2021年1月に英国がEUのデータ保護法から正式に分離した際、多くの組織は移行が管理業務的なものになると想定していました。GDPRのブランド変更、現地代理人の任命、プライバシー通知の更新。しかし、その後に続いたのはより厳しいものでした。情報コミッショナー事務局(ICO)は、法律導入後の数年間でGDPR関連の罰金として約6,500万ポンドを科しました。Capitaは2025年10月に単独の罰金として1,400万ポンドを受けました。ICOは2024年3月に更新された罰金ガイダンスを公開し、違反から最高罰金までの道筋をより体系的にしました。そして2025年6月19日、データ(利用およびアクセス)法が王室の裁可を受け、Brexit以降の英国データ保護法における最も重要な改正が導入されました:新たな正当な利益のカテゴリー、改革されたクッキー同意規則、更新された自動意思決定条項、および強化された苦情処理義務です。
英国GDPRはEUの対応法と密接に類似していますが、独自の監督当局、移転メカニズム、進化する改革アジェンダを持つ独立した規制枠組みです。ロンドンまたはロサンゼルスに拠点を置くかどうかにかかわらず、英国居住者の個人データを処理するすべての組織にとって、英国GDPRが実際に何を要求し、誰に適用され、不遵守が実際にどれだけのコストとなるかを理解することは、もはや選択的な背景知識ではありません。本ガイドはその基礎を提供します。
英国GDPRは誰に適用されるのか?
英国GDPRは、組織の拠点がどこであっても、英国居住者の個人データを処理するすべての組織に適用されます。英国の顧客を持つ米国のソフトウェア企業は遵守しなければなりません。英国に居住する個人のデータを処理するEU企業も遵守しなければなりません。この規制は、処理の目的と手段を決定するデータ管理者、および管理者に代わってデータを処理するデータ処理者に適用されます。両者は異なる義務を負い、両者とも罰金を科される可能性があります。
地理的範囲は2つの条件によって確認されます:処理が英国の拠点の文脈で実施される場合、または処理が英国のデータ主体への商品またはサービスの提供に関連する場合、または英国における彼らの行動の監視に関連する場合です。いずれかの条件を満たす英国外に拠点を置く組織は、免除の資格がない限り、英国代理人を任命しなければなりません。2021年以降、ICOはClearview AIに対する750万ポンドの罰金や、コンプライアンスインフラなしに英国市場で事業を行う複数の米国データブローカーに対する規制措置など、非英国事業体に対する執行を追求してきました。
英国GDPRの7つの中核原則
英国GDPRの第5条は、すべての個人データ処理を規定する7つの原則を定めています。これらは願望的なガイドラインではありません。基本原則の違反は、最高水準の管理罰金を伴います:最大1,750万ポンドまたは全世界の年間売上高の4パーセントのいずれか高い方です。組織が実施するすべてのデータ処理活動は、以下の7つすべての原則の下で弁護可能でなければなりません。
| 原則 | 要求事項 | ビジネスリスク |
|---|---|---|
| 適法性、公平性、透明性 | 処理の明確な法的根拠;欺瞞的なデータ慣行の禁止 | 1,750万ポンド/全世界売上高の4% |
| 目的の制限 | データは特定され、明示された、正当な目的のみに使用 | ICO執行通知+罰金 |
| データの最小化 | 適切で、関連性があり、必要なもののみを収集 | 叱責+コンプライアンス命令 |
| 正確性 | 個人データを最新に保つ;速やかに消去または訂正 | 損害補償請求+罰金 |
| 保存の制限 | 必要以上にデータを保持しない | ICO監査+執行 |
| 完全性と機密性 | 技術的および組織的セキュリティ対策が必要 | 最大1,750万ポンド(Capita:1,400万ポンド) |
| 説明責任 | コンプライアンスの証明;ROPAの維持 | 監査不合格=即座の罰金 |
説明責任の原則は、他のすべてが執行されるメカニズムであるため、特別な注意に値します。英国GDPRにおける説明責任は受動的ではありません:組織はコンプライアンスを積極的に証明し、処理活動の記録(ROPA)を維持し、高リスク処理のためのデータ保護影響評価(DPIA)を実施し、必要に応じてデータ保護責任者(DPO)を任命しなければなりません。ICOはこれらの活動の証拠をいつでも要求でき、それを提出できないこと自体が独立した違反を構成します。
処理の法的根拠
