欧州 EDPB 英国の同等性６年間延長 (2025.10.20)

こんにちは、丸山満彦です。

EDPBは、英国のGDPRが欧州のGDPRと同等であるということで、2031年12月末まで、同等性判断の有効期限を延長することになったみたいですね...

英国のGPDRは変更されたが、そのほとんどは法律の遵守を明確にし、容易にすることを目的としているとして、同等性は保たれているとしたようですね...

 

● European Data Protection Board: EDPB

・2025.10.20 Draft UK adequacy decisions: EDPB adopts opinions

 

Draft UK adequacy decisions: EDPB adopts opinions	英国十分性認定案：欧州データ保護委員会（EDPB）が意見書を採択
Brussels, 20 October - During its latest plenary, the EDPB adopted two opinions on the European Commission’s draft decisions on the extension of the validity of the UK adequacy decisions under the General Data Protection Regulation (GDPR) and the Law Enforcement Directive (LED) until December 2031.*	ブリュッセル、10月20日 - 欧州データ保護委員会（EDPB）は最新の総会において、欧州委員会が提出した「一般データ保護規則（GDPR）」および「法執行指令（LED）」に基づく英国十分性認定の有効期間を2031年12月まで延長する決定案に関する2件の意見書を採択した。*
The EDPB opinions, requested by the Commission as per Art. 70(1) (s) GDPR and Art. 51(1) (g) LED, address the proposed six-year extension of the two UK adequacy decisions which are set to expire in December 2025.	欧州委員会がGDPR第70条(1)(s)項およびLED第51条(1)(g)項に基づき要請したEDPBの意見書は、2025年12月に失効予定の英国適格性決定2件について提案されている6年間の延長措置を扱っている。
The extension of the validity of the UK adequacy decisions will allow organisations and competent authorities based in Europe to continue transferring data to UK-based organisations and authorities without implementing additional guarantees.**	英国における十分性認定の有効期間延長により、欧州に拠点を置く組織及び管轄当局は、追加的な保証措置を実施することなく、英国に拠点を置く組織及び当局へのデータ移転を継続することが可能となる。**
“The EDPB welcomes the continuing alignment between the UK and Europe’s data protection framework, despite the recent changes in the UK legal framework.	「EDPBは、英国の法的枠組みにおける最近の変更にもかかわらず、英国と欧州のデータ保護枠組みの継続的な整合性を歓迎する。
I call on the European Commission to address the points highlighted by the Board and to ensure an effective monitoring once the decisions are adopted. This will increase the robustness of UK’s adequacy and ensure more legal certainty for organisations and competent authorities transferring personal data from Europe to the UK.”	欧州委員会に対し、委員会が指摘した事項に対処し、決定採択後の効果的な監視を確保するよう要請する。これにより英国の十分性の堅牢性が向上し、欧州から英国へ個人データを移転する組織及び管轄当局にとって法的確実性がより高まるでしょう。」
EDPB Chair, Anu Talus	EDPB議長　アヌ・タラス
About the GDPR opinion	GDPR意見書について
According to the Board, most of the changes introduced to the UK’s data protection framework aim to clarify and facilitate compliance with the law.	委員会によれば、英国のデータ保護枠組みに導入された変更の大半は、法令遵守の明確化と円滑化を目的としている。
Some aspects of the draft decision could be further clarified.	決定案の一部事項についてはさらなる明確化が可能である。
The EDPB invites the European Commission to further analyse and monitor the changes to the Retained EU Law (Revocation and Reform) Act 2023, also known as REUL Act, in particular the removal of the principle of primacy of EU law and the removal of the direct application of the principles of EU law.	EDPBは欧州委員会に対し、2023年EU法維持（廃止・改正）法（通称REUL法）の変更点、特にEU法の優越性の原則の削除およびEU法原則の直接適用廃止について、さらなる分析と監視を行うよう要請する。
The EDPB notes that the Secretary of State has been granted new powers to introduce changes to the new data protection framework, via secondary regulations which require less Parliamentary scrutiny. This is the case for international transfers, automated decision-making, and the governance of the Information Commissioner’s Office (ICO). The EDPB invites the Commission to address possible risks of divergence by highlighting, in the final adequacy decision, the areas which they intend to carefully monitor.	EDPBは、国務大臣が新たなデータ保護枠組みへの変更を導入する新たな権限を付与されたことを指摘する。これは、議会の監視が比較的少ない二次規制を通じて行われる。国際移転、自動化された意思決定、情報コミッショナー事務局（ICO）のガバナンスがこれに該当する。EDPBは、欧州委員会に対し、最終的な十分性決定において注意深く監視する意向の分野を強調することで、乖離の可能性のあるリスクに対処するよう要請する。
The EDPB also encourages the Commission to further elaborate its assessment and monitor the rules on transfers from the UK to third countries. The new adequacy test, introduced by the Data (Use and Access) Act 2025, requires the level of protection of the third country to be not materially lower than the one provided for data subjects by the UK framework, but this test does not refer to the risk of government access, the existence of redress for individuals and the need for an independent supervisory authority.	EDPBはまた、欧州委員会に対し、英国から第三国への移転に関する規則の評価をさらに詳細化し、監視するよう促している。2025年データ（利用及びアクセス）法で導入された新たな十分性基準は、第三国の保護水準が英国枠組みがデータ主体に提供する水準を実質的に下回らないことを要求するが、この基準は政府によるアクセスリスク、個人に対する救済措置の存在、独立した監督機関の必要性には言及していない。
The Commission should also further assess and monitor the purported use by the UK Government of Technical Capability Notices (“TCN”) requiring companies to circumvent encryption, as this would create systemic vulnerabilities and pose a risk to the integrity and confidentiality of electronic communications.	欧州委員会はまた、英国政府が企業に対し暗号化回避を要求する技術的能力通知（TCN）の適用について、さらなる評価と監視を行うべきである。これはシステム的な脆弱性を生み出し、電子通信の完全性と機密性にリスクをもたらすためである。
