英国におけるデータ保護制度改革に関する政府の提案の一環として、2025年データ(利用及びアクセス)法(Data (Use and Access) Act 2025)(以下「本法」)は2025年6月19日に国王裁可(Royal Assent)を受けました。2026年2月には、2025年データ(利用及びアクセス)法(2026年施行第6号及び経過・保存規定)規則(Data (Use and Access) Act 2025 (Commencement No. 6 and Transitional and Saving Provisions) Regulations 2026 (SI 2026/82))が施行され、この改革の重要な段階が施行されました。

以下では、企業に影響を与える可能性のある主な変更点をいくつか取り上げます。

個人情報の開示請求(Data Subject Access Request (DSAR)

データ管理者は、DSARに法令に準拠した形で対応するため、しばしば多くの労力を費やしています。しかし、近年では、雇用紛争において、従業員が自身の主張を裏付ける証拠を収集したり、雇用主への嫌がらせの手段として、DSARが利用される事例が増えています。データ管理者にとって実務上の負担を軽減するため、DSARの一部の制度が変更されました。

  • 組織は、DSARへの対応にあたり、合理的かつ相当な範囲の検索を行うことのみが求められており、より徹底的な検索を行う義務はありません。
  • DSARへの回答期限である1か月は、組織がDSARを受領した時点から開始しますが、データ主体の本人確認のために追加情報を要求した場合、その情報が受領されるまで期限は停止します。
  • DSARが過度である、または明らかに根拠がない場合、管理者はDSARに関して手数料を請求することができます。当該手数料が支払われるまで、1か月の期限は開始されません。

国際移転

英国外への個人データの移転に伴うリスクを評価する際の基準は、現在、データが移転される国が、英国一般データ保護規則(UK GDPR)の下でデータ主体に提供される保護水準と比べて「実質的に低くない」かどうかとなりました。従来は、完全に同等の水準が求められていました。

この変更により、第三国がデータ移転の目的において十分性を認められやすくなる可能性があり、企業が個人データを世界中のより多くの地域へ移転できるようになる可能性があります。

自動意思決定(Automated Decision-Making (ADM)

ADMの利用は、その誤用によりデータ主体に深刻な被害をもたらす可能性があるため、UK GDPRの下で厳格に規制されています。本法は、ADM技術のより広範な利用を可能にする変更が盛り込まれています。

  • 組織は、必須の保護措置が講じられていることを条件として、ADMを導入する際に、いかなる法的根拠にも依拠できるようになりました。
  • ADMが禁止されるのは、処理される個人データに、特別カテゴリーデータ(special category data)が全体または一部で用いられている場合に限られるようになりました。特別カテゴリーデータとは、民族的出身、性的指向、宗教的信条、生体認証データ、健康データ、政治的見解、労働組合への加入状況などの機微な個人情報を意味します。
  • 特別カテゴリーデータは、明示的な同意がある場合、またはその処理が契約上もしくは法的に必要であり、かつ重大な公益がある場合に限り、処理することができます。

これらの変更により、特別カテゴリーデータ以外のデータ処理について、ADMを導入しやすくなる可能性があります。

ICOの執行権限

英国個人データ保護監督機関(Information Commissioner’s Office (ICO))には、本法に基づき、以下を含む強化された権限が付与されています。

  • ICOの調査を支援するため、データ管理者およびデータ処理者の関係者に対して証人面談への出頭を強制する権限、および
  • 2003年プライバシー及び電子通信(EC指令)規則(Privacy and Electronic Communications (EC Directive) Regulations 2003 (PECR))(電子的マーケティング通信を扱う規則)に基づく制裁金の引上げ。これにより、ICOはPECR違反に対し、最大£17,500,000または当該組織の全世界売上高の4%(いずれか高い方)の制裁金を課すことが認められます。

3CSにできること

これらの変更に伴い、データ処理に関する文書、ガバナンス、実務を見直し、修正または更新が必要な点がないか確認することをお勧めします。3CSは、GDPRおよびUK GDPRを含む規制の下で、顧客がデータプライバシーに関する義務を理解し、遵守のための措置を講じる支援において経験を有しており、この評価についてもサポートいたします。

3CSでは、従業員向けの研修やワークショップを定期的に開催しているほか、プライバシーコンプライアンス監査の実施、プライバシーポリシーや通知、処理活動記録、個人データの海外移転に関する契約書、クッキーポリシーなどの文書作成も行っています。さらに、データ侵害や個人情報の開示要求への対応についても助言しています。

データプライバシーや、これらの変更が企業に与える影響についてアドバイスまたはガイダンスをご希望の場合は、お気軽にお問合せください。

Atiq Bhagwan

3CSコーポレートソリシターズ

リーガルアドバイスに加え、ソリューションを提供
お問い合わせ

お問い合わせ

3CSコーポレートソリシターズ


ロンドンオフィス English (United Kingdom)
60 Moorgate, London EC2R 6EJ
+44 (0)20 4516 1260
info@3cslondon.com
地図を表示


日本駐在員事務所 Japanese
日本駐在員事務所は、イングランド及びウェールズ法、日本法、その他いかなる法域の法律に基づく法律業務を提供しておりません。
〒100-0005 東京都千代田区丸の内1-8-3
丸の内トラストタワー本館 20階
+81 (0) 3 5288 5239
info@3cstokyo.com
地図を表示

 

Please enter your name
Please enter your phone number
Please enter your email
Invalid Input
Invalid Input
Please enter your name

クライアント例

これまでに600社を超える海外のクライアントに対してアドバイスを提供してまいりました ー その他のクライアントはこちら
The Legal 500 - Leading Firm 2025

Registered in England & Wales | Registered office is 60 Moorgate, London, EC2R 6EJ
3CS Corporate Solicitors Ltd is registered under the number 08198795
3CS Corporate Solicitors Ltd is a Solicitors Practice, authorised and regulated by the Solicitors Regulation Authority with number 597935

Registered in England & Wales | Registered office is 60 Moorgate, London, EC2R 6EJ
3CS Corporate Solicitors Ltd is registered under the number 08198795
3CS Corporate Solicitors Ltd is a Solicitors Practice, authorised and regulated by the Solicitors Regulation Authority with number 597935