個人データを、ビジネスを守る、IIJ

BREXIT移行期間後(2021年1月1日以降)の日本企業のプライバシー法上の対応について


Brexit移行期間終了後(2021年1月1日後)、英国・EUに対して物品やサービスを提供している日本企業は、(英国・EUに拠点がある/なしに関わらず、)GDPRやUK GDPRに基づく対応をしなければならなくなります。
本稿では、Brexit移行期間終了後、日本企業の行わなければならない対応(SCC、EU代理人、英国代理人、プライバシーポリシーの改訂、その他)について、概要を説明します。
EUと英国は2020年1月24日、英国のEU離脱合意(Brexit withdrawal agreement)をし、英国は2020年1月31日にEUから離脱し、移行期間は2020年2月1日から12月31日までとされました。移行期間中は現行のEU法(GDPRも含む)が英国にも適用され、移行期間終了後は英国にEU法の適用がなくなります(Art.126,127)。
また、移行期間終了後、英国においてはGDPRを国内法に編入したUK GDPRが施行されます(The Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019)。
以上により、移行期間の終了に伴い、英国にEU法の適用がなくなり英国は完全なEU域外国となります。そして英国においてはGDPRではなく、UK GDPRが施行されることから、様々な対応が必要となります。

【目次】

背景
Brexit移行期間終了に伴い日本企業の行わなければならない対応
・SCCの合意
・EU代理人の選任
・英国代理人の選任
・プライバシーポリシーの修正
まとめ(日本企業に必要な対応)

【本文サンプル】

Brexit移行期間終了後(2021年1月1日後)、英国・EUに対して物品やサービスを提供している日本企業は、(英国・EUに拠点がある/なしに関わらず、)GDPRやUK GDPRに基づく対応をしなければならなくなります。

本稿では、Brexit移行期間終了後、日本企業の行わなければならない対応(SCC、EU代理人、英国代理人、プライバシーポリシーの改訂、その他)について、概要を説明します。

背景
EUと英国は2020年1月24日、英国のEU離脱合意(Brexit withdrawal agreement)をし、英国は2020年1月31日にEUから離脱し、移行期間は2020年2月1日から12月31日までとされました。移行期間中は現行のEU法(GDPRも含む)が英国にも適用され、移行期間終了後は英国にEU法の適用がなくなります(Art.126,127)。

また、移行期間終了後、英国においてはGDPRを国内法に編入したUK GDPRが施行されます(The Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019)。

以上により、移行期間の終了に伴い、英国にEU法の適用がなくなり英国は完全なEU域外国となります。そして英国においてはGDPRではなく、UK GDPRが施行されることから、様々な対応が必要となります。

Brexit移行期間終了に伴い日本企業の行わなければならない対応
SCCの合意
移行期間終了の直前となる2020年12月24日に、EUと英国はEU英貿易協力協定(EU-UK Trade and Cooperation Agreement)を合意したことを発表しました。同協定においては、英国とEUは今後も高いレベルの個人データ保護規制を確保することを約し、高い国際的水準を推進するため協力するよう努力するとし(Art. COMPROV.10)、また同協定発効日から一定期間(EUによる十分性認定がされた日、または同協定発効日から4ヶ月後(両者異議を述べない場合2ヶ月延長され、最大6ヶ月後)のいずれか早い日まで)、英国にてUK GDPRに基づく個人データ保護規制が変わらない限り、EEAから英国への個人データの移転は、EU法において第三国への移転とはみなされないとされました(Art. FINPROV.10A)。

本来移行期間終了に伴い、原則EEAから英国への個人データ移転はGDPR上第三国への移転となり、英国がEUにより十分性認定をされない限り、SCCによる適法化が必要と考えられますが、同協定により発効後最大6ヶ月はSCCが猶予されることとなりました。

他方、英国からEUや日本への個人データ移転も、UK GDPR上は原則第三国への移転となり、十分性認定またはSCCによる適法化が必要ということになりそうです。しかし、こちらは英国の監督機関ICOのアナウンスによれば、移行期間終了後も従前通りEEAや日本への個人データ移転は認められるとされ、この見直しを継続する、とされています。

https://ico.org.uk/for-organisations/data-protection-at-the-end-of-the-transition-period/data-protection-at-the-end-of-the-transition-period/the-gdpr/international-data-transfers/

以上のことから、Brexit移行期間終了に伴うSCCに関する対応は現状必要ないということになりますが、今後のEUの英国に対する十分性認定や、英国の域外移転に対する見直しがなされるかにつき注視が必要となります。続報は本サイトにて掲載します。

なお、欧州委員会から2020年11月12日、SCC改定案がパブリックコメントに付されたことを受け、今後正式なSCCが決定されると思われます。このSCC改定案には、既存のSCCを廃止すること、旧来のSCC契約に補完的措置を付す以外変更しないことを条件として、決定後1年間は、旧来のSCC契約に依拠することを認めるという条項(Art.6)があります。よって、現在SCCを締結している企業も、SCCの見直しが必要となることが考えられますので、留意が必要です。

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連記事