« 欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書(2024)(2024.12.03) | Main | 欧州連合理事会 サイバーセキュリティ強化に向けENISAの権限の強化を承認 (2024.12.06) »

2024.12.10

英国 個人データ保護 政府機関等のデータ保護の遵守を促し、問題が生じたときにどう対応すべきかを検討するための試行の結果についての報告

こんにちは、丸山満彦です。

英国の個人データ保護機関であるICOが、2022年に開始した政府機関等の公共部門のデータ保護の遵守を促し、被害を未然に防ぎ、問題が生じたときにどう対応すべきかを検討するための試行についての報告を公表していますね...

違反が生じた場合の罰則については

  • 罰金 (fine)
  • 警告 (warnings)
  • 懲戒 (reprimands)
  • 執行通知 (enforcement notices)

という手段がとれるようですね。民間企業だと罰金により株主利益が減ることが、経営者(執行者)にとって望ましくないことなので、罰金は違反に対する抑止効果として働くことになりますが、利益を追求していない政府機関等であれば、罰金は民間企業ほど抑止効果として高くないことになりますね。

とはいえ、国防省北アイルランド警察には罰金を科したようです(民間に比べるとはるかに低額ですが...)

ちなみに執行については、こちらのウェブページにまとめられています(労働党選挙管理委員会も含めて幅広く公表されています。。。)...

U.K. Inofrmation Commissioner's Office; ICO - Enforcement action

ということで、Warnings、Reprimands、Enforcement noteicesなどの手段がとられることになると思うのですが、どの程度の罰則を与えるべきかというのは、執行の公平性等を考えると難しい問題なのかもしれません...

日本の個人情報保護委員会に比べると違反の時にとれる選択肢が広いので、適切な対応により、より効果的な執行に繋げることができそうですね...

日本の制度とは異なるので、限定されるかもしれませんが、参考になる部分はあるでしょうね。また、これから日本の個人情報保護委員会も公共部門に対する監督を強化する必要もありそうですからね(3年の見直しをしていますが、次の課題としてAI等による自動決定という問題がありますからね... それは民間よりも政府機関、特に捜査権限をもっている機関に対して重要となってきますからね...)

 

