Brexit後の英国におけるプライバシーの状況

英国が欧州連合を離脱した際、データ保護まで手放したわけではありません。英国はEU GDPRを国内法として取り込み、UK GDPRとしてData Protection Act 2018と並立させました。クッキーに特化した規制としては、ePrivacy Directiveを英国法として実装したPrivacy and Electronic Communications Regulations (PECR)が引き続き適用されます。その結果として、EUの枠組みに非常によく似ていながらも、英国のInformation Commissioner's Office (ICO)が独自に執行するプライバシー制度が構築されています。

ウェブサイト運営者にとって、英国の訪問者にサービスを提供する場合には、独自のルール、ガイダンス、執行パターンに注意を払う必要があるということを意味します。��体面ではEU GDPRとよく似ていますが、その細かな違いが重要になります。

UK GDPRとEU GDPR：主な違い

UK GDPRは、その中核となる原則や要件においてEU GDPRと実質的に同一です。しかし、Brexit以降、いくつかの違いが生じています。

• 監督機関：UK GDPRにおける唯一の監督機関はICOであり、EUのデータ保護当局の役割を置き換えています。英国居住者のみに影響する同一のデータ処理活動について、ICOとEUのDPAの両方から制裁金を科されることはありません。
• 十分性認定：EUは2021年6月に英国に対して十分性認定を付与し、EUから英国への個人データの自由な移転を認めました。この決定は定期的な見直しの対象となります。英国も相互にEEAを十分性ありと認定しています。
• 国際データ移転：英国は国際データ移転に関する独自の枠組みを持ち、European Commissionではなく外務大臣（Secretary of State）が十分性認定を行います。英国は国際移転についてより柔軟なアプローチを示唆していますが、中核となる保護措置は維持されています。
• 執行アプロー���：ICOは歴史的に、積極的な制裁金よりも、対話やガイダンスを重視する傾向にあります。UK GDPRに基づく最大制裁金はEUと同様で、最大GBP 1,750万または世界年間売上高の4％のいずれか高い方です。
• 将来的な乖離の可能性：英国政府はData Protection and Digital Information Billを通じた制度改革を検討しており、正当な利益の評価、研究目的の例外、Data Protection Officersの役割などに変更が加えられる可能性があります。ウェブサイト運営者は、今後の変更に備えてこの法案の動向を注視すべきです。

PECR：英国のクッキー法

UK GDPRが個人データ処理に関する一般的な枠組みを提供する一方で、PECRはクッキーや類似技術を特に規律するものです。PECRはGDPR以前から存在し、EUのePrivacy Directiveを英国法として実装したものです。クッキーに関する主な要件は次のとおりです。

• 同意が必要：ユーザーの端末に非必須クッキーを設定する前に同意を取得しなければなりません。これには、解析（analytics）クッキー、広告クッキー、ソーシャルメディア���ッキーが含まれます。
• 情報提供義務：どのようなクッキーが設定され、何の目的で利用されるのかについて、明確で平易な言葉で情報を提供しなければなりません。
• 同意は自由意思に基づき、特定され、十分な情報に基づくものでなければならない：あらかじめチェックされたチェックボックスは有効な同意とは認められません。
• 厳格に必要なクッキーは免除：ユーザーが明示的に要求したサービスの提供に不可欠なクッキー（ログイン機能のためのセッションクッキーやショッピングカート用クッキーなど）は、同意取得が不要です。

PECRにおける同意の基準はGDPRの同意の定義と整合しており、実務上はEUのePrivacy Directiveの下で求められる要件と非常によく似ています。EUルールに準拠したクッキーバナーであれば、一般的にPECRにも準拠しているといえます。

クッキーバナーに関するICOのガイダンス

ICOは、PECRの条文を超えて詳細なクッキーコンプライアンスのガイダンスを公表しています。主なポイントは次のとおりです。

同��は積極的な行為でなければならない

単にウェブサイトの閲覧を続けるだけでは同意とはみなされません。ICOは明示的に、黙示の同意は有効ではないと述べています。非必須クッキーを設定する前に、ユーザーは（「同意する」ボタンをクリックするなど）明確で積極的な行為を行う必要があります。

拒否は同じくらい簡単でなければならない

ICOはクッキーバナーにおけるダークパターンについて、ますます強い姿勢を示しています。具体的には次の点です。

• 「すべて拒否」または同等のオプションを、「すべて同意」と同じ階層に表示しなければなりません。「設定を管理」の画面の奥に拒否オプションを隠すことは認められません。
• ビジュアルデザインにおいて、色・サイズ・配置を用いてユーザーを同意に誘導するような操作を行ってはなりません。
• 文言は中立的でなければならず、ユーザーに罪悪感を抱かせたり、同意を強要したりするような表現を用いてはなりません。

カテゴリごとの詳細なコントロール

ユーザーは、解析���analytics）、マーケティング、機能（functional）といった特定のクッキーカテゴリごとに同意を選択できるべきであり、すべてを受け入れるか全てを拒否するかの二択を強いられるべきではありません。ICOは具体的なカテゴリ数を義務付けてはいませんが、詳細なコントロールを提供することは優良事例であり、GDPRの目的限定の原則の観点から求められる場合もあります。

