英国「簡易GDPR（Data Use and Access Act 2025）」とOnline Safety Actの交差点

――技術者のための実装設計・分岐運用・KPI化ガイド（現場SE視点＋山崎行政書士事務所PR）

要旨（Executive Summary）

英国はData (Use and Access) Act 2025（DUAA）でUK GDPR／DPA2018／PECRを改正し、認定正当利益（Recognised Legitimate Interests, RLI）の導入、自動化意思決定（ADM）規制の再構成、Cookie同意の一部緩和、DSARの合理・相当性標準など“官僚主義の軽量化”を進めた。並行してOnline Safety Act（OSA）はポルノ等への強固な年齢確認を義務化し（Part 5）、プラットフォームに子ども保護のシステム義務を課している。実務影響は「EUとUKの法域分岐をアーキテクチャで吸収する」ことに尽きる：

①法域別ポリシー・エンジン、

②AI/ADMの人手関与と特定データ制約、

③Cookie/CMPのUKプロファイル、

④DSAR/苦情応対の新標準、

⑤**適合監査線（不可逆ログ＋理由コード）**である。

なお、EUの英国十分性は2025年7月に更新プロセス開始／本質的同等性維持の見通しが示されているが、将来不確実性への備えは必要である。GOV.UKICO+2ICO+2Compliance & RisksNational Law Reviewwww.ofcom.org.ukHunton Andrews KurthArnold & Porter

1. 何が変わったか（制度の骨子と実務的ポイント）

1.1 認定正当利益（RLI）

• RLI＝“あらかじめ認めた目的リスト”に該当する処理（例：公共安全、犯罪防止、緊急対応、要配慮者の保護等）について、従来のLIA（利益衡量）を事実上省略可。記録化と透明性は依然必要。ICOIAPPGOV.UK

• ICOはRLIに関するガイダンス改訂中で、実務は過度な拡張適用を避け、ログで根拠を保持するのが安全。ICO

1.2 自動化意思決定（ADM）の再構成

• 旧：UK GDPR 22条 → 新：22A〜22Dに置換。「意味のある人間の関与」の定義明確化、保護措置（説明、異議申立／人手関与の権利）を伴えば重要な決定の“単独自動化”が広く許容に。ただし、特別カテゴリデータを用いる単独自動化の決定は明示同意又は公的利益の要件が前提。GOV.UKICOClyde & Co.Ogletreetechnologyquotient.freshfields.com

1.3 Cookie／PECRの調整

• 低リスクのCookie（基本分析／サイト性能改善／詐欺検知／緊急対応等）は同意不要（通知＋オプトアウト等の条件あり）。バナー頻度を下げ得るが、透明性と選択肢は継続。広告系・越境トラッキングは従来どおり慎重。GOV.UKICOMayer BrownMorgan Lewis

1.4 DSAR／苦情・移転の整備

• DSARに**「合理的・相当な範囲」**の検索原則が導入（濫用・過大負荷抑止）。国際移転は簡素化の明確化が図られたが、EUとの十分性維持が大前提。National Law ReviewGOV.UK

1.5 Online Safety Act（OSA）

• Part 5：ポルノを扱うサイト／アプリは強固な年齢確認が必須（2025/1/17発効、2025/7/25までに全面実施）。Ofcomガイダンスに準拠。SNS等も子ども保護のため年齢アシュアランス導入が進行。運用上の副作用（トラフィック移転、非準拠サイト流入増）報告も。GOV.UKwww.ofcom.org.ukThe GuardianThe Washington Post

1.6 EU十分性

• 2025/7/22：欧州委が新たな十分性決定の採択手続を開始。DUAA導入後も「本質的同等性」維持の見解が示され、データ流通は継続見込み。ただし最終決定までの政治・運用リスクには留意。Hunton Andrews KurthArnold & Porter

2. 現場SEの腹落ちポイント：“法域分岐”を設計で吸収

2.1 Jurisdiction Policy Engine（US/EU/UKを分ける）

• 法域属性（地域・年齢・用途）でデータ処理・同意ロジック・権利救済を分岐。

• UK：RLI／低リスクCookie緩和／ADMの権利表示を適用。EU：従来GDPR（LIA・Cookie同意）を堅持。同一UIで“一律”にしない。ICO+1

2.2 Lawful Basis Module（RLI ↔ LIA/同意）

• UKではRLIに該当時、ログ化（目的・範囲・保護措置）＋公開説明で運用負荷を軽減。

• EEA対象処理では従来のLIA／同意を維持。RLIの越境流用は不可。IAPP

2.3 ADM/AI Pipeline（22A〜22D）

• 判定：“solely automated”＝“意味のある人間関与なし” → 当該ルール適用。

• 特別カテゴリが関与する単独自動化は明示同意or公的利益要件＋権利行使UI（人の再審査／異議申立）を既定装備。監査線に入力特徴量／モデル版／説明要約を保存。The LensClyde & Co.Ogletree

2.4 Cookie/CMPのUKプロファイル

• Tag ManagerでUKビューのみ：基本分析・性能・詐欺検知等をノンコンセント起動（通知・オプトアウト提供）。第三者広告・クロスサイト識別子はコンセント維持。EUビューは従前どおりIAB TCF等の同意管理を継続。Mayer BrownICO

2.5 DSAR/苦情の合理・相当性ワークフロー

• 検索範囲の画一テンプレ（期間・媒体・アカウント）と除外基準（法的秘匿等）を事前定義。合理・相当性の根拠ログを自動記録（可視化ダッシュボード）。National Law Review

