特集:医薬品や生鮮食品の輸入制限、パニック買い、そして市民の混乱。これらは、最近リークされた内閣府の文書で詳述されている、合意なきブレグジットの潜在的な影響の一部です。10月31日午後11時以降、ほとんどの欧州諸国から英国への個人データの転送が違法になる可能性は?リストにも入っていません。
後者は、合意なき離脱が引き起こしうる他の可能性のようなドラマチックさに欠けると考える人もいるだろうが、合意なき離脱は、少なくともしばらくの間、欧州経済領域(EEA)と英国間の個人データの自由な流通をほぼ確実に遮断するだろう。流通を維持するには、データに関する何らかの合意が必要となる。そして、テリーザ・メイ前首相がほぼ言いかけたように、合意なき離脱は合意なき離脱を意味する。
現在、個人データは英国とEEA加盟国間でやり取りされており、英国とEUが交渉中の離脱協定では、少なくとも2020年まではこれが維持される。しかし、議会は3度にわたりこの協定を否決しており、新首相のボリス・ジョンソン氏は、EUが大幅な譲歩をしない限り、この協定についてEUと協議することを芝居がかった態度で拒否しており、EUは今のところそのような譲歩の検討を拒否している。
ロイターが8月初旬にエコノミストを対象に実施した調査では、無秩序な合意なきEU離脱の可能性は35%と、同社がこの調査を開始した2年以来最高の水準となった。
回答者も他の人たちと同様に将来について推測しているが、少なくとも10月末の合意なきEU離脱には備える価値があるようだ。
「合意なし」がデータフローに実際何を意味するのか
合意なき離脱は、英国が直ちにEUの一般データ保護規則(GDPR)の適用外となる「第三国」となることを意味する。「EUのデータ管理者は、法律上、英国へのデータ移転を禁止される」と、法律事務所ピンセント・メイソンズのリーガルディレクター兼データ保護専門家、キャサリン・ウィン氏は述べている。
このような移転は、インドや米国に拠点を置く組織の場合のように、特定の合意が締結されている場合にのみ合法となる。英国は個人データのEEAへの移転を許可する可能性もあるが、同様のデータが逆方向に流通できない場合、その効果は限定的となる可能性がある。また、「合意なし」の離脱では、個々の欧州市民が英国に自身のデータを送信することを阻止することはできない。「顧客が自身の個人データをEEAまたは英国内の企業に渡す場合、それはデータ移転とはみなされず、追加措置なしに継続できる」と、英国の情報コミッショナー、エリザベス・デンハム氏は1月に書簡で述べており、同氏の事務所はこれが現在も有効な助言であると述べている。
これは、ロザムンデ・ピルチャーの小説(ドイツのテレビで大人気)の舞台を訪ねるために毎年コーンウォールを訪れる何千人ものドイツ人が、引き続きコーンウォールのホテルに直接部屋を予約できることを意味します。しかし、もし彼らがドイツの旅行会社にデータを提供すると、その旅行会社が観光客のデータをコントロールすることになり、彼らに代わって予約を行うためにそのデータを使用することを阻止される可能性があります。
合意なきブレグジットは、欧州全域で従業員を雇用しながらも英国内のシェアードサービスセンターで人事業務を行っている企業における社内異動などにも影響を及ぼす可能性があります。業界団体TechUKとUK Finance、そして法律事務所Dentonsが2017年に発表した報告書「No interruptions」によると、合意なきブレグジットは、英国のデータセンターの運営、医療研究、金融サービス、マーケティング、詐欺などの犯罪対策のための組織間のデータ共有にも影響を与える可能性があります。
「合意なきブレグジットは、データ流通のグローバルハブとしての英国の地位を危うくする。初日から、自動車から物流まであらゆるセクターの基盤となっているデータの自由な流通が打撃を受けるだろう」と、英国産業連盟(CBI)のデジタル・イノベーション担当ディレクター、フェリシティ・バーチ氏は述べている。「こうした混乱はあらゆる規模の企業に影響を及ぼし、最悪の場合、英国企業がEU企業との契約を失うことにつながる可能性がある。」
テクノロジー企業の経営に携わる人々も、この意見に同意する。「個人データの合法的な流通に隙間が生じるだろう。現代社会において、それは狂気の沙汰だ」と、複数のスタートアップ企業の取締役を務めるアダム・ヘイル氏は言う。「正気ではない。確かに存在し、紛れもない事実だ」と、オンライン家庭内サービスプロバイダー、ファンタスティック・サービスのデンマーク人CEO、ルネ・ソブンダール氏は付け加える。同社はブレグジット投票以降、海外展開に注力している。
