英国 ICO プライバシー強化技術に関するガイダンス案を発表

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局が、 プライバシー強化技術に関するガイダンス案を発表し、意見募集をしていますね。。。

これは、2022.09.07-08にドイツのボンで開催されるG7データ保護・プライバシー当局の2022年円卓会議に先立って発表されたもので、PETsに関する作業をG7関係者に紹介し、責任あるPETsの革新的利用支援のための国際合意を促すことを考えているようですね。。。

英米両国にとっての、産業政策の一環でもあるのでしょうね。。。

 

● Information Commissioner's Office: ICO

・2022.09.07 ICO publishes guidance on privacy enhancing technologies

 

ICO publishes guidance on privacy enhancing technologies	ICO、プライバシー強化技術に関するガイダンスを発表
The Information Commissioner’s Office (ICO) has published draft guidance on privacy-enhancing technologies (PETs) to help organisations unlock the potential of data by putting a data protection by design approach into practice.	情報コミッショナー事務局（ICO）は、設計によるデータ保護（Data Protection by Design）アプローチを実践することにより、組織がデータの潜在能力を引き出せるよう、プライバシー強化技術（PETs）に関するガイダンスのドラフトを発表した。
PETs are technologies that can help organisations share and use people’s data responsibly, lawfully, and securely, including by minimising the amount of data used and by encrypting or anonymising personal information. They are already used by financial organisations when investigating money laundering, for example, and by the healthcare sector to provide better health outcomes and services to the public.	PETsは、組織が責任を持って、合法的に、かつ安全に人々のデータを共有・利用するための技術であり、データの使用量を最小限に抑えたり、個人情報を暗号化や匿名化したりすることなどが含まれる。金融機関ではマネーロンダリングの調査などに、ヘルスケア分野ではより良い健康状態の実現や国民へのサービス提供などに、すでに利用されている。
The draft PETs guidance explains the benefits and different types of PETs currently available, as well as how they can help organisations comply with data protection law. It is part of the ICO’s draft guidance on anonymisation and pseudonymisation, and the ICO is seeking feedback to help refine and improve the final guidance.	PETsガイダンス案は、現在利用可能なPETsの利点と種類、および組織がデータ保護法を遵守するためにPETsがどのように役立つかを説明している。このガイダンス案は、ICOの匿名化および仮名化に関するガイダンス案の一部であり、ICOは最終ガイダンスの洗練と改善に資するフィードバックを求めている。
By enabling organisations to share and collaboratively analyse sensitive data in a privacy-preserving manner, PETs open up unprecedented opportunities to harness the power of data through innovative and trustworthy applications. The UK and US governments have launched a set of prize challenges to unleash the potential of PETs to tackle combat global societal challenges, supported by the ICO.	PETは、組織がプライバシーを保護した形で機密データを共有し、共同で分析できるようにすることで、革新的で信頼できるアプリケーションを通じてデータの力を活用する前例のない機会を提供する。 英米両政府は、ICOの支援を受けて、グローバルな社会的課題に取り組むためにPETsの潜在能力を引き出すための一連の懸賞課題を立ち上げた。
John Edwards, UK Information Commissioner, said:	英国情報コミッショナーのJohn Edwardsは、次のように述べている。
“Although the use of PETs is in its early stages, it can unlock safe and lawful data sharing where people can enjoy better services and products without trading their privacy rights. In the UK, one example is the NHS building a system for linking patient data across different organisational domains.	「PETの利用は初期段階であるが、安全で合法的なデータ共有が可能になり、人々はプライバシー権を犠牲にすることなく、より良いサービスや製品を享受できるようになる。英国では、NHSが異なる組織領域間で患者データをリンクさせるシステムを構築しているのがその一例である。