U.K. Inofrmation Commissioner's Office; ICO

・2024.12.09 Statement on the public sector approach

Statement on the pubulic sector approach 公共部門のアプローチに関する声明
John Edwards, UK Information Commissioner, on the public sector approach: 英国情報コミッショナー、ジョン・エドワーズが公共部門のアプローチについて語った:
Two years ago, I set out my vision of working more effectively with public authorities across the UK so they could better protect people’s information, while transforming public services and improving outcomes for their communities. 2年前、私は、公共サービスを変革し、地域社会の成果を改善する一方で、人々の情報をよりよく保護できるよう、英国全土の公共機関とより効果的に協力するというビジョンを示した。
I introduced a two-year trial of an approach where we would work proactively with senior leaders across the public sector to encourage data protection compliance, prevent harms before they occur and learn lessons when things have gone wrong. I wanted my office to be part of the conversations early on, instead of being on the outside looking in. 私は、公共部門全体のシニア・リーダーと積極的に協力し、データ保護の遵守を促し、被害が発生する前に予防し、問題が発生した場合には教訓を学ぶというアプローチを2年間試行することを提案した。私は、私のオフィスが外から見ているのではなく、早い段階から話し合いに加わることを望んだ。
The trial would also see a greater use of my discretion when it came to fines. In practice, that meant we would increase the use of my wider powers, including warnings, reprimands and enforcement notices, with fines only issued when necessary. That’s so victims of a data breach are not being punished twice in the form of reduced budgets for vital public services. この裁判では、罰金に関しても私の裁量がより大きく行使されることになる。実際には、警告、譴責、執行通告など、私の幅広い権限の行使を増やし、罰金は必要な場合にのみ科すということだ。データ漏洩の被害者が、重要な公共サービスの予算削減という形で二重に罰せられることがないようにするためだ。
As the trial progressed, I have been conscious of the diversity of opinion on the approach and its impact. That’s why it was important that we reviewed the trial to gain insight into the outcomes and learn from it before deciding on next steps. 裁判が進むにつれて、私はこのアプローチとその影響に関する意見の多様性を意識してきた。だからこそ、次のステップを決める前に、試験結果を検証し、そこから学ぶことが重要だったのだ。
Impact of the public sector approach 公共部門のアプローチの影響
Published today, the review of the two-year trial shows the public sector approach has had an impact, with some notable achievements, areas with more to do, unexpected challenges and unintended consequences. 本日発表された2年間のトライアルのレビューによれば、公的セクターのアプローチは、いくつかの顕著な成果、さらにやるべきこと、予期せぬ課題、意図せざる結果とともに、影響を及ぼした。
There is clear evidence from the review of how regulation happens across a spectrum, backed up by policy theory but also different approaches taken by international data protection authorities. Rather than being one definitive action, regulation is a series of activities such as guidance, engagement, public campaigning and enforcement, which can work together to drive change. Fines have their place, but so do other ways of regulating. Different incentives and disincentives work in different ways in different sectors of the economy. レビューからは、政策理論に裏打ちされた、また国際的なデータ保護当局によって取られた様々なアプローチによって、規制がどのように行われたかという明確な証拠が得られた。規制は一つの決定的な行動であるよりも、ガイダンス、エンゲージメント、パブリックキャンペーン、エンフォースメントといった一連の活動であり、それらが連携して変化を促すことができる。制裁金にはそれなりの意味があるが、他の規制方法もある。インセンティブとディスインセンティブは、経済セクターによって異なる働きをする。
During the trial period we decided to start publishing reprimands on our website, with around 60 reprimands issued to public bodies. We've seen significant changes made by organisations following a reprimand. From a local council updating its procedures to prevent inappropriate disclosure of children’s information and an NHS Trust stopping sending bulk emails with sensitive information; to an advisory body improving its security measures to prevent unlawful access and a hospital implementing a decommissioning policy so personal details wouldn’t be lost when filing systems were terminated. 試行期間中、私たちはウェブサイト上で譴責処分の公表を開始することを決定し、公共団体に約60件の譴責処分を下した。譴責処分を受けた組織は大きな変化を遂げた。児童情報の不適切な開示を防止するために手続きを更新した地方議会や、機密情報を記載した大量の電子メールの送信を停止したNHSトラストから、不正アクセスを防止するためにセキュリティ対策を改善した諮問機関や、ファイリングシステムの廃止時に個人情報が失われないように廃止ポリシーを導入した病院まで、様々な組織がある。
Feedback from the review said that public authorities saw the publication of reprimands as effective deterrents, mainly due to reputational damage and potential impact on public trust, and how they can be used to capture the attention of senior leaders. Central government departments cited increased engagement and positive changes on the back of reprimands, particularly with our regular interaction with the government’s Chief Operation Officers Network. But wider public sector organisations displayed limited awareness, which means we must do more to share best practice and lessons learned. レビューからのフィードバックによると、公的機関は譴責処分の公表を効果的な抑止力として捉えており、その主な理由は風評被害と社会的信頼への潜在的影響、そして上級指導者の注目を集めるために譴責処分の公表を利用できることであった。政府の中央省庁は、譴責処分をきっかけに、特に政府の最高業務責任者ネットワーク(Chief Operation Officers Network)との定期的な交流により、関与が増え、前向きな変化が見られたと述べている。しかし、公共部門のより広範な組織においては、その意識は限定的であり、ベストプラクティスや教訓を共有するためにもっと努力しなければならない。
While reprimands had an impact, we also used our other regulatory tools when needed, such as issuing an enforcement notice to the Home Office and fining the Ministry of Defence and Police Service of Northern Ireland for breaking data protection law. If the public sector approach had not been applied, the fines could have reached £23.2m, instead of £1.2m. The review showed that central government and wider public sector echoed the sentiment around the impact of fines on frontline services, and how it disproportionately affects the budget of smaller organisations and devolved administrations. 譴責処分は影響を与えたが、我々は必要に応じて他の規制手段も用いた。例えば、データ保護法違反で内務省に執行通知を出したり、国防省と北アイルランド警察に罰金を科したりした。公共部門のアプローチが適用されていなければ、罰金は120万ポンドではなく、2320万ポンドに達していた可能性がある。レビューによると、中央政府と公共部門は、罰金が最前線のサービスに与える影響や、それが小規模組織や分権行政機関の予算に不釣り合いな影響を与えることについて、同じ意見を持っていた。
The review also highlighted potential areas for improvement, specifically how we should make clearer which organisations fall within the scope of the public sector approach and what type of infringements could lead to a fine. It also showed there is more work to be done to reach wider public sector organisations and deliver targeted interventions. また、改善すべき点として、どのような組織が公共部門アプローチの適用範囲に含まれるのか、またどのような違反が罰金につながるのかをより明確にする必要があることも指摘された。また、より広範な公共部門組織に働きかけ、的を絞った介入を実施するためには、もっとやるべきことがあることも示された。
You can read the full review report here. レビュー報告書の全文はこちらで読むことができる。
Next steps 次のステップへ
Reflecting on the past two years and based on the evidence from the review, I have decided to continue with the public sector approach. But I also have listened to the feedback and will provide greater clarity on its parameters. この2年間を振り返り、レビューから得られた証拠に基づき、私は公共部門のアプローチを継続することを決定した。しかし、フィードバックに耳を傾け、そのパラメーターをより明確にするつもりだ。
That’s why I’m launching a consultation on the scope of the approach and the factors and circumstances that would make it appropriate to issue a fine to a public authority. You can read more about it and respond to our consultation on our website by 31 January 2025. We will use the input received to inform and finalise our approach. そのため、私はこのアプローチの範囲と、公的機関に罰金を科すことが適切となる要因や状況について協議を開始する。2025年1月31日までに、当協議についての詳細をお読みいただき、当協議にご回答いただきたい。私たちは、寄せられた意見をもとに、私たちのアプローチに情報を提供し、最終決定する。
I’m also committed to improve our engagement beyond central government and to ensure that senior leaders are taking accountability for their role in achieving greater data protection compliance. I expect to see more investment of time and resources in protecting people’s information, and I have been assured by the Permanent Secretary of DSIT, on behalf of Whitehall leaders, that they are committed to continuing our engagement on the approach. また、中央政府以外とのエンゲージメントを改善し、上級指導者がデータ保護コンプライアンス強化のために果たすべき役割について説明責任を果たすよう尽力する所存である。私は、人々の情報を保護するために、より多くの時間と資源が投資されることを期待しており、ホワイトホールのリーダーを代表して、DSITの事務次官から、彼らがこのアプローチに関する私たちの関与を継続することを確約していると聞いている。
As we have done with the trial, we will keep the public sector approach under review, and I will reconsider it if necessary. 今回の試験と同様、公共部門のアプローチについても検討し、必要であれば再考するつもりである。

