Brexitの離脱案に対する英議会での投票が12月に迫っていますが、IT業界的には離脱の結果がGDPRに及ぼす影響が気になるところです。

メイ首相の離脱協定案が過半数の支持を得られていないので、「合意なき離脱」(no-deal Brexit)もしくはそれに近いものについては、議会での承認が得られない可能性も高いわけですが、以下は現在考えられる来年3月29日後のシナリオです。

１．合意なきEU離脱 (no-deal Brexit)で完全離脱

イギリスはEU圏外の国になりますので、EUとGDPR以外の法的な合意がなければEUからイギリスに個人データを送信する事ができなくなってしまいます。ただし、イギリスからEUに対して個人データを送信することは可能です。

２．GDPRに照らして「妥当性がある決定」（adequacy decision）

完全な形での「合意なきEU離脱」以外の案が選択され、EUによって「（個人情報保護の仕組みが）妥当な国」と判断された場合、イギリスはアメリカや日本のような立ち位置になります。

おそらくは、現在のEU加盟国としてのGDPRの適用状況を継続することになるので、完全な離脱と比べた場合、交渉する要件がぐっと少なくなります。現在と大きな変更はないでしょう。

従って、EU加盟国からイギリスに対して個人情報を送信することは可能になり、ビジネスに対して大きな影響は出ません。

しかし、イギリスの個人情報保護を統括する機関であるICO (英国個人情報保護監督機関：Information Commissioner Office)が欧州データ保護委員会（European Data Protection Board）に参加しませんので、イギリスとEUで個人情報保護に関する施策に関するズレが生じてくる可能性があるでしょう。

イギリスは、アメリカ型の規制やビジネスの仕組みを好みますから、EUよりはかなり自由度の高い施策を実施していく可能性が高いです。一方で、EUとの施策や規制のすり合わせが発生するので、ビジネスにとっては不透明な要素が増えてしまうことになります。

３．GDPRに照らして「より妥当性がある決定」（more adequacy decision）

これは、前述した「妥当性のある国」という扱いがさらに一歩踏み込んだ形になるシナリオです。

イギリスは「妥当性のある国」だと判断され、現状のEU加盟国的な扱いが継続します。さらに、ICOが欧州データ保護委員会に参加するので、EUにおける個人情報保護にイギリスの見解を反映しやすくなります。反対に、EU側の決定に従うことになるでしょう。現状とほとんど変化がないということになるわけですが、この案はすでにEU側から反対されているので、実現可能性はかなり低いでしょう。

つまり、現状ではシナリオ1もしくは2の可能性がかなり高くなるということですが、ビジネスにとっては不透明要素が多く、特に「合意なきEU離脱」の場合の対策が避けられないでしょう。