弁護士法人 淀屋橋・山上合同

ホーム > コラム > 国際 > 英国2025年データ(利用及びアクセス)法(The Data (Use and Access) Act 2025)の概要

コラム

国際

2025年07月10日

英国2025年データ(利用及びアクセス)法(The Data (Use and Access) Act 2025)の概要
UK GDPR・PECRの改正

【執筆者】古田 俊文

【PDF版】

1.はじめに

 英国では、2025年6月19日、2025年データ(利用及びアクセス)法; The Data (Use and Access) Act 2025(以下「DUAA」といいます。)が国王裁可を受けました。DUAAは、UK GDPR等に実質的な変更を加えるものであり、Brexit以来EUと基本的に足並みを揃えてきた英国のデータ保護法は、DUAAにより独自の道を歩み始めたといえるかもしれません。
 本稿では、DUAAによる英国のデータ保護法(UK GDPR、DPA及びPECR)の主な改正事項をまとめ、各規定の発効スケジュールを確認するとともに、事業者の皆さまが着目すべきポイントを概説します。

2.DUAA制定の経緯

(1) Brexit後の英国データ保護法
 英国は、2020年12月31日にBrexitの移行期間を終えてEUから完全に離脱しました。そのため、EU GDPRを含むEU法は、Brexitによって英国内での効力を失うこととなりましたが、英国は、離脱直前のEU法の「スナップショット」を撮り、ほぼすべてのEU法を基本的にそのままの内容で国内法として再定立しました。データ保護法についていえば、EU GDPRに代わるものとしてUK GDPRが制定され、EU GDPRを補完していたDPA 2018(以下「DPA」といいます。)はUK GDPRを補完する法律となり、EU ePrivacy指令の実施法であったPECRもそのまま残りました。

(2) DPDI Bill
 前項で述べたような事情から、英国は、Brexit後もEU加盟国とほぼ変わらない内容のデータ保護法を維持してきたものの、2022年6月には、Data Protection and Digital Information Bill(以下「DPDI Bill」といいます。)が国会に提出されました。
 これは、UK GDPR、DPA及びPECRの改正等を意図した法律案であり、2024年5月まで国会で審議されていたものでした。もっとも、同年7月の総選挙の発表に伴って国会は解散となり、DPDI Billは廃案となりました。

(3) Data (Use and Access) Bill
 2024年7月4日、労働党が14年ぶりに総選挙で勝利をおさめ、翌日にはスターマー政権が誕生しました。政府は、10月23日、DPDI Billの内容の多くを引き継いだData (Use and Access) Billを下院に提出し、そこから約8か月間、国会で法案の内容が審議されました。
 その後、法案は2025年6月11日に両院を通過し、冒頭で述べたとおり、同月19日に国王裁可を受けて、Data (Use and Access) Billは、DUAAとして成立しました。

3.UK GDPR・PECRの主な改正点

(1) 総論:データ利活用に向けた規制緩和
 英国政府は、DUAAが次の事項を可能にするものであると説明しています。1

  • デジタル認証サービスの成長
  • 新たなスマートデータスキーム
  • 新たなNUAR2
  • データ保護及びプライバシー法制の重要な変更

 このように、データ保護法制等の変更についても、他の3つの事項と同様に、主にデータの利活用や経済成長の促進の文脈で議論されてきました。DUAAによるUK GDPR等の変更の多くは、英国のEU加盟国時代から事業者に課してきた規制を簡素化するものであると評価できます。

【条文参照に関する補足】
DUDAの各条文は、それ自体が実体的な効力を有するもののみならず、他の法令を変更することを内容とする条文もあります。DUDAによるUK GDPR等の改正は、まさに後者の方法により行われるものであり、本稿で言及される条文は、ことわりの無いかぎり、DUDAではなく改正対象であるUK GDPR等を参照するものである点、ご留意ください。また、後述のとおり、DUAAによる改正は段階的に発効しますが、参照する条文は現時点での発効の有無にかかわらず、全て改正後のものです。改正前の条文については、「旧」と表現します。