 

 

Post-implementation review: Public sector approach trial – September 2024

Post-implementation review: Public sector approach trial – September 2024 実施後のレビュー パブリック・セクター・アプローチの試行 - 2024年9月
The ICO announced a two-year trial of a revised approach to working with and regulating public organisations in June 2022, which we call the ‘Public Sector Approach’ (PSA). To assist in understanding both impact and learning from the trial, a monitoring and review plan was established that included a post-implementation review. ICOは2022年6月、公的組織との協働と規制のための改訂アプローチを2年間試行すると発表した。試行からの影響と学習の両方を理解するために、実施後のレビューを含む監視・レビュー計画が策定された。
The purpose of the post-implementation review report is to present robust evidence on impact and learning from the trial to inform the ICO’s future decisions on regulating public organisations. The overall approach to the review has been theory based and employed mixed methods. This resulted in a broad evidence base to underpin the review’s findings, but one that also presented some challenges which should be kept in mind when considering the findings. 実施後のレビュー報告書の目的は、公的組織の規制に関するICOの将来の決定に情報を提供するために、試験からの影響と学習に関する確実な証拠を提示することである。レビューの全体的なアプローチは理論に基づいており、混合法を採用している。その結果、レビューの発見を裏付ける広範な証拠ベースが得られたが、発見を検討する際に留意すべき課題も提示された。
The evidence presented in the review shows that the PSA was an ambitious and challenging trial to deliver over two years with a limited lead-in time. The trial's outcome wasn't a straightforward success or failure. Instead, it was mixed with notable achievements, areas with more to do, unexpected challenges, and unintended consequences. レビューで示された証拠から、PSAは野心的で困難な試験であり、2年間という限られた準備期間で実施されたことがわかる。試験の結果は、単純な成功でも失敗でもなかった。それどころか、注目すべき成果や、もっとやるべきことがある分野、予期せぬ課題、意図しない結果などが混在していた。