“Today’s draft guidance is part of my office’s strategy for the next three years, where we will be supporting the responsible use and sharing of personal information to drive innovation and economic growth. PETs have the potential to do that, so we look forward to hearing from industry and other stakeholders on how our guidance can help them achieve this.”	本日のガイダンス案は、今後3年間の私の事務所の戦略の一部であり、イノベーションと経済成長を促進するために、個人情報の責任ある利用と共有を支援するものである。PETはそのための可能性を秘めており、我々のガイダンスがその実現にどのように役立つか、産業界やその他の関係者から意見を聞くことを楽しみにしている。」
The PETs draft guidance has been published ahead of the 2022 roundtable of G7 data protection and privacy authorities taking place in Bonn, Germany on 7-8 September, where the ICO will present its work on PETs to its G7 counterparts and encourage international agreement for the support of responsible and innovative use of PETs.	PETsガイダンス案は、9月7日～8日にドイツのボンで開催されるG7データ保護・プライバシー当局の2022年円卓会議に先立って発表され、ICOはPETsに関する作業をG7関係者に紹介し、責任あるPETsの革新的利用支援のための国際合意を促す予定である。
As part of this, the ICO will call for the development of industry-led governance, such as codes of conduct and certification schemes, to help organisations use PETs responsibly and to help PETs developers and providers to build the technology with data protection and privacy at the forefront.	その一環として、ICOは、組織が責任を持ってPETsを利用し、PETsの開発者やプロバイダーがデータ保護とプライバシーを最優先にして技術を構築できるよう、行動規範や認証制度など、業界主導のガバナンスの開発を呼びかける予定である。
Mr Edwards said:	エドワーズ氏は次のように述べている。
“It’s not just regulators that need to take action – we need the industry to step up, too. We want organisations to come to us with codes of conduct and certification schemes, for example, to show their commitment to building services or products that are designed in a privacy-friendly way and that protect people’s data.”	「行動を起こす必要があるのは規制当局だけではない。例えば、プライバシーに配慮した設計で、人々のデータを保護するサービスや製品を作るという約束を示すために、行動規範や認証制度を持って、私たちのところに来てほしい。」
Notes to Editors	編集後記
About the G7 2022 Regulator’s Roundtable	G7 2022 規制当局者ラウンドテーブルについて
Under Germany’s 2022 G7 presidency, the German Federal Commissioner for Data Protection and Freedom of Information, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), is convening a G7 data protection and privacy authorities roundtable in Bonn, Germany on 7-8 September 2022. The UK Information Commissioner’s Office held the first roundtable in September 2021.	ドイツの2022年G7議長国の下、データ保護と情報の自由のためのドイツ連邦コミッショナー、Bundesbeauftragter für den Datenschutz und die Informationsfreiheit（BfDI）は、2022年9月7～8日にドイツのボンでG7データ保護およびプライバシー当局ラウンドテーブルを開催する。 英国情報コミッショナー庁は、2021年9月に最初のラウンドテーブルを開催した。
Each G7 authority will present a specific technology or innovation issue of importance to the growing global economy where closer cooperation is needed.	G7の各当局は、成長する世界経済にとって重要で、より緊密な協力が必要とされる特定の技術やイノベーションの問題を提示する予定である。
The G7 data protection and privacy authorities consist of:	G7のデータ保護とプライバシーに関する当局の構成は以下の通りである。
Office of the Privacy Commissioner (Canada)	プライバシー・コミッショナー室（カナダ）
Commission Nationale de l’Informatique et des Libertés (France)	フランス：フランス情報自由委員会
Federal Commissioner for Data Protection and Freedom of Information, BfDI (Germany)	ドイツ：データ保護と情報の自由のための連邦委員会（BfDI）
Garante per la Protezione dei Dati Personali (Italy)	イタリア：個人情報保護委員会
Personal Information Protection Commission, 個人情報保護委員会 (Japan)	日本：個人情報保護委員会
Information Commissioner’s Office (UK)	英国：情報コミッショナー事務所
Federal Trade Commission (United States of America)	米国：連邦取引委員会

 

・[PDF] Chapter 5: Privacy-enhancing technologies (PETs)

 

