ワイヤード
現在イギリス海峡を自由に移動しているものの多くは、合意なきブレグジット(Brexit)の事態になれば、影響を受けずに済むことはないだろう。EUから英国国境を通過する物品、サービス、そして人に関する新たな規制には、未解決の問題が残っている。しかし、来月、英国が合意なき離脱に追い込まれた場合、大きな混乱を引き起こす可能性のある、より実体のない問題がもう一つある。それはデータだ。
現在、英国とEU加盟国の間では、データの流れは障壁なく行われています。これにより、特に通信やテクノロジーといったデジタル志向の産業において、顧客や従業員に関する情報を商品やサービスの販売に活用できる企業にとって、貿易がより容易になります。国境を越えたデータフローは、世界のGDPの3.8%を占めると推定されています。
英国は、2018年に発効した相互合意に基づく一般データ保護規則(GDPR)の加盟国であり、EU加盟国に世界で最も厳格なデータ保護規則を適用しています。つまり、GDPRの対象となる他の国で収集された個人情報は、英国でも同様に保護されることが保証されているため、英国に何の障壁もなく流入することができます。
英国の2018年データ保護法はGDPRを補完するものであり、場合によってはGDPRを若干上回り、特定のケースにおいて英国の規則をより厳格化しています。合意なき離脱となった場合、このデータ保護法は、英国で処理される個人情報が現在と同じレベルの保護を受け続けることを保証します。ただし、EU法の下では、英国は自動的にGDPR規則に拘束されない第三国とみなされ、議会の決定があれば現在の厳格な基準から逸脱することができます。その結果、EU諸国からのデータは英国に自由に流入できなくなります。
「英国に拠点を置き、EUにデータを移転する必要がある組織にとって、状況は変わりません」と、プライバシー関連のスタートアップ企業EthycaのCEO、キリアン・キアラン氏は述べている。「しかし、EUから英国にデータを収集することはできなくなります。これは、あらゆるレベルで情報を処理するあらゆる企業にとって問題です。」
行動分析から注文追跡、クラウドベースのメールやストレージといった基本的なプロセスに至るまで、データ転送は英国企業の日常業務の中核を成しています。数字がそれを裏付けています。2005年から2015年の間に、英国に出入りするデータ量は28倍に増加しました。そのうち4分の3はEU諸国との交換でした。
データの流れを阻害すると、壊滅的な被害をもたらす可能性があります。例えば、ロンドン大学ユニバーシティ・カレッジの研究者たちは最近の研究で、同大学のメールシステムであるMicrosoft Outlookが機能するのは、アイルランドのサーバーから英国のサーバーへデータを転送できるからだと指摘しています。
英国は、欧州委員会が英国のデータ保護体制をEUと同等と認め、国境を越えた情報の自由な流通を可能にする特別な地位を付与してくれることを期待している。しかし、EUは英国の「適切性」を評価することを約束している。これは本質的に、第三国のデータ保護基準を承認し、データ移転が妨げられることなく行われることを許可するステータスである。これまで、適切性の認定プロセスには18か月から5年かかってきた。
詳しくはこちら:GDPRとは?英国におけるGDPRコンプライアンスの概要ガイド
秩序あるブレグジットが行われた場合、評価は2020年末まで続く予定の移行期間中に実施される。その間、英国はEUのすべての規制を遵守し、いかなる混乱も回避する。しかし、合意なき離脱となれば、英国は何年もの間、データに関する宙ぶらりんの状態に陥る可能性がある。さらに悪いことに、英国が適切性認定を否定される可能性のある問題はいくつかある。中でも、ファイブアイズとして知られる、英語圏諸国との情報共有協定が特に重要だ。ファイブアイズのような加盟国の国家安全保障に関する決定はEUが異議を唱えることはできないが、英国が第三国になれば、データ保護の観点からこの協定が精査される可能性がある。
合意なき離脱の場合、特別な取り決めまたは適切性が得られるまで、EUから英国へのデータ移転は、個々の英国企業が導入する法的メカニズムに基づいてのみ許可されます。そうなると事態は複雑になります。「ほとんどの中小企業は、データ移転の法的影響と技術的な難しさを理解するのに非常に苦労するでしょう」とキーランは言います。「新しい規則を遵守するためには、専門家のアドバイスとエンジニアリング能力が必要になります。そして、もし遵守できなければ、訴追される可能性があります。」
