを保護する措置の実施など、適切な保護措置の対象となる予定である。

回答者の大多数は、バイアス監視を正当な利益のリストに含めるという提案に同意していないが、この提案に対する支持もあった。組織は、処理される個人データが、特定のシステム内の偏りの潜在的な害に比例していることを確認することに価値を見出す。

1.4節(正当な利益)](#s1-4}で示したように、政府は、慎重に定義された当初限られた数の公益活動に関してのみ、バランステストを取り除くつもりである。これには、AIシステムにおけるバイアスの監視と補正は含まれない。つまり、これらの目的のためにデータを処理する組織は、適切な場合には依然として正当な利益の合法的根拠に頼ることができるが、通常の方法でバランス・テストを行う必要がある、ということである。

自動化された意思決定とプロファイリングに関する権利(第22条)(質問1.5.14, 1.5.15, 1.5.16, 1.5.17)

協議文書に概説されているように、AIシステムの信頼性は、特定の設計上の特徴だけでなく、それらが重要である場合、例えば、行われた決定の説明責任と分かりやすさを確保するための人間の監視のような効果的な保護手段にもかかっている。英国GDPRの第22条には、自動化された意思決定とプロファイリングに関する規定がある。すべてのAIシステムが第22条の適用を引き起こすわけではなく、「もっぱら自動化され」、「本人に関する法的効果を生み出し、または本人に著しく影響を与える」意思決定プロセスのみが対象となる(英国GDPR第22条1項に規定)。政府は、「自動化された処理のみに基づく意思決定」と「法的効果または類似の重大な効果」を構成するものの限界と範囲を明確にすること、また、第22条が十分に将来性を持ち、実用的で、比例するものかどうかについて意見を求めた。

協議の回答は、第22条の現在の運用と有効性が不確実であることを示した。回答者は、「単独で」という用語の混乱や、「単独で」自動化された意思決定やプロファイリングとみなされないために必要な人間の関与の要件があいまいであることを指摘した。また、ある決定が重大な影響(第22条の範囲に入る)をもたらすかどうかは、非常に文脈依存的であり、医療などの一部の分野では重大な影響をもたらす可能性が非常に高いという意見もあった。限界と範囲をどのように明確にするかについて明確なコンセンサスは得られておらず、回答者は、有意義なセーフガードを保持する一方で、第22条が実用的かつ適切であるように十分に将来を見越したものとなっているかどうかについて様々な見解を示した。

回答者の大多数は第22条を削除する提案に反対しており、回答者は自動化された決定を人間がレビューする権利が重要なセーフガードであると指摘している。一部の回答者は、第22条の完全な撤廃は、自動化された意思決定を行うための信頼できる司法管轄権としての英国の評判を損なうと主張した。政府は、適切なセーフガードの重要性を認識しており、この提案を追求することはない。

政府は、第22条が適用されなければならない状況を明確にするために、第22条をどのように改正するかを検討している。政府は、この分野の提案を、近々発表されるAIガバナンス白書の一部として示される、AIを活用した自動意思決定のガバナンスに関するより広範なアプローチと整合させたいと考えている。改革は、第22条を、自動化された意思決定のみを一般的に禁止するのではなく、特定のセーフガードに対する権利として投げかけることになる。改革は、適切な保護措置を講じた上でイノベーションの余地を提供し、AIを活用した自動意思決定の展開を可能にする。

データ駆動型AIシステムの利用に対する国民の信頼(質問1.5.18、1.5.19、1.5.20)

コンサルテーションでは、データ保護ツールの有効性と比例性、プロファイリングの問題や特定のグループへの影響に対処するための規定と定義、政府が検討できる法改正があるとすれば何か、データ保護が特定のAIユースケースのデータ駆動型集団危害を評価するための正しい法的枠組みであるかどうかについて、公開質問を行っている。コンサルテーションでは、この急速に進化する状況において、データ保護が唯一の関連する法的枠組みではないことを認識した。

コンサルテーションでは、データ保護が、個人が自分についてどのように自動化された決定がなされたかを理解するのを助けるのに、十分に効果的であるかどうかについて、様々な意見が出された。回答者の中には、現行の法律が提供するセーフガードは十分であると指摘する者もいたが、特に規制当局間の協力によって開発されたガイダンスが有益であると述べている。政府は、AIガバナンス白書を通じて、その中でのデータ保護法の役割を含め、AIによる自動的意思決定の説明可能性と理解可能性へのアプローチをさらに検討する予定である。

1.6 データの最小化および匿名化

英国のデータ保護法は、個人データが適切であり、関連性があり、処理される目的との関連で必要なものに限定されることを要求している。これは、一般にデータ最小化の原則と呼ばれている。仮名化などのデータ最小化技術を個人データに適用することで、個人データを保護し、より安全な方法でデータを使用および共有できるようになる。仮名化と匿名化の違いは重要で、仮名化されたデータはデータ保護法の適用を受けるが、匿名化されたデータは適用されないからである。

匿名とみなされるデータの明確化(質問1.6.1, 1.6.2, 1.6.3)

政府は、どのような場合にデータが匿名とみなされ、データ保護法の適用外となるかを明確にする案を提示した。このコンサルテーションでは、匿名データを再識別できるかどうかのテストは、管理者がデータを再識別するために利用できる手段に関連していることを確認するための法制化を提案している。

回答者の大多数は、より明確な法制化が有益であることに同意したが、多くの回答者は、匿名化の定義を現実的に達成できないほど高い水準に設定したり、時の試練(test of time )に耐えられないような形で定義することには慎重であった。一部の回答者は、テストが相対的なものであることを確認する提案を支持し、少数の回答者はこの提案に反対した。

したがって、政府は、生存する個人が識別可能であり、したがって法律の範囲内にある場合、識別可能性のテストは相対的なものであり、テストは欧州評議会の条約108+の説明報告に示された文言に基づくべきであることを法律で明確にするつもりである。

これは、生存する個人が、特に処理時に利用可能な技術や技術開発を考慮した「合理的な手段」によって、管理者または処理者によって識別可能である場合になり得る。あるいは、他のデータ管理者または処理者にデータを渡すと再識別される可能性が高いことを管理者または処理者が知っているか、合理的に知るべき場合、その組織が利用できる手段を考慮して、このような場合もあり得る。

匿名データに関するこのテストを相対的なものとして確認し、特定の時点で管理者が利用可能な手段に焦点を当てた条約108+の説明レポートの文言を取り入れることで、政府は匿名化について不可能なほど高い基準を設定することを避けようとしている。

プライバシーを向上させる技術(Privacy-enhancing technology)(質問1.6.4)

コンサルテーションでは、プライバシーを向上させる技術(PETs)を促進するために、政府がもっとできることがあるかどうかについて、自由な質問をした。研究開発への継続的な投資の必要性が強調され、また、一般向けの教育やガイダンスにさらに重点を置く必要性も指摘された。匿名化とPETに関するICOガイダンスCentre for Data Ethics and InnovationのPETs採用ガイドはこの点で有用であるが、政府は、PETの利点を説明し、その使用に対する信頼を向上させるには、一般市民に直接合わせたさらなるガイダンスが有用であろうことを認識している。

また、政府は、PETs が達成できることについて過剰な期待をすることに注意を促す回答者がいた ことにも留意した。回答者は、PET は総合的なプライバシー管理プログラムの一部として推進することができ るが、プライバシーリスクの低減に役立つより広範な組織的措置の代替と見なすべきではないことを示唆し た。政府は、プライバシー管理に対する組織の取り組みの一環としてPETの採用が奨励されるよう、引き続きICOと連携していく予定である。

また、政府は、革新的な技術の研究開発を促進するために、国際的なパートナーとの機会を模索することに熱心である。例えば、最近、米国と協力して、プライバシー強化技術(PETs)の進展に焦点を当てた二国間イノベーション賞の課題に取り組む計画を発表した。

1.7 革新的なデータ共有ソリューション

責任あるデータ共有ソリューションは、成長を促進し、イノベーションを後押しすることができる。政府は、機密(個人またはその他)データの共有が可能な新しい革新的な方法を奨励することを目指している。その方法の一つがデータ仲介業者経由である。データ仲介者は、機密データを保持する人とそれを使用する人の間で、責任ある効率的な方法で機密データを管理する手助けをすることができる。

この業界はまだ発展途上であり、政府はデータ仲介者の活動を可能にするための政府の役割について意見を求めた。データ仲介者の活動にどのような法的根拠が適用されうるか、データ保護処理の権利と責任をデータ仲介者に与えるかについて、様々な公開質問がなされた。

データ仲介者( intermediaries)(質問1.7.1)

データ仲介者は、革新的なデータ共有ソリューションのための積極的な可能性を提供する。このコンサルテーションでは、データ仲介者の可能性についていくつかの自由な質問をした。データ仲介機関について意見を述べた回答者の約 4 分の 3 は、データ仲介機関は革新的なデータ 共有ソリューションのための積極的な可能性を提供すると考えている。

責任あるデータ仲介者の活動を可能にするために政府が役割を果たすべきかどうかについては、様々な意見があり、どちらかが優勢というわけではなかった。公開質問状への回答を考慮すると、約半数の回答者が、政府はデータ仲介者の活動を支援する役割を果たすべきと考え ていることがわかる。また、既存の枠組みにおける権利や義務の明確化、新たなガバナンスの構築などを通じて、仲介者の活動に対する信頼を醸成し、その発展を阻む障壁に対処する上で、政府は有益な役割を果たすことができると考える回答者もいた。

データ仲介者の活動を可能にするために政府が積極的な役割を果たすことに同意しない回答者のうち、多くは個人データの共有を促進するための新たなソリューションの構築に反対し、個人データの共有を増やすべきではないと主張した。また、データ仲介者は悪意のある行為者のターゲットになる可能性があるとの意見もあった。

適切な介入に関する見解は、対象となる仲介者のタイプによって異なる。主に、特定の当事者間やネットワークの一部として個人データの交換を促進する仲介者と、個人データの交換を促進する仲介者の2つのグループに回答が集中した。

後者については、提案された介入策の多くが、将来のスマートデータ制度の下でデータ受信者を規制するために想定される手段を含んでいた。例えば、より摩擦の少ない個人データアクセスを支援するための共通基準の策定、データ保有者が顧客から要求されたデータを相互運用可能な形式で直ちに共有することの義務付け、データ受信者の責任ある行動を確保するための認定制度の策定などである。

