英国データ保護法(2018)とは:概要・適用範囲と個人の権利

英国データ保護法(2018)の概要・適用範囲と個人の権利をわかりやすく解説。対象データ・事業者の責務や本人の主張方法まで実務に役立つガイド。

著者: Leandro Alegsa

データ保護法2018(c29)は、2018年にイギリス政府が成立させた法律で、1998年に成立した法律に代わるものです。制定当時は欧州一般データ保護規則(GDPR)と整合する形で成立し、現在は「UK GDPR」と併せて国内の個人データ保護の枠組みを構成しています。

概要と目的

この法律は、生存する人々に関するデータを使用または保存する組織や個人に対するルールを定め、データが収集された人(データ主体)に具体的な権利を与えることを目的としています。適用対象はコンピュータやあらゆる種類のストレージシステム(紙の記録を含む)に保存された個人データです。

用語の整理

個人データ(Personal data): 住所、電話番号、メールアドレス、職歴、識別番号、オンライン識別子など、特定の個人に結び付けられる情報。特別カテゴリー情報(special category data)は人種、宗教、健康・病歴、性的指向などの敏感データを指します。犯罪に関するデータ(前科情報等)も別扱いの規定があります。

情報を使用する者は、データ管理者(controller)と呼ばれ、データの処理を実行する者はデータ処理者(processor)と呼ばれます。データの対象者は、データ主体(data subject)です。

適用範囲(誰に適用されるか)

  • 英国内で個人データを処理する全ての組織(民間企業、公的機関、非営利団体等)。
  • 英国外に所在していても、英国居住者に対して商品やサービスを提供する、あるいは英国居住者の行動をモニターする場合には適用されることがあります。
  • 処理の内容や規模により、データ保護責任者(DPO)の設置や影響評価(DPIA)が要求される場合があります。

主な原則

  • 目的制限:収集目的を明確にし、その目的以外での利用を制限する。
  • データ最小化:目的に必要な最小限のデータのみを収集する。
  • 正確性:データの正確性を保ち、必要に応じて更新する。
  • 保存制限:不要になったデータは速やかに削除・消去する。
  • 機密性と安全性:不正アクセスや漏洩を防ぐための適切な技術的・組織的対策を講じる。
  • 説明責任(Accountability):方針や対策を文書化し実施状況を示せること。

合法的な処理の根拠(法的根拠)

個人データを合法的に処理するには、次のいずれかの根拠が必要です:同意、契約の履行、法的義務の履行、生命の保護、公共の任務の遂行、正当な利益(legitimate interests)。特別カテゴリー情報については、さらに厳しい条件や追加の適法性が求められます。

データ主体の主な権利

  • 情報を受ける権利(被通知権):収集目的、保持期間、第三者提供の有無等について説明を受ける権利。
  • アクセス権(Subject Access Request):自身の保有データをコピーして提供してもらう権利。
  • 訂正権:不正確なデータの修正を求める権利。
  • 消去権(忘れられる権利):一定の条件下でデータの削除を要求できる権利。
  • 処理制限権:処理を停止・制限するよう求める権利。
  • データポータビリティ権:構造化された機械可読な形式でデータを受け取り、他の管理者へ移転する権利。
  • 異議申立て権:正当な利益に基づく処理やダイレクトマーケティングに対して異議を唱える権利。
  • 自動化された意思決定に対する権利:プロファイリング等、重大な影響を及ぼす自動処理に対して説明や介入を求める権利。

データ管理者・処理者の主な義務

  • 適切な法的根拠を確認して処理を行うこと。
  • データ保護方針や処理記録を保持し、監督機関に提出できるようにすること。
  • 技術的・組織的な安全対策を導入し、データ侵害が発生した場合は所定の手続きで報告すること。
  • 必要に応じてデータ保護影響評価(DPIA)を実施すること。
  • 処理を外部に委託する場合、契約で適切な指示と保護を定めること。
  • 公的機関や大規模処理を行う組織にはDPO(データ保護責任者)の設置が要求されることがある。

