ゲッティイメージズ/WIRED
ティム・ベル氏の顧客の20%は英国を拠点とする起業家や企業だが、彼はまだ彼らを正式に顧客に数えていない。「『ブレグジットがなければ手数料は発生しない』という契約を結んでいるんです」と彼は言う。
もし(おそらくそうなるだろうが)、ブレグジット移行期間が2021年1月1日に終了すれば、これらの見込み顧客はベルの会社のサービスを利用し始めるだろう。逆に、何らかの運命のいたずらで移行期間が元旦以降も延長された場合、彼らは英国がEUから正式に離脱するまで待つことになるだろう。ベルの場合、ブレグジットはビジネスにとってプラスとなるだろう。
ベル氏は、ダブリンに拠点を置くデータ代理サービスを提供する企業、データレップの創業者兼マネージングディレクターだ。2016年の国民投票でEU離脱が決定されていなければ、英国企業はこうしたサービスに手を出さなかっただろう。2017年に設立されたデータレップは、EUおよびEEA加盟30カ国のうち29カ国で事業を展開し、EU市民の個人データを処理しているもののEU内に拠点を持たない企業の代理業務を行っている。ベル氏の会社は、データ主体の要請への対応、欧州のデータ保護当局との連絡、その他の事務作業を顧客に代わって行っている。データ代理人の選任は、EUのデータ保護規則であるGDPR(一般データ保護規則)第27条で義務付けられている。GDPRは2018年5月に施行され、欧州全域でコンプライアンスをめぐるパニックを引き起こしている。
GDPRへの不安は英国民の記憶からほぼ消え去ったが、この規制の影響は未だに消えていない。英国がEUを正式に離脱すれば、非EU加盟国として扱われ、第27条は基準を満たすすべての英国企業に適用され始める。対象となるのは誰だろうか?既にEU圏内にオフィスを構えているであろう大企業でも、家族経営のパン屋でもない。むしろ、EUの顧客にサービスを提供する中規模のインターネット企業群だ。ベル氏は、DataRepの典型的な顧客として、SaaS(Software as a Service)のスタートアップ企業、eコマース企業、臨床試験を実施する組織を挙げている。
彼は、第27条への意識が高まるにつれて、多くの企業が追随すると予想している。英国の顧客と取引のある欧州企業にも同じことが当てはまる。ブレグジット後、これらの企業は英国にオフィスを開設するか、現地のデータ担当者を雇用する必要がある。EUと英国の両方で事業を展開するアフリカ、アメリカ、アジア企業の中には、最終的にデータ担当者が2人しかいなくなる企業もあるだろう。
多くの英国企業オーナーにとって大きな疑問は、そもそもデータ担当者が必要かどうかだ。「1月1日以降、EU市民に商品やサービスを提供している企業、あるいはウェブサイトにCookieを設置してEU市民をターゲット広告のターゲットとして監視している企業は、EU内に担当者を置く必要があります」と、法律事務所ミシュコン・デ・レイアのシニアデータ保護スペシャリスト、ジョン・ベインズ氏は述べている。「ただし、例外もあります。第27条の文言では、これは、偶発的で、大規模ではなく、リスクにつながる可能性が低い処理には適用されないとされています。しかし、『偶発的』が何を意味するのかは誰にも分かりません。」
現地の代理店を雇うかどうかの判断は、ギャンブルになるかもしれない。料金は比較的低く、DataRepのような企業は、企業が処理する個人データの量と関連するリスクレベルに応じて、年間150ユーロ(130ポンド)から最大5,000~6,000ユーロ(4,500~5,400ポンド)の料金を請求している。一方で、奇妙なことに、第27条に違反した企業に何が起こるかは明確ではない。罰金は最大1,000万ユーロ、または企業の全世界売上高の2%だが、ベインズ氏によると、この分野での執行はそれほど頻繁に行われていないようだ。
「一つ疑問なのは、代理人を任命しなかった場合、何か起きる可能性があるのかということです」とベインズ氏は言う。「厳密に言えば、GDPR違反ですが、代理人がいない場合、どのような結果になるのかは分かりません。どのような強制措置が取られるのかも分かりません。」