クッキーフォール（Cookie Wall）の問題点

クッキーフォール、すなわちユーザーがすべてのクッキーを受け入れない限りウェブサイトへのアクセスを拒否する仕組みについて、ICOは、同意が自由意思に基づくものとは言えないため、有効な同意とは認められない可能性が高いと見ています。有料コンテンツで、真にクッキーを利用しない代替手段が提供されている場合などには、例外が認められることもあります。

最近のICOによる執行事例

ICOは近年、クッキーコンプライアンスへの注力を着実に強めています。注目すべき動きは次のとおりです。

• セクター横断的な監査：ICOは複数の業種にわ���る英国トップ100サイトの監査を実施し、広範な不遵守を指摘する結果を公表しました。典型的な問題として、同意前にクッキーが設定されていること、拒否オプションが存在しないこと、クッキーの目的に関する情報が不十分であることなどが挙げられました。
• 警告書：監査の後、ICOはクッキープラクティスが基準を満たしていない組織に対して警告書を送付しました。多くの組織は、この警告を受けて実務を是正しました。
• Adtechの調査：ICOはリアルタイムビディングのエコシステムに関する継続的な調査を行い、プログラマティック広告クッキーを通じて大量の個人データが十分な同意なく共有されていることに懸念を示しています。
• 公共部門への執行：ICOは政府系ウェブサイトを例外扱いすることなく、公共部門組織に対してもクッキープラクティスに関するガイダンスや警告を発出しています。

現時点では、クッキー違反のみに対して多額の制裁金が科された事例は多くありませんが、執行は明らかに厳格化の方向に向かっています。規制���局は、組織がすでにコンプライアンスを達成していることを期待しており、改善しない組織に対しては今後、執行措置を取ると明言しています。

国際データ移転：英国からEUおよびその他地域へ

クッキー同意は、国際データ移転と重要な形で交差します。解析や広告クッキーが英国外のサーバーにデータを送信する場合（Google AnalyticsがGoogleのサーバーにデータを送信する場合や、Facebook PixelがMetaのサーバーにデータを送信する場合など）、これはUK GDPR上の国際データ移転に該当します。

現在の枠組みは次のとおりです。

• 英国からEEAへ：英国によるEEAの十分性認定に基づき、データは自由に移転できます。
• 英国から米国へ：UK Extension to the EU-US Data Privacy Frameworkにより、認定を受けた米国組織への移転メカニズムが提供されています。GoogleとMetaはこの枠組みの下で認定を受けています。
• 英国からその他の国へ：Standard Contractual Clauses（英国版）やbinding corporate rulesなどの適切な保護措置が必要です。

実務的には、Google Analytics、Google Ads、その他主要な広告プラットフォームを利用している場合、国際移転のためのメカニズムはすでに整備されています。ただし、これらの移転をプライバシーポリシーに明記し、クッキーバナーにおいてデータが国際的に移転される可能性があることを示すべきです。

FlexyConsentのジオターゲティングによる英国特有のコンプライアンス対応

FlexyConsentは英国の訪問者向けに専用のジオターゲティング機能を提供し、英国特有の規制枠組みに準拠できるようにします。

• PECR準拠のバナー：英国の訪問者には、ICOの要件を満たす同意バナーが表示されます。これには、同等の目立ち方をする拒否オプションやカテゴリごとの詳細なコントロールが含まれます。積極的な同意が得られるまで、クッキーは一切設定されません。
• EU設定とは独立：要件は類似していますが、FlexyConsentでは英国とEUの同意体験をそれぞれ独立して設定できます。これにより、将来的な英国とEUの規制の乖離に対して実装を将来対応可能な状態に保てます。
• ICOガイダンスに沿ったデザイン：FlexyConsentのデフォルトバナーテンプレートは、ダークパターンを避けるというICOのガイダンスに従っています。「同意する」と「拒否する」のオプションは視覚的に同等で、文言は中立的であり、ユーザーの選択を操作しないデザインになっています。
• Consent Mode V2との連携：Google-certified CMPとして、FlexyConsentは英国の訪問者について適切な同意シグナルをGoogleサービスに送信します。これにより、UKの同意要件を尊重しつつ、コンバージョンモデリングやSmart Biddingが適切に機能し続けます。
• IAB TCF 2.3対応：プログラマティック広告を利用するパブリッシャー向けに、FlexyConsentは英国市場で活動する需要側プラットフォームや供給側プラットフォームに認識される、英国向けのTCFコンセントストリングを生成します。

FlexyConsentは月額EUR 0から利用可能で、WordPress、Shopify、PrestaShop向けのネイティブ連携を提供しています。特に英国拠点の企業にとって、認定されたCMPを導入していることは、ICOに対し��積極的なコンプライアンス姿勢を示すことになり、規制当局が執行措置を検討する際の考慮要素になると示唆されています。

重要なポイント：Brexit後の英国におけるプライバシー枠組みはEUと非常によく似ていますが、独自の規制当局、独自の執行パターン、そして将来的には独自の立法動向の下で運用されています。現時点では、英国の訪問者をEUの訪問者と同じルールの対象として扱うことは安全なアプローチですが、英国特有の同意体験を設定できるようにしておくことで、両者の枠組みが将来乖離した場合にも柔軟に対応できるようになります。ジオターゲティングに対応したCMPを利用することが、この複雑さを管理するうえで最も実務的な方法です。