Brexit後の英国GDPR:何が変わったか
英国データ保護法2018(Data Protection Act 2018)がUK GDPRを法制化しました。EU GDPRと近い内容ですが、すべての点で同一ではありません。英国とEU両方で事業を行う場合は、二つの別々のコンプライアンスチェックリストを満たす必要があります。
変わらなかったこと:
- 処理のための六つの法的根拠
- データ主体の権利:アクセス、消去、訂正、移転
- 72時間以内の規制当局への違反通知
- プライバシー・バイ・デザインおよびデフォルト設定によるプライバシー保護
変わったこと:
- 英国は国際データ移転に関する独自の十分性決定を管理
- 2023–2024年の英国AI指針はEDPBの指針より詳細
- 英国の研究例外はEUのものよりやや広い
- 規制当局は指導から罰金へ、以前より速く移行中
英国とEUのルールの差は実在します。二つの独立したチェックリストとして扱ってください。
LastPass制裁:暗号化が今や法的要件に
2025年12月、ICOはLastPass UKに欠陥のある暗号化設計を理由として120万ポンドの罰金を科しました。これは技術的セキュリティに関する最も重要なUK GDPRの判断です。
規制当局が判断した内容: LastPassはサーバー側で保持する鍵で保管庫データを暗号化していました。サーバーにアクセスできた人は誰でも保管庫を読むことができました。UK GDPR第32条の「適切な技術的措置」基準を満たさないと判断されました。
通知書の核心文言: 「管理者はクライアント側暗号化を採用すべきだった。そうすれば、サーバー侵害が発生しても、保管庫データへの不正アクセスを防ぐことができた。」
この判断が示すもの: より安全な設計が存在し実装可能な場合、より弱い設計を選ぶことは第32条に違反する可能性があります。機密データに対してサーバー側の鍵管理はもはや安全な選択ではありません。
リスクを抱える対象: 機密個人データを保管し、暗号化鍵を自社サーバーで管理するあらゆるサービス。これには監査ログ、利用統計、文書履歴のためにテキストを記録するツールも含まれます。サーバーがテキストを読める場合、規制当局はなぜクライアント側設計を選ばなかったのか問うかもしれません。anonym.legalがゼロ知識アーキテクチャでこれをどう解決しているかをご覧ください。
英国AI指針:八つの技術的ルール
英国の規制当局は2023–2024年に詳細なAI指針を公表しました。生成AIシステムに対する八つの具体的な要件を定めています。EUの同等指針より詳細です。
1. 学習データの出所 — 個人データで学習したAIは、そのデータの出所と適用された匿名化手順を記録しなければなりません。
2. 出力の監視 — 個人データを含む出力を生成するシステムには、不適切な開示を検出・防止する管理機能が必要です。
3. 目的の制限 — AIの学習に使用するデータは明示した目的に合致しなければなりません。顧客データを用いた汎用学習には明確な法的根拠が必要です。
4. 自動意思決定における権利 — AIが人に関する重要な判断を行う場合、アクセス、説明、異議申し立てを可能にしなければなりません。
5. バイアス監視 — 保護特性を直接または推論で使用するシステムには、技術的なバイアス検査が必要です。
6. ファインチューニング前の最小化 — ファインチューニング前に個人データを削減しなければなりません。ポリシーだけでは不十分です。
7. モデルの重みからの消去 — 個人データがモデルの重みに入った場合、消去要求に対応する技術的または同等の計画が必要です。
8. サードパーティAIのレビュー — 他社のAIを使用する場合、八つの要件すべてへの準拠を確認・記録しなければなりません。
これら八つのルールは、英国でのAI導入における実践的なチェックリストを形成します。
英国の執行:罰金へのシフト
規制当局はかつて制裁より指導書を好んでいました。それが変わりつつあります。最近の措置は明確なパターンを示しています:
| 措置 | 金額 | 年 | 理由 |
|---|---|---|---|
| ブリティッシュ・エアウェイズ | 2,000万ポンド | 2020 | 侵害 — セキュリティ不備 |
| マリオット・インターナショナル | 1,840万ポンド | 2020 | 侵害 — デューデリジェンス不足 |
| LastPass UK | 120万ポンド | 2025 | 暗号化設計の欠陥 |
| Electoral Commission | 440万ポンド勧告 | 2023 | 未パッチサーバー |
2024年には67件の執行通知が発行されました — 過去最多です。LastPassの事例が注目されるのは、侵害の結果だけでなく設計上の選択に対して罰金が科されたためです。規制当局はLastPassがシステムをどう構築したかを精査しました。これは新しい動きです。
英国–EU間の移転:双方向のリスク
EUの個人データを扱う英国の組織は、両方から義務を負います。
EUから英国へ: EUは2021年に英国に対して十分性決定を付与しました。現在も有効です。しかし法的に争われています。それだけに頼らないでください — 標準契約条項(SCCs)は賢明な補完手段です。
英国からEUへ: 現在、英国のデータをEUの処理者に移転することへの制限はありません。ただし、英国データを処理するEUの処理者には、EU GDPRの義務が発生する場合があります。
実践的なステップ: UK GDPRの立場とEU GDPRの立場を別々の文書として作成してください。一致する点と異なる点を記録してください。これが規制当局から問い合わせを受けた際に必要な記録です。私たちのコンプライアンス概要が両側をマッピングしています。
LastPassで特定されたサーバー侵害リスクに対してゼロ知識設計がどう対応するかについて詳しくは、セキュリティ・プライバシーアーキテクチャページをご覧ください。
出典
- ICO: UK GDPRガイダンスとリソース — VERIFIED-EXTERNAL
- ICO: LastPass執行通知(2025年12月) — VERIFIED-EXTERNAL
- ICO: AIとデータ保護に関するガイダンス — VERIFIED-EXTERNAL
- ICO: 2024年執行年次報告書 — VERIFIED-EXTERNAL