2.6 OSA年齢確認のプライバシー・バイ・デザイン

• 年齢推定（推定AI）優先→必要時のみID検証。顔画像・ID書類は即時破棄/局所保存（ベンダの削除SLAを契約化）。年齢確認と本人確認を分離して再識別リスクを低減。GOV.UK

3. 監査線（不可逆ログ＋理由コード）の標準

• イベント連鎖：収集→根拠→処理→第三者提供→保管→削除をWORM／署名付き時刻で固定。

• 理由コード：RLI-PUBLICSAFETY / COOKIE-ANALYTICS-EXEMPT / ADM-22A-NON-SPECIAL / ADM-22D-APPEAL / OSA-AGE-VERIFY 等で措置の根拠を明示。

• 提出物：UK ICO／Ofcom／EU当局に短時間提出できる要約パッケージ（機械可読の根拠セット）。ICO

4. KPI設計（“やった感”を排除）

• Cookie：UKビューのバナー表示率▲30–60%（低リスクCookieの同意不要化後）／苦情率。ICO

• ADM：人手再審査のSLA（受付→結論〈例：5営業日〉）、説明要約提示率100%。Clyde & Co.

• DSAR：平均処理時間、合理・相当性適用率、不服申立率。National Law Review

• OSA：年齢確認成功率、誤拒否率、本人性データの即時破棄率。GOV.UK

• 十分性備え：EEA→UK移転の代替手段準備率（SCC/IDTA/ATO）。Hunton Andrews Kurth

5. 典型的ハマりどころと回避策

• RLIの過拡張：犯罪防止の名でマーケ用途を抱き込む等は逸脱。目的限定＋ログで防ぐ。ICO

• ADMの“人手関与”の名ばかり運用：形骸化はNG。判断者の権限・見直し基準・差戻率をメトリクス化。The Lens

• Cookie一律免除の誤解：広告・クロスサイトは対象外。用途別プロファイルで起動制御。Mayer Brown

• OSAで“本人確認＝恒久ID”化：年齢アシュアランス優先、ミニマム・データで分離設計。GOV.UK

• 十分性の過信：草案段階の評価でも将来変動を織り込む（移転の二重化）。Arnold & Porter

6. 実装ロードマップ（30/90/180日）

0–30日

• 法域ポリシー分岐の設計（UK/EU）・CMP二系統（UK低リスク許容、EU厳格）。

• RLI台帳（目的・根拠・保護措置）と公開説明ページの初版。ICO

30–90日

• ADM再設計：22A〜22D準拠の権利UI（説明・異議・人手介入）と監査線。

• DSAR合理・相当性ワークフロー／苦情ハンドリングの更新。National Law Review

90–180日

• OSA対応（Part 5該当なら強固な年齢確認）をプライバシー最小で本番化。

• 十分性有事に備えた**移転バックアップ（SCC/IDTA）**の契約差替え案を準備。www.ofcom.org.ukHunton Andrews Kurth

7. 参考アーキテクチャ（ベンダ非依存）

• Policy Engine：属性（地域/年齢/同意/RLI可否）で処理分岐。

• CMP：UKプロファイル（低リスクCookie同意不要＋通知/オプトアウト）とEUプロファイル（同意必要）を切替。ICO

• AI/ADM：判定ログ（特徴量・モデル版・閾値・説明）＋人手介入API。Clyde & Co.

• 監査線：WORM＋署名付き時刻／理由コードで提出用要約を自動生成。ICO

8. 山崎行政書士事務所の支援（PR｜法務×実装の橋渡し）

1. UK/EU法域分岐デザイン・レビュー

   • RLI適用判定台帳／公開説明文／ポリシー・エンジン仕様（UK/EU分岐）を英日で整備。ICO

2. ADM（22A–22D）適合キット

   • 権利UI（説明・異議・人手関与）テンプレ＋監査線スキーマ（特徴量／モデル版／閾値）。Clyde & Co.

3. Cookie/CMP二系統実装指針

   • 低リスクCookie定義・通知文・オプトアウトUX／広告系の同意維持の分岐設計。Mayer Brown

4. DSAR/苦情の標準業務

   • 合理・相当性の判定表／不服申立対応SOP／KPIダッシュボード。National Law Review

5. OSA×プライバシー設計

   • 年齢確認ベンダ選定要件（データ最小・即時破棄SLA）／DPIA相当のリスク分析。GOV.UK

6. 十分性リスク対策

   • SCC/IDTAハイブリッド条項と有事移行Runbook（兼コンプラ広報文）。Hunton Andrews Kurth

参考（一次情報・公的資料・実務解説）

• ICO：DUAA概要・RLI・Cookie緩和・段階施行（2025/6/19〜2026/6）。ICO+1

• IAPP：RLIのリスト化とLIA不要の射程。IAPP

• GOV.UK：DUAAデータ保護／プライバシー変更、UK GDPR/DPAファクトシート。GOV.UK+1

• ADM詳解：Freshfields／Dentons／Clyde & Co／Ogletreeほか。technologyquotient.freshfields.comDentonsClyde & Co.Ogletree

• Cookie/PECR：ICO説明・法律事務所の実務解説。ICOMayer Brown

• OSA：政府エクスプレイナー・Ofcom年齢確認・報道。GOV.UKwww.ofcom.org.ukThe Guardian

• 十分性：欧州委の手続開始・適合性評価見通し。Hunton Andrews KurthArnold & Porter