Finally, the EDPB calls on the Commission to further assess and monitor the changes to the structure of the ICO and the exercise of its corrective powers. In this context, the EDPB positively notes the transparency policy of the ICO and the availability of the statistical and analytical data of its enforcement activities.	最後に、EDPBは欧州委員会に対し、情報コミッショナー事務局（ICO）の組織構造変更及び是正権限の行使について、さらなる評価と監視を求める。この文脈において、EDPBはICOの透明性方針及び執行活動の統計・分析データの公開を肯定的に評価する。
The new adequacy decisions will add to the 2021 decisions, which will continue to apply to areas not covered in the 2025 draft decisions. The EDPB builds on its 2021 opinions (14/2021 and 15/2021). In particular, the close alignment between the GDPR framework and the UK legal framework on key provisions, highlighted in 2021, continues to hold true today (including, for example, transparency, data subject rights, and special categories of data).	新たな十分性認定は2021年決定に追加されるものであり、2025年草案決定で対象外となる分野には引き続き2021年決定が適用される。EDPBは2021年の意見書（14/2021及び15/2021）を基盤とする。特に、2021年に強調されたGDPR枠組みと英国法枠組みの主要規定（例：透明性、データ主体の権利、特別カテゴリーのデータ等）における緊密な整合性は、現在も有効である。
About the LED opinion	LED意見について
The EDPB welcomes the continuous alignment between the data protection framework in Europe and the UK, and encourages the Commission to complement its assessment on aspects relating to national security exemptions. Such exemptions may waive most data protection principles and some international transfer rules for law enforcement authorities, and also limit ICO’s enforcement and inspection powers.	EDPBは、欧州と英国のデータ保護枠組みの継続的な整合性を歓迎し、国家安全保障上の例外に関する側面についての評価を補完するよう欧州委員会に促す。こうした例外は、法執行機関に対してほとんどのデータ保護原則及び一部の国際移転規則を免除し、ICOの執行・検査権限を制限する可能性がある。
The EDPB invites the Commission to analyse the UK’s rules on transfers of personal data to third countries, in particular the new adequacy test, in the same way as in the GDPR opinion.	EDPBは、GDPR意見書と同様の手法で、第三国への個人データ移転に関する英国の規則（特に新たな十分性基準）を欧州委員会が分析するよう要請する。
The Board also points out the more permissive approach for automated decision making and the new powers conferred to the Secretary of State in this matter. It recalls the importance of meaningful human review and urges the Commission to clarify and monitor possible exemptions from individuals’ right to obtain human intervention.	委員会はまた、自動化された意思決定に対するより寛容なアプローチと、この分野で国務大臣に付与された新たな権限を指摘する。意味のある人的審査の重要性を想起し、個人の人的介入を求める権利からの免除可能性について欧州委員会が明確化・監視するよう促す。
Finally, the EDPB acknowledges that the system of oversight of criminal law enforcement agencies as well as the redress mechanisms remain largely unchanged, and it reiterates the need for the Commission to closely monitor the application of corrective powers and remedies for individuals in the UK data protection framework.	最後に、EDPBは刑事法執行機関の監督システム及び救済措置がほぼ変更されていないことを認識し、英国データ保護枠組みにおける是正権限及び個人向け救済措置の適用を欧州委員会が厳密に監視する必要性を改めて強調する。
Note to editors:	編集者注：
* On 22 July 2025, the European Commission issued two draft amending implementing decisions on the adequate protection of personal data by the United Kingdom pursuant to Article 45(3) GDPR and Article 36(3) LED. These draft decisions aim at extending the validity of the previous adequacy decisions adopted on 28 June 2021.	* 2025年7月22日、欧州委員会はGDPR第45条(3)およびLED第36条(3)に基づき、英国の個人データ保護の十分性に関する2件の実施決定改正案を公表した。これらの改正案は、2021年6月28日に採択された従来の十分性決定の有効期間延長を目的とする。
In May 2025, the Commission adopted a decision to extend the validity of the UK adequacy decision for six more months, from June until December 2025. The EDPB adopted an opinion on this extension in May 2025.	2025年5月、欧州委員会は英国の十分性決定の有効期間を6か月間（2025年6月から12月まで）延長する決定を採択した。欧州データ保護委員会（EDPB）は2025年5月、この延長に関する意見書を採択している。
** An adequacy decision is a key-mechanism in EU data protection legislation which allows the European Commission to determine whether a third country or an international organisation offers an adequate level of data protection. The European Commission has the power to determine, on the basis of Art. 45 of Regulation (EU) 2016/679 whether a country outside the EU offers an adequate level of data protection.	** 十分性認定は、EUデータ保護法における主要な仕組みであり、欧州委員会が第三国または国際機関が十分なデータ保護水準を提供しているかどうかを判断することを可能にします。欧州委員会は、規則（EU）2016/679第45条に基づき、EU域外の国が十分なデータ保護水準を提供しているかどうかを判断する権限を有しています。
The adoption of an adequacy decision involves: 1) a proposal from the European Commission; 2) an opinion of the European Data Protection Board; 3) an approval from representatives of EU countries; 4) the adoption of the decision by the European Commission.	十分性認定の採択には以下のプロセスが含まれる：1)欧州委員会による提案、2)欧州データ保護委員会（EDPB）の意見、3)EU加盟国代表による承認、4)欧州委員会による決定の採択。