すべての処理活動には法的根拠が必要です。英国GDPRは6つを提供します:同意、契約、法的義務、重要な利益、公的任務、および正当な利益。法的根拠の選択は互換性がなく、処理開始前に決定しなければなりません。事後的に法的根拠を切り替えることは許可されていません。
英国GDPRにおける同意は、自由に与えられ、特定され、情報に基づき、明確でなければなりません。事前にチェックされたボックス、バンドルされた同意、およびサービスの条件として取得された同意は基準を満たしません。同意は与えるのと同じくらい簡単に撤回できなければなりません。データ(利用およびアクセス)法2025はクッキー同意規則を更新し、ユーザーが要求したサービスに厳密に必要なクッキー、統計目的、緊急支援など、同意が不要な5つの例外を導入しました。ただし、広告、これらの例外を超える分析、およびパーソナライゼーションクッキーは、明示的なオプトイン同意を必要とし続けます。
正当な利益は頻繁に誤って適用されます。それには3部構成の評価が必要です:正当な利益の特定、その利益のために処理が必要であることの証明、およびデータ主体の権利とのバランスです。DUAA 2025は、詐欺防止、ネットワークセキュリティー、既存顧客への直接マーケティングなど、バランステストが満たされたと見なされる認識された正当な利益のリストを導入しました。これらのカテゴリー以外では、文書化されたバランステストが必須です。
英国GDPRにおける個人の権利
英国GDPRはデータ主体に8つの執行可能な権利を付与します。組織は1か月以内に要求に応答しなければならず、複雑な要求の場合は2か月延長可能です。応答しないこと自体がICOへの苦情と執行措置を引き起こす可能性のある違反です。
アクセス権(DSAR):個人は自分について保持されているすべての個人データを要求できます。組織はほとんどの場合、無料でコピーを提供しなければなりません。DUAA 2025は「時計停止」原則を成文化しました:データ主体から説明が要求されたときに応答期限が一時停止します。
消去権:「忘れられる権利」とも呼ばれ、これにより個人は、同意が撤回された場合やデータがもはや必要でない場合など、定義された状況において個人データの削除を要求できます。
ポータビリティ権:個人は、処理が同意または契約に基づいている場合、別の管理者への転送のために機械可読形式で個人データを要求できます。
異議申立権:個人は正当な利益に基づく処理または直接マーケティングのために異議を申し立てることができます。直接マーケティングに対する異議申立は常に直ちに尊重されなければなりません。
自動意思決定に関連する権利:DUAA 2025は、人間の介入権を含む保護措置とともに、機密性のないデータに対する正当な利益の根拠でAIベースの自動決定を許可する新しい規則を導入しました。
データ侵害通知要件
英国GDPRは厳格な侵害報告義務を課しています。個人データ侵害が個人の権利と自由にリスクをもたらす場合、組織が侵害を認識してから72時間以内にICOに通知しなければなりません。侵害が個人に高いリスクをもたらす可能性が高い場合、影響を受けるデータ主体にも不当な遅延なく通知しなければなりません。
72時間の時計は、侵害が完全に調査されたときではなく、組織が認識したときから始まります。したがって、組織はこのタイムラインを満たすことができるインシデント検出、エスカレーション、報告インフラを持たなければなりません。2025年10月に1,400万ポンドの罰金をもたらしたCapita侵害には、不十分なセキュリティ対策と遅延したインシデント対応の両方が含まれていました:ICOはその組み合わせを罰金計算における加重要因として明示的に引用しました。
国際データ移転
英国外への個人データの移転には適切な保護措置が必要です。英国は独自の十分性枠組みを持ち、EEA、EU加盟国、および多数の第三国をカバーする十分性決定を発行しています。他の目的地への移転の場合、組織は国際データ移転契約(IDTA)、EU標準契約条項への英国補遺、または拘束的企業規則を使用しなければなりません。2023年に確立された英米データブリッジは、参加する米国組織への移転のメカニズムを提供します。組織は、EU GDPRの移転メカニズムが自動的に英国GDPRの要件を満たすと仮定してはなりません:枠組みは別個であり、ICOガイダンスが適用されます。
実際の実装では、国際的な同意同期を処理し、適法な移転メカニズムを文書化する同意管理プラットフォーム(CMP)は、英国で記録されたデータ主体の同意が、十分性のない国の処理者による下流処理に適切に反映されることを保証する重要なコンプライアンス層を提供します。
英国GDPR不遵守の実際のコスト