Chapter 5: Privacy-enhancing technologies (PETs)	第5章：プライバシー強化技術（PETs）
Contents	内容
How can PETs help with data protection compliance?	PETsはデータ保護コンプライアンスにどのように役立つか？
What are privacy-enhancing technologies (PETs)?	プライバシー強化技術（PET）とは何か？
How do PETs relate to data protection law?	PETs はデータ保護法とどのような関係がある?
What are the benefits of PETs?	PETs の利点は何か?
What are the risks of using PETs?	PETs を使用するリスクは何か?
What are the different types of PETs?	PETs にはどのような種類があるか？
Are PETs anonymisation techniques?	PETs は匿名化技術か?
When should we consider using PETs?	どのような場合に PETs の利用を検討すべきか？
How should we decide whether or not to use PETs?	PETs を使用するかどうかは、どのように判断すべきか？
How do we determine the maturity of a PET?	PETs の成熟度はどのように判断するか?
What PETs are there?	どのようなPETsがあるのか？
Introduction	はじめに
Homomorphic encryption (HE)	準同型暗号 (HE)
Secure multiparty computation (SMPC)	秘匿マルチパーティ計算(SMPC)
Private set intersection (PSI)	プライベート共通集合(PSI)
Federated learning	連合学習
Trusted execution environments	信頼可能な実行環境
Zero-knowledge proofs	ゼロ知識証明
Differential privacy	差分プライバシー
Synthetic data	合成データ
Reference table	参照表

 

 

全体についてはこちらに...

・ICO call for views: Anonymisation, pseudonymisation and privacy enhancing technologies guidance

 