政府は、スマートデータスキームの開発を可能にするための立法化を長年にわたって約束している。私たちは、このような法律が、様々なデータ仲介者がこれらのスキームの下でデータ受信者としてサービスを提供する可能性を排除しないこと、また、これらの仲介者の潜在的参加に伴うリスクが規制を通じて適切に管理されることを可能にするよう取り組んでいる。

政府は、将来のスマートデータスキームの枠組みを確立し、設定する規制が、データ仲介者がもたらすあらゆるリスクを軽減しつつ、そのメリットを最大化するよう適切に設定されるよう努力する。また、仲介者市場の発展を監視し、例えば、セクターを越えて活動する仲介者によって可能となる複雑で大量のデータ共有に関連するリスクを軽減するなど、将来の法律やその他の措置の事例を検討する。仲介者の既存の権利と義務の明確化、仲介者を支援するための有望なアプローチのテストなど、非法律的措置のケースを検討する。

データ仲介者に関する合法的根拠(質問1.7.2)

コンサルテーションでは、同意以外の合法的な根拠がデータ仲介活動に適用される可能性があるかどうかについて、様々な公開質問を行った。他の合法的な根拠が適用される可能性があることに同意した多くの回答者は、代替的な合法的な根拠として正当な利益に言及した。同意しない回答者は、同意が唯一の合法的な根拠であるべきだと考えている。政府は、この質問に関して当面の計画はないが、回答者のコメントをこの分野での今後の政策立案に反映させる予定である。

1.8 さらなる質問

本章の最後には、改革案に関するその他のコメントを回答者に提供するための自由形式の質問が用意されている。本章の最後に設けられたその他の質問に関連し、回答者から提起された重要な問題はなかった。

第2章 企業の負担軽減と人々のためのより良い成果の実現

2.1 概要

コンサルテーションの第2章では、政府の「デジタル規制のための計画」に記載されているように、企業が機動的な規制アプローチから利益を得られるようにする一方で、高水準で柔軟なデータ保護体制を提供する方法について検討した。

政府は、企業と個人の双方にとってより良い結果をもたらすガバナンス、ポリシー、ツール、人材、スキルへの投資を増やすインセンティブを組織に与える体制を構築する機会を強調した。政府の改革案は、個人にとって限られた価値しかない不釣り合いな規制負担を生み出すのではなく、データ資産の価値を引き出す、より大きな柔軟性とより適切で的を絞ったコンプライアンス活動を実現することを目指している。

2.2 説明責任の枠組みの改革

政府は、説明責任の原則を基本的なものと考えているが、データ管理者がデータ保護法をどのように遵守しているかを実証するための現在の要件が、一部の組織に不釣り合いな負担を強いる可能性があることも認識している。政府は、「プライバシー管理プログラム」に支えられた、より柔軟な説明責任の枠組みを導入する案を提示した。効果的なプログラムを実施するために組織が取るべきステップは、関係する個人データの量と機密性を反映する。

プライバシー管理プログラムのアプローチは、説明責任の核となる以下のような多くの要素に基づく。

  • リーダーシップと監督
  • リスク評価
  • 方針とプロセス
  • 透明性
  • スタッフのトレーニングおよび意識向上
  • 監視、評価、改善

個人情報保護管理プログラムの実施を支援するため、政府は、以下の既存の要件を削除することも提案した。

(i) 第37条から第39条に基づくデータ保護責任者の指定。
(ii) 第35条に基づくデータ保護影響評価を実施すること。
(iii) 第30条に基づく処理活動の記録を維持すること。

その代わりに、政府はプライバシー管理プログラムの下で、以下のような補完的な措置を提案した。

(i) プログラムを担当する適切な上級者を任命すること。
(ii) リスクの評価、特定、軽減に役立つリスク評価ツールを組織が確実に実行すること。
(iii) より柔軟な記録保持の要求。

説明責任( accountability )の枠組みの改革(質問2.2.1)

回答者の大多数は、現行の枠組みは規範的な要件を減らし、よりリスクに応じたものにすべきであるという意見に同意していない。しかし、約3分の1の回答者は同意しており、説明責任の枠組みを改革する必要性を支持する回答者は、より柔軟でリスクベースのアプローチにより、データ管理者と処理者は、コンプライアンスとコンプライアンスの実証の両方に対してより思慮深いアプローチを取ることができるようになると主張している。

しかし、組織からの回答のみを見ると、回答者の大多数は、より柔軟でリスクベースの枠組みにすることに同意している。組織は、説明責任に対してより柔軟なアプローチを認めることで、組織がより効果的にリソースを集中させることができる柔軟性が得られると回答している。

新たなプライバシー管理プログラムの導入(質問2.2.2、2.2.3)

リスクベースのプライバシー管理プログラムの策定と実施を義務付けることが、組織にとって有益かどうかについては、さまざまな意見があった。同様に、個人がリスクベースのプライバシー管理プログラムから利益を得るかどうかについても、様々な見解があった。プライバシー管理プログラム導入の提案に反対した人の中には、遵守の仕方について混乱を招き、データ対象者に一貫性のない結果をもたらす危険性があり、さらなる規制の変更は実施にコストがかかると考えた人もいた。しかし、賛成派は、このアプローチにより、最もリスクの高い分野にリソースを割り当て、組織が現実的なアプローチを取ることができるようになるとし、プライバシー管理プログラムは、画一的なアプローチを根絶するのに役立ち、特に中小企業(SMEs)に有用であるとしている。

政府は、コンサルテーション・プロセスで提起された懸念に対処する形で法律を設計し、組織にプライバシー管理プログラムを実施するよう要求することを計画している。特に、政府は、組織が英国のGDPRを遵守するためにポリシーとプロセスを確立するために費やした時間とリソースに関する懸念、およびさらなる規制の変更はさらなるコストにつながることを認めている。

しかし、プライバシー管理プログラムの実施を義務付けることで、組織は現在の説明責任の仕組みを、説明責任のための全体的なアプローチの要素として統合することができるようになる。

つまり、現在英国のGDPRに準拠している組織は、新しい法律が提供する追加の柔軟性を利用しようとしない限り、新しい要件に準拠するためにそのアプローチを大幅に変更する必要はない、ということである。さらに、政府は、組織がチックボックスプロセスに従うのではなく、新体制の成果を満たすために処理活動を調整することが求められるため、要件を改善し、より柔軟なものに置き換えることが、個人にとってより良い結果につながると考えている。

説明責任の原則はプライバシー管理プログラムの鍵であり、個人データの責任ある利用は、新体制の下でも説明責任の枠組みの中心に置かれ続けるだろう。プライバシー管理プログラムに基づく枠組みへの移行により、組織は英国体制の要求事項を満たすために、より適切なアプローチを取ることができるようになる。小規模な組織が直面する規範的な規制の負担を軽減し、多くの組織が関連する利害関係者にコンプライアンスを実証するために必要な結果に焦点を当てることができるようになるのである。

政府のコンサルテーションでは、回答者が基準の引き下げを懸念していることを認識している。しかし、改正後の体制では、組織は、処理活動のレベル、扱う個人データの量と感度に基づいたプライバシー管理プログラムを実施しなければならない。したがって、機密性の高いデータ(すなわち特殊カテゴリーデータ)やリスクの高いデータを大量に処理する組織は、説明責任に対して最も強固なアプローチを取ることが期待される。政府は、プライバシー管理プログラムは、組織的責任、リスク管理、透明性、スタッフのトレーニングと意識向上、組織内のデータ保護管理の継続的な監視、評価、改善など、説明責任の核となる原則に重きを置くと考えている。

現行の罰則と整合させるため、プライバシー管理プログラムの要件も現行制度と同様の制裁の対象となり、最高で870万ポンドまたは全世界の年間売上高の2%のいずれか大きい方の罰金を科すことになる。

データ保護責任者の撤廃(質問2.2.4, 2.2.5, 2.2.6)

回答者の大多数は、データ保護責任者の指定要件を撤廃する提案に反対している。回答者は主に、データ保護責任者の要件が撤廃されるとデータ保護の専門性が失われ、独立性の欠如によりデータ対象者への信頼と安心感が低下する可能性があるという懸念を挙げている。多くの個人は、義務化された場合、自分の組織は同様の役割を維持しないと考えているが、ほとんどの組織は維持する可能性があると回答している。しかし、データ保護責任者を指名する義務の撤廃に賛成する回答者は、これは中小企業、特に機密性の高い個人データを取り扱わない企業にとって有益であると述べている。少数の回答者は、真に独立した人物を任命することは困難であると指摘している。

上級責任者の選任という新しい要件は、データ保護の文化を組織全体に根付かせるために、データ保護が上級レベルで確立されていることを確認することに重点を移すものである。そのため、政府はデータ保護責任者の指名要件を撤廃する方向で進める予定である。データ保護責任者の業務のほとんどは、プライバシー管理プログラムの一環として監督する指定された上級者の最終的な責任となる予定である。

指定された上級者の役割には以下が含まれる。

  • ICOおよびデータ対象者に対する代理人または代理人の委任
  • プログラムのために適切な監督とサポートが行われ、適切な人材が任命されていることを確認すること。
  • スタッフが組織のポリシーを理解できるよう、個々のニーズに合わせたトレーニングを提供すること。
  • プログラムの有効性を定期的に監査する

政府は、データ保護責任者の任命に関して、組織がさまざまなガバナンス構造を有していることを認識している。プライバシー・マネジメント・プログラムは、上級責任者による適切な監視がある限り、これまでデータ保護責任者を使用していた組織が引き続きそうすることができるような柔軟性を提供している。例えば、大量の機密性の高いデータを処理する組織では、コンプライアンスを監視し改善する最善の方法であると考えられる場合、データ保護責任者の任命とリソースの提供を継続することができる。

データ保護影響評価の廃止(質問 2.2.7、2.2.8)
回答者の大多数は、データ保護影響評価の要件がリスクの特定と軽減に役立つことに同意し、データ保護影響評価を実施する要件を削除する提案に同意しなかった。しかし、一部の回答者は、データ保護影響評価を組織のニーズに合わせて行うことができるような、より柔軟なアプローチを歓迎すると述べている。これは、データ保護影響評価は、組織内で行われる同じ結果を得るための他のリスク評価のより杓子定規な重複になりかねないからである。例えば、コンプライアンスチームがより広いリスク分析を行う組織は、データ保護影響評価の要件の一部と重複することになる場合がある。