EUが英国のデータ保護体制が欧州のデータの取り扱いに適切であると認めれば、この問題は発生しないだろう。英国がGDPRを国内法に組み入れており、EUが既にカナダ、イスラエル、日本、米国などのプライバシーシールドの枠組みの下で活動する組織と「適切性認定」を締結していることを考えると、これは形式的な手続きのように思える。
しかし、EUでは手続きに時間がかかる場合があります。「欧州委員会(EUの行政機関)には、英国に関する十分性認定の決定をできるだけ早く採択してもらいたいと考えていますが、合意のない離脱の場合、十分性認定は行われないと予想しています」と、2月に政府が発表した個人データと合意なしのEU離脱に関する最新の助言には記されています。
最新情報の問い合わせに対し、文化・メディア・スポーツ省は「EU加盟国と英国間の個人データの交換が継続されることは、すべての国にとって利益となる」と回答した。確かにその通りかもしれないが、ピンセント・メイソンズのウィン氏は、英国の適切性認定には2年かかる可能性があると見積もっている。さらに、委員会は英国による捜査権限法に基づく監視活動に疑念を抱くかもしれないし、このプロセスがより大きなブレグジット問題に巻き込まれる可能性もあると付け加えた。
テックUKの政策担当副ディレクター、ヴィノス・アリ氏は、アルゼンチンとの同様の合意で最も速かったのは合意に18カ月かかったと語る。
しかし、どうすればいいのでしょうか?
しかし、GDPRは個々の組織に代替手段を提供しており、現段階で最も実行可能なのは拘束的企業準則(BCR)と標準契約条項の2つです。BCRは、組織またはグループがGDPR基準を遵守することを義務付けるものです。TechUKの「No interruptions(中断なし)」レポートでは「データ保護の最高水準」と評されている、一度限りの柔軟なソリューションです。しかし、導入には費用と時間がかかるため、主に大規模な多国籍企業で利用されています。情報コミッショナー事務局(ICO)は2005年以降、わずか33件のBCRを承認しており、直近ではIBM、BT、金融グループのマーシュ・アンド・マクレナン、ベライゾンが承認しました。
そうなると、EUが承認した標準契約条項を、EEAと英国間のすべてのデータフローを規定する契約に追加する必要がある。数が少ない場合は、それほど問題にはならないかもしれない。「契約ごとに考えると、非常に簡単です」と、ピンセント・メイソンズのウィン氏は言う。しかし、2015年にEUと米国間のセーフハーバー協定が崩壊した際、ある非常に大規模な(そして名前は伏せられている)TechUK会員企業は、200万件もの標準契約条項を実装する必要がありました。
アイルランド最高裁、シュレムスII事件でフェイスブックの控訴を審理すると衝撃の決定
続きを読む
セーフハーバーの終焉を招いたオーストリアのプライバシー活動家マックス・シュレムズ氏が、現在、欧州司法裁判所でFacebookを相手取った訴訟において、これらの条項の適用に異議を唱えていることも注目すべき点です。英国の多くの組織にとって、標準契約条項は最も悪くない選択肢のように思えます。
ウィン氏によると、GDPR施行直後はデータコンプライアンス業務への追加投資に消極的な顧客もおり、上級管理職はブレグジット合意の可否を見極めるまで様子を見たいと考えているという。ウィン氏は、リスクのあるデータフローをマッピングし、相手方に条項への同意を依頼することを提案している。そうすれば、合意なき離脱の可能性が依然として高い場合、迅速に条項を導入できる。
情報コミッショナー事務局は、組織が行う必要があることについての詳細な情報を公開しており、標準契約条項に関する具体的なツールも用意しています。
TechUKのヴィノス・アリ氏は、政府は中小企業にアドバイスを提供する専門のヘルプラインを設置し、場合によっては直接的な財政支援を提供することで、中小企業の支援をさらに強化すべきだと主張している。
コンサルティング会社アクセンチュアに勤めていた頃を振り返り、アダム・ヘイル氏はこう語る。「品質よりも納期を優先すると、プロジェクトは必ず失敗する」。しかし、ブレグジット交渉に大きな変化がない限り(もしかしたら起こるかもしれないが、期待はできない)、英国企業はEU間のデータフローを合法的に維持するために、わずか数週間しか残されていない。EUの首席交渉官、ミシェル・バルニエ氏が何度も述べているように、時間は刻々と過ぎているのだ。®