最も重要な技術的事項は、欧州委員会によって事前承認され、情報を受け取る組織と EU 内のデータソースの両方が署名する契約である標準契約条項 (SCC) と、転送を容易にするために EU データ保護機関 (DPA) から承認される拘束的企業準則 (BCR) です。
新たなポイントツーポイントデータ転送ごとに、新たなSCCを設定する必要があります。例えば、ヨーロッパに顧客を持つ組織の場合、日々発生するすべてのデータトランザクションをマッピングし、それぞれにSCCを設定する必要があります。これは、コストのかかる法的手続きや管理上の混乱にすぐに発展する可能性があります。
これらの要件を理解するために、企業は外部の法律専門家に頼る可能性が高い。遵守には費用と労力がかかるため、中小企業(SMB)が想定しているような作業ではない。4DデータセンターのCEO、ジャック・ベデル=ピアース氏は、2016年の国民投票後に中小企業を対象に、ブレグジットについてどれだけ知っているかを調べるアンケート調査を実施した。その結果、中小企業の87%がデータプライバシーを問題視していないことが明らかになった。
「逸話的に言えば、それ以来、あまり変化はありません」と彼は言う。「ITディレクターたちは、GDPRに既に準拠しているので問題ないと考えています。しかし、これがもたらす可能性のある法的影響を理解すると、彼らはすぐに落胆します。」
一方、ベデル=ピアース氏は、できる限りの準備をしてきた。彼の会社はデータセンターを運営しており、海外の顧客と取引のある一部の顧客が影響を受ける可能性がある。彼は収益の減少を見込んで別途予算を組んでいるが、「それ以外は、ただひたすら耐えて、どうなるか見守るだけです」と彼は言う。
ブレグジットをめぐる不確実性を考えると、現時点で英国企業ができることは他にほとんどないように思われます。ICOによるデータフローに関する比較的漠然とした勧告とgov.ukのツールキットを除けば、この件に関する政府からのガイダンスはほとんどありません。
「規制当局であるICOは最善を尽くしています」とキーラン氏は言う。「しかし、これは常に変化する目標です。」 公共情報キャンペーンは事業主の間でこの問題への意識を高めようと試みているものの、英国のEU離脱の詳細が依然として不透明な状況では、具体的なアドバイスを提供するのが難しいのは容易に理解できる。
オンライン小売業者テイラー&ハートのCEO、ニコライ・ピリアンコフ氏は、EU内での売上は少ないものの、ヨーロッパにチームを抱え、日々連絡を取り合っている。大企業は対策を講じているものの、自社には追随する余裕がないとピリアンコフ氏は説明する。「私たちのような中小企業にとって、何がいつ起こるのかがより明確になるまでは、ブレグジットの準備に多大な時間を割くのはリスクが大きすぎるのです」と彼は言う。
英国のデジタル担当大臣ニッキー・モーガン氏は、すべての企業と組織がブレグジットへの備えを万全にすべきだと述べた。「EUから個人データを受け取っている場合、ブレグジット後も合法的にデータを受け取り続けるためには、欧州のサプライヤーやパートナーとの契約を更新する必要があるかもしれません」とモーガン氏は声明で述べた。「利用可能なガイダンスに従うことで、簡単な安全策を講じることができます。英国とEUの企業は、不必要な混乱を避けるため、今すぐ行動を起こすべきです。」
コンプライアンスへの準備には時間と費用、そして現実的な判断が必要です。キエラン氏は、プライバシーは巨大テック企業が対応すべき問題だと考えている中小企業にも、同様の状況が起こり得ると説明します。しかし実際には、規制は中小企業にも浸透しつつあり、必ずしもそのことに気づいていないのです。「私の経験では、企業は全く準備ができていません」とキエラン氏は言います。「この問題についてほとんど知識がない、あるいはリスクが低いと考えているのです。」
しかし、11月1日に壊滅的なデータ凍結が起こる可能性は低い。クラウドストレージのような重要なサービスを提供する大企業は、英国がEUを離脱する際に最も厳しい監視を受けることになるため、既に対策を講じているはずだと彼は説明する。中小企業については、ベデル=ピアース氏はEUと英国政府がデータの流れを可能な限りスムーズにするための現実的なアプローチを取ることを期待している。「基本的な接続協定のようなものを」と彼は言う。これはボリス・ジョンソン首相のToDoリストに新たに加わる項目の一つとなるだろう。
2019年9月24日17時51分更新:デジタル担当大臣ニッキー・モーガン氏の声明が追加されました
この記事はWIRED UKで最初に公開されました。
