データ保護およびデジタル情報(第2号)法案の最終決定が間近に迫っています。このニュースレターでは、法案の背景と影響について説明します。
DPDI法案の背景とは?
DPDI法案は2023年3月8日に国会に提出されました。この法案は2022年7月に提出されたデータ保護およびデジタル情報法案の内容をほぼそのまま踏襲し、現在は置き換えられています。同法案は高いデータ保護基準を維持しつつ、組織のコンプライアンス負担を軽減しより柔軟性を持たせることを目的としています。
法案は、英国一般データ保護規則 (UK GDPR) 、データ保護法 (DPA)、プライバシーおよび電子通信に関する規則 (PECR) の変更を提案しています。以下では、主な変更点について詳しく説明します。
「個人データ」に関する改革案とは?
現在、UK GDPRの下で「個人データ」は、識別された個人又は識別可能な個人に関連するあらゆる情報を対象としています。この法案は、処理しようとする情報が「識別可能な自然人」に関連する情報に該当する状況を定めることにより、「個人データ」の概念を再定義しようとしています。第一の状況は、処理の際に合理的な手段によって、管理者又は処理者がその生存する自然人を識別可能である場合です。第二の状況は、 管理者又は処理者が、(a) 処理の結果として、他人が情報を取得すること若しくは取得するであろうこと、および、(b) 処理の時点で、合理的な手段によってその自然人を識別すること又は識別できる可能性があること、を知っている又は知っているべき場合です。
これに加え本法案は、どのような場合に個人を直接又は間接的に識別することができるのかについて明確にしようとしています。
個人情報の開示請求とは何で、どのような変更が提案されていますか?
個人情報の開示請求 (Subject Access Request: SAR) とは、UK GDPR第15条に基づき、個人が要求する権利を有する情報(彼らの個人情報)に対して、個人によって又は個人に代わって行われる要求です。現在データ管理者は、SARに応じるために費用を請求したり、SARが「明らかに根拠がない」又は「過剰」である場合に応じることを拒否したりすることができます。法案はこの基準を改正し、この用語を「煩雑」又は「過剰」へ置き換えることを求めています。この改正により、管理者がSARへの対応を拒否したり、SARへの対応に費用を請求したりできる状況が拡大する可能性があります。
自動化された意思決定に関する変更案はどのようなものですか?
UK GDPR第22条は、プロファイリングに基づくものを含め、組織が個人に対して法的又はそれに準ずる重大な影響を及ぼす、自動化された意思決定のみを行うことができる状況を制限しています。
法案は、自動化された処理にのみ基づく決定を「人間の関与を伴わない」ものとして新たに定義するなど、第22条の改正を提案しています。法案はさらに、ある決定が「人間の関与」をもってなされたかどうかを判断する際には、その決定がプロファイリングによってなされたものであるかどうかを考慮しなければならないことを明確にしています。
法案はまたデータ主体に関して、管理者によって又は管理者を代表して行われる重要な決定が、(a) 完全に又は部分的に個人データに基づいている場合、および、(b) 自動化された処理のみに基づいている場合に、管理者が講じる必要のある一定の保護措置を定めています。
国際的なデータ移転に関して何が提案されていますか?
現在UK GDPRの下では、個人データは英国から、英国の十分性認定の仕組み (adequacy regulation) が適用される国、地域又は組織の受領者へ移転することができます。十分性認定は、特定の国や地域、国際組織が十分なデータ保護体制を有していることを確認するものです。DPDI法案では、十分性を評価するための新しい「データ保護テスト」が導入されます。この新しいテストでは、受領国で提供される保護レベルがUK GDPRの下よりも「著しく低い」かどうかが考慮されます。
3CSにできること
弊所のコーポレート・商法チームの弁護士とコンサルタントは、国内および国際的な専門知識を有し、あらゆるコーポレートおよび商法のサービスを提供しております。データ保護の要求事項におけるコンプライアンスに関して、何らかのサポートが必要な場合、またはその他のご質問がある場合は、いつもの3CSの担当者までお問合せください。
