【重要】英政府、合意なしEU離脱の対応指針発表


イギリス政府は、EU離脱交渉が決裂し、いかなる合意もなくイギリスがEUを離脱する場合(いわゆる”NO DEAL BREXIT”)の場合において、従来どおりのEU・イギリス間の個人データ移動を確保するために企業がとるべき措置についてのガイダンス” Guidance: Data protection if there’s no Brexit deal”を発表した。

まず、イギリスにおいては、すでに施行されている2018年データ保護法(Data Protection Act 2018)およびEU離脱法(EU Withdrawal Act)に基づき、GDPRの規制内容はそのままイギリスの国内法として効力を維持する。したがって、イギリス企業は、イギリス内における個人データ処理については、これまでどおり、GDPRの規制内容を遵守すればよい。

イギリスからEUへの個人データの移動について、このガイダンスは、イギリス政府は、NO DEAL BREXITの場合においても、これまでどおり、イギリスからEUへの自由な個人データ移動を認めることを明らかにした。ただし、この措置については将来見直しの余地があるとされた。

EUからイギリスへの個人データ移動について、EUはすでにイギリスに対してGDPR第45条に基づく「十分性決定」を行うことを示唆しているが、具体的なタイムテーブルは示されておらず、NO DEAL BREXITが現実となった場合、EUからイギリスへの個人データ移動については、GDPRに基づく何らかの保護措置が必要となる。このガイダンスは、イギリス企業に対して、データ輸出者となるEU企業との間でGDPR第46条に基づく標準契約条項(SCC)を含むデータ移転契約を締結することを推奨している。

BREXITに伴い生じる個人データ保護の問題については、今後、イギリスのデータ保護監督機関であるICO (Information Commissioner’s Office)が追加のガイダンスを公表する。

https://www.gov.uk/government/publications/data-protection-if-theres-no-brexit-deal/data-protection-if-theres-no-brexit-deal

IIJ注:
現時点でBREXIT交渉は難航し、9/21付日本経済新聞では、「よい内容で合意できないならば、合意なし離脱の方がよい」とのメイ首相の発言が伝えられました。NO DEAL BREXITが確実になったわけではありませんが、来年3月の交渉期限までの残り時間を考えると、EU加盟国からイギリスへの個人データ移動を必要とする企業は、いつでもSCCに準拠したデータ移転合意を締結できるよう、準備を進めるべきです。

関連記事