 

 

---

 

・2025.10.16 [PDF] Opinion 26/2025 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data by the United Kingdom

 

エグエクティブサマリー...

Opinion 26/2025 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data by the United Kingdom	欧州委員会による英国における個人データの適切な保護に関する規則（EU）2016/679に基づく実施決定案に関する意見書 26/2025
Executive summary	エグゼクティブサマリー
On 22 July 2025, the European Commission started the process towards the adoption of its draft implementing decision on the adequate protection of personal data by the United Kingdom (UK) pursuant to Article 45(2) GDPR.  This Draft Decision extends the validity of certain parts of the previous adequacy decision of 28 June 2021 by way of reference until December 2031.	2025年7月22日、欧州委員会は、一般データ保護規則（GDPR）第45条(2)に基づき、英国（UK）による個人データの適切な保護に関する実施決定案の採択に向けた手続きを開始した。本決定案は、2021年6月28日付の以前の十分性決定の一部について、参照によりその有効性を2031年12月まで延長するものである。
On the same date, the European Commission asked for the opinion of the European Data Protection Board. The EDPB’s assessment of the adequacy of the level of protection afforded by the UK has been made on the basis of the examination of the draft decision itself as well as on the basis of an analysis of the documentation made available by the European Commission.	同日、欧州委員会は欧州データ保護委員会（EDPB）に意見を求めた。EDPBによる英国の保護水準の十分性評価は、決定案自体の審査ならびに欧州委員会が提供した文書の分析に基づいて行われた。
The EDPB focused on the assessment of both, the general data protection aspects of the draft decision and the access by public authorities to personal data transferred from the EEA to the UK for the purposes of law enforcement and national security, including the legal remedies available to individuals in the EEA.	EDPBは、草案決定の一般的なデータ保護側面と、法執行及び国家安全保障を目的としてEEAから英国へ移転された個人データへの公的機関によるアクセス（EEA域内の個人が利用可能な法的救済手段を含む）の両方の評価に焦点を当てた。
The EDPB also assessed whether the safeguards provided under the UK legal framework are in place and effective.	EDPBはまた、英国の法的枠組みの下で提供される保護措置が整備され、効果的であるかどうかも評価した。
The EDPB has used as main reference for this work its GDPR Adequacy Referential (“GDPR Adequacy Referential”) adopted on 28 November 2017, as last revised and adopted on 6 February 2018 and the EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.	EDPBは本作業の主要な参照資料として、2017年11月28日に採択され、2018年2月6日に最終改訂・採択された「GDPR適合性基準」（GDPR Adequacy Referential）及び監視措置に関する欧州基本保証に関するEDPB勧告02/2020を用いた。
The EDPB welcomes the continuing alignment between the UK and EU data protection framework, notwithstanding recent developments in the UK relevant legal framework. Against this background, this opinion highlights several points that require further analysis, as well as some issues that the Commission should closely monitor in the coming years as part of its monitoring obligation under article 45(4) GDPR.	EDPBは、英国の関連法制度における最近の動向にもかかわらず、英国とEUのデータ保護枠組みの継続的な整合性を歓迎する。こうした背景を踏まえ、本意見書では、さらなる分析が必要な複数の点と、GDPR第45条(4)に基づく監視義務の一環として、今後数年間にわたり欧州委員会が注視すべきいくつかの課題を指摘する。
The EDPB notes that the UK introduced changes regarding the “inherited” EU general legal framework by virtue of the Retained EU Law (Revocation and Reform) Act 2023 (“REUL Act”), which - inter alia - removes the principle of primacy of EU law (with guarantees for some GDPR provisions) and removes the direct application of the principles of EU law, including the right to privacy and data protection as derived from the Charter of Fundamental Rights. The EDPB invites the Commission to explain and make a more detailed assessment of the changes brought by the REUL Act and assess their impact on the UK legal framework generally and its data protection framework more specifically. The EDPB also considers this an area to be closely monitored in the future by the Commission.	EDPBは、英国が「継承された」EU一般法的枠組みに関して、2023年EU法維持（廃止及び改正）法 （以下「REUL法」）により、EU法の優越性の原則（GDPRの特定規定に対する保証付き）を廃止し、基本権憲章に由来するプライバシー権及びデータ保護権を含むEU法の原則の直接適用を排除したことを指摘する。EDPBは、欧州委員会に対し、REUL法による変更点の説明と詳細な評価、ならびに英国法枠組み全般および特にデータ保護枠組みへの影響評価を求める。また、欧州委員会が今後この分野を注視すべき領域と考える。
The EDPB notes that the Secretary of State has been granted new powers to introduce changes to the new data protection framework via secondary regulations, which require less Parliamentary scrutiny, in certain cases, for instance, international transfers, automated decision-making, and the governance of the IC. The EDPB invites the Commission to highlight in the final Adequacy Decision the areas which they intend to carefully monitor because there is a risk of further divergence with the EU data protection law via secondary UK legislation.	EDPBは、国際移転、自動化された意思決定、情報コミッショナー（IC）のガバナンスなど特定のケースにおいて、議会による審査を必要としない二次法規を通じて新たなデータ保護枠組みに変更を導入する新たな権限が国務大臣に付与されたことを指摘する。EDPBは、英国二次立法によるEUデータ保護法とのさらなる乖離リスクがあるため、欧州委員会に対し、最終的な十分性認定決定において注意深く監視する意向の分野を明示するよう要請する。
The EDPB observes changes to the rules governing transfer of personal data, notably the new indicative list of elements to be considered in the adequacy test which does not include important elements that figured in the previous UK adequacy test . This applies both to third country transfers carried out under the UK GDPR and to transfers of data processed for law enforcement purposes.  The EDPB encourages the Commission to specifically further elaborate its assessment on these aspects and monitor the developments and the practical implementation of this new adequacy test.	EDPBは、個人データ移転に関する規則の変更、特に適格性審査において考慮すべき新たな指標リストに、以前の英国適格性審査で重要視されていた要素が含まれていない点を指摘する。これは英国GDPRに基づく第三国移転と、法執行目的で処理されるデータの移転の両方に適用される。EDPBは、欧州委員会に対し、これらの側面に関する評価を具体的にさらに精緻化し、この新たな十分性テストの進展と実務上の実施状況を監視するよう促している。