 

 

科学技術革新省 (Department for Science, Innovation and Technology; DTSI) の事務次官のコメント

「ICOのこの試行について感謝をし、今後の勧告(recommendations)を楽しみにしています!」だそうです。そして、それをしれーっとウェブサイトに載せるICO (^^)

ロンドンも京都に似たところがあるからなぁ...深読みしすぎか (^^;;

(科学技術革新省 事務次官)

I look forward to the outcome of the consultations and any future recommendations made by the Commissioner. I would lastly like to thank the ICO for their continued support and pragmatic approach to enforcing the UK’s data protection legislation in respect of public sector organisations. コミッショナーはん、いろいろとアドバイスいただいたみたいやね。これからもいろいろと勧告を出してくれはるみたいやし、楽しみにしときますわ。公共部門組織に対する私らのデータ保護法の施行に対する、おたくのいつもの支援と確認に感謝やわ。おおきに。

(ICO)

あら、科学技術革新省の事務次官はんから、えらいお褒めのお言葉もらったわ。せっかくやし、ウェブにでものせとこかしらね。。。

 

さて、

・2024.12.09 Statement on the public sector approach from the Permanent Secretary of DSIT

Statement on the public sector approach from the Permanent Secretary of DSIT 科学技術革新省(DSIT)事務次官の公共部門アプローチに関する声明
Statement on the ICO public sector approach from the Permanent Secretary of the Department for Science, Innovation and Technology (DSIT) on behalf of Whitehall leaders: ホワイトホールのリーダーを代表して、科学技術革新省(DSIT)の事務次官がICOの公共部門アプローチに関する声明を発表した:
The Information Commissioner has set out the outcome of his two-year trial of a new approach to regulating public sector organisations. His review notes the positive impact this has had in protecting personal data and highlighting some key challenges going forward. Considering the evidence, he has decided to continue with the public sector approach and keep it under review for the foreseeable future. 情報コミッショナーは、公共部門組織を規制するための新しいアプローチを2年間試行した結果を発表した。彼のレビューでは、これが個人データの保護にプラスの効果をもたらしたことを指摘し、今後のいくつかの重要な課題を浮き彫りにしている。エビデンスを考慮し、彼は公共部門のアプローチを継続し、当分の間見直すことを決定した。
I welcome the results of the trial and its findings and the positive conclusions it provides. These highlight how the ICO’s regulatory activities can deter bad practice, whilst at the same time support the government in its ambitions to transform public service and drive positive outcomes for communities. 私は、この裁判の結果とその所見、そして前向きな結論を歓迎する。これらは、ICOの規制活動がいかに悪しき慣行を抑止し、同時に公共サービスを変革し、地域社会にとってプラスとなる成果を推進するという政府の野望を支援できるかを浮き彫りにするものである。
As the ICO’s sponsoring department within Government and on behalf of Whitehall leaders, DSIT would like to state its continued support to increase awareness of best practice and promote compliance across government departments. We will continue to engage with the ICO at a senior level in support of this initiative. 政府におけるICOのスポンサー部門として、またホワイトホールのリーダーを代表して、DSITは、ベストプラクティスに対する認識を高め、政府部門全体のコンプライアンスを促進するために、引き続き支援することを表明したい。我々は、このイニシアチブを支援するため、引き続きICOと上級レベルで関わっていく。
I look forward to the outcome of the consultations and any future recommendations made by the Commissioner. I would lastly like to thank the ICO for their continued support and pragmatic approach to enforcing the UK’s data protection legislation in respect of public sector organisations. 協議の結果と、コミッショナーによる今後の勧告を楽しみにしている。最後に、公共部門組織に関する英国のデータ保護法の施行に対するICOの継続的な支援と実際的なアプローチに感謝したい。

 

 

報告書はこちら...