新しいプライバシー管理プログラムの下でも、組織はリスクを特定し管理することが求められるが、これらの要件を満たす方法については、より大きな柔軟性が認められることになる。例えば、組織は、英国のGDPRで規定されているデータ保護影響評価を行う必要はなくなるが、組織全体のデータ保護リスクの特定、評価、緩和のためのリスク評価ツールがあることを確認することが求められる。そのため、政府はデータ保護リスクアセスメントの実施要件の削除を進める予定である。政府は、コンサルテーションから、組織がデータ保護影響評価を実施する際に、より柔軟性を持つことが有益であると理解している。組織は、データ保護影響評価を引き続き使用することを望むかもしれないが、処理活動に基づいて調整することができる。また、我々のコンサルテーションでは、新しい要件を達成する方法として、既存のDPIAが引き続き有効であることを明確にしている。

処理活動の記録要件の削除(質問2.2.11, 2.2.16)
政府はまた、処理活動の記録を維持する要件が負担になるかどうかについて意見を求め、プライバシー管理プログラムの下でより柔軟な記録維持要件に置き換えることを提案した。

回答者の大多数は、この要件の削除提案に同意しなかった。多くの回答者は、既存の要件は負担にならず、どのような個人データを処理し、それがどの程度の機密性を持つかを容易に理解できると感じている。しかし、同数の回答者は、現行の要件は作成と維持の両方に負担がかかり、法律上の他の文書要件と重複していると感じており、したがって、記録保持にもっと合わせたアプローチを取るための柔軟性の向上を歓迎すると述べている。

また、回答者には、記録保持の要件が第13条と第14条と重複しており、特に利点がないかどうかも尋ねた。回答者の約半数はこれに同意せず、記録保持の要件は、データの利用方法や共有先について個人に知らせるという第13条と第14条の要件に準拠するための基本的な構成要素であると感じている。回答者の約4分の1は、特に利点のない重複があることに同意している。

組織は、プライバシー管理プログラムの一環として、個人データのインベントリを作成する必要があり、そこには、何が、どこで、なぜ収集され、どの程度の機密性があるのかが記述されることになるが、第30条の要件に規定された方法でそれを行うことは要求されない。そのため、政府は記録保持規定の要求事項の削除を進める予定である。プライバシー管理プログラムでは、処理目的を文書化することが引き続き要求されるが、より組織に適した方法で行われる。

全体として、新体制では、組織は引き続きデータ保護について同じ高い基準を維持することが求められるが、扱う個人データの量と機密性、および実施するデータ処理の種類を反映した方法でこれを行う柔軟性が与えられることになる。政府は、組織が規範的なチェックボックス・リストを満たすのではなく、プライバシー管理プログラムの設計に集中することを促す新しい枠組みを提供することで、透明性の高い実践にもつながると考えている。なぜなら、組織は、リスク評価とコミュニケーションプログラムの有効性と適切性、および関連するデータ対象者にプログラムをいかに効果的に伝えるかに、より焦点を当てる必要があるからである。

事前協議の要件(質問2.2.9)

政府は、ICOと組織の間で、より積極的でオープンかつ協力的な対話をさらに奨励し、リスクをよりよく特定し軽減するために協力できるようにしたいと考えている。英国GDPRの第36条(1)~(3)に基づき、組織が軽減できない高いリスクをもたらすデータ処理活動を特定した場合、ICOに通知しなければならない。政府は、第36条の遵守率が低いことを認識している。

コンサルテーションでは、組織が高リスクの処理活動を行う前にICOに相談するという義務的な要件を削除し、代わりに規制当局との任意の事前相談を、組織に対して強制措置を取る際にICOが考慮しうる緩和要因とする案が提示された。

一部の回答者は、ICOに相談するという現在の要件を自主的なインセンティブに置き換えることで、リスクの高い処理の前に、規制当局と組織との間でより良い、より積極的な対話が行われるようになると考えている。回答者の大多数は、将来の調査や強制措置の際に緩和要因として考慮されるのであれば、組織は高リスクの処理活動を開始する前に自主的にICOに相談する可能性が高いことに同意している。同時に、特に新しい、あるいは革新的な処理方法の場合、高リスクの処理を開始する前にICOに相談することに、組織がまだためらいを感じるという意見もあった。政府は、この提案を進め、強制的な要件を取り除き、自発的な仕組みを採用する予定である。

自主的な誓約プロセス(質問2.2.13)

政府は、シンガポールの積極的強制(Active Enforcement)制度に類似した、新たな自発的誓約プロセスを導入するかどうかについての見解を求めた。これは、説明責任に対して積極的なアプローチをとっていることを示す組織であれば、侵害を発見したときに、ICOに是正措置計画を提供することができることを意味する(ただし、その計画が、問題を解決するために考えられる原因と手順を強調している場合に限る)。

回答者の約半数はこの提案に同意し、約3分の1は同意していない。このプロセスは、是正措置の要件が杓子定規で資源集約的であるため、中小規模の組織にはあまり役に立たないのではないか、また、ICOとの事前の文書による取り決めがない組織にはメリットがないのではないか、という懸念が示された。さらに、現行の枠組みでは、個人データの侵害を文書化し、実施した是正措置を示すことがすでに組織に求められており、その結果、ICOは英国GDPR第33条(5)に基づくコンプライアンスを確認することができるようになっている。そのため、政府はこの提案を追求することはない。

違反報告要件(質問2.2.12)

違反報告要件は、英国GDPRの第33条の下で設定されている。これらの要件は、「個人データの侵害が自然人の権利と自由に対するリスクにつながる可能性が低い場合を除き」、組織がデータ侵害をICOに通知しなければならないことを意味する。実際には、比較的軽微な違反が報告され、ICOによる追跡調査が行われるとは限らない。そこで政府は、個人データ侵害の報告基準を変更し、個人に「重大な」リスクをもたらす侵害のみを報告するようにした場合の影響について、意見を求めた。

この協議に対する回答は、企業にとって不釣り合いな負担を減らすことができると考える人、まったく変化がないと考える人(「用心のため」に侵害を報告することは変わらないため)、個人に対する保護を減らすことができると考える人など、さまざまな意見が出された。後者については、個人情報漏えいが発生した時点で、その本当の重大性が判明するとは限らないという指摘をする組織もあった。また、ある組織では小さな違反に見えても、セクター全体で同じミスが繰り返されれば、より深刻な違反になる可能性がある、との意見もあった。

ICOを含む一部の回答者は、この分野の法改正が、ICOや他の機関にとって潜在的なサイバーリスクに関する貴重な情報データの減少につながる場合、間接的な影響を及ぼす可能性があると強調している。さらに、多くの回答者は、侵害を報告するタイミングについてICOから追加のガイダンスがあれば、法改正よりも負担の軽減に役立つと考えているようである。

これらの回答を考慮し、政府は法改正を追求しないが、ICOと協力して、組織に対する違反報告に関するより明確なガイダンスの実現可能性を探っていく予定である。

コンサルテーションでは、政府がプライバシー・マネジメント・プログラムの導入を進めないことを選択した場合の代替となる独立した改革を提案した。政府は、プライバシー管理プログラムの実施要件の導入を進める予定であるため、これらは追求されない。

2.3 主体アクセス要求

アクセス権はデータ保護枠組みの重要な権利の一つであり、対象者アクセス要求はこの重要な部分である。データ対象者は、自分に関するデータの正確性を確認し、それがどのように使用され、 誰と共有されているかについて詳しく知ることができる。

主体アクセス要求は、データ対象者が自分のデータを管理できるようにするための重要なメカニズムであるが、要求に対応することは、組織にとって時間とリソースを要する場合がある。

主体アクセス要求のリソースへの影響(質問 2.3.1)
政府は、主体アクセス要求の処理にどの程度時間や費用がかかると組織が感じているかについての公開質問 を行った。回答は、開業医、地方議会、電気通信事業者、不動産、金融および法律サービスなど、大小さまざまな組織が、主体アクセス要求の処理に時間がかかると感じていることを示している。様々な部門(慈善および非営利、法律、金融、公共および医療を含む)の回答者は、対象アクセ ス要求に対応するために必要なリソースのレベルが、特に中小企業にとって非常に高くなる可能性があ ると説明している。他の団体は、主体アクセス要求が、厳格な情報開示プロトコルを回避し、訴訟の見込みに 関する情報へのアクセスを得るための手段として使用される可能性もあると述べている。主体アクセス要求制度の変更に賛成する回答も反対する回答も、データ対象者が自分に関する情報にアクセスできることの重要性を強調している。

主体アクセス要求の「明白に根拠がない」基準値(質問 2.3.2)
政府は、主体アクセス要求に対する回答拒否または合理的な料金請求のための「明白な根拠がない」閾値が高すぎるかどうかについての意見を募集した。この閾値が高すぎるかどうかについては、様々な意見があった。回答者は、閾値が曖昧で、明らかに不合理で拒否が認められるべき要求を包含していると認識されがちであると指摘している。例えば、仲の悪い退職者が、元の雇用主を混乱させるために主体アクセス要求を使用した場合などである。

また、コンサルテーションへの回答では、一部のクレーム処理会社が、主体アクセス・リクエストを利用して機会をうかがっており、回答に顧客に関する情報が漏れていた場合に、組織に対してクレームを申し立てていることが指摘されている。また、アクセス要求に対する回答期限について、さらなるガイダンスが必要であるとの指摘もあった。多くの回答者が、主体アクセス・リクエストに対応するための適切なインフラとプロセ スが、リクエストへの対応の時間と労力を軽減するために必要であると述べている。

情報公開制度との整合(費用制限の導入と閾値の修正)(質問 2.3.3)
政府は、主体アクセス要求の制度を情報公開請求の制度と整合させるかどうか、また、以下を行うかどうかについての意見を求めた。
(i) 費用上限を導入するかどうか。
(ii) 主体アクセス要求への対応における組織の能力的制約を緩和するために、「苛酷な」 対応のための閾値を修正する。

これらの提案に対しては、さまざまな意見があった。費用上限を支持する組織は、特に中小企業にとって有益であり、主体アクセス要求への対応をより管理しやすくすると主張した。一方、費用制限に賛成しない団体は、データ主体の権利に害を及ぼし、個人データがどのように利用されているかについての一般の人々の理解を妨げる可能性があると懸念を表明している。

政府は、弱者を含むすべてのデータ主体の権利が保護されなければならないことを認識している。情報提供、およびアクセスの権利は、引き続き既定路線である。

この質問の一部として出された意見と、上記の「明白な根拠がない」閾値に関する質問を考慮し、政府は、主体アクセス要求の拒否または妥当な手数料の請求に関する現在の閾値を「明白な根拠がないまたは過剰」から「むごいまたは過剰」に変更し、情報公開制度と一致させることを進める予定である。政府は、主体アクセス要求の費用上限を導入する意向はない。