The EDPB invites the Commission to make a more detailed assessment of the restructuring of the Information Commissioner’s Office (“ICO”) as a board and the rules for appointment and dismissal of executive and non-executive board members. The EDPB also invites the Commission to provide more detail on the ICO’s recent consultation, issued after this draft decision, to introduce a new triage system for complaints handling. The EDPB invites the Commission to monitor all these changes once they come into effect. While positively noting the transparency policy of the ICO and the availability of the statistical and analytical data of its enforcement activities, the EDPB also invites the Commission and to make a more detailed assessment and monitor the application of corrective powers, effectiveness of sanctions and of remedies for affected parties in the UK data protection framework.	EDPBは、情報コミッショナー事務局（ICO）の理事会としての再編、ならびに執行役および非執行役理事の任命・解任規則について、欧州委員会がより詳細な評価を行うよう要請する。また、本決定案発表後にICOが実施した苦情処理のための新たなトリアージ制度導入に関する最近の協議について、欧州委員会がより詳細な情報を提供するよう要請する。EDPBは、これらの変更が全て発効した後に、欧州委員会がそれらを監視するよう要請する。ICOの透明性政策及び執行活動の統計・分析データの公開を肯定的に評価しつつも、EDPBは欧州委員会に対し、英国データ保護枠組みにおける是正権限の適用、制裁の有効性、影響を受ける当事者に対する救済措置について、より詳細な評価を行い監視するよう要請する。
The EDPB considers it essential to assess the extended national security exemptions under the law enforcement framework and remains particularly vigilant regarding any exemptions from the principle of proportionality, as well as from the requirement to process personal data for a legitimate purpose. Likewise, any exemptions from the powers of the supervisory authority should be approached with caution. Any limitation on the exercise of rights and freedoms recognised by the Charter must respect their essence and, subject to the principle of proportionality, may be made only if necessary and genuinely meeting objectives of general interest recognised by the Union or the need to protect the rights and freedoms of others. The EDPB calls on the Commission to complement its assessment in the final Adequacy Decision and to specifically monitor the application in practice of the national security exemptions for law enforcement authorities.	EDPBは、法執行枠組みにおける国家安全保障関連の免除規定の拡大を評価することが不可欠であると考え、比例原則ならびに正当な目的のための個人データ処理要件からの免除については特に警戒を継続する。同様に、監督当局の権限からの免除についても慎重な対応が必要である。基本権憲章で認められた権利・自由の行使に対するいかなる制限も、その本質を尊重し、比例原則に従い、必要不可欠かつ真にEUが認める公益目的または他者の権利・自由保護の必要性を満たす場合にのみ行われるべきである。EDPBは、欧州委員会に対し、最終的な十分性認定決定における評価を補完し、特に法執行機関に対する国家安全保障上の免除規定の実務上の適用を監視するよう要請する。
The EDPB notes that processing activities carried out by authorities competent for law enforcement can, in specific circumstances, fall under the rules normally applicable to the processing of personal data by national security authorities. In this context, particular attention should be paid to ensuring that the data protection regime for national security processing is not being extended to contexts not related to national. The EDPB invites the Commission to monitor whether qualifying competent authorities are able to maintain a clear distinction between different processing purposes in order to adhere to the corresponding legal framework accordingly.	EDPBは、法執行を担当する当局による処理活動が、特定の状況下では国家安全保障当局による個人データ処理に通常適用される規則の対象となり得ることを指摘する。この文脈において、国家安全保障処理のためのデータ保護制度が国家安全保障と無関係な状況に拡大適用されないよう、特に注意を払う必要がある。EDPBは、該当する管轄当局が異なる処理目的を明確に区別し、対応する法的枠組みを遵守できるかどうかを監視するよう欧州委員会に要請する。
The EDPB welcomes the clarifications reached between the UK and U.S. in the context of the UK-U.S. Cloud Act Agreement, which provide further legal clarity. At the same time, the EDPB would like to recall the need to improve the level of safeguards provided by the EU-U.S. Umbrella Agreement, whose privacy and data protection safeguards are incorporated into the UK-U.S. Cloud Act Agreement. Overall, the EDPB sees a need for clarification as to the Commission’s assessment of the UK-U.S. Cloud Act Agreement and any possible impact on the level of protection. The EDPB invites the Commission to continue to include the UK-U.S. Cloud Act Agreement in its future assessments and reviews.	EDPBは、英国と米国間の「英国・米国クラウド法協定」において合意された明確化を歓迎する。これにより法的透明性がさらに向上した。同時に、EU-米国包括的保護協定（EU-U.S. Umbrella Agreement）が提供する保護水準の向上が必要であることを想起したい。同協定のプライバシー及びデータ保護上の保護措置は、英国・米国クラウド法協定に組み込まれている。全体として、英国・米国クラウド法協定に対する欧州委員会の評価及び保護水準への潜在的影響について、明確化が必要であるとEDPBは考える。EDPBは、欧州委員会に対し、今後の評価・見直しにおいて英国・米国クラウド法協定を引き続き対象に含めるよう要請する。
As recently pointed out in Statement 05/2024, the EDPB considers encryption to be essential for ensuring the security and confidentiality of personal data and electronic communications. Technical Capability Notices under the IPA 2016 compelling companies to provide the ability to remove encryption at the government’s request create systemic vulnerabilities and pose a direct threat to the integrity and confidentiality of electronic communications. Such developments merit attention in the adequacy decision, particularly in light of Article 45(2)(a) GDPR, which requires an assessment not only of the legal framework on paper but also of its implementation, and should be monitored.	声明05/2024で最近指摘した通り、EDPBは暗号化が個人データ及び電子通信の安全性と機密性を確保する上で不可欠であると考えている。2016年調査権限法（IPA）に基づく技術的能力通知は、政府の要請に応じて暗号化を解除する能力の提供を企業に義務付けるものであり、体系的な脆弱性を生み出し、電子通信の完全性と機密性に対する直接的な脅威となる。こうした動向は、特にGDPR第45条(2)(a)が紙面上の法的枠組みだけでなくその実施状況の評価を要求していることを踏まえ、十分性決定において注目に値し、監視されるべきである。
The EDPB notes that the Investigatory Powers Amendment Act 2024 introduced a specific regime for the retention and examination of bulk personal datasets for which the individuals to whom the personal data relates “could have no, or only a low, reasonable expectation of privacy”. The EDPB sees a need for further clarifications with regard to the relevant changes, in particular regarding the concepts of “individual authorisations” and “category authorisations”. Furthermore, the EDPB invites the Commission to closely monitor the implementation of the term “low or no reasonable expectation of privacy” in practice.	EDPBは、2024年捜査権限改正法が、個人データに関連する個人が「プライバシーを合理的に期待できない、または期待が低い」大量個人データセットの保持・調査に関する特定制度を導入した点を指摘する。EDPBは、関連する変更、特に「個別認可」および「カテゴリー認可」の概念について、さらなる明確化が必要と見なしている。さらに、EDPBは欧州委員会に対し、「プライバシーに対する合理的な期待が低い、あるいは全くない」という用語の実践的適用を厳密に監視するよう要請する。

