英国 ICO データ保護監査フレームワーク
こんにちは、丸山満彦です。
英国の情報保護委員会 (Information Commissioner Office; ICO) がデータ保護監査フレームワークを発表しています...
監査ガイドとしては、データ保護監査、AI監査、年齢適正設計規範の3つがありますね...
興味深い、保証水準(確認水準)を4段階つけていますね。。。
| Colour code | Internal audit opinion | Definitions | 定義 |
| High assurance | There is a high level of assurance that processes and procedures are in place and are delivering data protection compliance. The audit has identified only limited scope for improvement in existing arrangements and as such it is not anticipated that significant further action is required to reduce the risk of non-compliance with data protection legislation. | プロセスと手順が整備され、データ保護コンプライアンスを実現していることは高水準で保証される。監査により、既存の取り決めの改善余地は限定的であることが確認されたため、データ保護法違反のリスクを低減するために、大幅な追加措置が必要であるとは予想されない。 | |
| Reasonable assurance | There is a reasonable level of assurance that processes and procedures are in place and are delivering data protection compliance. The audit has identified some scope for improvement in existing arrangements to reduce the risk of non-compliance with data protection legislation. | プロセスと手順が整備され、データ保護コンプライアンスを実現していることについては、妥当なレベルの保証がある。監査は、データ保護法違反のリスクを軽減するために、既存の取り決めに改善の余地があることを確認した。 | |
| Limited assurance | There is a limited level of assurance that processes and procedures are in place and are delivering data protection compliance. The audit has identified considerable scope for improvement in existing arrangements to reduce the risk of non-compliance with data protection legislation. | プロセスと手順が整備され、データ保護コンプライアンスを実現しているという保証は限定的なレベルである。監査は、データ保護法違反のリスクを軽減するために、既存の取り決めにかなりの改善余地があることを確認した。 | |
| Very limited assurance | There is a very limited level of assurance that processes and procedures are in place and are delivering data protection compliance. The audit has identified a substantial risk that the objective of data protection compliance will not be achieved. Immediate action is required to improve the control environment. | プロセスと手順が整備され、データ保護コンプライアンスを実現しているという保証は非常に限定的なレベルである。監査は、データ保護コンプライアンスの目的が達成されない重大なリスクを特定した。管理環境を改善するための早急な措置が必要である。 |
さて、、、
● U.K. Information Commissioner Office; ICO
・2024.10.07 New data protection audit framework launched to help organisations improve compliance
プレス...
| New data protection audit framework launched to help organisations improve compliance | 組織のコンプライアンス改善を支援する新しいデータ保護監査フレームワークを発表 |
| We have today launched a new audit framework designed to help organisations assess their own compliance with key requirements under data protection law. | 我々は本日、データ保護法における主要な要求事項に対する組織のコンプライアンスを評価するための新しい監査フレームワークを発表した。 |
| The framework empowers organisations to identify necessary steps to improve their data protection practices and create a culture of compliance. It provides them with a starting point to evaluate how they handle and protect personal information. | このフレームワークは、組織がデータ保護の実践を改善し、コンプライアンス文化を構築するために必要なステップを特定できるようにするものである。このフレームワークは、組織が個人情報をどのように取り扱い、保護しているかを評価するための出発点となる。 |
| Whether for senior management, data protection officers, compliance auditors or those responsible for records management or cybersecurity, the framework offers practical tools for building and maintaining strong privacy management. | 経営幹部、データ保護責任者、コンプライアンス監査人、あるいは記録管理やサイバーセキュリティの責任者のいずれにとっても、このフレームワークは強力なプライバシー管理を構築し維持するための実践的なツールを提供する。 |
| The framework is an extension of our existing Accountability Framework, and it has nine toolkits covering the following key areas: | このフレームワークは、既存のアカウンタビリティ・フレームワークを拡張したもので、以下の主要分野をカバーする9つのツールキットがある: |
| ・Accountability | ・アカウンタビリティ |
| ・Records management | ・記録管理 |
| ・Information & cyber security | ・情報およびサイバーセキュリティ |
| ・Training and awareness | ・トレーニングおよび意識向上 |
| ・Data sharing | ・データ共有 |
| ・Requests for data | ・データ要求 |
| ・Personal data breach management | ・個人データ漏えい管理 |
| ・Artificial intelligence | ・人工知能 |
| ・Age-appropriate design | ・年齢に応じた設計 |