名目的な手数料の導入(質問 2.3.4)
政府はまた、1998 年データ保護法における以前のアプローチと同様に、主体アクセス要求の処理に少額の名目上の手数料を再導入するケースがあるかどうかを尋ねた。回答者の大多数は、この提案に反対した。多くの回答者は、社会的弱者に不利益をもたらすと感じたが、他の回答者は、執拗で反復的な要求を 抑制することができると感じた。

政府は、主体アクセス要求の処理に名目上の手数料を再導入する意向はない。また、政府は、既存の指針に沿って、主体アクセス・リクエストに適切に対応するための適切なプロセスとインフラを導入するよう、組織に引き続き奨励している。

最後に、政府は、コンサルテーション回答で提起された特定のセクターのニーズ(例:ヘルスケア) および中小企業のニーズにどのように対応するかについて検討している。

2.4 プライバシーと電子通信

コンサルテーションの大部分は、英国GDPRとデータ保護法2018の変更の可能性に焦点を当てたものであったが、政府は、プライバシーおよび電子通信規則2003(PECR)の変更の可能性についてもコンサルテーションを実施した。PECRは、英国のGDPRを補完するもので、端末機器の機密保持(Cookieルールなど)、未承諾のダイレクトマーケティング通信(迷惑電話など)、通信セキュリティ(ネットワークトラフィックや位置情報など)に関する特定のルールを定めている。PECRの規則は、個人だけでなく、企業も保護する。

クッキー(質問2.4.1, 2.4.2, 2.4.3, 2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8)。

現在の法律では、ユーザーの同意なしにクッキー(およびトラッキングピクセルなどの類似技術)をデバイスに配置することは許可されていない。

現在、同意を得るための例外は2つしかない。これらは以下の通りである。

a) 誰かの要求に応じてオンラインサービスを提供するために不可欠な目的の場合(例:オンラインバスケットに何が入っているかを記憶する、またはオンラインバンキングのセキュリティを確保する)。
b) 通信ネットワーク上で通信を送信するために必要な場合。

同意は、通常、人がウェブサイトを訪問したときに表示されるポップアップ通知やバナーを通じて求められる。回答者の中には、何人が自分のウェブサイトを訪れているか、どのページを最もよく見ているかなど、潜在的に有用な情報を収集する能力が、現在の同意に関する厳格な規則によって制限されていると説明する人もいる。また、個人はクッキーのポップアップの多さを煩わしいと感じ、日常的に規約を読まずに承諾しているとのことである。

これらの問題に対処するため、政府は、クッキー(およびトラッキングピクセルなどの類似技術)を個人のデバイスに明示的な同意なしに配置することが許可されるべき他の場面があるかどうかについての見解を求めた。これには、例えば、視聴者測定のために置かれるクッキーや、組織のウェブサイト上の障害を検出する目的のクッキーが含まれる。

回答者の大多数は、組織がより広範囲の非侵入的な目的のために、同意なしにクッキーと同様の技術を使用できるようにすべきだという提案に同意したが、一部には同意できない意見もあった。回答者の大多数は、組織がそのウェブページへのトラフィックを測定し、ユーザーへの提供を改善することを可能にするクッキーを含むべきであることに同意した。

また、政府は、すべてのクッキーについて事前の同意を削除すべきかどうか、あるいは、訪問するすべてのサイトで同意バナーに直面し続けることがないように、個人の同意プリファレンスを管理するブラウザベースのソリューションなどの革新的技術の可能性があるかどうかについての見解を求めた。

回答者の大多数は、すべての種類のクッキー、特にリアルタイム入札と広告のマイクロターゲティングの目的で個人データを収集する、より侵入的な種類のクッキーの同意要件を削除することに同意しなかった。多くの回答者は、ウェブユーザーが必要に応じてクッキーを拒否する権利を行使できるように、この種のクッキーについてより明確な情報を提供すべきだと主張した。

また、ウェブサイトがブラウザ、ソフトウェアアプリケーション、デバイスの設定を通じて設定された個人の好みを尊重することも支持されている。多くの回答者が、ユーザー体験を向上させ、サービス利用者の信頼につながることを強調したが、健全な競争に関するリスクを強調したり、異なるプラットフォームやサービスが、法律に準拠した技術を提供する技術的能力を持つかどうかを疑問視する意見もあった。

政府は、回答を検討した結果、英国居住者に対してウェブサイトがクッキーのバナーを表示する必要性をなくすよう法制化する意向である。当面の間、政府は、少数の他の非侵入的な目的のために、明示的な同意なしにユーザーのデバイスにクッキー(および類似の技術)を配置することを許可する予定である。これらの変更は、ウェブサイトだけでなく、接続されたテクノロ ジーにも適用される。

将来的には、ウェブサイトが設置するクッキーの同意について、オプトアウト・モデルに移行する意向である。実際には、これは同意を求めずにクッキーを設定できることを意味するが、ウェブサイトはオプトアウトする方法についてウェブユーザーに明確な情報を提供しなければならない。これにより、政府はユーザー体験を向上させるという野心を実現し、不必要なクッキーの同意バナーの必要性を排除することができる。オプトアウトモデルは、子供がアクセスする可能性のあるウェブサイトには適用されない。

政府のコンサルテーションへの回答は、ユーザーがプライバシーを重視し、個人データの使用方法をコントロールしたいと考えていることを強調した。これに対処するため、政府は産業界や規制当局と協力して、ユーザーがクッキーやオプトアウトの設定を管理するのに役立つブラウザベースや同様のソリューションに取り組む予定である。政府は、これらの技術によって発せられる自動化された信号を尊重するようウェブサイトに要求する提案を進め、これらのソリューションが広く利用可能になったと政府が評価した場合にのみ、クッキーに対する同意のオプトアウトモデルに移行する予定である。

ダイレクトマーケティング(質問2.4.9)

PECRは、ダイレクトマーケティングのための電子メッセージの使用も規制している。現在、企業は、販売や取引の際に以前に接触したことのある個人に対して、類似製品や関連製品に関するさらなるマーケティング資料を送付することができるが、その際、その個人が詳細情報を提供する際にそのような接触を拒否する機会が与えられていることが条件となる。これは、顧客の明示的な同意を必要としないため、「ソフトオプトイン」と呼ばれている。

政府は、ソフトオプトインを慈善団体のような非商業的な組織にも拡大すべきかどうかについて意見を求めた。回答者の大半はこの提案に同意したが、約3分の1は同意していない。しかし、プライバシー保護団体からは、望まない通信が大量に発生する可能性があるとの警告が出され、この案が有益と考える団体から強い支持を得た。

回答を検討した結果、政府はソフトオプトインを非商業組織にも拡大する意向だが、それと並行して、通信の受信継続を望まない個人を保護するための適切なセーフガードを設ける措置をとる予定である。

迷惑電話(質問2.4.10、2.4.11、2.4.12、2.4.13)

このコンサルテーションでは、大量の迷惑電話を発生させている不正な「ダイレクトマーケティング」企業にICOが対処するための方策を提案し、この問題についてさまざまな公開質問を行った。

ICOが、(現行法のもとで行われている純粋な接続数ではなく)発生した通話数に基づいて、組織に対して強制措置を講じることができるようにするための措置が支持された。また、通信事業者に「報告義務」を導入し、ネットワーク上の不審なトラフィックレベルをICOに報告することを義務づけることも支持された。

政府は、この2つの提案を進める予定である。さらに、政府は、ここで紹介した措置が具体的な成果を上げられない場合、通信事業者に対して、より大量の迷惑電話を発信元でブロックするよう、さらなる要件を課すことも否定していない。

PECRの執行体制を英国のGDPRおよびDPA 2018と一致させる(質問2.4.16, 2.4.17, 2.4.18)。

コンサルテーションでは、ICOが最大1750万ポンドまたは企業の世界売上高の4%の罰金を課すことができるようにPECRを改正すべきかどうかについての意見が求められた。回答者の大多数は、この提案を支持した。

また、コンサルテーションでは、英国のGDPRおよびDPA 2018に基づく権限と同様に、ICOがPECRの侵害が疑われる組織に対して評価通知を送達し、監査を実施できるようにすべきかどうかについての意見も求められた。回答者の大多数はこの提案を支持した。

回答者の間では、現在の執行体制は十分に説得力がなく、この提案はコンプライアンスを改善し、組織に対するPECRの認知度を高めるのに役立つという意見が一般的だった。コンサルテーションの回答者の中には、PECRの施行規定と英国のGDPRおよびDPA2018の下での施行規定との間の調和をより高めることを求める人もいた。

政府は、特にPECRの現在の執行規定がDPA1998から引き出されており、データ管理者と規制当局の両方に複雑さをもたらす可能性があるため、このケースに同意している。従って、政府はこの提案を進める予定である。

2.5 民主主義的関与のための個人データの使用

政府は、PECRがどのように民主的プロセスを支援するかについての意見を募集した。現在、政党からのコミュニケーションはダイレクトマーケティングとして扱われている。例えば、政党は事前に同意を得た場合を除き、有権者に自動コール、電子メール、テキストを送るべきではない。

政治運動のためのコミュニケーション(質問2.5.1、2.5.2)
政府は、健全な民主主義にとって民主的関与が重要であることを踏まえ、政党からのコミュニケーションは、引き続き商業組織からのコミュニケーションと同じ規則の対象とすべきかどうかについて意見を求めている。

回答者の大多数は、政治的コミュニケーションはダイレクト・マーケティングに関するPECRの規則の対象とすべきことに同意している。ソフトオプトインを政党やその他の政治団体に拡大するかどうかについては、さまざまな意見があった。

ソフトオプトインの提案を支持する人は、政治的メッセージのコミュニケーションチャネルを拡大することで、より多くの人にリーチすることができ、その結果、政治へのより良い関与につながると指摘している。しかし、反対派は、より多くの人々が個人情報を提供することになる可能性があると指摘している。

政府は、民主主義への関与に関するPECRのダイレクトマーケティング規制の範囲内に政治的コミュニケーションを残すべきかどうか、さらに検討する予定である。また、将来的に必要であれば、国会がダイレクトマーケティング規則の例外を設けることができるよう、法律に規制制定権を追加する意向である。また、ソフトオプトイン規則を拡大し、政党や選挙で選ばれた代表が、政党の活動に関心を示したことのある個人(例えば、会議に参加したり寄付をしたり)に、その情報を提供する時点で、そうした連絡を拒否する機会が与えられていれば、明示的な同意なしに連絡できるようにしたいとしている。また、個人は、商業組織からのマーケティング・コミュニケーションに関連しているのと同様に、政党からのコミュニケーションの受信を拒否する権利を持つことになる。これにより、政党や選出議員も、すでにソフトオプトインが可能な組織と同じようになる。