 

目次...

1.  INTRODUCTION	1. はじめに
1.1.  Scope of the Commission’s Draft Decision	1.1. 欧州委員会決定案の範囲
1.2.  Scope of this EDPB Opinion	1.2. 本EDPB意見の範囲
1.3.  Developments IN The UK legal framework	1.3. 英国の法的枠組みにおける動向
1.4.  General comments and concerns	1.4. 一般的な所見と懸念
1.4.1.  International commitments entered into by the UK	1.4.1. 英国が締結した国際的約束
1.4.2.  Powers of the Secretary of State to introduce changes to the DUAA via secondary regulations	1.4.2. 政令によるDUAA変更導入に関する国務大臣の権限
2.  GENERAL DATA PROTECTION ASPECTS	2. データ保護に関する一般的側面
2.1.  Recognised legitimate interests	2.1. 認められた正当な利益
2.1.1.  General remarks	2.1.1. 総論
2.1.2.  Disclosure for purposes of processing described in Article 6(1)(e)	2.1.2. 第6条(1)(e)に規定される処理目的のための開示
2.2.  Individual rights	2.2. 個人の権利
2.2.1.  Rights of Access	2.2.1. アクセス権
2.2.2.  Safeguards for “immigration exemption”	2.2.2. 「移民免除」に関する保護措置
2.3.  Restrictions on onward transfers	2.3. 転送の制限
2.4.  Automated decision making	2.4. 自動化された意思決定
2.4.1.  Automated decision making and human involvement	2.4.1. 自動化された意思決定と人間の関与
3.  PROCEDURAL AND ENFORCEMENT MECHANISM	3. 手続き的・執行メカニズム
3.1.  Oversight and enforcement	3.1. 監督と執行
3.1.1.  Independent oversight	3.1.1. 独立した監督
3.1.2.  Enforcement, including sanctions	3.1.2. 制裁を含む執行
4.  ACCESS TO AND USE OF PERSONAL DATA TRANSFERRED FROM THE EUROPEAN UNION BY PUBLIC AUTHORITIES IN THE UNITED KINGDOM	4. 英国公的機関による欧州連合からの個人データ移転へのアクセス及び利用
4.1.  Access and use by UK public authorities for criminal law enforcement purposes	4.1. 刑事法執行目的における英国公的機関によるアクセス及び利用
4.1.1.  Legal bases and applicable safeguards	4.1.1. 法的根拠及び適用される保護措置
4.1.1.1.  Investigatory powers for law enforcement purposes	4.1.1.1. 法執行目的のための捜査権限
4.1.1.2.  National security exemptions for law enforcement authorities	4.1.1.2. 執行機関に対する国家安全保障上の例外
4.1.2.  Joint controllerships between UK intelligence agencies and law enforcement authorities	4.1.2. 英国の情報機関と執行機関との共同管理者
4.1.3.  The right of access	4.1.3. アクセス権
4.1.4.  Onward transfers	4.1.4. 転送
4.1.4.1.  A new data protection test	4.1.4.1. 新たなデータ保護テスト
4.1.4.2.  The UK-U.S. Cloud Act Agreement	4.1.4.2. 英米クラウド法協定
4.1.5.  Oversight and redress	4.1.5. 監督と救済
4.2.  Access and use by UK public authorities for national security purposes	4.2. 国家安全保障目的における英国公的機関によるアクセスと利用
4.2.1.  The Use of Technical Capability Notices	4.2.1. 技術的能力通知（TCN）の利用
4.2.2.  Legal bases and applicable safeguards	4.2.2. 法的根拠と適用される保護措置
4.2.3.  Oversight and redress	4.2.3. 監督と救済
5.  REVIEW, DURATION AND RENEWAL OF DRAFT DECISION	5. 決定案の見直し、有効期間及び更新

 

 

---

 

・2025.10.16 [PDF] Opinion 27/2025 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data by the United Kingdom

 

エグゼクティブサマリー...