(2) 科学研究目的での個人データの処理(DUAA 67-68条)
 科学研究や統計の目的で行う個人データの処理について、適用場面が明確化された上で、その処理に係る制約が緩和されます(UK GDPR 2条2~5項)。特に、商業的な科学研究のために行う個人データの処理についても、「科学研究」目的となることが明記されたことが、実務上は重要です。
 科学研究等の目的で行う個人データの処理を本人の同意に依拠して行う場合、UK GDPR 4条(11)で定義される「同意」よりも事実上緩やかな要件で認められることが明確となります。具体的には、個人データの収集時点で利用目的を完全に特定することができない場合であっても、一定の要件のもとに同意を取得したものと扱うことができます(2条6~7項)。このような対処は、UK GDPRの前文33項から解釈上認められていたものでしたが、DUAAはこれを法文上明確化しました。

(3) 認められた正当な利益(Recognised Legitimate Interest)(DUAA 70条、別表4)
 DUAAは、認められた正当な利益(Recognised Legitimate Interest; 以下「RLI」といいます。)という概念を導入しました(UK GDPR 6条1項(ea)、別表1)。政府は、このRLIを、UK GDPR 6条1項が定める個人データの処理に関して依拠できる第7番目の法的根拠と説明しています3
 事業者にとって、どの法的根拠に依拠して個人データを処理するのかは、常に悩ましい問題であり、とりわけ、正当な利益(Legitimate Interest)に依拠せざる場合には、いわゆる「バランステスト」を事前に実施することが求められるため、事業者の負担となっていました。
 DUAAは、従来正当な利益と取り扱われることが一般的であった利益ないし要請の一部について、RLIにカテゴライズし、RLIに依拠して個人データを処理する場合にはバランステストの実施を不要としました。RLIの内容は、UK GDPR別紙1で定められており、大要以下のとおりです:

  • 公共の利益のために行われる職務遂行(UK GDPR 6条1項(e))に対応するための情報開示
  • 国家安全保障、防衛
  • 緊急事態への対応
  • 犯罪の抑止及び検知
  • 脆弱な個人の保護

(4)新たな目的のための個人データの処理(DUAA 71条)
 DUAAは、個人データを収集時とは異なる目的で処理することが認められる場合を明確にしました(UK GDPR 8A条)。旧UK GDPRには、このような定めはなく、前文(例えば55項)から新たな目的のための個人データの処理が認められる場面を推測するほかなかったため、予測可能性に欠ける状態でした。DUAAによって、かかる不安の解消につながる可能性があります。

(5)データ主体の権利行使:“Stop the Clock”と“Reasonable and Proportionate“(DUAA 75-79条)
 DUAAは、データ主体の権利行使(SAR; Subject Access Request等)に関して変更を加えました。
 主要な変更の一つ目は、“Stop the Clock”条項であり、事業者は、請求者の合理的な身元確認や追加情報の要請を行っている間、処理期間(通常1か月)の進行が止まるものと扱うことができます(DPA 12A条)。これにより、事業者にとって不合理な処理期間の徒過を回避することができます。ICOは、もともとこのような処理期間経過の中断を支持しており、それが成文化したかたちです。
 二つ目として、データ主体によるアクセス権が、事業者が“Reasonable and Proportionate”な検索に基づいて提供できる確認、個人データ及びその他情報についてのみの権利であることが明文化されました(78条)。この”Reasonable and Proportionate“の原則は、判例法により確立したものと考えられており4、ICOのガイダンスでも既に言及されてはいますが、法文上明記されたことは、事業者にとって歓迎すべきことであるといえます。

(6)自動化された意思決定(ADM)(DUAA 8条、別表6)
 旧UK GDPRは、データ主体が自動化された意思決定(Automated Decision Making; ADM)の対象となることを一般的に禁止していました(旧22条1項)。DUAAは、この一般的な禁止を廃しました。
 この改正によって、これまでUK GDPR 旧22条4項により規制されていた特別なカテゴリーの個人データの処理(9条)に基づくADMに限り、引き続き規制されることになります(22A~22D条)。なお、特別なカテゴリーの個人データの処理に基づくADMを実施する際の制限(22B条)及び求められる保護措置(22C条)は維持されています。