英国GDPRおよびDPA 2018における個人データ処理の合法的根拠(質問2.5.4、2.5.5)
政府は、英国のGDPRとDPA 2018がどのように民主的プロセスを支援し続けることができるかについて意見を募った。DPA2018の第8条は、民主的関与目的の個人データの必要な処理が、英国GDPR第6条1項(e)の公益タスクの合法的根拠に該当することを明確にしているが、これは、組織が法律上の別の法的根拠も特定しなければならないと定める英国GDPR第6条3項によって裏付けられている。これは、政党や選出された代表者にとって時に困難であるため、政府は、効果的な政治的関与の障害と可能な解決策のアイデアについて、政党からのエビデンスを求めた。

また、政府は、センシティブデータを同意なしに処理できる条件のうち2つを定めたDPA2018の別表1の22項と23項についての意見も求めた。第22項では、政党は、政治活動の目的のために必要であり、実質的な損害または実質的な苦痛を与えない場合、人々の政治的意見に関する個人データを同意なしに処理することができると述べている。第23項では、選挙で選ばれた代表者が、有権者のために行動するよう求められた場合、同意なしに機密データを処理することができると定めている。

回答者の大多数は、英国のGDPR第6条が民主的関与の目的での個人データの使用を妨げていることに同意していないが、第6条3項の要件は、政党や選出議員にとって、その機能の一部が法令に明確に規定されていないため、実務上の困難を引き起こすことがあるとも指摘された。ある政党は、民主的関与のための個人データの処理に、より強固な法的根拠を与えることは賢明かもしれないと述べた。

回答者の大多数は、DPA2018の別表1の22項と23項が、選出された代表者による機密データの使用を阻害することに同意していない。同意した人は、選出された代表者が政治活動のために個人データを処理する場合(選挙区のケースワークを実施する場合ではなく)の規則をより明確にすることができると述べた。

これらの回答を考慮した結果、政府は、英国GDPR第6条を一部変更し、登録政党、許可された国民投票参加者、選出された代表者が、民主的関与の目的で個人データを処理する際に依拠できる合法的な根拠を明確にすることを念頭においている。政府はまた、DPA 2018の別表1の22項を改正し、選出された代表者も民主的関与の目的で政治的意見に関する個人データを処理できることを明確にする予定である(例えば、評議員や国会議員が地域住民の調査を実施する場合など)。現在、その条件は政党にのみ具体的に言及しており、不必要な混乱を引き起こしている。

2.6 さらなる質問

本章の最後に、政府は、提案のいずれかが保護特性を有する者に影響を与えるかどうかにつ いて意見を求めた。多くの回答者は、対象アクセス要求の料金が、最も弱い立場の人々に害を及ぼす可能性を懸念していた。上述の通り、政府は、対象アクセス・リクエストに名目上の手数料を再導入することを求め ていない。政府は、弱者を含む全てのデータ対象者の権利が保護されなければならないことを認識し、費用上限を導入する提案を進めていない。

また、英国のGDPR、DPA2018、PECRを統合することについては、既存の法律の簡素化につながると指摘する声もあった。政府は、これは将来的に価値のあるプロジェクトになるかもしれないと認識しているが、現在の枠組みの中で組織が最も困難な状況に陥っている部分を明確にし、改善するために、今すぐにでも迅速な進展が望まれるところである。

第3章 貿易の活性化とデータの流れに対する障壁の低減

3.1 概要

コンサルテーション第 3 章で政府は、個人データの流れのグローバルなネットワークが、英国の繁栄と現代的な生活様式に不可欠であることを明らかにした。本章では、十分性評価()の野心的なプログラムを進めるなどして、国境を越えたデータの流れに対する不必要な障壁を取り除くことの重要性を示している。

政府は、データ保護に対する英国の独立したアプローチを反映し、国際商取引、貿易、開発を促進し、現代の商取引と金融機関を支える、国際的なデータ移転のための自律的な枠組みを構築する意向である。英国のアプローチは、個人と組織のための成果によって推進される。高水準のデータ保護を確保し続けることは、将来の国際的な移転体制の中核をなすものであることに変わりはない。改革により、英国政府と企業は、データ対象者に高水準のデータ保護を提供する様々な枠組みが国際的に運用されていることを認識し、機動的なアプローチを取ることができるようになる。企業や組織は、負担が軽減され、個人データを国境を越えて移転する方法と場所が明確になることで、利益を得ることができる。

国際的な移転体制に対するより機敏なアプローチは、国内企業が国際市場とより容易に接続することを助け、英国内での個人データの責任ある使用を当然信頼する企業による海外からの投資を呼び込むことになる。組織、病院、大学が公益のために個人データを迅速、効率的、かつ責任を持って共有できるようになれば、個人はその恩恵を享受することができる。国際的なデータの流れは、人々が世界中の友人、家族、コミュニティと感情的、社会的につながり続けることを助ける。

3.2 十分性(Adequacy)

政府は、組織が現在、個人データを国際的に移転する際に課題や不確実性に直面していることを認識している。

十分性に対するリスクベースのアプローチ(質問3.2.1)
政府は、十分性の決定に対する英国の将来のアプローチを、リスク評価と比例性の原則に裏打ちすることを提案した。

回答者の約半数はこの提案に同意している。回答者は、この提案が現実的なアプローチであると考え、英国は妥当性判断の際に柔軟であるべきで、規範的であってはならないと明確に述べている者もいた。多くの回答者は、成果ベースのアプローチはデータ保護基準を犠牲にしてまで行うべきでないと明言している。

政府は、リスクベースの意思決定と成果に焦点を当てた妥当性評価のアプローチを英国がより良く行えるようにするための改革を進め、データの流れに関する英国の公約を引き続き支援する予定である。改革された制度では、十分であると判断されるためにその国が満たすべき広範な基準が維持される。つまり、個人のデータは、高いデータ保護基準を確保する制度によって、引き続き十分に保護されることになる。この法律は、各国が高いデータ保護基準を満たす場合、DCMS国務長官が妥当性を判断する際に、国際的なデータの流れを促進することが望ましいと考えることができることを認めるものである。

政府は、各国の主権的権利と、高いデータ保護水準に貢献しうる異なる文化的・法的伝統を尊重する。改革された制度は、他の国がどのような状況で運営されているかを認識し、個人データ保護の一翼を担う様々な要素を考慮するものである。

国、地域、多国間枠組みのグループに対する十分性(質問3.2.2)
政府は、国、地域、多国間枠組みのグループに対する十分性規制を行うかどうかについて諮問した。回答者の大多数は、このアプローチに賛成した。このアプローチは、より大きな相互運用性をもたらすというのが支持の理由であった。逆に、妥当性の決定には各国の法律を考慮する必要があるため、この方法は限定的なものになりかねないという懸念もあった。

政府は、特にデータの流れに関する多国間解決策に優先的に取り組んでいく中で、将来的にこのアプローチを用いることの意味を検討していくが、直ちに法改正を行うことは考えていない。

4年ごとの十分化規制の見直し要件の緩和(質問3.2.3)
政府はまた、十分性規制の継続的なモニタリングに投資し、十分性規制を4年ごとに見直すという要件を緩和することを提案した。この提案については、より現実的で効果的なアプローチであると考える回答者がいる一方で、この変更がデータ保護基準に対するリスクをもたらす可能性があるという懸念を挙げる回答者もおり、様々な意見があった。

十分な国の法制度が常に発展する中で、十分な規制は精査されなければならない。政府はこのような見解のバランスを認識し、十分に使用されれば、継続的な監視は断続的なレビューポイントよりも効果的にデータ主体を保護できると評価している。十分に機能する厳格で継続的な監視プロセスは、正式な見直しの必要性を排除する。したがって、政府は、十分性規制を4年ごとに見直すという要件の緩和を進める意向である。

リドレス要件(質問 3.2.4)
政府は、他国を批准する際に、その国が英国のデータ対象者に対して行政的または司法的な救済を提供することは、その救済メカニズムが有効である限り許容されることを明確にすることを提案した。回答者の約半数はこの提案に同意している。最も多かった意見は、救済の有効性はその形式よりも重要であるというものであった。

政府はこの提案を進めるつもりである。改革後の制度では、政府は、救済の形式を特定しないことにしている。その代わり、妥当性評価を行う際に、政府は利用可能な救済メカニズムの有効性を検討する。

3.3 代替的な移転メカニズム

代替的な転送メカニズムは、十分性判断の対象とならない国への個人データの国境を越えた転送のためのルートを提供する。多くの組織が世界中にデータを送信し、そのようなデータ共有をサポートするために複雑なインフラを持っていることがよくある。

十分な保護措置の比例性(質問 3.3.1、3.3.2)

安全かつ効果的な国際的データ共有を促進するため、政府は代替的な移転メカニズムのリスクを評価する際に、比例性の重要性を強化する変更を提案した。政府は、組織が代替的な転送メカニズムを使用する際に、個人データの国際的な転送に関連するリスクを評価し、軽減するのに役立つサポートやガイダンスについての意見を求めた。

回答者の大多数はこの提案に同意し、組織が代替的な転送メカニズムを使用した国際的な転送のリスクを評価する際に直面している課題を指摘した。同意しない回答者は、データ保護基準を低下させるリスクがあるとの懸念を示している。回答者は、代替的な移転メカニズムの要件について、より明確でガイダンスがあることを強く支持した。

政府は、データ輸出者がデータ対象者のための高い保護水準を維持しつつ、代替的な移転メカニズムを使用する際に現実的かつ比例的に行動できるようにするための改革を進めていく予定である。

逆方向の移転(質問3.3.3)
政府は「逆方向の移転」を国際移転制度の範囲から除外することを提案した。この提案に関しては、様々な意見があった。賛成派は、データ保護に相応のリスクを伴わずに、組織に対する不必要で不釣り合いな負担を減らすことができることに同意した。

しかし、回答者が期待するプラスの影響の度合いについては、様々な意見があった。この改革案に反対する人は、データ主体の権利に対する潜在的なリスクを理由に反対している。

また、この改革は複雑であり、データ管理者の複雑さの軽減につながらない可能性があることも指摘されている。政府はこの評価に同意しているため、法改正を追求することはない。