Opinion 27/2025 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data by the United Kingdom	欧州委員会による英国における個人データの適切な保護に関する指令（EU）2016/680に基づく実施決定案に関する意見書 27/2025
Executive summary	概要
The European Commission endorsed its draft implementing decision on the adequate protection of personal data by the United Kingdom pursuant to the Law Enforcement Directive on 22 July 2025. On the same date, as part of the procedure towards the formal adoption of the draft decision, the European Commission requested the opinion of the European Data Protection Board.	欧州委員会は2025年7月22日、法執行指令に基づく英国の個人データ保護の適切性に関する実施決定案を承認した。同日、決定案の正式採択に向けた手続きの一環として、欧州委員会は欧州データ保護委員会（EDPB）に意見を求めた。
The draft decision amends and complements the previous adequacy decision for the United Kingdom under the Law Enforcement Directive, which dates back to June 2021.  The EDPB’s assessment of the adequacy of the level of protection afforded in the United Kingdom has been made on the basis of the examination of the draft decision and therefore focuses on the new developments in the United Kingdom data protection legislation and on elements highlighted in the previous adequacy decision.	本決定案は、2021年6月にさかのぼる法執行指令に基づく英国に対する従来の十分性決定を改正・補完するものである。欧州データ保護委員会（EDPB）による英国における保護水準の十分性評価は、本決定案の審査に基づいて行われたため、英国のデータ保護法における新たな動向および前回の十分性決定で強調された要素に焦点を当てている。
The EDPB has used its LED Adequacy Referential adopted on 2 February 2021 as main reference for this work, as well as the EPDB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures and the relevant case-law. The EDPB welcomes the continuing alignment between the UK and EU data protection framework, notwithstanding recent developments in the UK relevant legal framework. Against this background, it is important to stress that the EDPB does not expect the United Kingdom legal framework to replicate European data protection laws, the objective of this opinion is to identify specific aspects of the legal changes and developments since the adoption of the first adequacy decision, which may affect the level of protection, and to raise points for additional clarifications, for attention and monitoring or for concern.	EDPBは、この作業の主な参照資料として、2021年2月2日に採択された「LED適正性参照枠組み」に加え、監視措置に関する欧州基本保証に関するEDPB勧告02/2020及び関連判例法を用いた。EDPBは、英国の関連法制度における最近の動向にもかかわらず、英国とEUのデータ保護枠組みの継続的な整合性を歓迎する。こうした背景を踏まえ、EDPBが英国の法的枠組みに欧州のデータ保護法を複製することを期待していない点を強調することが重要である。本意見書の目的は、最初の十分性認定決定採択以降の法的変更・進展のうち、保護水準に影響を及ぼし得る特定の側面を特定し、追加的な明確化、注視・監視、あるいは懸念事項として提起すべき点を指摘することにある。
In this regard, the EDPB emphasises the following findings:	この点に関し、EDPBは以下の所見を強調する：
The EDPB observes changes to the rules governing the onward transfer of personal data to third countries, notably the new indicative list of elements to be considered in the adequacy test which does not include important elements that figured in the previous United Kingdom adequacy test. The EDPB considers that this aspect as well as the new criterion of the “desirability of facilitating transfers of personal data to and from the United Kingdom” need to be addressed in more detail and encourages the European Commission to specifically further elaborate its assessment and monitor the developments and the practical implementation of the new adequacy test.	EDPBは、第三国への個人データの転送を規定する規則の変更、特に、以前の英国の十分性認定において考慮された重要な要素が含まれていない、十分性テストにおいて考慮すべき要素の新たな指標リストに注目している。EDPBは、この点および「英国との個人データ移転の円滑化が望ましい」という新たな基準について、より詳細な検討が必要であると考え、欧州委員会に対し、特に新たな十分性テストの評価をさらに具体化し、その進展と実務上の実施状況を監視するよう促す。