 

・[PDF] PSA Post-Implementation Review Report

本文...

20241210-52754

 

目次...

Executive summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Background 1.1. 背景
1.2. Review of the trial approach 1.2. 試行アプローチのレビュー
1.3. Purpose and structure of this report 1.3. 本報告書の目的と構成
2. Review methodology and evidence 2. レビュー方法と証拠
2.1. Research methods and evidence base 2.1. 調査方法と根拠
2.2. Challenges with measuring the impact of the PSA 2.2. PSAの影響測定の課題
3. Theory and policy context 3. 理論と政策背景
3.1. Theoretical context for the PSA 3.1. PSAの理論的背景
3.2. UK policy context alignment 3.2. 英国の政策的背景
3.3. Trends in DP complaints and personal data breach reports 3.3. DP苦情と個人データ漏えい報告の傾向
3.4. International perspective to regulating the public sector 3.4. 公共部門を規制する国際的視点
4. Putting the PSA into practice - process learning 4. PSAの実践-プロセス学習
4.1. Implementation of the PSA 4.1. PSAの実施
4.2. How the PSA was delivered and received externally 4.2. PSAの実施と外部からの評価
5. Upstream regulatory activities in focus 5. 上流の規制活動に焦点を当てる
5.1. Upstream in context 5.1. 上流の状況
5.2. Enabling lessons learned via the publication of reprimands 5.2. 譴責処分の公表を通じて教訓を得られるようにする
5.3. Enhanced upstream engagement activities 5.3. 上流部門でのエンゲージメント活動の強化
6. Downstream regulatory activities in focus 6. 下流の規制活動に焦点を当てる
6.1. Downstream in context 6.1. 下流の状況
6.2. Enforcement activity during the trial period 6.2. 試行期間中の取締り活動
6.3. Views on the use of monetary penalties in the public sector 6.3. 公的部門における金銭的罰則の使用に関する見解
6.4. Other impacts from limiting the use of fines 6.4. 罰金の使用制限によるその他の影響
7. Exploring the impact of the PSA 7. PSAの影響を探る
7.1. Levels of data protection knowledge and awareness 7.1. データ保護に関する知識と意識のレベル
7.2. Changes to data protection processes and procedures 7.2. データ保護プロセスと手順の変更
7.3. Impact on the status of data protection within the public sector 7.3. 公共部門におけるデータ保護の地位への影響
7.4. Perceptions of the ICO 7.4. ICOに対する認識
7.5. Impact constraints 7.5. 影響の制約
8. Review conclusion and learnings 8. 結論と学びの振り返り
8.1. Conclusion 8.1. 結論
8.2. Learning points for consideration 8.2. 考慮すべき学習ポイント

