「EU一般データ保護規則(GDPR)」は、離脱が決定しつつも英国がまだEU加盟国であった期間に誕生。その後、英国では「2018年 データ保護法」の名で法制化されました。多くの企業は準拠に必要な方針、手続き、技術的対応の複雑さゆえに「導入が困難である」と感じ、特に小規模企業からは「法的要件が過剰」と受け止められました。この変更は大企業だけでなく、地域のオーケストラ団やスカウト隊まで、かなり小規模な組織にまで影響がありました。
多くの企業はすでに、コンプライアンスを遵守することは時間とリソースの無駄だと公言しています。悪質な違反行為に対する巨額の罰金が注目を集めたこともあります。米国には、コンプライアンス遵守の煩雑さは割に合わないと判断し、EU域内の個人データの扱いをやめるためにEUへの販売を停止した企業もあります。
ブレグジットによってEUの非効率的な“お役所仕事”から解放されるはずでしたが、データ保護の分野では具体的な措置が取られたものの、ほとんど実現されていません。「データ保護・デジタル情報法案(DPDI)」は、企業により有利な英国のプライバシー制度導入を意図していますが、EUで事業を行う英国企業はGDPRに由来する加盟国の法律を遵守する必要があるため、現実的なメリットは限定的と考えられます。重要なのは、その結果として英国法令が大きく規制緩和し、英国・EU間で事案ごとの審査を経ずに個人データ流通を可能にしている「十分性認定」にまで影響するかどうか、という点です。
例えば、従来の情報委員会に代わり英国では国務長官が最終的な監視役を務めることになるため、消費者がより弱い立場に置かれることが懸念されています。結果として国民の保護よりも政治的配慮が優先される可能性もあります。大手ハイテク企業によるデータの悪用やAIの飛躍的な進化によって、EUのデータ保護原理の中核のひとつである「データ処理の透明性」が機能しにくくなっていることを考えると、この問題は多くの政治家を悩ませています。それが明確に表れたのが昨年のMETA社に対するEUの判決で、「行動履歴を利用した広告のためにユーザーデータを収集する際に、これまで論拠としてきた『正当な利益』という抗弁は今後通用しない」というものです。英国ではこのような判決は適用されないため、英国のユーザーは確実に脆弱なままです。一方、英国のユーザー基盤を重視するSNS企業は、この逸脱を好材料と捉えるでしょう。
今後、国務長官は「企業フレンドリーな環境を育成する」という名目で、GDPR基準からのさらなる逸脱を促す可能性があります。これは、EUが具体化を急ぐAI法に対し、よりイノベーションを促進する先進的な法規制をめざす英国の方針とも一致します。
最後に悪いニュースと良いニュースをひとつずつ紹介します。まず悪いニュースは、多くの英国企業がドーバー海峡の両岸にある別々の、そして今後ますます複雑に逸脱する可能性のあるデータ保護制度に対応しなければならなくなることです。良いニュースは、地域のオーケストラやスカウト隊は、今後“お役所仕事”に悩まされることが減ると思われます。