The EDBP takes note of important changes vis-à-vis how automated decision-making is regulated in the United Kingdom, notably introducing a more permissive approach and conferring new powers to the Secretary of State. The scope and discretion of these powers could give rise to notable concern, e.g. due to their extent, especially in light of the fast-evolving regulatory environment and advancements in automated technologies. The EDPB invites the European Commission to analyse these powers and monitor any developments in this respect. The EDPB also recalls the importance of meaningful human review to ensure compliance with safeguards in automated decision-making and therefore urges the European Commission to further elaborate on possible exemptions from the data subject’s right to obtain human intervention in its final adequacy decision and to monitor the implementation of these changes in practice.	EDPBは、英国における自動化された意思決定の規制方法に関する重要な変更、特に許容的なアプローチの導入と国務大臣への新たな権限付与を認識している。これらの権限の範囲と裁量権は、特に急速に進化する規制環境と自動化技術の進歩を考慮すると、その広範さから顕著な懸念を生じさせる可能性がある。EDPBは欧州委員会に対し、これらの権限を分析し、関連する動向を監視するよう要請する。また、自動化された意思決定における保護措置の遵守を確保するためには、実質的な人的審査が重要であることを改めて指摘し、欧州委員会に対し、最終的な十分性決定においてデータ主体が人的介入を求める権利からの免除可能性についてさらに検討を深め、これらの変更が実務でどのように実施されるかを監視するよう強く求める。
The EDPB considers it essential to assess the extended national security exemptions under the law enforcement framework and remains particularly vigilant regarding any exemptions from the principle of proportionality, as well as from the requirement to process personal data for a legitimate purpose. Likewise, any exemptions from the powers of the supervisory authority should be approached with caution. Any limitation on the exercise of rights and freedoms recognised by the EU Charter of Fundamental Rights must respect their essence and, subject to the principle of proportionality, may be made only if necessary and genuinely meeting objectives of general interest recognised by the Union or the need to protect the rights and freedoms of others. The EDPB calls on the European Commission to complement its assessment in the final adequacy decision and to specifically monitor the application in practice of the national security exemptions for law enforcement authorities.	EDPBは、法執行枠組みにおける拡大された国家安全保障上の例外を評価することが不可欠であると考え、比例原則および正当な目的のための個人データ処理要件からのいかなる例外についても特に警戒を継続する。同様に、監督当局の権限からのいかなる例外も慎重に扱うべきである。EU基本権憲章で認められた権利と自由の行使に対するいかなる制限も、その本質を尊重しなければならず、比例原則に従い、EUが認める公益目的または他者の権利・自由保護の必要性に真に合致する場合に限り、必要不可欠な範囲で実施されなければならない。EDPBは欧州委員会に対し、最終的な十分性決定における評価を補完し、特に法執行機関に対する国家安全保障上の例外規定の実務上の適用状況を監視するよう要請する。
The EDPB notes that processing activities carried out by authorities competent for law enforcement can, in specific circumstances, fall under the rules normally applicable to the processing of personal data by national security authorities. In this context, particular attention should be paid to ensuring that the data protection regime for national security processing is not being extended to contexts not related to national security. The EDPB invites the European Commission to monitor in practice whether qualifying competent authorities are able to maintain a clear distinction between different processing purposes in order to adhere to the corresponding legal framework accordingly.	EDPBは、法執行を担当する当局による処理活動が、特定の状況下では国家安全保障当局による個人データ処理に通常適用される規則の対象となり得ることを指摘する。この文脈において、国家安全保障処理のためのデータ保護制度が国家安全保障に関係のない状況に拡大適用されないよう、特に注意を払う必要がある。EDPBは欧州委員会に対し、該当する管轄当局が異なる処理目的を明確に区別し、対応する法的枠組みを遵守できるかどうかを実務上監視するよう要請する。
Although the EDPB acknowledges that the system of oversight of criminal law enforcement agencies as well as the redress mechanisms remain largely unchanged, it reiterates the need for the European Commission to closely monitor the application of corrective powers and of remedies for data subjects in the United Kingdom data protection framework.	EDPBは、刑事法執行機関の監督システム及び救済措置がほぼ変更されていないことを認識しつつも、英国データ保護枠組みにおける是正権限及びデータ主体の救済措置の適用を欧州委員会が厳密に監視する必要性を改めて強調する。
In addition to the reintroduction of a sunset clause and the legal monitoring obligation, the EDPB stresses the importance for the European Commission to conduct the mandatory review within the legal timeframe specified in the Law Enforcement Directive, taking into account the elements already outlined in Commission Implementing Decision 2021/1773 as well as any further relevant developments.	サンセット条項の再導入と法的監視義務に加え、EDPBは欧州委員会に対し、法執行指令で定められた法的期間内に義務的な見直しを実施することの重要性を強調する。この見直しでは、欧州委員会実施決定2021/1773で既に概説された要素及びその他の関連する進展を考慮に入れる必要がある。