(7)子どもの保護(DUAA 80条)
 DUAAは、データ保護バイデザイン・バイデフォルトの要請に、子どもの保護への言及を追加しました(UK GDPR 25条)。子どもがアクセスする情報社会サービス(information society services)の提供者は、子どもが個人データの処理に伴うリスクを十分に理解していない可能性があること、年齢と発達段階に応じた異なる要請があることを考慮して、適切な技術的・組織的措置を取ることが求められます(同条1A及び1B項)。

(8)個人データの国際移転(DUAA 85条、別表7及び9)
 UK GDPRは、個人データのUK域外への移転に関して、(i)十分性規則に基づく移転(EU GDPRにいう十分性認定を得た国への移転)、(ii)適切な保護措置にしたがった移転、又は、(iii)特定の状況における例外的な移転である場合に限り、これを認めています(旧第V章)。英国は、十分性規則に基づく移転を認める国等の認定に関して、EU GDPRから引き継いだ基準(UK GDPR旧45条)を用いていましたが、DUAAは、これを“Data Protection Test”(以下「データ保護テスト」又は「新テスト」といいます。)と呼ばれる基準に置き換えます(45B条)。
 十分性規則に関して、旧UK GDPRでは、移転先における「十分な水準」の保護が確保されているかが基準であり(旧DPA 17A条1項)、この十分な水準の保護は、「本質的に同等な水準(essentially equivalent level)」の保護という意味であると解釈されてきました5。他方で、新テストでは、移転先におけるデータ保護が、英国のデータ保護法の基準に比して「実質的に低くない(not materially lower)」ことで足りるとされています(UK GDPR 45B条1項)。
 このように、DUAAによる改正後は、十分性規則に基づく移転が可能となる国等がより柔軟に認定されるようになる可能性があります。
 なお、EU GDPRから引き続き定めていた4年ごと見直しについては、撤廃されました。もっとも継続的なモニタリングは求められます。

(9)苦情処理プロセスの導入(DUA 103条、別表10)
 DUAAは、事業者に対して、データ主体からの苦情処理プロセスを設けることを義務付けています。事業者は、データ主体からのUK GDPR等の違反に関する苦情について、電磁的その他の方法により、これが円滑に行われるようにしなければなりません(DPA 164A条2項)。また、データ主体から苦情を受けた場合、30日以内に受理をしなければならず(同条3項)、また、受理後は遅滞なく苦情への対応を行わなければなりません(同条4項)。
 更に、DUAAは、所管大臣に対して、事業者が一定期間内にデータ主体から受けた苦情の数を報告すること定めた二次法を制定する権限を与えています(164B条1項)。同規定は、相当程度具体的に二次法の内容を指定しており、今後制定される可能性が高いです。

(10)Cookie規制(DUAA 112条、別表12)
 PECRの下、Cookieを利用したユーザー端末への情報の保存及びアクセスは、ユーザーから同意を得ているか、又は、ユーザーから要求を受けたサービス提供のために厳格に必要なアクセス若しくは保存に限り、認められています(PECR 旧6条)。
 DUAAにより、これらの除外事由に加えて、以下が追加されました(PECR 別紙A1)。

  • 統計のための収集:情報社会サービスの改善を目的としたサービスの利用状況に関する統計情報を収集する場合(同5条)。ただし、ユーザー端末から自動的に送信されるものについては対象外。
  • ウェブサイトの外観等:ウェブサイトを通じて提供される情報社会サービスについて、ユーザーの嗜好に適合させたり、当該ウェブサイトの外観や機能性を向上させたりすることのみを目的とした保存及びアクセス(同6条)

    •  なお、いずれの新たな除外事由についても、同意によるCookieの使用の場合と同様の透明性要件が課されるとともに、収集時にオプトアウトの機会を提供することも必要です。