前例は乏しい。現地に担当者を置かずに大量のEU個人データを処理した企業に関する最も注目を集めた事例は、2014年にオランダのデータ保護当局がメッセージングサービスのWhatsAppに対して下した、不遵守の日ごとに1万ユーロの罰金を科した決定である。しかし、この決定はGDPR以前のものであり、米国のテクノロジー企業を標的としていたため、英国の中規模企業が同様の反発に備える必要があるかどうかは判断が難しい。「中小企業が第27条の義務に関連して売上高の2%の罰金を科される可能性は低い」と、法律事務所クリフォードチャンスのテクノロジーチームの共同責任者であるジョナサン・キューリー氏は述べる。キューリー氏は、第27条は、ブレグジットと新型コロナウイルス感染症のパンデミックが英国企業に課すことになる増大する追加事業コストの一例として捉えるべきだと考えている。
もう一つの例として、データ・アデクシシー(データ妥当性)について考えてみましょう。英国とEUが12月末までに貿易協定を締結するかどうかに関わらず、英国がEUに加盟していた当時と同じように、EUから英国への個人データの流出が許可されるかどうかは不透明です。この問題は、EUが英国のデータ保護基準を十分と判断するかどうかにかかっています。しかし、英国の大規模監視活動や、米国およびファイブアイズ同盟諸国との情報共有協定に対する欧州の懸念を考えると、その判断は否定的なものになる可能性も十分にあります。データ・アデクシシーが認められるまで、金融、クラウドコンピューティング、eコマースなどの分野でEUとの個人データの送受信に大きく依存している英国企業は、標準契約条項と呼ばれる代替的な取り決めに頼らざるを得なくなります。この追加の官僚的手続きにかかる費用と、遵守違反の潜在的コストは、16億ポンドと推定されています。
英国のスタートアップ業界団体Coadecの事務局長、ドミニク・ハラス氏は、差し迫った第27条の難問は、1月1日に多くの英国企業が直面するであろう複雑な状況を象徴していると述べています。「これは、適切性が非常に重要である理由を示しています。多くのスタートアップは適切な標準契約条項を整備していないだけでなく、このような問題には管理上の負担が加わるためです」とハラス氏は言います。「問題は、平均的なスタートアップがまだこのことについて全く知らないということです。」
不適切性と同様に、第27条は新たな悩みの種、潜在的なコスト、そして場合によっては些細な不満の源となる可能性がある。「EU当局が望めば、この代表者任命義務が武器として利用されるリスクがあり、英国でも同様に同様のことが起こり得る」とキューリー氏は指摘する。「英国とEU間のより広範な貿易戦争において、データが何らかの役割を果たす可能性がますます高まっている」。彼は、罰金は起こり得る問題の一つに過ぎないかもしれないと指摘する。データ代表者を任命していない英国企業には、警告、訓戒、その他の不遵守に関する声明が発せられる可能性がある。当局は問題が解決するまで繰り返し追及する可能性がある。
そして、ブレグジットプロセス全体の行方は、英国企業がEUのデータ保護当局からどれほどの望ましくない注目を受けるかを左右する可能性がある。「英国が十分性認定を受けられず、例外主義の道を進むことを決断した場合、これが一つの火種となる可能性があります。第27条の義務への注目は、データプライバシー分野におけるより広範な傾向を示しています」とキューリー氏は述べている。
ブレグジット後の官僚主義と混乱が渦巻く中、DataRepのような企業、そしてGDPRとブレグジットが一般的な言葉として定着して以来急増している他の企業だけが、利益を得られる可能性があるかもしれない。まあ、ある意味そうだ。理論上は、GDPRに基づく制裁を受けた企業が罰金を支払わなかった場合、データ担当者が顧客に代わって罰金を負担するよう求められる可能性がある。「指定担当者は、違反があった場合、強制執行手続きの対象となるべきだ」とベインズ氏は言う。「だからこそ、『はい、私は担当者です』と言ってから、データ管理者がEU市民のデータで大きなリスクを負っていることが判明するのは避けたいのです。」
ジャン・ヴォルピチェリはWIREDの政治担当編集者です。@Gmvolpiからツイートしています。
この記事はWIRED UKで最初に公開されました。