適応可能な移転メカニズム(質問 3.3.4、3.3.5、3.3.6)
政府は、組織が独自の移転メカニズムを作成または特定することを認めることを提案した。回答者の大多数はこの提案に反対した。その理由は、この改革はあまりにも使いにくく、保護移送に何が必要なのかについて不確実性を生む可能性があるからである。また、この提案がデータ保護基準を危うくするのではないかという懸念も示された。この提案を支持した回答者は、組織が状況によっては複雑で特殊な移転要件を克服するのに役立つと考えていた。

この提案の明確なユースケースがないことから、政府はこのアプローチを追求しない。

代替的な移転メカニズムを創設する権限(質問 3.3.7、3.3.8)
政府は、DCMS国務長官に新しい代替的な転送メカニズムを正式に承認する権限を新たに設けることを提案した。これは、国務長官が海外にデータを転送するための新しい英国のメカニズムを作成したり、英国の法律が求める成果を達成する場合は、他の国際的なデータ転送メカニズムを英国の法律で承認することを可能にするものである。

この提案に対しては様々な意見があり、相互運用性と将来性の機会を支持する一方、新しい転送メカニズムがデータ保護基準を維持できないかもしれないという潜在的なリスクに対する懸念もあった。

政府は、この問題に関するさまざまな意見を認識しているが、この改革は、英国が国際的な進展に迅速に対応できるようにすることで、国際的な移転に対する英国のアプローチを将来にわたって保証するのに役立つと評価している。政府はこの改革を進め、新しいメカニズムが他の代替的な転送メカニズムと同じ高いデータ保護基準を満たす必要があることを保証するつもりである。

3.4 英国の認証制度

認証制度は、自発的で市場主導型の状況別規則の枠組みであり、英国のGDPRの下では、高水準のコンプライアンスを実証し、国際移転に十分なセーフガードを提供するために利用することができる。これらの枠組みは、セクターまたは業界レベルで構成され、そのセクター、業界または類似のグループのコンテキスト内の特定の製品、プロセス、およびサービスを対象とするデータ保護規則および慣行を定義することが特徴的である。

しかし、認証制度は、設計、実施、維持、説明責任の実証に多大な時間と資源を必要とする複雑な措置である。政府は、代替的な移転メカニズムとしての認証の使用をより良く支援する、よりグローバルな相互運用性のある市場主導型システムを提供するために、認証制度の枠組みの修正を検討した。

相互運用性を高めるための認証制度の改正(質問 3.4.1, 3.4.2)
1つ目は、プライバシー管理プログラムなど、説明責任に対する異なるアプローチで認証を提供できるようにすること、2つ目は、英国外の認証機関が英国で承認された国際移転スキームを運営するために認定を受けることができることを明確にすることであった。

この2つの提案に対しては、さまざまな意見があった。回答者は、この改革は個人データの流れを容易にすることで英国企業に利益をもたらすと指摘した。他の回答者は、これらの提案が自分や自分の組織に直接利益をもたらすかどうか確信が持てないようであった。

相互運用性をサポートすることは、組織にとって重要である。しかし、現在のアプローチには、認証をより広範に利用できる可能性が残されている。また、提案されている改革が、より大きな相互運用性を実現するための最良の方法であるかどうかは、現時点では不明である。政府は、この目標を達成するための他のアプローチを検討する予定である。

3.5 適用除外

コンサルテーションでは、適用除外の使用に関する現行の包括的なアプローチを維持すること、すなわち、適用除外は必要な場合にのみ使用し、妥当性や他の保護措置が十分でない場合にのみ使用することを定めている。本コンサルテーションのこのセクションで説明されているように、技術的な変更が、適用除外の使用に関する制限を明確にするのに役立つかもしれない。

適用除外の反復的な使用(質問 3.5.1)

政府は、適用除外の繰り返し使用を認めることを明示することにより、適用除外の使用に関する柔軟性を比例的に増加させることを提案した。この提案に対しては、データ主体の権利に悪影響を与えるのではないかという懸念を示す回答者がおり、若干の反対があった。回答者は、この改革が移転の柔軟性を比例して増加させるということに同意しており、最小限の支持しか得られなかった。政府はこの改革を追求しない。

3.6 更なる質問

本章の最後に、政府は、提案のどれかが保護された特性を持つ人に影響を与えるかどうかについての意見を求めた。どの提案も保護された特性を持つ人に与える影響に関する特別な懸念はなく、この章の質問とトピックに関連して回答者から提起された重要な問題もなかった。

この章では、提案されている改革について、回答者がその他のコメントを提供できるよう、最後にいくつかの自由形式の質問を投げかけた。回答者は、この改革が実施される際、特に保護特性を持つ人々の個人データを保護することの重要性を強調した。個人情報の保護は、すでに英国のデータ体制の中核をなしており、政府が改革に着手する際にも、引き続きその中核をなしていくことになる。

第4章 より良い公共サービスの実現

4.1 概要

コンサルテーションの第4章で、政府は、公益のために責任を持って個人データを使用する力、および英国のあらゆる地域における公共部門と民間部門の協力の利点に関連して、COVID-19パンデミックから学んだ教訓を構築する機会を強調した。

現在、これを効果的に行うためには、以下のような課題がある。

  • 相互運用性のないデータインフラ
  • データ共有のための法的・文化的障害
  • 労働力における一貫性のないデータ能力
  • 投資を抑制する経済的な阻害要因

政府は、上記のような制限に対処し、国民の高い信頼を確保しながら、英国全土の公共部門が一体となった相互運用可能なデータエコシステムを構築したいと考えている。提案されている改革には、英国全体にわたるデータ共有を含む、個人データのより良い利用と共有を通じて、政府サービスの提供を改善する方法が含まれている。

4.2 デジタル・エコノミー法2017

デジタル経済法2017の第5部では、公共サービスの提供という観点から、サービスや積極的な介入を支援するための個人データ共有が認められている。より応答性の高い、連携した公共サービスを促進するために、政府はデジタル経済法2017の第35条に基づく公共サービス提供の権限を事業者に拡大するよう協議で意見を求めた。これは、デジタル検証サービスの利用や、新規事業を立ち上げようとする際のサポートへのアクセスなど、さまざまな面で有益である。

デジタル経済法2017の第35条に基づく権限を拡大する(質問4.2.1)。
この提案については、さまざまな意見があった。回答者の約3分の1は同意し、本人確認サービス、新規事業を始めようとする際のサポートへのアクセス、政府の助成金やライセンスの申請など、企業を対象とした連携した公共サービスから利益を得られると認識している。約3分の1の回答者は、企業はすでに政府機関によって十分にサポートされていることや、この提案によって政府が国民の個人データを企業と共有することになることを懸念して、同意しなかった。しかし、同数の回答者は、この提案に対して中立的な立場をとっている。

政府は、本提案に対する意見のバランスを認識している。しかし、その目的は、公共サービスを向上させるために公共部門内での個人データ共有を支援することであり、その他の理由で公共部門から民間部門への個人データ共有を促進することではない。新しい規定の下で作られる個人データ共有の規制は、さらなる一般協議と議会の精査を受けることになる。

4.3 COVID-19パンデミック時の個人データ利用

COVID-19 パンデミックの間、公共、民間およびボランティア部門の組織は公衆衛生の目的のために斬新で責任ある方法で個人データを処理した。現行の法律では、そのような処理が行われることを一般に妨げてはいないが、このコンサルテーションでは、法的枠組みのどの側面がより明確になり得るかについて意見を求めた。

公共事業を行う非公共団体(質問 4.3.1, 4.3.2)

コンサルテーションでは、特に公的機関が公的な任務や機能を果たすために個人情報を処理する場合、公的任務の合法的根拠(英国GDPR第6条1項(e))への過度の依存が明確化の恩恵を受ける分野であると指摘されている。例えば、民間団体や慈善団体が公的機関から、犯罪を捜査したり、公衆衛生の危機に瀕した弱い人々に必要なサービスを提供できるよう、情報の提供を通じて公的機関を支援するよう要請された場合などがこれにあたる。現行法が明確でないため、非公的機関は、サービスを提供する法的義務を負っているか、正式なデータ処理協定に基づいて管理者に代わってデータ処理者として行動していない限り、この状況では通常、英国GDPR第6条第1項(f)に基づく正当な利益の根拠に基づいて行動することになる。

この分野の不確実性に対処するため、政府は、公的機関の要請で活動を行うよう求められた民間組織および個人は、6条1項(e)に基づく個人データの処理について、その機関の合法的理由に依拠できることを明確にすることを提案した。

回答者の大多数はこの提案に同意しているが、回答者は個人の権利を保護するために十分なセーフガードを設けることの重要性を指摘している。例えば、数名の回答者は、個人は依然として処理に反対する権利を有するのか、また、有するとすれば、その要求はどの管理者に向けられるべきかを質問した。この提案が適用される分野として、パンデミックへの対応や犯罪防止を挙げた回答者もいたが、他の回答者は、公的機関以外が情報処理を行うあらゆる状況にこの措置が適用される可能性があるとしている。

提案に反対した回答者は、公的機関が非公的機関と正式な管理者-処理者契約を締結すれば法改正は必要なく、そのような契約がない場合、非公的機関は引き続き正当な利益という合法的理由に依拠すべきであると述べている。

コンサルテーションへの回答を検討した結果、政府は、公的任務の遂行を支援するために公的機関から要請された場合に、英国GDPR第6条の下で組織が利用できる処理の適法性の根拠を明確にするための法律を導入する予定である。

緊急時の健康データの処理(質問4.3.3、4.3.4)
コンサルテーションでは、ヘルスケアセクター以外の組織が、公衆衛生の目的で健康データを処理する際に、DPA 2018のスケジュール1のどのような条件に依拠できるかが明確であるかどうかについて意見を求めた。

回答者の大半は、法律の明確性を高めることが有用であることに同意した。しかし、多くの医療機関や患者団体は、医療部門以外の組織が人々の健康に関する機密情報を処理できる状況を広げることに注意を促した。

彼らは、DPA2018のスケジュール1のパラグラフ3にある既存の免除を指摘し、医療従事者によって監督される処理、または信頼義務が適用される処理をすでに許可していることを示した。これは、どのように信頼義務が生じるかを説明するICOのガイダンスと合わせて読む必要がある。さらに、この提案に反対する回答者の中には、患者情報管理通知の役割を強調し、パンデミック時の特定の状況において、個人データを関連する医療当局と共有するための明確な法的根拠を与えたと報告する者もいた。

賛否両論を検討した結果、政府はこの提案を追求するつもりはない。

4.4 信頼と透明性の構築

国民の信頼は、より良い公共サービスと個人への成果を提供するために不可欠である。政府は、今回の協議における改革を通じて、公共機関がアルゴリズムツールを共有・活用し、国民の権利と利益を守りつつ、効率性とサービス提供を向上させることを可能にしたいと考えている。