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
Purpose of the review and approach   見直しの目的とアプローチ  
The ICO announced a two-year trial of a revised approach to working with and regulating public organisations in June 2022, which in this report we call the ‘Public Sector Approach’ (PSA). Its objective was to work more effectively with these organisations to raise data protection standards and ultimately lead to better outcomes for UK citizens. The PSA saw the use of the Commissioner’s discretion to reduce the impact of fines on the public sector, coupled with increased engagement, including publicising lessons learned and sharing good practice. To assist in understanding both impact and learning from the trial, a monitoring and review plan was established.   ICOは2022年6月、公的組織との協働および公的組織に対する規制のアプローチを改訂する2年間の試行を発表したが、本報告書ではこれを「パブリック・セクター・アプローチ」(PSA)と呼ぶ。その目的は、これらの組織とより効果的に連携してデータ保護の標準を高め、最終的に英国市民にとってより良い結果をもたらすことであった。PSAでは、公共部門に対する罰金の影響を軽減するためにコミッショナーの裁量を活用し、教訓の公表やグッドプラクティスの共有を含む関与の強化が行われた。試行からの影響と教訓を理解するために、モニタリングとレビューの計画が策定された。 
The purpose of this post-implementation review report is to present robust evidence on impact and learning from the trial to inform the ICO’s future decisions on regulating public organisations. The ICO’s Economic Analysis directorate conducted the review. Although it was done internally, the team was not directly involved in the trial's development or implementation, ensuring objectivity. The overall approach to the review has been theory based and employed mixed methods. This resulted in a broad evidence base to underpin the review’s findings, but one that also presented some challenges which should be kept in mind when considering the findings.    この実施後のレビュー報告書の目的は、公的組織の規制に関するICOの将来の決定に情報を提供するために、試験からの影響と学習に関する確実な証拠を提示することである。ICOの経済分析部門がレビューを実施した。内部で行われたとはいえ、チームはトライアルの開発や実施に直接関与しておらず、客観性を確保している。レビューの全体的なアプローチは理論に基づき、混合法を採用した。その結果、レビュー結果を支える広範な証拠ベースが得られたが、調査結果を検討する際に留意すべき課題も提示された。  
The PSA is well aligned with theory, the UK policy context and international approaches; whilst trends in complaints and breach report data have limitations   PSAは理論、英国の政策状況、国際的なアプローチとよく整合しているが、一方で苦情や違反報告データの傾向には限界がある。 
The PSA is supported by alignment with the theoretical and policy context. The literature finds that fines are an effective regulatory deterrent but have limitations and are not the only tool for promoting compliance. Both monetary and non-monetary incentives play roles, especially in the public sector where motivations differ from the private sector.   PSAは、理論や政策的背景との整合性によって裏付けられている。文献によれば、罰金は効果的な規制抑止力であるが、限界があり、コンプライアンスを促進する唯一の手段ではない。金銭的インセンティブと非金銭的インセンティブの両方が、特に民間部門とは動機が異なる公共部門において、その役割を果たす。 
The PSA is aligned with UK government goals by promoting best practice for safe data sharing and reducing barriers to data-driven growth. Engaging with public sector organisations helps address perceived data protection barriers and ensures early involvement of the ICO, making data protection laws more enabling.  PSAは、安全なデータ共有のためのベストプラクティスを推進し、データ主導の成長への障壁を軽減することで、英国政府の目標と一致している。公共部門と協力することで、データ保護の障壁を認識し、ICOの早期関与が保証され、データ保護法がより有効になる。
Internationally, Data Protection Authorities (DPAs) follow a range of approaches to fining public sector organisations. Practice varies amongst European Economic Area (EEA) countries, with over a third imposing no fines, a third imposing reduced fines, and less than a third having no specific rules and applying the same approach to all. Outside of EAA, in other countries, DPAs follow a wide range of approaches on how they impose fines on the public sector, influenced by different legal frameworks and data protection regulations.  国際的には、データ保護認可局(DPA)は公共部門組織への罰金について様々なアプローチに従っている。欧州経済領域(EEA)諸国では、3分の1以上が制裁金なし、3分の1が制裁金減額、3分の1以下が特定の規則を設けず、すべてに同じアプローチを適用している。EAA以外の国々では、DPAが公的部門に制裁金を科す方法は、異なる法的枠組みやデータ保護規制の影響を受け、幅広いアプローチに従っている。
