【データ法】UK Data Protection Act 2018の概要#1

こんにちは。
お読みいただきありがとうございます。

本日のテーマは、英国のデータ保護法であるData Protection Act 2018（"DPA 2018"）です。

DPA 2018は、UK GDPR、PECRと並ぶ、英国の個人データ保護に関する重要法令の一つです。

もっとも、UK GDPRは、文字通りGDPRのUK版であり、両者の内容はほぼ同じであることから多くの人が内容を知っており、PECRについても、元々はEUのePrivcy指令の施行法であり、解説を探すのは割と容易です。

他方で、DPA 2018については、まとまった日本語の解説はあまり見かけません。そこで、本日は、DPA 2018について、（概要にとどまるものですが）紹介していきたいと思います！

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。

Data Protection Act 2018とは？

条文

こちらから、アクセスできます。

Data Protection Act 2018

趣旨・目的

①　UK GDPRの補足

DPA 2018の当初の目的の一つは、EU GDPRの補足です。具体的には、EU GDPRの解釈について明確化したり、EU GDPRが各加盟国に認めていた裁量に基づく一定のEU GDPRの条項の適用除外又は制限を設けたりすることを目的としていました。

イギリスがEUを完全に脱退したのは、2020年12月31日のことです(*1)。DPA "2018"という法令名から分かるとおり、もともとDPA 2018は、2018年5月のEU GDPR施行に伴い施行されるように制定された法令であり、イギリスがEU加盟国であった時代に作られたものです。

EU GDPRの「補足」はイメージしやすいと思いますが、「適用除外」や「制限」についてはここまでの説明だけだと少し分かりにくいかもしれませんので、もう少し説明を加えます。

EU GDPRは、EU加盟国に対して、一定の裁量を与えていました。例えば、Art 8(1)は、16歳未満の個人データについて、同意に基づき一定の処理を行う場合には、本人に代わって親が同意を与えなければならないことを定めていましたが、併せて、「各加盟国は、その年齢が13歳を下回らないかぎり、法律によって、更に低い年齢を定めることができる」旨を規定していました。

DPA 2018は、このような一定の条項の適用除外又は制限に関する立法として、役割を果たしました。おそらく、EU各加盟国は、このような適用除外等に係る立法を行っており、例えば、アイルランドも、Data Protection Act 2018という名前の法律を定めています（ややこしい）。

Data Protection Act 2018

もっとも、Brexitを果たした現在、EU GDPRはUK GDPRという国内法になっており、イギリスは、データ保護法の内容を自由に変更できるようになりました。そのため、例えば、UK GDPRのArt 8(1)は、「16歳」という数字がダイレクトに「13歳」に置き換わっています(*2)。

とはいえ、UK GDPRの建付けをガラッと変えるような改正は意図的に行われておらず、Brexit後も、UK GDPRの補足的な条項をDPA 2018が定めるという建付けは、未だに変わっていません。

②　捜査当局等の個人データの処理に関する法律

EU GDPRは、捜査当局や司法機関による捜査や法執行に関する個人データの処理について、その適用を除外しています。そのかわり、EUは、いわゆるデータ保護法執行指令（LED）(*3)を定めて、各加盟国の捜査機関による個人データの処理を規律しようとしています。

もうお分かりのように、DPA 2018は、LEDの実施法でもありました。そのため、DPA 2018は、現在でも、英国の警察や法執行機関による個人データの処理について規律する法律となっています。

ここまで読んで、EUの規則（Regulation）や指令（Directive）の話がよく分からないと感じる方は、こちらで解説していますので、よければどうぞ。

③　その他
この他にも、DPA 2018は、次のような機能を含んでいます。

・　諜報機関（MI6など）のデータ保護体制について規定すること
・　イギリスのデータ保護当局であるInformation Commissoner's Office (ICO)の組織と権限に関する事項を規定すること
・　データ保護法違反に関する法執行手続を規定すること

構造

DPA 2018は、Schedule（ここでは、別表と呼ぶことにします。）と呼ばれる附則的な規定が21個もあり、それらを逐一書きつらねることはしませんが、本文だけを見ても、大まかな構造が俯瞰できるのではないかと思います。

第１部（第１～３条）　序論（Preliminary）
第２部（第４～28条）　一般の処理（General Processing）
第３部（第29～81条）　法執行の処理（Law Enforcement Ptrocessing）
第４部（第82～113条）　諜報機関の処理（Intelligence Services Processing）
第５部（第114～141条）　The Information Commissioner
第６部（第142～181条）　執行（Enforcement）
第７部（第182～215条）　補足と最終規定（Supprementary and Final Provision）

以下では、各部について、概要を見ていきます。

第１部　序論

あまり書くことがありません。本当に序論です。

第２部　一般の処理

主に、UK GDPRの補足や適用除外などについて定めるパートです。

民間企業による犯罪歴等の個人データの処理

GDPRは、犯罪歴等の個人データについて、Art 9に定める特別なカテゴリーの個人データとするのではなく、Art 10に特別の定めを置いてます(*4)。

… 有罪判決及び犯罪行為又は保護措置と関連する個人データの取扱いは、公的機関の管理の下にある場合、又は、データ主体の権利及び自由のための適切な保護措置を定めるEU法又は加盟国の国内法によってその取扱いが認められる場合に限り、これを行うことができる。…

