データ保護法2018(c29)は、2018年にイギリス政府が成立させた法律で、1998年に成立した法律に代わるものです。制定当時は欧州一般データ保護規則(GDPR)と整合する形で成立し、現在は「UK GDPR」と併せて国内の個人データ保護の枠組みを構成しています。

概要と目的

この法律は、生存する人々に関するデータを使用または保存する組織や個人に対するルールを定め、データが収集された人(データ主体)に具体的な権利を与えることを目的としています。適用対象はコンピュータやあらゆる種類のストレージシステム(紙の記録を含む)に保存された個人データです。

用語の整理

個人データ(Personal data): 住所、電話番号、メールアドレス、職歴、識別番号、オンライン識別子など、特定の個人に結び付けられる情報。特別カテゴリー情報(special category data)は人種、宗教、健康・病歴、性的指向などの敏感データを指します。犯罪に関するデータ(前科情報等)も別扱いの規定があります。

情報を使用する者は、データ管理者(controller)と呼ばれ、データの処理を実行する者はデータ処理者(processor)と呼ばれます。データの対象者は、データ主体(data subject)です。

適用範囲(誰に適用されるか)

  • 英国内で個人データを処理する全ての組織(民間企業、公的機関、非営利団体等)。
  • 英国外に所在していても、英国居住者に対して商品やサービスを提供する、あるいは英国居住者の行動をモニターする場合には適用されることがあります。
  • 処理の内容や規模により、データ保護責任者(DPO)の設置や影響評価(DPIA)が要求される場合があります。

主な原則

  • 目的制限:収集目的を明確にし、その目的以外での利用を制限する。
  • データ最小化:目的に必要な最小限のデータのみを収集する。
  • 正確性:データの正確性を保ち、必要に応じて更新する。
  • 保存制限:不要になったデータは速やかに削除・消去する。
  • 機密性と安全性:不正アクセスや漏洩を防ぐための適切な技術的・組織的対策を講じる。
  • 説明責任(Accountability):方針や対策を文書化し実施状況を示せること。

合法的な処理の根拠(法的根拠)

個人データを合法的に処理するには、次のいずれかの根拠が必要です:同意、契約の履行、法的義務の履行、生命の保護、公共の任務の遂行、正当な利益(legitimate interests)。特別カテゴリー情報については、さらに厳しい条件や追加の適法性が求められます。

データ主体の主な権利

  • 情報を受ける権利(被通知権):収集目的、保持期間、第三者提供の有無等について説明を受ける権利。
  • アクセス権(Subject Access Request):自身の保有データをコピーして提供してもらう権利。
  • 訂正権:不正確なデータの修正を求める権利。
  • 消去権(忘れられる権利):一定の条件下でデータの削除を要求できる権利。
  • 処理制限権:処理を停止・制限するよう求める権利。
  • データポータビリティ権:構造化された機械可読な形式でデータを受け取り、他の管理者へ移転する権利。
  • 異議申立て権:正当な利益に基づく処理やダイレクトマーケティングに対して異議を唱える権利。
  • 自動化された意思決定に対する権利:プロファイリング等、重大な影響を及ぼす自動処理に対して説明や介入を求める権利。

データ管理者・処理者の主な義務

  • 適切な法的根拠を確認して処理を行うこと。
  • データ保護方針や処理記録を保持し、監督機関に提出できるようにすること。
  • 技術的・組織的な安全対策を導入し、データ侵害が発生した場合は所定の手続きで報告すること。
  • 必要に応じてデータ保護影響評価(DPIA)を実施すること。
  • 処理を外部に委託する場合、契約で適切な指示と保護を定めること。
  • 公的機関や大規模処理を行う組織にはDPO(データ保護責任者)の設置が要求されることがある。

監督機関と罰則

英国ではInformation Commissioner's Office(ICO)が監督・執行を行います。違反に対しては是正命令や処罰金が科され、重大な違反の場合は高額の罰金(事業規模に応じて数百万ポンド、GDPR相当の上限が適用される場合もあります)が課されることがあります。また、被害を受けた個人は損害賠償を請求できます。

国際データ移転

英国外への個人データ移転は、受入国が十分性認定を受けているか、標準契約条項や適切な保障措置(暗号化、追加契約等)を講じる必要があります。Brexit以降はEUとUKそれぞれの枠組みを確認する必要があります。

実務的な注意点(企業・組織向け)

  • 個人データの処理記録を整備する(何を、なぜ、どこで、誰が処理するか)。
  • プライバシーポリシーや同意取得の文言を明確にする。
  • データ侵害対応手順を作成し、関係者へ周知する。
  • 従業員に対する教育・研修を定期的に行う。
  • 外部委託先の管理(契約・監査)を行う。

相談先

権利行使や苦情、法的対応が必要な場合は、まず組織内のデータ保護担当者に問い合わせ、解決しない場合はICOに相談・通報することが推奨されます。法的助言が必要な場合は弁護士等の専門家に相談してください。

要点:データ保護法2018は、個人データの取り扱いに関する英国の主要な法的枠組みであり、透明性・安全性・個人の権利保護が中核です。事業者は法的根拠の確認、適切な技術的・組織的対策、データ主体の権利尊重を徹底する必要があります。