 

目次...

1  INTRODUCTION	1 はじめに
1.1  General Comments	1.1 総論
1.2  The scope of this EDPB Opinion	1.2 本EDPB意見書の適用範囲
1.3  Relevant developments in the UK legal framework	1.3 英国の法的枠組みにおける関連する動向
2  RELEVANT DEVELOPMENTS REGARDING THE RULES APPLYING TO THE PROCESSING OF PERSONAL DATA	2 個人データ処理に適用される規則に関する関連する動向
2.1  Safeguards, rights and obligations	2.1 保護措置、権利及び義務
2.1.1  Use of consent in the law enforcement context	2.1.1 法執行の文脈における同意の利用
2.1.2  Onward transfers	2.1.2 転送
2.1.3  Automated decision-making	2.1.3 自動化された意思決定
2.1.4  Logging requirements	2.1.4 記録要件
2.1.5  National security exemptions for law enforcement authorities	2.1.5 治安当局に対する国家安全保障上の免除
2.1.6  Joint controllerships between UK intelligence agencies and law enforcement authorities	2.1.6 英国の情報機関と治安当局間の共同管理者
2.1.7  The right of access	2.1.7 アクセス権
2.1.8  Oversight and redress	2.1.8 監督と救済
3  Review, Duration and Renewal of the decision	3 決定の見直し、期間及び更新