今のところは、、、

ICO call for views: Anonymisation, pseudonymisation and privacy enhancing technologies guidance	ICOの意見募集 匿名化、仮名化、プライバシー強化技術ガイダンス
This consultation closes on 16 September 2022;	このコンサルテーションは2022年9月16日に締め切る。
How do we ensure anonymisation is effective?	匿名化が効果的であることをどのように確認するか？
The ICO is calling for views on its updated draft guidance on anonymisation, pseudonymisation and privacy enhancing technologies. We are sharing our thinking in stages to ensure we gather as much feedback as possible to help refine and improve the final guidance, on which we will carry out a formal consultation.	ICOは、匿名化、仮名化、プライバシー強化技術に関するガイダンスの最新ドラフトについて意見を求めている。最終的なガイダンスの洗練と改善のため、できるだけ多くのフィードバックを集められるよう、段階的に考え方を共有しており、それについて正式なコンサルテーションを実施する予定である。
In our first chapter ‘Introduction to Anonymisation’ we outlined the legal, policy and governance issues around the application of anonymisation in the context of data protection law. We are grateful for the feedback we have received from many organisations across different sectors.	第1章「匿名化の紹介」では、データ保護法の文脈における匿名化の適用に関する法律、政策、ガバナンスの問題について概説した。さまざまな分野の多くの組織からいただいたフィードバックに感謝している。
Our second chapter ‘Identifiability’ focuses on how to assess anonymisation in the context of identifiability. We explore the concept of a spectrum of identifiability, data sharing scenarios, the motivated intruder and reasonably likely tests as well as guidance on managing re-identification risk. These key principles set out our views on effective anonymisation and we welcome your feedback.	第2章「識別可能性」では、識別可能性の観点から匿名化を評価する方法に焦点を当てます。識別可能性のスペクトルの概念、データ共有のシナリオ、動機付けされた侵入者、合理的可能性のテスト、および再識別リスクのマネジメントに関するガイダンスを検討する。これらの主要原則は、効果的な匿名化に関する我々の見解を示したものであり、皆様からの意見を待っている。
Our third chapter ‘pseudonymisation’ explains the key differences between pseudonymisation and anonymisation. We also explore how pseudonymisation can help to reduce risk and allow personal data to be processed for other purposes. The chapter also provides guidance on how to approach pseudonymisation and the DPA 2018 re-identification offence. These key topics set out our views on how pseudonymisation can be used effectively and we welcome your feedback.	第3章「仮名化」では、仮名化と匿名化の主な違いについて説明している。また、仮名化がどのようにリスク軽減に役立ち、個人データを他の目的で処理することを可能にするのかについても説明している。この章では、仮名化およびDPA 2018の再識別違反にどのようにアプローチするかについてのガイダンスも提供している。これらの重要なトピックでは、仮名化を効果的に使用する方法に関する私たちの見解を示しており、皆様からの意見を待っている。
Our fourth chapter ‘Accountability and governance’ explains the governance approach you should take when you anonymise personal data. We explore the factors you need to consider for ensuring transparency such as using DPIAs to identify and mitigate risks and keeping up to date with technical and legal developments to ensure anonymisation remains effective. The chapter also provides guidance on other relevant legislation you should consider when disclosing anonymous information. These key topics set out our views on how you should approach your accountability and governance obligations when anonymising personal data and we welcome your feedback.	第4章「説明責任とガバナンス」では、個人データを匿名化する際に取るべきガバナンスアプローチについて説明している。DPIAを使用してリスクを特定・軽減し、匿名化の効果を維持するための技術的・法的発展に関する最新情報を入手するなど、透明性を確保するために考慮すべき要素を探ります。また、匿名化された情報を開示する際に考慮すべき他の関連法規に関するガイダンスも提供している。これらの主要なトピックは、個人情報を匿名化する際に、説明責任とガバナンスの義務にどのように対処すべきかについての我々の見解を示したものであり、皆様の意見を待っている。
We will continue to publish draft chapters for comment at regular intervals. As outlined in Building on the data sharing code – our plans for anonymisation guidance, chapters to follow include:	今後も定期的に章立てのドラフトを公開し、意見を求める予定である。データ共有コードの構築 - 匿名化ガイダンスの計画」で説明したように、次のような章が予定されている。
・Anonymisation and research - how anonymisation and pseudonymisation apply in the context of research;	・匿名化と研究 - 匿名化および仮名化の研究への適用方法
・Guidance on privacy enhancing technologies (PETs) and their role in safe data sharing;	・プライバシー強化技術（PETs）に関するガイダンスと安全なデータ共有におけるその役割。
・Technological solutions – exploring possible options and best practices for implementation; and	・技術的解決策 - 可能なオプションと実装のためのベストプラクティスを探る。
・Data sharing options and case studies – supporting organisations to choose the right data sharing measures in a number of contexts including sharing between different organisations and open data release. Developed with key stakeholders, our case studies will demonstrate best practice.	・データ共有の選択肢とケーススタディ -異なる組織間の共有やオープンデータの公開など、様々な状況において組織が適切なデータ共有手段を選択できるよう支援する。主要なステークホルダーとともに開発されたケーススタディは、ベストプラクティスを示すものである。
Input at this early stage can make a significant difference as we will use the responses we receive to inform our work in developing the guidance.	この初期段階での意見は、ガイダンスの開発における我々の作業に反映されるため、大きな変化をもたらす可能性がある。
This call for views is the first stage in the process and we will consult on the full draft guidance in the autumn. You can provide your feedback by emailing anonymisation@ico.org.uk.	この意見募集はプロセスの第一段階であり、秋にはガイダンスの全ドラフトについて協議する予定である。意見は、anonymisation@ico.org.uk までメールすること。
When submitting your views, please specify to which chapter you are referring.	意見を寄せる際には、どの章について言及されているのかを明記すること。
Further Reading	参考文献
Chapter 1: introduction to anonymisation	第1章: 匿名化についての紹介
Chapter 2: How do we ensure anonymisation is effective?	第2章：匿名化が効果的であることをどのように確認するか？
Chapter 3: pseudonymisation	第3章: 仮名化
Chapter 4: Accountability and governance	第4章：説明責任とガバナンス
Chapter 5: Privacy-enhancing technologies	第5章：プライバシー強化技術

 

 

過去分も...

---

・[PDF] Chapter 1: introduction to anonymisation

 

Chapter 1: introduction to anonymisation	第1章: 匿名化についての紹介
Contents	目次
About this guidance	本ガイダンスについて
Why have you produced this guidance?	なぜこのガイダンスを作成したのか？
What is this guidance about?	このガイダンスは何について書かれたものか？
Who is this guidance for?	このガイダンスは誰のためのものか？
How is this guidance structured?	このガイダンスの構成はどうなっているか？
Introduction to anonymisation	匿名化の紹介
What is personal data?	個人情報とは何か？
What is anonymous information?	匿名化とは何か？
What is anonymisation?	匿名化とは何か？
Is anonymisation always necessary?	匿名化は常に必要であるか？
Is anonymisation always possible?	匿名化は常に可能であるか？
What are the benefits of anonymisation?	匿名化にはどのような利点があるか？
If we anonymise personal data, does this count as processing?	個人情報を匿名化した場合、それは処理とみなされるか？
What is pseudonymisation?	仮名化とは何か？
What about ‘de-identified’ personal data?	「非識別化」された個人データについてはどうであるか？
What is the difference between anonymisation and pseudonymisation?	匿名化と仮名化の違いは何か？
What are the benefits of pseudonymisation?	仮名化のメリットは何か？

 

---

・[PDF] Chapter 2: How do we ensure anonymisation is effective?