    (11)PECRの制裁金(DUAA 115条、別表13)
     PECRの違反に対する制裁金の上限額が£500,000から、£8,700,000又は全世界売上の4%のいずれか高い額となりました(PECR 別表1第18条)。これにより、UK GDPRの制裁金の水準に合わせた制裁金の上限額となりました。

    4.DUAAの発効スケジュール

     DUAAは6月19日に国王裁可を得て英国の法律となっていますが、多くの条項が未発効です。DUAA 142条は、以下のとおり発効のスケジュールを示しています。


    *1 78条は、2024年1月1日に遡及して適用される(DUAA 78条5項)。

     以上のとおり、UK GDPR・DPA・PECRの改正事項のほとんどは、所管大臣が二次法により指定する日に発効します。ICOによれば、これらの改正は2026年6月までに行われるとのことです。
     DUAAの制定に伴い実施されるICOのガイダンスの改定スケジュールを見るに、今冬以降に順次改正がなされていくものと推測されます。もっとも、研究開発に関するガイダンス、及び、ADMに関するガイダンスは、2026年春の改定を目指していると公表されており、これらに関する改正については、時期がずれ込む可能性もあります。

    5.着目すべきポイント

    (1) AIの活用
     ADMはAIの活用の文脈で語られることが多いところ、DUAAが、ADMの一般的禁止を撤廃して、制約の範囲を特別なカテゴリーの個人データの処理に絞ったことは、EUが昨年にAIの包括的な規制法案であるEU AI Actを制定したことと対照的です。
     また、データ保護とは直接関係はありませんが、DUAAの審議過程では、貴族院がAIと著作権に関する規定(透明性要件、事業者の報告義務)を盛り込むことを繰り返し求めたものの、政府及び庶民院から拒否され、結局DUAAにはそのような規定は盛り込まれませんでした。
     このように、DUAAでは、データの利用促進が前面に押し出されており、AIの活用等によるイノベーションが間違いなく意識されています。緊密な経済的なつながりを持つEUとUKで規制が異なることは域外の事業者にとってはコンプライアンスコスト増大につながる懸念もある一方で、欧州地域においてUKでのみ認められるAIの活用方法が確立する可能性もあります。多くの企業にとって生成AIを始めとするAIの活用は、既に不可欠なものとなっており、今後の英国のデータ保護法制の進展が注目されます。

    (2) データ主体とのコミュニケーション体制の見直し
     DUAAは、“Stop the Clock”条項、“reasonable and proportionate”原則を明文化して、事業者のSAR対応に係る不合理なコストを軽減することを意図しています(本稿3(5))。これらはICOのガイダンスや判例上認められていたとは言え、法文に明記されていなかったことから、内部規程や対応プロトコルに反映していなかった事業者も少なくないと思われます。
     また、より大きな改正として、今後は、データ主体からの苦情を処理するプロセスの確立が求められます(本稿3(9))。これまでも事業者は、データ主体から苦情があれば個別に対応していたと思われるものの、改正により、苦情受理までの期間が法定され(30日以内)、また、苦情の件数、概要及び応答内容などを政府に報告する義務を定める二次法が制定される可能性が高いです。
     したがって、改正の発効までに、SARその他データ主体の権利行使に関する内部規程及び運用体制の見直しを検討する必要があります。

    (3) EU GDPRの十分性認定を維持できるか?
    DUAAは、十分性規則(十分性認定)に関して、EU GDPRから引き継いだ厳格な認定基準を改め、移転先となる国等のデータ保護法制の水準が英国に比べて「実質的に低くない」か否かという点で判断するデータ保護テストを導入しました(本稿3(8))。
    この改正は、英国から英国域外への個人データの移転に関して、今後、十分性規則に基づく移転な国等が柔軟に認定されうるという点では歓迎すべきであるものの、このような相対的に緩やかなテストで包括的な域外移転を可能とする英国のデータ保護法制がEU GDPRの十分性認定を維持できるのかという懸念が生じます。仮にEU GDPRが十分性認定を行っていない国等への移転について英国が十分性規則に基づく認定を行った場合、EU GDPRの十分性認定を維持できないリスクは高まります。
    とりわけ、英国からのデータ移転について既に十分性規則に基づく移転が認められている日本の事業者にとっては、むしろ、EUから英国へのデータ移転について十分性認定に依拠できないことのリスクの方が大きいと思われるため、今後の動向に注視する必要があります。

