英国はGDPRを修正できると考えているが、それは間違いだ

英国は欧州連合（EU）を離脱し、単一市場からも離脱しました。そして今、企業に個人情報の保護を義務付ける規則も放棄しようとしています。 

欧州連合（EU）の一般データ保護規則（GDPR）には欠陥があり、2018年5月の施行を前にデータ処理に関するプロセスの見直しや書類作成を求められてきた中間管理職なら誰でもよく知っている。英国のデジタル政策を監督する英国の文化大臣オリバー・ダウデン氏は、テレグラフ紙のインタビューでこの書類作成について特に指摘し、英国はGDPRの主要部分から離脱すると発表した。政府は同時に、英国のデータ規制当局である情報コミッショナー事務局の新たな長官候補の選出も発表した。しかし、最も注目を集めたのはGDPRの潜在的な変更点だった。これらの変更点の標的には、「無意味な官僚主義」、「チェックボックスのチェック」、そして官僚主義などが挙げられる。

「GDPRは決して完璧ではありません。英国が一部の問題の解決を主導しようとしているのは、寛大な見方と言えるでしょう」と、ニューカッスル大学で法学、イノベーション、社会学を専門とするリリアン・エドワーズ教授は述べています。例えば、欧州各国のデータ保護機関による強制措置は不十分です。「残念ながら、これはほぼ間違いなく宣伝目的の無駄な取り組みです」とエドワーズ教授は英国の初期の取り組みについて述べています。 

実際には、英国がGDPRを修正する計画は、現在極めて高レベルで曖昧であり、欧州連合（EU）との衝突を招く可能性がある。新規事業を刺激するための動きは、実際には既存のデータ共有契約に終止符を打つ可能性もある。さらに、英国の「プライバシーを保護しつつ、可能な限り軽微な方法で、世界をリードするゴールドスタンダードのデータ規制を確立する」という計画は見当違いだ。専門家は、この計画は単純に機能しないと指摘している。

「プライバシー法やデータ保護規制の中には、関係者全員にとってより良い方向に調整できる領域がいくつかあることは神のみぞ知る」と、英国のデジタルプライバシー保護キャンペーン団体、オープン・ライツ・グループの政策マネージャー、ヘザー・バーンズ氏は語る。しかしバーンズ氏は、英国の計画はデータ問題を解決する第三の道を探る誠意ある試みではないと指摘する。「これは、業界の商業的利益のためにプライバシー法やデータ保護の安全策を規制緩和するものだ」

バーンズ氏は、英国がデータへのアクセスを自由化することで、より広範な市場を創出しようとしていると考えている。「英国政府のビジョンは、ユーザーの発言や行動を監視するアプリケーションの市場を創出することであり、プライバシー権と保護措置はそれにとって大きな障害となっている」。最悪なのは、バーンズ氏はそれが根本的に実現不可能だと考えていることだ。「典型的なブレグジットのケーキ主義だ」と彼女は説明する。「ケーキを食べてケーキも残すようなものだ」

英国はここ数ヶ月、ユーザーデータの保存場所について厳格な規則を定める欧州連合（EU）とデータ十分性に関する合意を目指してきました。そして6月下旬、4年間の十分性に関する協定に合意しました。データ十分性パートナーシップの背後にあるコンセプトは、個人データを共有するために、組織がデータ規則への準拠を示す具体的な措置を自ら導入する必要がないようにすることです。これは英国政府が「コストがかかる」と呼んでいます。その代わりに、十分性パートナーシップの署名機関は信頼でき、個人データを安全に扱うことができることが前提となります。英国はEUに加え、ニュージーランド、日本、カナダなどの国々と十分性パートナーシップを結んでおり、今後さらに多くの国々と協定を締結したいと考えています。

しかし、英国が締結する各協定は、EUとの間のものも含め、既存のデータ適切性協定の遵守を弱める可能性がある。EU加盟国の多くは、英国がこれらの協定から逸脱し、EUユーザーのデータが危険にさらされるリスクについて懸念を表明している。「私たちがここで話しているのは、守る義務があるEU市民の基本的権利です」と、EUの価値・透明性担当副大統領ベラ・ヨウロバ氏は、EU・英国協定が発表された6月下旬に述べた。「だからこそ、私たちは強力な保障措置を設けており、英国側に何か変化があれば、介入します」。英国とEUの協定にはサンセット条項、つまり終了日が明確に定められているが、これは異例であり、ある情報筋によると、英国がまさに行っていると思われることへの懸念をEUが回避するために考案されたものだ。

英国が発表した計画を踏まえると、欧州連合は協定が終了する2025年よりも早く介入せざるを得なくなるかもしれない。英国が新たな十分性協定の締結対象国として挙げている国々を考えてみよう。米国、韓国、シンガポール、ドバイ、コロンビア、オーストラリアなどだ。米国のデータ取り扱い慣行は欧州連合にとって長年の課題であり、オーストリア人弁護士マックス・シュレムス氏が、自身のデータが米国に移転された際にも欧州のデータ規則の下で保護される権利を求めて争ったシュレムス事件およびシュレムスII事件など、度々続く立法闘争の対象となっている。「欧州プロジェクトの進捗状況から、英国が参加していた当時は、英米間のデータ移転問題については懸念しないだろうという一種の理解があった」と、独立ロビー団体アイルランド市民自由評議会のシニアフェロー、ジョニー・ライアン氏は語る。