アルゴリズムの透明性メカニズム(質問4.4.1、4.4.2、4.4.3)
公共部門における意思決定のためのアルゴリズムツールの使用に関する透明性を高めることは、国民の信頼を維持するために重要である。政府は、公共部門の団体を対象に、意思決定におけるアルゴリズムの使用に関する透明性報告の義務付けを導入することを提案した。

回答者の大多数はこの提案に同意し、回答者はそれが社会的信頼を向上させると考えていると概説している。回答者は、透明性の向上は説明責任も向上させると考えており、特に報告書に上訴や救済のルートなどの説明責任のメカニズムが含まれている場合は、そのように考えている。また、透明性のある情報は、一般市民がアクセスでき、解釈可能で、意味のある方法で提示されることが重要であると回答者は強調した。回答には、報告要件に含まれるべき内容に関する幅広い提言が含まれていた。

最近発表されたアルゴリズム透明性基準は、コンサルテーション・プロセスで透明性報告のために推奨されたカテゴリーを包括している。これには、以下のような情報の提供が含まれる。

  • チームがアルゴリズムツールをどのように使用しているか
  • アルゴリズムツールを使用している理由
  • アルゴリズミックツールを所有し,責任を負うのは誰か
  • ツールの目的
    このツールがどのように意思決定に影響を与えるか
  • ツールのトレーニングや導入に使用されたデータに関する詳細な情報
  • 実施されたリスクと影響の評価に関する情報

政府は、この作業の初期段階であるため、現時点では法改正を進めるつもりはないが、アルゴリズムの透明性については引き続き強くコミットしており、今後もこの基準の試験運用とフィードバックの収集を続け、政策執行の選択肢を探っていく予定である。

このコンサルテーションでは、透明性報告義務の免除を適用すべきかどうかについて、公開質問が行われた。回答者からは様々な見解が示された。多くの回答者は、いかなる適用除外もすべきではないと述べたが、国家安全保障や法執行などの分野では、完全または限定的な適用除外が必要かもしれないと考える回答者もいた。

したがって、政府は、アルゴリズム透明性基準の試験運用と並行してこの問題を引き続き検討し、例えば、どのデータセットが使用されているか、アルゴリズムの技術仕様、倫理的配慮(偏向の緩和など)がどのように対処されているかなど、全体的にはるかに多くの情報を提供していく予定である。政府はまた、透明性報告義務に適用除外を適用すべきかどうかについての回答者の意見も認識しており、この分野での今後の作業において、コンサルテーション回答からの勧告を検討する予定である。

実質的な公益のための処理(質問4.4.4、4.4.5、4.4.6、4.4.7)
コンサルテーションで概説されているように、データ主体からの明示的な同意がない限り、または英国GDPRおよび2018年データ保護法の別表1に記載されている目的のために明示的に許可されていない限り、機微な個人データを処理することはできない。センシティブなデータの必要な処理をすべて可能にするために規定を十分に柔軟にすることと、データ主体に透明性と管理者の確実性を与えるために規定を十分に具体的にすることのバランスを取ることは難しいかもしれない。

英国GDPRおよび2018年データ保護法の別表1における現行の活動リストでは十分にカバーできないセンシティブデータの処理を含む状況があるかどうかについては、さまざまな意見があった。しかし、回答者の大多数は、実質的な公益にかなう処理を区別することは困難であることに同意した。

これに対処するため、政府は「実質的な公益」の定義を法律に含めることを提案し、任意の新しい法定定義に該当する実質的な公益を理由に特定の活動を許可する新しい状況を2018年データ保護法のスケジュール1に含めることを提案した。

回答者の大多数は、実質的な公益の定義の導入を支持した。回答者は、どのような定義であっても、現状を維持する危険を冒すために狭すぎたり広すぎたりしてはならないことを推奨し、また、定義が非常に困難である可能性があるという認識もあった。

政府は、実質的な公益の定義をどのように考案するかを検討したが、定義が付加価値を生み、現時点で必要とされる活動範囲をカバーするとは考えていない。さらに、政府は、実質的な公益性テストは定義がなくてもすでにその目的を達成していると結論付けた。このテストはすでに、データ管理者に、より広い公衆に対するデータ処理の具体的な利益を考慮するよう効果的に強制し、管理者にデータ処理の必要性を評価するよう求めている。そのため、政府は今回、実質的な公益を定義しないことを決定した。

回答者の約半数は、DPA2018の別表1にある特定の状況のリストに追加、または修正する必要があるかもしれないことに同意し、いくつかの興味深い状況が正当な根拠とともに提起された。同意しない回答者は、DPA 2018の別表1のリストを拡大することは、プライバシーとデータの権利にあまりにも大きなリスクをもたらすと考えていた。

政府は現在、宗教団体から提出された、宗教団体が日常的な管理業務の一部を遂行するために別表1の関連条件を特定することの難しさに関する証拠を含め、これらの提案についてさらに検討を進めているところである。また、政府は、スポーツ団体が制限されたカテゴリの競技に参加する選手の資格を公正に評価することを可能にするような、スポーツ団体からの提案も検討中である。また、ある回答者からは、組織内の上級レベルにおける多様性を向上させるために人種・民族データの処理を現在認めている適用除外を、代表権の低いグループに関する他の種類のデータにも拡大してはどうかという提案もあった。

警察におけるバイオメトリクスデータに関するルールの明確化(質問4.4.8)
DNAや指紋分析、そして最近では顔画像認識のような技術は、警察にとって重要な公共安全の手段である。国民は当然、警察がこれらのツールを公正、透明、かつ合理的に使用できるような枠組みで使用することを期待する。

警察が国民を保護するためにバイオメトリクス技術を利用するための既存の法的枠組みがあり、これにはデータ保護法も含まれる。全体として見れば、この枠組みは主に原則主義であり、新しい技術への適用性において実質的に「将来性」があることを意味する。しかし、プライバシーや人権、平等の権利を尊重するために、さまざまな法律がどのように相互作用しているかを理解することは、警察にとっても一般市民にとっても複雑で困難な場合がある。

回答者の大多数は、既存の法的枠組みの明確化を支持している。少数派は、顔認識などの特定の技術には特定の法律が必要だと考えていた。しかし、この分野での技術革新のスピードを考慮すると、原則に基づくアプローチが依然として適切であるという意見もあり、特定の法律が、国民を保護するための新しい技術の法執行機関の採用を妨げる可能性があると強調する人もいた。また、特定の技術やユースケースに関する具体的なガイダンスが必要ではないか、という意見もあった。

また、コンサルテーションで得られた証拠から、導入の課題はバイオメトリクス機能の利用に限らず、警察がデータ駆動型の新しい主要な業務技術を採用する際に共通して見られることが示唆された。政府は、コンサルテーションや幅広いステークホルダーからのフィードバックを反映し、警察と国民にとっ ての利点があることを認識している。

これらの技術が開発・使用される際、国民の理解、支持、信頼を得るためには、透明性と国民とのコミュニケーションが不可欠である。

政府は、4.5節(公共の安全と国家安全)で述べたように、新しい行動規範のような警察主導のガイダンスの開発を支援するなど、新技術の責任ある効果的な使用における高い水準とベストプラクティスを推進するために警察当局と協力していく。

また、少数の回答者は、異なる種類のバイオメトリクスに関する規則間の一貫性を高めることを支持していた。政府は、警察当局と協力して、身柄画像の保管に関する規則を、DNA や指紋に関する規則とより密接に整合させる作業を続けており、将来的には他のバイオメトリクスにも同様の規則が適用されることを期待している。

4.5 公共の安全と国家の安全

法執行と国家安全保障を目的とした個人データの効果的な共有は、法執行機関と英国情報機関の業務に不可欠であり、公共の安全の利益につながる。英国GDPRと、データ保護法2018の第3部(法執行処理)および第4部(情報サービス処理)にわたる一貫性を促進するために、政府は、これらの異なるデータ処理の枠組みで使用されている主要な用語を揃えることが可能かどうかを調査することを提案した。

回答者の大多数は、この提案に同意し、より明確さをもたらし、制度間の一貫性を生み出すと述べている。また、回答者は、2つの制度が意図的に異なる義務をその下で処理する者に課している場所と方法を認識することが重要であることを強調した。政府は、この提案を引き続き進めていく予定である。例えば、英国のGDPRには同意の定義があるが、データ保護法2018の第3部には同等の定義がないため、政府はより明確にするためにこれを導入することを検討している。

また、政府が制度間の整合性を図ることができる例として、行動規範に関するものがある。英国のGDPRでは、特定の分野におけるデータ保護法の適用を明確にするために、代表的な団体(業界団体など)がこれを作成し、ICOがこれを承認することができる。2018年データ保護法第3部には、現在のところ同等の権限はない。政府は、法執行部門が他の部門と同じ能力を持つように、将来的にこのようなコードを作成できるようにすることを検討している。回答者から受け取ったフィードバックに沿って、政府は、さらなる混乱を防ぐために、いかなる変更も明確にすることを保証する。

4.6 さらなる質問

本章の最後に、政府は、提案のどれかが保護された特性を持つ人に影響を与えるかどうかについての意見を求めた。どの提案も保護された特性を持つ人に与える影響に関連する特定の懸念はなく、この章の質問とトピックに関連して回答者から提起された重要な問題もなかった。

この章では、提案されている改革について、回答者がその他のコメントを提供できるよう、最後にいくつかの自由形式の質問を投げかけた。回答者は、この改革が実施される際、特に保護特性を持つ人々の個人データを保護することの重要性を強調した。個人情報の保護は、すでに英国のデータ体制の中核をなしており、政府が改革に着手する際にも、引き続きその中核をなしていくことになる。

第5章 情報コミッショナー庁の改革

5.1 概要

協議の第5章では、政府は情報コミッショナー庁の改革案を検討した。ICOは、データ駆動型の世界において重要な役割を果たしており、改革案の近代化は、ICOの将来の成功への投資であり、世界をリードするその評判を維持するものである。改革案は、強力なリーダーシップとガバナンスを確保し、規制活動においてリスクベースかつプロアクティブなアプローチを明確にすることで、ICOが機敏で前向きな規制当局としてその機能をよりよく発揮できるよう努めるものであった。