| Each toolkit has a downloadable data protection audit tracker that will help organisations conduct their own assessment of compliance, tracking actions that must be taken in areas needing improvement. | 各ツールキットにはダウンロード可能なデータ保護監査トラッカーがあり、組織が独自のコンプライアンス評価を行う際に役立ち、改善が必要な分野で取るべき行動を追跡できる。 |
| Ian Hulme, ICO Director of Regulatory Assurance, said: | ICOのイアン・ハルム規制保証部長は、次のように述べている: |
| "Transparency and accountability in data protection are essential, not just for regulatory compliance but for building trust with the public. Research shows us that people increasingly value the responsible use of their personal information, and want organisations to be able to demonstrate strong data protection practices. | 「データ保護における透明性と説明責任は、規制遵守のためだけでなく、国民との信頼関係を構築するためにも不可欠である。研究機関の調査によれば、人々はますます個人情報の責任ある利用を重視するようになっており、組織が強固なデータ保護の実践を実証できることを望んでいる。 |
| “Our new audit framework will help build trust and encourage a positive data protection culture, as well as being flexible in targeting the most pressing areas of compliance. We want to empower organisations to embrace data protection as an asset, not just a legal requirement." | 「我々の新しい監査フレームワークは、信頼を築き、積極的なデータ保護文化を奨励するのに役立つ。我々は、組織がデータ保護を単なる法的要件ではなく、資産として受け入れる力を与えたいと考えている。 |
| We are committed to helping organisations of all sizes understand their data protection obligations and improve their practices. By using this framework, they can enhance their compliance efforts, improve internal processes, and reassure customers that their personal information is being handled with care. | 我々は、あらゆる規模の組織がデータ保護義務を理解し、その実践を改善できるよう支援することを約束する。このフレームワークを利用することで、コンプライアンスへの取り組みを強化し、内部プロセスを改善し、個人情報が慎重に取り扱われていることを顧客に安心させることができる。 |
| Access our Data Protection Audit Framework. | データ保護監査フレームワークにアクセス |
データ保護監査フレームワーク
・Data protection audit framework
| Data protection audit framework | データ保護監査フレームワーク |
| This framework will help you assess your own compliance with some of the key requirements under data protection law. It covers a range of areas that we look at when we assess an organisation’s data protection compliance using our audit toolkits to conduct both consensual and compulsory audits. | このフレームワークは、データ保護法に基づく主要な要求事項の一部に対する自社のコンプライアンスを評価するのに役立つ。このフレームワークは、当社の監査ツールキットを使用して組織のデータ保護コンプライアンスをアセスメントする際に、同意に基づく監査と強制監査の両方を実施するために当社が見るさまざまな分野をカバーしている。 |
| If you follow the approach suggested in the framework, it does not guarantee that your processing meets all the legal requirements that apply to you. You need to consider the specific circumstances of your organisation and what you are doing with personal information in order to manage the risks appropriately. As a general rule, the greater the risk, the more robust and comprehensive the measures you should put in place. | このフレームワークで提案されているアプローチに従ったとしても、あなたの処理があなたに適用されるすべての法的要件を満たしていることを保証するものではない。リスクを適切に管理するためには、組織の具体的な状況や個人情報の取り扱いについて検討する必要がある。一般的なルールとして、リスクが大きければ大きいほど、より強固で包括的な対策を講じるべきである。 |
| This framework is an extension of our existing Accountability Framework. | このフレームワークは、当社の既存のアカウンタビリティ・フレームワークを拡張したものである。 |
| Who can use the framework? | 誰がこのフレームワークを利用できるのか? |
| The framework is designed to assist you if you already have some familiarity with the legal framework and are responsible for making sure your organisation complies with data protection law. You could be senior management, the data protection officer, an internal compliance auditor or have records management or information security responsibilities. | このフレームワークは、すでに法的枠組みをある程度理解し、組織がデータ保護法を遵守していることを確認する責任を負っている方を支援するために設計されている。上級管理職、データ保護責任者、内部コンプライアンス監査人、あるいは記録管理や情報セキュリティの責任者などが考えられる。 |
| The framework is suitable for large businesses and organisations in the public, private and third sectors. It is not directly applicable to: | このフレームワークは、大企業や公共・民間・第三セクターの組織に適している。 |