Further context for the PSA is provided by ICO data on complaints and personal data breach reports, although for a number of reasons there wasn’t an expectation of being able to attribute any trends in these data to the PSA. This proved to be the case.  PSAのさらなる背景として、苦情や個人データ漏えい報告に関するICOのデータがプロバイダに提供されているが、さまざまな理由から、これらのデータの傾向をPSAに反映させることは期待されていなかった。しかし、これは事実であった。
Reflecting on putting the PSA into practice highlighted novel actions and areas for improvement  PSAの実践を振り返ると、斬新な行動と改善点が浮き彫りになった。
Within the ICO, the implementation of the PSA received mixed feedback across different staff levels. Some saw challenges due to a lack of guidance and clear definitions, while others appreciated its flexibility which empowered staff to make decisions based on principles. It was felt that limited engagement with staff prior to introducing the PSA contributed towards misunderstandings early on, and a short lead-in time limited opportunities to consider potential issues and mitigations prior to implementation.  ICOでは、PSAの実施について、さまざまなレベルのスタッフからさまざまな意見が寄せられた。ガイダンスや明確な定義の欠如による課題を指摘する声もあれば、原則に基づいてスタッフが意思決定できる柔軟性を評価する声もあった。PSA導入前のスタッフとの関わりが限定的であったことが、初期段階での誤解の一因となり、導入までのリードタイムが短かったために、導入前に潜在的な問題や緩和策を検討する機会が限られてしまったと感じられた。
External awareness and understanding of the PSA has varied. Central government engagement took longer than anticipated to set up, but once established it drove greater awareness than in the wider public sector. During the trial period, external coverage was mostly neutral to positive. Some external commentators were critical of the PSA. However, critics of the PSA were divided: some found it too lax, while others believed it should have been applied to the private sector too.  PSAに対する外部からの認識と理解にはばらつきがあった。中央政府の関与は、設定に予想以上の時間を要したが、設定後は、より広い公共部門よりも高い認知度を推進した。試行期間中、外部からの報道はほとんど中立か肯定的であった。一部の外部コメンテーターはPSAに批判的であった。しかし、PSAに対する批判は賛否両論であった。PSAは甘すぎるとする意見もあれば、民間部門にも適用すべきだったとする意見もあった。
The PSA was perceived as innovative, and it was viewed as positive that the ICO was prepared to trial a different approach so openly. Equally, the approach to monitoring and reporting on the PSA from the outset was noted as novel from an ICO perspective.    PSAは革新的と受け止められ、ICOが異なるアプローチを公然と試行する用意があったことは肯定的に受け止められた。同様に、当初からPSAをモニタリングし、報告するというアプローチは、ICOの観点からは斬新であると指摘された。  
Upstream activities have driven change, though this was limited to central government  上流の活動が変化を促したが、これは中央政府に限られていた。
Awareness of published reprimands and the PSA varied significantly across the public sector, with central government data protection officers (DPOs) being the most aware due to targeted ICO engagement. However, accessibility and presentation of reprimands were seen as areas needing improvement.  公表された譴責処分とPSAのガバナンスは公共部門によって大きく異なり、中央政府のデータ保護責任者(DPO)はICOの標的を絞ったエンゲージメントにより最もよく認知されていた。しかし、譴責処分へのアクセスしやすさ、譴責処分の提示方法については改善が必要であると考えられている。
Published reprimands were seen as effective deterrents, mainly due to reputational damage, and helped DPOs capture senior leaders' attention. Reprimands were generally viewed as useful for raising data protection standards by sharing best practices and lessons learned, with central government departments citing positive changes and wider effects. However, awareness of reprimands was limited in the broader public sector.  公表された譴責処分は、主に風評被害による効果的な抑止力であると考えられており、DPOが上級幹部の注意を引くのに役立った。譴責は、ベストプラクティスや教訓を共有することでデータ保護の標準を高めるのに役立つと一般に見なされており、中央政府の部局は前向きな変化とより広範な効果を挙げている。しかし、より広範な公共部門では、譴責に対する認識は限定的であった。
The ICO's increased engagement during the trial was acknowledged. Published reprimands were seen as a useful regulatory tool for raising standards of data protection, through sharing best practice and lessons learned. Central government departments provided examples of this learning, driving change and having wider ripple effects. However, driving change relies on organisations’ awareness of published reprimands which remained limited across the wider public sector.  ICOが試験期間中に関与を強めたことは評価された。公表された譴責処分は、ベストプラクティスや学んだ教訓を共有することで、データ保護の標準を高めるための有用な規制手段であると考えられている。中央政府の省庁は、このような学習が変化を促し、より広範な波及効果をもたらしている例を示した。しかし、変革の推進は、公表された譴責処分に対する組織の認識にかかっており、公共部門全体では依然として限定的であった。