ということで、以下は、省略します。

———————

Corderyのまとめ

友人のJonathan Armstrong弁護士のいるCordery法律事務所のニュースは、こちらになります。

個人データ

個人データの定義を変更し、個人データの範囲を以下のように制限する部分を新設する予定です。(i) 生存する個人が、当該処理の時点で、データ管理者またはデータ処理者によって「合理的な手段」で識別可能である場合、または (ii) データ管理者またはデータ処理者が、当該処理の結果、他の者が情報を取得する、または取得する可能性があり、当該処理の時点で「合理的な手段」でその個人が識別可能である、または識別可能であることを知っているか、「合理的に」知る必要がある場合です。

「合理的な手段」によって個人を特定できるのは、その人が合理的に使用する可能性のあるあらゆる手段によって、その個人を特定できる場合です。個人が個人を特定する手段を用いる可能性が合理的に高いかどうかは、特に、(a) その手段で個人を特定するのに必要な時間、努力、コスト、(b) その人が利用できる技術やその他のリソースを考慮して判断されます。

目的制限

本法案は、英国GDPR第5条1項(b)に概説されたいわゆる「目的制限」の原則に従って、個人データの再利用(別称「さらなる処理」)が許可されるかどうかを判断するための条件を定めています。

  • (a) 当初の目的と新たな目的との関連性
  • (b) データ主体と管理者との関係を含む個人データが収集された状況
  • (c) 特殊な個人データか犯罪歴や犯罪に関連する個人データかを含む個人データの性質
  • (d) データ主体に意図する処理がもたらすであろう影響
  •  (e) 適切なセーフガード(例えば、暗号化や偽名化)の存在

など、判断にあたり、特に考慮しなければならない事項があります。また、変更点は、目的が管理者の本来の目的と両立するものとして扱われる状況をリストアップしています。これらの状況のいずれかが適用される場合、管理者は上記の条件に基づいて互換性を評価する必要はありません。

適法な利益

これは、英国のGDPRにおける個人データ処理の合法的根拠の1つです。

実質的には、データ管理者が次の3つのテストから構成されます:正当な利益を特定し、その処理が意図した目的にとって必要であり、より侵入性の低い手段では達成できないことを証明し、個人データ処理における自らの利益がデータ主体の権利を上回るかどうかを計量します(「バランステスト」とも呼ばれます)。

法案は、英国GDPRに新しい付属書1を挿入し、英国GDPR第6条1項の下に追加される新しい副条文の目的のために、認識された適法な利益を構成する条件を設定します。この条文では、組織はバランステストを適用せずに個人データを処理できるようになり、例えば、犯罪の検出、調査、防止、犯罪者の逮捕または起訴の目的のために必要である場合などです。認識された正当な利益のリストは、公共の利益に関連する目的、または公的権限の行使、すなわち一般的な事業目的のみを扱います。

自動化された意思決定

英国GDPRでは、個人に対して法的または類似の重大な影響をもたらすプロファイリングを含む、いわゆる単独自動化された意思決定を行うことができる条件が規定されています。

法案は、自動化された意思決定の多くの側面を再定義し、再構成します。これには、「意味のある人間の関与」を伴わない、もっぱら自動化された処理に基づく意思決定の定義の導入、「重要な決定」(個人に対して法的効果をもたらすもの、あるいは個人に対して同様に重要な効果をもたらすもの)の概念の導入などが含まれます。

データ保護責任者(DPO)

DPOを指名するという要求事項は、組織内のデータ保護リスクに責任を持つ適切な「上級責任者」を任命するか、適切な技能を持つ個人にその任務を委任する要件に置き換えられる。

データ管理者またはデータ処理者は、データ処理の性質、範囲、文脈および目的を考慮すると、個人の権利および自由に対する高いリスクをもたらす可能性がある個人データの処理を行う場合、上級責任者を任命しなければなりません。

上級責任者は、組織の上級管理職の一人でなければなりません。上級責任者の任務は以下の通りです。(a) 管理者によるデータ保護法の遵守を監視すること (b) 管理者によるデータ保護法の遵守を確保するための手段の開発、実施、見直し、更新を確実に行うこと (c) 管理者、管理者が従事する処理者、および個人データの処理を実行する管理者の従業員に、データ保護法に基づく義務を通知し助言すること。(d) 個人データの処理を行う管理者の従業員に対する研修を企画する。 (e) 個人データの処理に関連して管理者に寄せられた苦情に対処する。 (f) 個人データの違反に対処する。 (g) 管理者に代わって英国の規制当局と協力する。

データ保護担当者(”DPR”)

英国に拠点を置くDPRの任命は義務づけられなくなります。

データ保護影響評価(DPIA)

DPIAは「高リスク処理の評価」に置き換わります。データ管理者による高リスク処理の評価には、処理の目的の要約、処理が必要かどうかの評価、処理が個人にもたらすリスク、管理者がどのようにリスクを軽減するつもりかの説明が含まれる必要があります。
「適切な」記録には、処理の性質、範囲、文脈、処理が個人に及ぼすリスク、データ管理者やデータ処理者が利用できるリソースなどの要因が含まれます。可能な場合、記録には、データ管理者またはデータ処理者がデータの安全性をどのように確保するかについての情報が含まれていなければなりません。従業員が250人未満の管理者または処理者は、高リスクの処理活動を実施している場合を除き、記録保持の義務を免除されます。

主体アクセス要求(Subject Access Requests (“SARs”) )

SARの拒否または妥当な手数料を請求するための現在の基準は、”manifestly unfounded or excessive” から “vexatious or excessive” に変更される予定です。英国のGDPRに加えられる変更点では、要求がvexatiousまたはexcessiveであるかどうかが問題となる訴訟では、データ管理者がそれを示す必要があります。(a) 要求の性質、(b) データ主体と管理者の関係、(c) 管理者が利用できるリソース、(d) データ主体が管理者に対して行った以前の要求を要求がどの程度繰り返しているか、(e) 以前の要求はどのくらい前に行われたか、および (f) データ主体が管理者に対して行った他の要求と重複しているかなど要求の状況について考慮し、その要求を峻別しなければならないものとする。煩わしい要求の例には、以下のような要求が含まれます。(a) 苦痛を与えることを意図している、(b) 誠意を持って行われていない、(c) 手続きの濫用である。また、データ管理者がその情報なしに要求への対応を「合理的に」進めることができない場合、個人データから要求された情報の説明を求めるために、要求に対応するための応答時間を一時停止できる規定も設けられています。この変更により、管理者がさらなる情報を「合理的に」要求できるケースの例として、管理者がデータ対象者に関する大量の情報を処理している場合が挙げられています。” SARを処理するための名目的な手数料の再導入はありません。

データセキュリティ

「適切な技術的・組織的措置」を実施するというデータセキュリティ要件は、「技術的・組織的措置を含む適切な措置」に変更され、データ管理者がリスクを実証し管理するために実施する措置に関して、より柔軟性を与えることになります。

クッキー

一般的に言えば、現在のルールは、クッキーを使用するためにユーザーから同意を得なければならない(そして、ユーザーは処理の目的について明確かつ包括的な情報を提供されなければならない)ことであり、クッキーがサービスの提供に「厳密に必要」である場合などの一定の例外を除いては、です。法案は、プライバシーに対するリスクが低いと考えられる特定の目的、例えば、提供するサービスの向上を目的とした統計的な情報収集のためにクッキーのような技術を使用する場合、同意要件に新しい例外を導入しています。ただし、ユーザーは、異議を唱えたり、オプトアウトする機会を提供されなければなりません。

ダイレクトマーケティング

現在、PECR(E-Privacy Rule)の下、企業は、販売や取引の際に過去に接触した個人に、類似または関連する製品に関する追加のマーケティング資料を連絡することができますが、その際、個人が情報を提供する際にそのような連絡を拒否する機会が与えられていることが条件です。これは、お客様の明示的な同意を必要としないため、いわゆる「ソフトオプトイン」として知られています。ソフトオプトインは、今後、非商業組織にも拡大される予定です。

国際的なデータ移転

法案は、組織が標準契約条項などの仕組みを用いてデータの国際移転を行う際の影響を評価するためのリスクベースのアプローチと、英国政府がいわゆる「適切な判断」を下す際の評価について規定しています。また、新しい代替的な移転メカニズムを正式に承認するための新しい政府の権限についても規定され、海外にデータを移転するための新しい英国のメカニズムの創設や、他の国際的なデータ移転メカニズムの英国法における承認が可能になりました。

苦情

データ管理者は、電子的に記入する苦情フォームやその他の適切な手段を用いて、適切な措置を講じることにより、苦情の申出を容易にすることが要求されることになります。データ管理者は、苦情を受け取った日から30日以内に、苦情の受領を確認することが義務付けられます。データ管理者は、データ対象者からの苦情に対応するための適切な措置を不当に遅滞なく講じ、苦情の結果を苦情申立者に通知することが要求されます。データ管理者は、苦情に対応するために適切な措置を講じる必要があり、これには、苦情の対象について適切な範囲で調査を行い、苦情の進捗状況について苦情者に通知することが含まれます。英国の規制当局は、特定のデータ保護に関する苦情への対応を拒否する新しい権限を持つことになります。英国の規制当局は、苦情への対応と対応拒否に関するガイダンスを発行する必要があります。法案は、管理者に対して、一定の状況に応じて、管理者に寄せられた苦情の件数を英国規制当局に通知することを義務付ける新たな報告規定の可能性を規定している。また、法案では、英国の規制当局が特定の苦情への対応を拒否する権限も規定されている。英国の規制当局は、証人の面談への出席を強制し、証人に質問に答えるよう強制する権限も有することになります。

情報コミッショナー庁

英国の規制当局の目的と義務のための新しい法的枠組みが設けられる。英国の規制当局には、議長および最高経営責任者を擁する法定理事会が設置される予定です。ICOに代わる新しい組織として “Information Commission “が設立される – Information Commissionerの名称は変わらない。しかし、英国の規制当局の役割と責任の性質は、基本的に変わりません。

違反報告要件

変更はありません。したがって、データ侵害を通知し、対処する義務も変わりません。

 

 

 

 

関連記事

  1. ITU憲章vs電波法vs電気通信事業法
  2. 公表前の脆弱性の報道を考える
  3. フランス国防省のサイバースペースにおける作戦への国際法適用への見…
  4. 米国の「連邦組織取引における電子署名の利用」(4)
  5. デジタル法務の実務Q&A 11月上旬発売です
  6. 2019年米国・セキュアで信頼できる通信法-ファーウェイ排除の根…
  7. 武力紛争とテロリズム(Armed conflict and te…
  8. コロナウイルス(Covid-19)とGDPR (13) 接触追跡…
PAGE TOP