【データ法】UK Data Protection Act 2018の概要#2
こんにちは。
お読みいただきありがとうございます。
前回に引き続き、英国のデータ保護法であるData Protection Act 2018("DPA 2018")について紹介していきます。
前回は、DPA 2018の概略的な機能や制定の背景、第1部の総則、及び、UK GDPRに関して補足的な事項を定めた第2部を見てきました。
今回は、DPA 2018の残りの規定について概略を見ていきます。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
第3部 法執行の処理
本題に入る前に、DPA 2018の現行の条文を置いておきます。
第3部の意義
EU GDPRは、犯罪捜査や裁判、刑罰の執行のために行われる個人データの処理について、適用対象外としています。その代わりに、LED(法執行指令)と呼ばれる指令によって、各加盟国における個人データの処理が規律されています。
UK GDPRでも、この基本構造は引き継がれており、所管官庁による法の執行の目的で行われる個人データの処理については、このDPA 2018の第3部がルールを定めています。
データ保護6原則
第3部第2章(s. 34-42)は、法執行の目的で行われる個人データの処理について、6つの原則を定めています。
法執行の個人データ処理の6原則:
① 処理は、適法かつ公平でなければならない
② 処理は、特定され、明示され、かつ、正当(legitimate)でなければならない
③ 処理される個人データは、目的との関連において十分で、関連性があり、かつ、過度であってはならない
④ 処理される個人データは、正確で、必要に応じて最新の状態に保たれなければならない
⑤ 処理される個人データは、必要な期間を越えて保持されてはならない
⑥ 処理は、適切な技術的または組織的手段を用いて、適切なセキュリ ティを確保する方法で行われなければならない
これらの6原則は、、UK GDPRが定める(通常の)個人データの処理に係る6原則と基本的に一致しています。もっとも、①について、UK GDPRでは、適法性、公平性及び透明性の原則とされている一方で、法執行の処理においては、透明性がうたわれていません。
これは、特定の場面(例えば、犯罪捜査)において、悪影響を及ぼす可能性があるためと言われており、法執行の目的で行われる個人データの処理に関しては、透明性は、そこまで厳格にとらえられていません。
データ主体の権利
第3章は、データ主体の権利について定めています。
こちらも基本的には、UK GDPRが定めるデータ主体の権利と同じですが、データポータビリティの権利や、異議を述べる権利については、第3部では規定がありません。
また、犯罪捜査の妨害や、刑事犯罪の予防、公共の安全等の理由で、データ主体の権利が制限され得ることも定められています。
個人データ侵害
法執行の目的で行われる個人データの処理についても、もし管理者が個人データ侵害を起こした際には、基本的に、ICOに対して通知が必要です。
「可能な限り(where feasible)」72時間以内に通知が必要と定められている点で、UK GDPRにおける個人データ侵害よりも、やや要件が緩やかですね。
その他の規定
ここまで述べたものの他にも、データ保護影響評価(DPIA)、DPOの選任、国際データ移転といったUK GDPRでも規定されているような内容が定められています。
第4部 諜報機関の処理
第4部の意義
国家安全保障に関する事項はEU法の適用範囲外とされており、それゆえに、EU GDPRの対象になりません。また、LEDの対象にもなりません。そのため、UK GDPRでも、諜報機関の活動のような、国家安全保障に係るものについては、適用対象外としています。また、第3部も適用されません。
第4部は、このように、法令が通常カバーしている範囲から抜け落ちている諜報機関による個人データの処理について定めています。
データ保護6原則
諜報機関による個人データの処理についても、6つの原則が定められています。基本的に、UK GDPRや第3部が定めている原則と同じです。なお、第3部の原則とは異なり、処理の透明性も要求されます。
個人データの処理の適法性
諜報機関による個人データの処理には、Schedule 9(機微な処理についてはSchedule 10)に定める条件のいずれかを満たしているときに限って、適法であるとしています。
以下は、Schedule 9に定める条件ですが、諜報機関の活動がこれらのいずれにも当たらないことは考えづらいという指摘があります。
Schedule 9に定める条件:
① 法的義務の遵守
② データ主体又は他の個人の重大な利益をを保護するため
③ 司法の運用のため
④ 公共の利益のために行使される、公共な職務の遂行のため
データ主体の権利
第4部でもデータ主体の権利が定められています。データポータビリティの権利や異議を述べる権利について規定がないのは、第3部と同様です。
適用除外
第4部の規定の中で特に重要なことは、広範な適用除外が定められていることです。第6章は、国家安全保障を保護する目的で必要な場合には、適用除外とすることができることが規定されています。
適用除外の対象には、データ主体の権利の保護規定のほか、後述する個人データ侵害に係る通知、ICOによる立入検査権限などが含まれます。
一応、一定の適用除外に関しては処理の対象となる個人データのデータ主体等による不服申立て手続が定められていますが、そのような適用除外がなされたことを知ることは、事実上不可能であり、あまり意味のない不服申立て手続となってしまっています。
その他の規定
上記で述べたほかにも、個人データ侵害に係るICOへの通知や、国際データ移転、諜報機関の義務(セキュリティ要件など)が定められています。
第5部 Information Commissioner
英国における個人データ保護の当局は、Information Commissioner's Office
(ICO)です。第5部では、ICOの役割、行動規範、調査権限、手数料などについて定めが置かれています。
日本の個人情報保護委員会との違いで言うと、ICOの活動経費の85%が、データ保護料(data protection fee)によって賄われているという点です。
データ保護料とは、個人データを処理する組織が、ICOに対して支払うものです(一定の場合には免除あり)。2023年度にICOが収受したデータ保護料は、約6,600万ポンド(約132億円)です。
ここまで見てみると、ICOは、行政機関というよりは、日本でいうNHKなどの特殊法人に近い立ち位置なのかもしれません。
第6部 執行
第6部は、主に、ICOに様々な執行権限を与えることを目的としています。例えば、情報通知、評価通知、執行通知といったものから、立入権限、及び、制裁金に関する規定が含まれます。
なお、EU GDPRに定められている制裁金や罰則に関する規定については、Brexitを経て、UK GDPRではなく、DPA 2018の第6部に移っています。
第7部 補足と最終規定
文字通り、補足的な規定です。
また、英国の法律は、施行の時期を二次法にゆだねることがよくあり、DPA 2018でも、そのような建付けとなっています。もっとも、現在では、全ての規定が施行済みです。
まとめ
いかがだったでしょうか。
前回と今回の2回に分けて、DPA 2018について紹介しました。
企業の実務担当者からすると、DPA 2018で特に重要なのは、第2部のUK GDPRの補足的な規定だと思います。
その他については、正直言って、実務にはあまり重要でない部分が多いです。それゆえに、DPA 2018を解説する資料が少ないのかもしれません。
とはいえ、行政機関(第3部)や諜報機関(第4部)による個人データの処理がどのように行われているのかをイメージできるのは有益ですし、DPA 2018をきちんと押さえていれば、英国の個人データ保護法制への理解も進むはずです。このエントリーがその一助になっていれば嬉しいです。
ここまでお読みいただきありがとうございました。
【注釈】
*1 s. 86(2) and (3), DPA 2018
*2 GDPRの和訳は、個人情報保護委員会の仮訳に基本的にしたがっています。なお、「処理」は、仮訳では「取扱い」と訳されています。
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。