| ・small businesses and organisations, who should use the resources on our web hub, such as the self-assessment toolkit; or | ・自己アセスメント・ツールキットなどウェブハブのリソースを利用すべき中小企業や組織、 |
| ・organisations processing personal information subject to Part 4 of the DPA 2018. | ・DPA 2018のPart 4の対象となる個人情報を処理する組織には直接適用されない。 |
| How do you use the framework? | フレームワークはどのように利用するのか? |
| The framework provides a useful starting point for you to assess and audit your privacy management. It is important to note it is not exhaustive and you need to comply with all aspects of data protection law that apply to you. Compliance is not about ticking boxes and you need to exercise your own judgement and use other relevant guidance and materials, including our guidance. | このフレームワークは、プライバシー管理をアセスメントし、監査するための有用な出発点を提供する。このフレームワークは網羅的なものではなく、適用されるデータ保護法のすべての側面に準拠する必要があることに留意することが重要である。コンプライアンスとは、ボックスにチェックを入れることではなく、あなた自身の判断力を発揮し、当社のガイダンスを含む他の関連ガイダンスや資料を利用する必要がある。 |
| You may decide to use the framework in different ways, for example: | 例えば、 |
| ・use it as a basis for creating a privacy management programme; | ・プライバシー管理プログラムを作成するための基礎として使用する、 |
| ・audit your existing practices against the ICO’s expectations; | ・ICOの期待に照らして既存の慣行を監査する、 |
| ・consider whether you could improve existing practices, perhaps in specific areas; | ・おそらく特定の分野において、既存の慣行を改善できるかどうかを検討する、 |
| ・record, track and report on progress; or | ・進捗状況を記録、追跡、報告する、 |
| ・increase senior management engagement and privacy awareness across your organisation. | ・組織全体の上級管理職の関与とプライバシー意識を高める、など。 |
| The framework focusses on nine distinct toolkits that we are likely to look at during an audit. | このフレームワークは、監査中に我々が見る可能性のある9つのツールキットに焦点を当てている。 |
| Each toolkit consists of: | 各ツールキットは、以下から構成される: |
| ・Some of our audit “control measures”. These are examples of measures that you should have in place to manage identified risks and ensure you are effectively complying with data protection law. While there are some measures that you must take, such as conducting a data protection impact assessment for high-risk processing, there isn’t a ‘one size fits all’ approach. | ・監査の「管理策」の一部。これらは、特定されたリスクを管理し、データ保護法を効果的に遵守していることを確認するために実施すべき対策の例である。リスクの高い処理についてはデータ保護影響アセスメントを実施するなど、必ず実施しなければならない対策もあるが、「これひとつですべて対応できる」というものではない。 |
| ・A list of ways in which you can meet our expectations in relation to each of the “control measures”. The toolkit lists the most likely ways to meet ICO expectations, but they are not exhaustive. You may meet our expectations in slightly different or unique ways. | ・各「管理策」に関する当社の期待に応えるための方法のリスト。ツールキットには、ICOの期待に応える最も可能性の高い方法が列挙されているが、網羅的なものではない。少し異なる、または独自の方法で当社の期待に応えることができるかもしれない。 |
| ・Additional options to consider based on examples of good practice we’ve seen during our audits. | ・監査中に見受けられた優れた実践例に基づき、検討すべき追加的なオプションがある。 |
| We suggest you start with the Accountability toolkit (formerly the Accountability framework) to assess your organisation’s accountability measures. This tookit supports the foundations of an effective privacy management programme. The other eight toolkits take a more in depth look into specific areas of data protection law and will allow you to audit your compliance in more detail. | 組織のアカウンタビリティ対策を評価するために、アカウンタビリティ・ツールキット(旧アカウンタビリティ・フレームワーク)から始めることを推奨する。このツールキットは、効果的なプライバシー管理プログラムの基礎をサポートする。他の8つのツールキットは、データ保護法の特定の分野をより深く掘り下げており、コンプライアンスをより詳細に監査することができる。 |
| To further help you audit, report and improve your data protection compliance, you can use our data protection audit trackers. The trackers are a downloadable version of each toolkit and they will help you conduct your own assessment of compliance, tracking actions you plan to take in areas needing improvement. | データ保護コンプライアンスの監査、報告、改善をさらに支援するために、当社のデータ保護監査トラッカーを使用することができる。このトラッカーは、各ツールキットのダウンロード可能なバージョンであり、コンプライアンスに関する独自のアセスメントを実施し、改善が必要な分野で実施する予定のアクションを追跡するのに役立つ。 |
| View the data protection audit framework toolkits | データ保護監査フレームワークのツールキットを見る |
ツールキット...
