英国のデータ保護法案は大きな衝撃とともに可決され、マニアや専門家が真剣に検討すべき200ページ以上の法案が提出された。
昨日貴族院に提出され、本日全文(PDF)が公開されたこの法案は、英国のデータ保護法を全面的に見直し、デジタル時代に合わせて更新することを目的としている。
条文の大部分は、2018年5月に発効する欧州連合の一般データ保護規則の実施を目的としており、企業はブレグジットによって規則の遵守義務から逃れられるという考えに頼ることはできないことを何度目かに確認している。
decoded:Legalのテクノロジー弁護士、ニール・ブラウン氏は次のように述べています。「メッセージは明確です。Brexitに関係なく、GDPRは今後も存続するため、導入を進め、適切に実行したほうがよいでしょう。」
これに加えて、英国の法案には、不正なデータ取引に関する新たな刑事犯罪や、加盟国がEU規制を実施する場合に予想される免除や特例など、いくつかの追加事項が含まれている。
しかし、英国の法律制定により、GDPRをめぐる混乱、あるいは大騒動が緩和されるだろうという期待は打ち砕かれた。
この文書は218ページに及び、194の条項、18の附則、112ページの注釈が含まれており、多くの観察者が指摘しているように、この目を交差させるような一文「第2章およびGDPRで使用される用語は、第2章でもGDPRと同じ意味を持つ」のように、かなりカフカ風の文章となっている。
くたばれ pic.twitter.com/2HLFrMLayu
— ティム・ターナー(@tim2040)2017年9月14日
確かに、この文書はEU法を施行し、企業と法執行機関の両方によるデータ処理に関する既存の英国法を置き換えることを目指す法案の一部であり、その複雑さゆえに当面は弁護士の仕事を続けることになるだろう。
EUの新しいデータ保護規則が施行されるまで、あと9ヶ月と、まだまだ多くの問題が残っている
続きを読む
全国データ保護・情報公開責任者協会のジョン・ベインズ会長は、この法案を「少々混乱している」と表現し、「英国がEUを離脱した際にEUとの貿易や協力を可能にする法律を制定することがいかに困難であるか、そして今後も困難になるかを示している」と述べた。
同氏は、GDPRをめぐる誇大宣伝の高まりもあって、混乱の「現実的なリスク」があると付け加えた。
「既に組織は自らの義務について完全に混乱しており、無知あるいは十分な情報を持たないアドバイザーやコンサルタントが状況を混乱させています。事態はさらに悪化する一方だと私は懸念しています」とベインズ氏は述べた。
GDPR に関するインチキセールスマンの横行に不満を抱いている人々にとって、一筋の希望の光となるのは、認証プロバイダーの認証が情報コミッショナーまたは国家認証機関によって実施された場合にのみ有効となる法案の条項だ。
しかしベインズ氏は、ICOが長年同様の取り組みを進めてきたことを指摘し、「認定および認証規定が最終的に基準の引き上げにつながることを心から願っているが、短期および中期的には楽観視していない」と付け加えた。
法案には何が含まれていますか?
この新しい法律の目的は、人々に自分のデータとその使用方法に対するコントロールを強化することだとされている。
この法律は、同意に関する規則を厳格化している。例えば、長らく後回しにされてきた、事前にチェックを入れておくと恐ろしいボックスの最後の部分では、人々が同意を撤回できるようになり、組織が自分のデータをどのように使用しているかに関する情報にアクセスする権利や、自分に関する投稿や写真の削除を要求する権利も与えられている。
データ保護法案の一部のデータ処理規則から免除される団体には、ジャーナリスト(不正行為を暴露するのであれば個人に関するデータの処理が認められている)や、金融詐欺やスポーツ界のドーピングを調査する団体などが含まれる。
規則に違反した組織への罰金はポンド建てで支払われることになっており、最大1,700万ポンド、または世界売上高の4%に設定されています。これは(現時点では)GDPRの最高罰金2,000万ユーロをそのまま換算した金額です。もしブレグジットが為替レートにさらなる悪影響を及ぼせば、英国企業にとって喜ばしいこととなるかもしれません。
一方、英国政府は、個人データの不法な取得や、開示されないように個人データを改ざんすることなど、新たな記録対象犯罪を定めている。これは警察が国家警察のコンピューターに記録することを意味する。
匿名化された個人データを再度識別することも犯罪となり、無制限の罰金が科せられる。
しかし、ブラウン氏は、この法律ではセキュリティ研究者に対する免除については具体的に言及されていないため、研究者らは「自分たちの活動が『公共の利益にかなう』ものであることを確実にするよう注意する必要がある」と指摘した。
サリー大学のセキュリティ研究者アラン・ウッドワード氏は、研究者がこれによって捕まる可能性は十分にあると述べ、ソフトウェア製品のリバースエンジニアリングを違法とする法律を彷彿とさせると付け加えた。
「現時点では、研究者たちは、匿名化されたデータセットが再識別化の対象になり得ることを証明できれば、その事実を公表することが公共の利益になるだろうと『仮定』しているように思います」と彼は述べた。「個人的には、これはセキュリティ上の脆弱性を責任ある形で開示することと同等だと考えています。」
しかしベインズ氏は、より具体的な規定があることが望ましいかもしれないが、「実際問題として、(法律に定められた抗弁は)公益を目的とした安全保障研究を理由に不当に訴追されることを防ぐはずだ」と主張した。
観察者たちはザ・レグに対し、この文書には他にほとんど論争や驚きは見られなかったと語ったが、特にこの法案がまだ議会で議論されていないことを考えると、まだ初期段階であることを強調した。
この法案は、貴族院で2回目の読会(貴族院議員が法案を議論する最初の機会)が10月10日に予定されている。®