    (4) PECRの制裁金の大幅な増額
     今回の改正により、PECRの違反に係る制裁金の上限額が£500,000から、£8,700,000又は全世界売上の4%のいずれか高い額に跳ね上がります(本稿3(11))。
     ICOは、他国のデータ保護当局に比べれば、基本的にビジネスフレンドリーなスタンスを取るものの、執行に関しては非常に積極的です。UK GDPRに気を取られてPECRへの対応が後回しとなっている事業者も少なくないと思われるところ、今回の制裁金上限額の変更に際して、Cookie規制、電子メールマーケティング規制等のPECRへの対応が十分であるか、再確認が必要です。

    (5) Cookieバナーは無くせるのか?
     DUAAは、Cookieの利用に関してユーザーの同意が不要となる場面を拡大しました(本稿3(10))。もっとも、新たに同意が不要となるのは、サービス改善のための統計データの収集のような低リスクと解される利用にとどまっており、詳細なプロファイリングを行ったり、サードパーティーCookieを利用したりする場合は、依然としてユーザーの同意が必要であることが殆どであるように思われます。
     また、同意に依拠しない場合であっても、ユーザーに対して簡単にオプトアウトを行使できる手段を提供することは今後も同様です。
     したがって、ユーザー体験の観点からCookieバナーを嫌う事業者も少なくないものの、DUAAによる改正後も、基本的には、Cookieバナーをユーザーに提示することが必要になると思われます。

    (6) RLIにバランステストは本当に不要なのか?
     DUAAがRLIという個人データの処理に係る第7番目の法的根拠を提供したことにより、RLIに該当する場合には、バランステストを事前に実施することなく個人データの処理を行うことができるようになります(本稿3(6))。事業者としてはこの改正を歓迎すべきではあるものの、RLIに依拠して処理する個人データは、ほとんどの場合においてデータ主体の権利利益に対する重大なリスクをかかえていることを認識すべきです。
     RLIに依拠した際に許されるのは、基本的にバランステストを行わないことのみであり、例えば、UK GDPR 5条に定めるデータ処理の基本原則は同様に適用され、また、当該処理に重大なリスクがあることを考慮した上で適切な技術上及び組織上の措置を実装していなければなりません(同32条1項)。
     RLIに依拠して個人データを処理できる場合には、バランステストの実施は不要であるとはいえ、当該処理に伴うリスクを念頭に置いておかなければならない場面は少なくないように思われますので、注意が必要です。

    ※ 本稿は、一般的な情報提供を目的としており、個別具体的な事案に対する法的助言を想定したものではありません。個別具体的な案件への対応等につきましては、必要に応じて弁護士等の専門家にご相談ください。また、本稿に記載された見解は筆者個人の見解であり、所属事務所の見解ではありません。

    1英国政府ウェブサイト <https://www.gov.uk/government/collections/data-use-and-access-act-2025> 2025年7月8日アクセス

    2National Underground Asset Register: 英国政府は、地下のパイプやケーブルのマッピングを行うことを計画しており、これらの地下資産の保守、運用、修理での活用が期待されています。<https://design.planning.data.gov.uk/planning-consideration/national-underground-asset-register> 2025年7月8日アクセス

    3英国政府ウェブサイト <https://www.gov.uk/government/publications/data-use-and-access-act-2025-factsheets/data-use-and-access-act-factsheet-uk-gdpr-and-dpa> 2025年7月8日アクセス

    4例えば、Ittihadieh v 5-11 Cheyne Gardens RTM Co Ltd [2017] EWCA Civ 121

    5これはEU GDPRに関する欧州司法裁判所のSchrems II判決(2020年7月16日)を受けたものです。Schrems IIでは、十分性認定を得る国等には「本質的に同等な水準」の保護が求められるという立場が示されました。