【データ法】UK GDPR ーBrexit後の英国データ保護法ー

こんにちは。
お読みいただきありがとうございます。

ぼくは、’23年にイギリスのロースクールを修了し、現在はロンドンの法律事務所に出向中の身です。ロースクールでデータ保護法を中心に学んでいたこともあり、出向先では、結構な数のデータ保護法の案件に携わっています。

出向先のクライアントは、基本的に英国の企業です。そのため、現在取り扱っているメインの法律は、GDPRではなく、「UK GDPR」です。

UK GDPRとは一体なんなのでしょうか？
今回は、Brexit後のイギリスのデータ保護法制について見ていきます。

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。

UK GDPRとは？

EUの個人データ保護法であるGDPRについて、Brexit後も同様の内容で英国内で適用されるように定立された、英国の法令です。

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (United Kingdom General Data Protection Regulation)(Text with EEA relevance)

いわゆる「Retained EU Law」であり、その中でも最も重要な法令の一つだと言えます。

ここから先は、UK GDPRとの対比のために、GDPRのことを「EU GDPR」と呼んで説明を進めていきます。

どういう仕組みで既にEUを脱退した英国が、EU法と同じ内容の法令を国内で適用し続けているのか、気になる人もいると思います。弁護士や法務部員、法学を勉強している方であれば、普通そうですよね。

この点については、以前、Retained EU Lawについても説明した際に触れているので、気になる方はこちらをご覧ください。

UK GDPRとEU GDPRの違いは？

細かい点で違いはありますが（制裁金がポンドかユーロか等）、基本的には同じ内容と理解しておけばOKです。

つまり、EU内で適用される個人データ保護法(*1)がEU GDPRであり、英国内では、ほぼ同じ内容の個人データ保護法であるUK GDPRが適用されると関係になっています。

イメージ図

UK GDPRにおけるEU GDPRのリサイタルの位置づけは？

EU GDPRには、173個ものリサイタル（前文）がくっついています。

Recitals of the GDPR (General Data Protection Regulation)

リサイタルに法的効力はありません。しかし、条文を解釈するにあたっての重要な指針となります。例えば、ダイレクトマーケティングに関する個人データの処理に関して、リサイタル47の記載がとても重要だったりします。

EU GDPRには、EU GDPRのリサイタルがそのまま付いています。また、Retained EU Lawのメカニズムを規定しているEuropean Union (Withdrawal) Act 2018の第3条の書きぶりからして、EU GDPRのリサイタルは、UK GDPRを構成しており、その解釈指針となると考えてよいと思います。

ただし、EU GDPRのリサイタルは、EU加盟国への適用を前提にした記載になっているので、適宜読み替えは必要ですね。

UK GDPRにおけるEU GDPRのガイドラインの位置づけは？

EU GDPRを所管するEDPB(*2)は、たくさんのガイドラインを発表しています。英国のデータ保護当局であるICOによれば、これらのガイドラインは、もはや直接的な関係を有していないと言いつつも、依然として特定の問題について有用な指針を提供すると述べています。

（個人的には）EDBPのガイドラインを読むことはあまりしない

これは、EDBPのガイドラインが有用じゃないとか、参考にならないとかではないです。シンプルに、分量が膨大で、しかも分かりにくいんです。

なので、読まないというよりは、網羅的に読み込まない、といった方が正しいですね。二次資料の中で「EDPBのガイドラインはこう言っています」という記載を頼りに、該当箇所のみを読むことの方が圧倒的に多いです。

これに加えて、EU GDPRに関して情報を提供しているEUのオフィシャルなサイトがことごとく分かりにくく、情報を探しづらいので、ぼくはあまり利用していません。

ICOのガイダンスはめっちゃ有能

他方で、ICOのガイダンスはすごく使いやすく、業務の中でしょっちゅう参照しています。

UK GDPR guidance and resources

なんというか、記載が簡潔で、余計なことをごちゃごちゃ書いていないので、スムーズに頭に入ってくる感じです。

あとは、法令の解釈について判断に迷うときにガイドラインを読んでみると、ICOの見解がバシっと書いてあるので、お客さんにも「ICOがこう言っています」と説明しやすいんですよね。

UK GDPRにおけるEU GDPRに関するEU裁判所の判例の位置づけは？

EU裁判所の判例が、Brexitの移行期間終了（2020年12月31日PM11時）以前のものか、以後のものかで、場合分けが必要です。

移行期間終了以前の判例は、Retained EU Caseと呼ばれ、英国の下級裁判所は、これに拘束されます。そのため、実務家は、これらのEU裁判所の判例に従って、UK GDPRを解釈する必要があります。

他方で、移行期間終了以後の判例は、説得力を持つ（persuasive）に止まります。ただし、その説得力の度合いは、個人的にはかなり強いのものだと思っています。英国の判決では、頻繁に外国判例（とりわけコモンウェルスの国のもの）が引用されます。ぼくの個人的な感覚をお伝えすると、日本の下級審裁判例の10倍ぐらいはpersuasiveです。

おわりに

ぼくがこのエントリーで言いたかったことは、この一点です！

イギリスの個人データ保護法であるUK GDPRは、GDPRとほぼ同じ！

ここまでお読みいただきありがとうございました。
英国の法律実務に携わる皆さまのご参考になればうれしいです。

---

【注釈】
*1　正確には、EU＋EEAですが、分かりやすさのため簡略化しています。また、域外適用の話もありますが、ここでは触れていません。
*2　European Data Protection Board。個人情報保護員会の仮訳では、欧州データ保護会議と訳されています。

---

免責事項：
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

---

X（Twitter）もやっています。
こちらから、フォローお願いします！

このほかにも、データ法に関する解説を書いています。
よければご覧ください。

データ法を解説します｜弁護士 古田 俊文 (toshful)｜note