監督機関と罰則

英国ではInformation Commissioner's Office(ICO)が監督・執行を行います。違反に対しては是正命令や処罰金が科され、重大な違反の場合は高額の罰金(事業規模に応じて数百万ポンド、GDPR相当の上限が適用される場合もあります)が課されることがあります。また、被害を受けた個人は損害賠償を請求できます。

国際データ移転

英国外への個人データ移転は、受入国が十分性認定を受けているか、標準契約条項や適切な保障措置(暗号化、追加契約等)を講じる必要があります。Brexit以降はEUとUKそれぞれの枠組みを確認する必要があります。

実務的な注意点(企業・組織向け)

  • 個人データの処理記録を整備する(何を、なぜ、どこで、誰が処理するか)。
  • プライバシーポリシーや同意取得の文言を明確にする。
  • データ侵害対応手順を作成し、関係者へ周知する。
  • 従業員に対する教育・研修を定期的に行う。
  • 外部委託先の管理(契約・監査)を行う。

相談先

権利行使や苦情、法的対応が必要な場合は、まず組織内のデータ保護担当者に問い合わせ、解決しない場合はICOに相談・通報することが推奨されます。法的助言が必要な場合は弁護士等の専門家に相談してください。

要点:データ保護法2018は、個人データの取り扱いに関する英国の主要な法的枠組みであり、透明性・安全性・個人の権利保護が中核です。事業者は法的根拠の確認、適切な技術的・組織的対策、データ主体の権利尊重を徹底する必要があります。

データ保護法の主なポイント

これは、英国データ保護法の主な原則を簡略にまとめたものです。

これは、例えば、スタッフ、顧客、口座保有者に関して保管されている情報にも適用されます。

  • ある理由で人々のデータを収集した場合、それを別の理由で使用してはなりません。
  • 本人の同意がない限り、人々のデータを他の人々や組織に与えてはならない。
  • 人々は、あらゆる組織が保存している自分についてのデータを見る権利があります。
  • データは必要以上に長く保存してはならず、最新の状態に保たなければなりません。
  • 適切なレベルの保護が存在しない限り、欧州経済地域外の場所にデータを送ってはいけません。
  • 人に関するデータを保存する組織は、情報コミッショナー事務所に登録する必要があります。
  • 人に関するデータを保存する場合は、安全で十分に保護されていることを確認する必要があります。
  • ある組織があなたに関する誤ったデータを保有している場合、あなたはそのデータを変更するよう組織に求める権利を有します。



関連ページ



質問と回答

Q: データ保護法2018とは何ですか?


A: データ保護法2018は2018年に英国政府によって可決された法律で、1998年に可決されたものに代わるものです。生きている人々に関するデータを使用または保存する人々に対する規則を定め、データを収集された人々に権利を与えています。

Q: この法律はどのようなデータに適用されますか?


A: 法律が適用されるのは、住所、電話番号、Eメールアドレス、職歴などの個人データです。

Q: 法律はどのような保存システムに適用されますか?


A: コンピューターに保存されているデータ、あるいは紙の記録であっても、あらゆる種類の保存システムに適用されます。

Q: 情報を利用する人は何と呼ばれるのですか?


A: 情報を使用する人はデータ管理者と呼ばれます。

Q: データを管理する人を何と呼びますか?


A: データを扱う人をデータ主体と呼びます。

Q: 2018年データ保護法は、データを収集された人に何らかの権利を与えていますか?


A: はい、データ保護法2018は、データを収集された人々に権利を与えています。

Q: データ保護法2018では、データを収集された人にどのような権利が与えられますか?


A: 2018年データ保護法は、自分の情報にアクセスする権利、自分の情報を訂正または消去してもらう権利、自分の情報が特定の目的に使用されることに反対する権利など、データを収集された人々に権利を与えています。


百科事典を検索する
AlegsaOnline.com - 2020 / 2025 - License CC3