お電話での問い合わせは03-6805-2586
9月14日に英国で、データ保護法改正案が公表されています。
英国のデータ保護法は、1998年データ保護法で、昔、わが国の基本的な枠組みに対しても、大きな示唆を与えるだろうと紹介したところでした。(論文としては、「英国データ保護法からの個人情報保護法への示唆」「英国データ保護法をめぐる適用除外の議論–情報保護法案は、マスコミ規制法?」です)
それは、さておき、Brexitとは、いえ、まだ、離脱が完成していませんので、英国としては、GDPRに対応して、データ保護法を改正しなければなりません。また、仮に離脱が完了したとしても、十分な保護レベルがあるとして、データのクロスボーダー移転が可能にならないとビジネスとしても回っていかなくなりそうです。その意味で、データ保護法の改正案をきちんとみていく必要があります。
法案は、国会のこちらのページになります。
98年法は6部(75条)と16の附則からなり立っていの附則からなり立っていたのに対して、今回は、7部(194条)と、18の附則(Schedule)からなりたっています。
ここの条文をみて分析していきたいところですが、今回は、注目の点をみていくことにしましょう。この注目の点については、趣旨説明が明らかになった段階でおおよその点は、推測できたということになります。(8月16日のエントリ)が、あらためて条文ともに検討しておくのは、有意義でしょう。
まずは、ファクトシートから。
Karen Bradley大臣は、「データ保護法案は、人々により、データに対するコントロールを増し、データ利用に関して企業をサポートし、英国をブレクジットに備えさせる」「デジタルワールドにおいては、サイバーセキュリティとデータ保護は、ともに手を携えて進むものである。この法案は、鍵になる。」としています。
What are we going to do?(何をしているのか)では、上の大臣の3点が強調されています。
How are we going to do it?(どのようにしてするのか)では、(1)データ保護法1998の制裁強化を代表とする全般的/現代的枠組み(2)GDPR準拠の一般データ保護の新しい標準、データに対するコントロール、データの移転および消去に関する新しい権利(3)世界をリードする研究、金融サービス、報道、法的サービスを継続しうるような例外規定の維持(4)刑事司法機関・国家安全組織において、被害者・証人・容疑者の権利を保持しながら、円国が直面する国際的な脅威に対して対抗しうるような枠組み がふれられています。
Background(背景)においては、データ保護法1998は、英国をデータ保護標準の先端においていたが、デジタル経済・社会の進展に適合させるために、データ保護法を現代化するものであるとしています。
そのなかで、法案の主たる要素が個別の項目にわけてふれられています。
一般データ処理(General data processing)
すべての一般的なデータ処理に関してGDPR標準を実装します。
●英国文脈においてGDPRで使用される定義を明確にする
●センシティブな健康、社会福祉、教育データが、健康において継続的に機密保持されたままで処理を続けられ、保護の状況を維持することができるように確保すること。
●国家の安全の目的を含み、強力な公共政策の正当性がある場合において、データのアクセスと削除の権利に適切な制限を設けて、現在行われている特定の処理を継続できるようにすること
●オンラインでデータを処理するのに親の同意が必要ない年齢を13歳に設定すること。
法執行機関における処理(Law enforcement processing)
.法執行の目的のために、警察、検察、その他の刑事司法機関による個人データの処理のための別個の体制を提供する
●個人データを保護するための保護する手段とともに国際的にデータの流れを妨げないようにする。
国家安全に関する処理(National Security processing)
.インテリジェンスサービスによる個人データの処理を規制する法律が、現存する新しく出現する国家安全保障上の脅威にインテリジェンスコミュニティが引き続き取り組むことができる適切な保護手段を含むものとし、最新の国際基準と最新のままであることを確保する。
規則および執行(Regulation and enforcement)
.データ保護法を継続して規制し実施する情報コミッショナーの追加権限を定める。
●最も重大なデータ侵害の場合、データ・コントローラおよびプロセッサに対するより高い行政罰金を課し、最も深刻な違反に対して最大17百万ポンド(2,000万ユーロ)または全世界売上高の4%を課す権限をコミッショナーに、許容する。
●データ・コントローラまたはプロセッサが、データ主体のアクセス要求による開示を防止する目的でレコードを変更する犯罪に対して刑事訴訟を提起する権限を権限者に付与する。