彼らがテントの外にいる今、それはEU域内で事業を展開するデータ取扱企業にとって問題となっている。「英国のデータ管理者が第三国と事業を行う上で、十分性認定は素晴らしいことかもしれないが、EU域内の最終的なデータ管理者にとって状況を大きく変えるものではなく、EUの観点から十分ではない国へのデータ転送の問題も解決しない」と、パリに拠点を置くAI保険最適化企業Shift Technologyの顧問弁護士、ダニエル・セレドゥイック氏は述べている。基本的に、英国がEU域外に進出できるようになったことで第三国と新たな契約を結ぶたびに、EUとの協定が無効になる可能性が高まる。「EU、英国、米国間のデータの自由な流れは明らかに問題だ」とライアン氏は言う。

そして、この問題は英国、そしてダウデン氏の姿勢によってさらに深刻化している。「EUを離脱した今、私はこの機会を捉え、英国中の個人と企業にブレグジットの恩恵をもたらす、世界をリードするデータ政策を策定する決意です」とダウデン氏は述べた。「それは、英国自身のデータ法を、形式的な手続きではなく、常識に基づいたものに改革することを意味します。」

欧州の関係者はWIREDに対し、EU離脱後の英国における地政学的な影響や、公式文書で「個人データ」（欧州用語）ではなく「個人を特定できる情報」（米国用語）が使われていることなど、より細かな点を考慮すると、欧州基準からの逸脱は意外ではないと語った。また、英国外の関係者は、新情報コミッショナーの求人広告が個人データ保護よりも企業支援に重点を置いていることを指摘した。情報コミッショナー候補のジョン・エドワーズ氏は、「すべての人々の利益のために、安全で信頼できるデータ利用において、組織と英国経済を国際的なリーダーシップの地位へと導くという挑戦」を楽しみにしていると述べた。個人データ保護への認識の欠如は、個人にとって懸念材料となるかもしれない。

しかし、オリバー・ダウデン氏が「常識」と呼ぶものは、他の人々からは非常識とみなされている。「これはデータ保護よりもはるかに大きな問題だ」とライアン氏は言う。「英国はヨーロッパのシンガポールになれるのか？規制基準を引き下げることで、ヨーロッパからサービス市場を奪い取ることができるのか？」（欧州連合（EU）の情報筋は、英国が現在検討している計画とは異なり、シンガポールは実際には合理的なデータ保護の枠組みを備えていると指摘している。） 

英国がEU域外の顧客獲得に努めれば、より大きな顧客であるEU自体を失う可能性が高くなる。英国政府自身の統計によると、EUへのデータの自由な流通は英国にとって850億ポンドの価値があり、これは英国の世界貿易全体の13%に相当する。「（欧州）委員会は、口先だけで守るべきデータ保護基準から逸脱すれば、十分性協定は立ち消えになるだろうと示唆している」とライアン氏は言う。「英国のデジタルサービス産業の存続を脅かすことになるだろう。」

バーンズ氏は、これは英国の決定が奇妙に時代遅れだと指摘する。「米国から中国まで、各国がデータ保護とプライバシー強化に向けて動いている中で、英国だけが『全部捨てて、捨てて、データで楽しもう』という方向に進んでいるのは、ほとんど現実離れしている。7000万人の国が中国、米国、欧州の間に第三の道を築けるなどという考えは、率直に言って妄想だ」

企業もそのことに気づくだろう。ダウデン氏と英国政府は、企業や各国がこぞって利用しようとする画期的なハニートラップとして計画を提示するかもしれないが、最終的には実利主義が勝利するだろう。ウェブサイトからクッキーバナーを撤去することは、EUのeプライバシー指令で既に取り組まれているとはいえ、救いの策のように思えるかもしれない。しかし現実には、ほとんどの企業はEUが定めたより広範で厳格な基準を遵守するだろう。最も厳格な規則に従うことは、異なる管轄区域で複数の規則に従うよりも、あらゆる地域で十分に保護されることを意味するだろう。

「多国籍企業（ハイテク大手だけでなく、EU内外に製品を販売するほぼすべての企業）は、どんな法律であっても、常に単一の法律に従うことを望んでいます。EUのGDPR基準は、EUとの契約時に義務付けられているだけでなく、ますます世界的なゴールドスタンダードになりつつあります」とエドワーズ氏は言う。

WIREDの取材によると、欧州連合（EU）はまさにその通りになると考えているようだ。英国政府内にデータ保護に関する組織的な知識が欠如していること、そして保守党内に強い反EU姿勢があることから、今回の決定はユーザーの利益という技術的な考慮に基づくというよりは、むしろイデオロギー的なものに見える。「英国はこのナンセンスな行動で危うい綱渡りをしている」と、あるEU筋はWIREDに語った。「深く検討されたとは思えない」

WIREDのその他の素晴らしい記事

• 🌎 WIREDの気候ブリーフィングにサインアップ：ゼロを追い求めよう
• 隠された北極の洞窟には、私たちの過去と未来に関する秘密が隠されている
• 仕事にうんざりしていませんか？大辞職運動に参加してみませんか？
• ズーム醜形症は現実世界にも及んでいる
• YouTubeでは、死にかけの子猫がすぐそばにいる
• Google検索を使いすぎていませんか？Google検索の代替アプリをお試しください
• 新型コロナウイルスによるメンタルヘルスへの影響を治療するための抜本的な計画
• 2021年ヨーロッパで最も注目されるスタートアップ100社
• 🔊 WIREDポッドキャストを購読しましょう。毎週金曜日に新しいエピソードを公開します。

この記事はWIRED UKで最初に公開されました。