つまり、民間企業は、「EU法又は加盟国の国内法によってその取扱いが認められる場合に限り」、犯罪歴等の個人データを処理できるということですね。UK GDPRでは、括弧でくくった部分が「国内法によって…」に置き換えられています。この国内法が、DPA 2018に該当するという仕組みです。

では、どのような条件に従えば、民間企業は、犯罪歴等のデータを処理することができるのでしょうか。

この点について、DPA 2018は、「The processing meets the requirement in Article 10(1) of the UK GDPR for authorisation by the law of the United Kingdom or a part of the United Kingdom only if it meets a condition in Part 1, 2 or 3 of Schedule 1」と規定しています。このうち、民間企業が現実的に依拠しうるのは、別表1の第2部で定めている次の規定です。

第10項　不法な行為の防止又は摘発
第11項　不正行為からの公衆の保護
第12項　不法な行為や不正な行為に関する規制の要件に基づくもの

少し長くなりそうなので詳しくは立ち入りませんが、気になる方は、各項を実際に読んでみられることをおススメします。

なお、特別なカテゴリーの個人データについては、こちらで紹介していますので、よければどうぞ。

適切なポリシー文書

DPA 2018は、特別なカテゴリーの個人データや犯罪歴等の個人データの処理について、別表1の第1～3部に定める要件に従うことを要求しています。

そして、別表1の第4部は、同第1～3部に従った個人データの処理に関して、管理者に、適切なポリシー文書（appropriate policy document）を整備し、維持する義務を課しています。

適切なポリシー文書には、以下のようなことが求められます。

・　GDPR Art 5に定める6原則の順守を確保するための手順を定める
・　管理者による特別なカテゴリーの個人データ等の保持及び消去の手続について定める
・　ICOの要請に応じて無償で提供されなければならない

特別なカテゴリーの個人データには、自然人を一意に識別することを目的とするときの健康に関するデータも含まれるところ、従業員を雇っているほぼ全ての事業者は、かかる従業員の個人データを管理し得ると考えられます。

したがって、UK GDPRの適用のある事業者は、適切なポリシー文書の整備が必要となる可能性が高く、自社のデータ保護に関する社内規程が要件を具備しているか否かを、確認した方がよいかもしれません。

自動化された意思決定に関する保護措置

UK GDPRは、一定の重大な自動化された意思決定に基づく個人データの処理を原則として禁止しています。もっとも、EU GDPR時代から、加盟国の国内法により、適用除外を設けることが認められています。

DPA 2018の14条は、他の英国の法律が適用除外を定めている際の追加的な義務等について定めています。適用除外となる場合を定めているわけでは無い点、注意が必要ですね。

具体的には、特別の法律による適用除外に依拠して自動化された意思決定を行った場合、管理者に通知義務が課されます。フローは次のとおりです。

通知のプロセス：
①　管理者は、自動化された意思決定が行われた場合、合理的に実行可能な限り速やかにデータ当事者に書面で通知しなければならない
②　データ主体は、通知から1カ月以内に、管理者に対し、決定を再考すること、または自動処理に基づかない新たな決定を行うことを要求することができる
③　管理者は、受領から1ヶ月以内に要請を検討し、それに応じ、データ主体に対して、遵守するために講じた措置と遵守の結果を通知しなければならない

データ主体の権利の制約

EU GDPRは、一定の要件の下で、加盟国の法律によってデータ主体の権利を制約することを認めており(*5)、英国もDPA 2018に基づき、所定の処理活動について、権利の制約を定めていました。これらの制約は、Brexit後も引き続き維持されています。

DPA 2018は、以下のような場合に、データ主体の権利の制約を認めています。

・　犯罪防止及び課税
・　効果的な出入国管理
・　法律により又は法的手続に関連して要求される開示
・　規制当局がその活動の阻害の回避
・　ジャーナリズム等の一定の目的のために行う公表
・　研究機関等がその目的の達成に支障をきたす可能性があるもの

小括

本日は、DPA 2018について紹介しました。

途中まで書き始めて嫌な予感がしていたのですが、結局最後まで書ききれませんでした。第３部以降については、次回にまわしたいと思います。

最近、続きものの記事ばかりで恐縮ですが、次回もよろしくお願いします。

追記：第２回（最終回）です！

ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。

---

【注釈】
*1　いわゆる"implementation period"の終了時点のことを言っています。
*2　こちらをご確認ください。
*3　Directive (EU) 2016/680。正式名称は長いので省略します。
*4　和訳は、個人情報保護委員会の仮訳です。なお、「処理」は、仮訳では「取扱い」と訳されています。
*5　Art 23, EU GDPR

---

免責事項：
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

---

X（Twitter）もやっています。
こちらから、フォローお願いします！

このほかにも、データ法に関する解説を書いています。
よければご覧ください。

データ法を解説します｜弁護士 古田 俊文 (toshful)｜note