| Toolkits | ツールキット |
| Accountability | 説明責任 |
| This toolkit will help you better understand what you need to put in place for good corporate governance and how to achieve accountability in your organisation. | このツールキットは、優れたコーポレート・ガバナンスのために何を導入する必要があるのか、また組織で説明責任を果たすにはどうすればよいのかをよりよく理解するのに役立つ。 |
| Records management | 記録管理 |
| This toolkit will help you assess whether you have met the minimum standards for creating records and have effective mechanisms to locate and retrieve them. | このツールキットは、記録を作成するための最低標準を満たし、記録の所在を確認し、検索するための効果的な仕組みがあるかどうかを評価するのに役立つ。 |
| Information & cyber security | 情報およびサイバーセキュリティ |
| This toolkit provides you with a checklist that you can use, in addition to existing information and cyber security frameworks, to help when assessing the integrity, availability and security of your information. | このツールキットは、既存の情報およびサイバーセキュリティの枠組みに加えて、情報の完全性、可用性、およびセキュリティを評価する際に役立つチェックリストを提供する。 |
| Training and awareness | トレーニングおよび意識向上 |
| This toolkit sets out some of the issues to consider to ensure you deliver appropriate staff training throughout your organisation. | このツールキットは、組織全体で適切なスタッフ・トレーニングを実施するために考慮すべき事項をいくつか示している。 |
| Data sharing | データ共有 |
| This toolkit provides practical guidance about when and how you can share personal information. It complements our Data sharing code. | このツールキットは、個人情報をいつ、どのように共有できるかについての実践的なガイダンスを提供する。このツールキットは、データ共有規約を補完するものである。 |
| Requests for data | データへの対応 |
| This toolkit will help you understand what measures you should have in place to respond to requests for access, commonly referred to as subject access requests, effectively and in a timely manner. | このツールキットは、アクセス要求(一般にデータ対象者アクセス要求と呼ばれる) に効果的かつタイムリーに対応するために、どのような手段を講じるべきかを理解 するのに役立つ。 |
| Personal data breach management | 個人データ漏えい管理 |
| This toolkit will help you put measures in place to detect and prevent a personal data breach. | このツールキットは、個人データ漏えいを検知し、防止するための対策を講じるのに役立つ。 |
| Artificial intelligence | 人工知能 |
| This toolkit will help you understand and address the basic principles of data protection in the context of your AI, whether as a developer or deployer of the system. It complements our AI guidance and risk toolkit. | このツールキットは、システムの開発者であれ配備者であれ、AIの文脈におけるデータ保護の基本原則を理解し、対処するのに役立つ。当社のAIガイダンスおよびリスクツールキットを補完するものである。 |
| Age appropriate design | Age appropriate design |
| This toolkit will help you assess whether you are complying with your obligations under data protection law to protect children’s information online. It complements our Age appropriate design code. | このツールキットは、データ保護法の下でオンライン上の子供の情報を保護する義務を遵守しているかどうかを評価するのに役立つ。このツールキットは、当社のAge appropriate design codeを補完するものである。 |
監査フレームワークトラッカー
・Data protection audit framework trackers
| Data protection audit framework trackers | データ保護監査フレームワークトラッカー |
| Once you have read each toolkit, use our audit trackers to assess your procedures and the risks to people’s personal information. You can record more detail and create an action plan to track your progress over time. | 各ツールキットを読んだら、監査トラッカーを使って、あなたの手順と人々の個人情報に対するリスクを評価しよう。より詳細な情報を記録し、行動計画を作成して、長期的な進捗状況を追跡することができる。 |
| Click on the links below to download and save your own version. | 以下のリンクをクリックし、自分のバージョンをダウンロードして保存する。 |
| Accountability | 説明責任 |
| Accountability tracker | 説明責任トラッカー |
| Records management | 記録管理 |
| Records management tracker | 記録管理トラッカー |
| Information & cyber security | 情報とサイバーセキュリティ |
| Information and cyber security checklist tracker | 情報およびサイバーセキュリティのチェックリストトラッカー |
| Training and awareness | 意識向上およびトレーニング |
| Training and awareness tracker | 意識向上およびトレーニング tracker |
| Data sharing | データ共有 |
| Data sharing tracker | データ共有トラッカー |
| Requests for data | データの要求 |
| Requests for access tracker | アクセスの要求 トラッカー |
| Personal data breach management | 個人データ漏えい管理 |
| Personal data breach management tracker | 個人データ漏えい管理トラッカー |
| Artificial intelligence | 人工知能 |
| Artificial intelligence tracker | 人工知能トラッカー |
| Age appropriate design | 年齢に応じた設計 |
| Age appropriate design tracker | 年齢に応じた設計トラッカー |
ケーススタディー
関連資料
監査ガイド...
| Data protection audits guide | データ保護監査ガイド |
 |
|
| Artificial Intelligence Audits guide | 人工知能監査ガイド |
 |
|
| Age Appropriate Design Code audits guide | 年齢適正設計規範監査ガイド |
 |
|
« 米国 NIST IR 8539 (初公開ドラフト)遷移モデルによるセキュリティ特性の検証 | Main | 米国 商務省 人工知能安全研究所 ケムバイオAIモデルの責任ある開発と使用に関する情報提供要請 (2024.10.04) »
Comments