 

Chapter 2: How do we ensure anonymisation is effective?	第2章：匿名化が効果的であることをどのように確認するか？
Contents	目次
How do we ensure anonymisation is effective?	匿名化が効果的であることを確認するにはどうすればよいか？
What should our anonymisation process seek to achieve?	匿名化プロセスは何を達成することを目指すべきか？
What is identifiability?	識別可能性とは何か？
What are the key indicators of identifiability?	識別可能性の主な指標は何か。
What is the “spectrum of identifiability”?	「識別可能性の範囲」とは何か？
What does data protection law say about assessing identifiability risk?	識別可能性のリスク評価について、データ保護法はどのように説明しているか？
How should we approach this assessment?	この評価にはどのようにアプローチすべきか？
What factors should we include?	どのような要素を含めるべきか？
What is the “motivated intruder” test?	「動機付けされた侵入」テストとは何か？
What information can a motivated intruder use?	動機付けされた侵入はどのような情報を利用することができるか？
Do we need to consider who else may be able to identify individuals from the data?	データから個人を特定できる可能性のある人物を考慮する必要があるか？
When should we review our identifiability assessments?	識別可能性評価はいつ見直すべきか？
Deciding when and how to release data	データの公開方法と日付を決定する

 

---

・[PDF] Chapter 3: pseudonymisation

 

Chapter 3: pseudonymisation	第3章: 仮名化
Contents	目次
Pseudonymisation	仮名化
What is pseudonymisation?	仮名化とは何か？
Is pseudonymised data still personal data?	仮名化されたデータも個人データなのか？
What is the difference between pseudonymisation and anonymisation?	仮名化と匿名化の違いは何か？
What are the benefits of pseudonymisation?	仮名化のメリットは何か？
Pseudonymisation can help you to reduce risk	仮名化処理によりリスクを低減することができる
Pseudonymisation can help you process data for other purposes	仮名化処理により、他の目的のためにデータを処理することができる
Are there any offences relating to pseudonymisation?	仮名化処理に関連する犯罪はあるか？
How should we approach pseudonymisation?	どのように仮名化処理に取り組むべきか？

 

---

・[PDF] Chapter 4: Accountability and governance

 

Chapter 4: Accountability and governance	第4章：説明責任とガバナンス
Contents	目次
What accountability and governance measures are needed for	匿名化にはどのような説明責任とガバナンスが必要であるか？
anonymisation?	匿名化にはどのような説明責任とガバナンスが必要か？
What governance approach should we take?	どのようなガバナンスのアプローチを取るべきか？
Who should be responsible for our anonymisation process?	匿名化プロセスには誰が責任を持つべきであるか？
Should we do a Data Protection Impact Assessment?	データ保護インパクトアセスメントを実施すべきか？
Are we clear about why we want to anonymise personal data?	個人データを匿名化する理由は明確であるか？
How should we work with other organisations, where necessary?	必要な場合、他の組織とどのように連携すべきか？
What type of disclosure is it?	どのような種類の開示か？
How should we identify potentially difficult cases?	困難となりうるケースをどのように特定すべきか？
How should we ensure transparency?	透明性はどのように確保すべきか？
How should we ensure appropriate staff training?	適切なスタッフ教育をどのように確保すべきか？
How should we keep updated with legal and technical developments?	法的・技術的な進展に対応するために、どのように最新情報を入手すべきか？
How should we mitigate re-identification risk due to a security incident?	セキュリティ・インシデントによる再識別のリスクをどのように軽減すべきか？
What other legal considerations apply?	他にどのような法的考慮事項があるか？