ICOは2019年から2025年9月の間に、合計約6,500万ポンドに達する16件の英国GDPR罰金を科しました。以下の表は、最も重要な罰金とそれらを引き起こした違反をまとめています。
| 組織 | 罰金 | 年 | 違反 |
|---|---|---|---|
| Capita plc + Capita Pension Solutions | 1,400万ポンド | 2025年10月 | ランサムウェア侵害;660万人のデータ主体 |
| Advanced Computer Software Group | 307万ポンド | 2025 | ランサムウェアの脆弱性;NHSデータ |
| British Airways | 2,000万ポンド | 2020 | データ侵害;40万人の顧客に影響 |
| Clearview AI | 750万ポンド | 2022 | インターネットからの違法な生体認証スクレイピング |
金銭的罰金は真のコストのほんの一部を表しています。処理禁止、コンプライアンス命令、データフローの停止を含む非金銭的執行措置は、罰金よりも事業運営をより深刻に混乱させる可能性があります。公的なICO執行通知による評判の損害は、顧客の離反、パートナー関係の悪化、企業契約の喪失を引き起こします。Ponemon Instituteの調査は一貫して、検出、通知、規制対応、事業中断を含むデータ侵害の総コストが、規制罰金を3倍から5倍上回ることを発見しています。
2026年の英国GDPRコンプライアンスインフラの姿
2026年の効果的な英国GDPRコンプライアンスには、プライバシーポリシーとクッキーバナー以上のものが必要です。文書化されたプロセス、技術的管理、継続的な運用能力が必要です。ICOの2025年オンライントラッキング戦略は、同意記録が実際に個人レベルで有効な同意を証明できるかどうかに焦点を当て、特に同意実装の精査を強化しました。
有効な同意の前に不要なクッキーをブロックし、詳細なタイムスタンプ付き同意記録を維持し、ウェブとアプリ環境全体で設定を同期する同意管理プラットフォーム(CMP)は、オンラインで個人データを収集するすべての英国組織にとって、現在のベースラインインフラです。ICOは2025年1月以降、データ削除要求フレームワークに関してIAB Tech Labと関与しており、同意の撤回がファーストパーティの管理者だけでなく、アドテクエコシステムの第三者にもカスケードしなければならないことを強化しています。
同意を超えて、組織はすべての処理活動をカバーする最新のROPAを維持し、必要に応じてDPOを任命し、高リスクプロジェクトのDPIAを実施し、データ保護義務に関するスタッフのトレーニングを行い、暗号化、アクセス制御、侵害検出能力を含む技術的管理を実装しなければなりません。サイバーセキュリティ侵害調査2025は、英国企業の43パーセントが過去12か月間に侵害または攻撃を経験したことを発見しました。これは侵害通知評価を必要とする約612,000の組織に相当します。
2026年2月5日に完全に施行されたデータ(利用およびアクセス)法2025は、Brexit以降の英国データ保護法における最も重要な更新を表しています。DUAA 2025の変更、特に正当な利益、クッキー同意の例外、自動意思決定、苦情処理義務に対してコンプライアンスプログラムを見直していない組織は、これを緊急の優先事項として扱うべきです。2024年3月に公開されたICOの更新された罰金ガイダンスは、違反から最高罰金までの道筋をより体系的にし、2025年を通じた執行記録は、当局がセクター全体で実質的な罰金を科す意志があることを示しています。
英国GDPRを最も効果的にナビゲートする組織は、データ保護を法的オーバーヘッドではなく運用インフラとして扱う組織です。英国居住データ主体にとって、英国GDPRへのコンプライアンスは選択的ではありません;それは、データ権が積極的に執行される6,700万人の市場でビジネスを行う代償です。堅牢な同意管理インフラの実装、包括的な文書の維持、侵害対応能力の構築は、コンプライアンスコストではありません;それらは持続可能なデータ運用の基盤です。
同意技術とコンプライアンス枠組みに関する詳細については、Marketing Compliance Technology: How Brands Are Navigating GDPR, Privacy Regulations and Brand Safety at ScaleおよびConsent Management Platforms: GDPR, CCPA Compliance and the Technology of Consumer Choiceを参照してください。