In terms of impact, around a third of respondents thought that increased engagement had improved data protection compliance, although the same proportion felt there had been no improvement. There was also evidence that upstream activities had raised the profile of data protection amongst senior leaders in central government, particularly the interaction with the Chief Operating Officers (COO) network. However, a recurring theme was that data protection is one of many competing priorities for senior leaders, making it challenging to get traction.  影響という点では、回答者の約3分の1が関与の増加によってデータ保護コンプライアンスが改善されたと考えているが、同じ割合の回答者は改善されていないと感じている。また、特に最高執行責任者(COO)ネットワークとの交流など、上流の活動によって中央政府の上級指導者の間でデータ保護の認知度が高まったという証拠もあった。しかし、繰り返されるテーマは、データ防御はシニアリーダーにとって競合する多くの優先事項の一つであり、牽引力を得るのは困難であるということであった。
Reduced impact of fines coupled with a notable increase in reprimands, but more to do  罰金の影響は減少し、譴責処分は顕著に増加したが、やるべきことはまだある 
During the trial period, approximately 77 reprimands were issued, with 80% targeting the public sector. This marked a significant shift in the ICO’s enforcement activity, with a 54% increase in reprimands compared to the previous two-year period. However, the use of other powers like Enforcement Notices and warnings has been limited to date.  試行期間中、約77件の譴責処分が下され、その80%が公共部門を対象としていた。これはICOのエンフォースメント活動に大きな変化をもたらし、譴責処分は2年前と比べて54%増加した。しかし、執行通知や警告といった他の権限の使用はこれまで限定的であった。
Four monetary penalty notices with fines totalling £1.2 million were issued to public organisations during the trial. Without the PSA and the associated increased use of reprimands, fines could have reached £23.2 million, indicating an estimated £22 million difference due to the PSA. There was widespread agreement in the public sector that fines reduce budgets for public services, leading to support for a different regulatory approach, especially among central government DPOs. The wider public sector echoed this sentiment, noting the direct impact of fines on frontline services and disproportionate effects on smaller organisations and devolved administrations’ budgets.  試験期間中、公的機関に対し、罰金総額120万ポンドの金銭処罰通知が4通出された。PSAとそれに伴う譴責処分の増加がなければ、罰金額は2,320万ポンドに達していた可能性があり、PSAによる差は2,200万ポンドと推定される。罰金によって公共サービスの予算が削減されるという点で、特に中央政府のDPOの間で、異なる規制アプローチを支持する意見が政府内で広まった。公共部門全体もこの意見に賛同し、罰金が最前線のサービスに直接的な影響を与えること、小規模組織や分権行政機関の予算に不釣り合いな影響を与えることを指摘した。
However, feedback from some organisations in the wider public sector, including local authorities, was more negative about impact of the PSA. Several DPOs noted that it had made it more challenging to make the case for resources or maintain an interest in compliance with a more limited threat of fines.  しかし、地方自治体を含む公共部門の一部の組織からは、PSAの影響に否定的な意見もあった。いくつかのDPOは、罰金の脅威がより限定的になったことで、リソースの確保やコンプライアンスへの関心を維持することがより困難になったと指摘している。
Published reprimands a catalyst for change for some, but lack of clarity sees de-prioritisation for others  譴責処分の公表が変化のきっかけとなる者もいれば、明確性の欠如から優先順位が下がる者もいる。
The impact of the PSA on knowledge and awareness was mixed, but overall sentiment was positive. Data protection professionals, who were the majority of those surveyed, rated their existing knowledge highly. Despite this, the PSA facilitated information and knowledge transfer, with nearly half of central government DPOs reporting new or improved processes due to the PSA. Published reprimands were often cited as catalysts for change, showing how upstream and downstream regulatory activities can synergise to drive improvements.  PSAが知識と意識に与えた影響はまちまちであったが、全体的には肯定的であった。調査対象者の大多数を占めるデータ保護の専門家は、既存の知識を高く評価している。このような状況にもかかわらず、PSAは情報や知識の移転を促進し、中央政府のDPOの半数近くが、PSAのおかげで新たなプロセスや改善されたプロセスを報告している。公表された譴責処分は、しばしば変化のきっかけとして挙げられ、上流と下流の規制活動がいかに相乗効果を発揮して改善を推進できるかを示している。
The impact of the PSA on the status of data protection varied between the wider public sector and central government, likely reflecting the central government focus of the targeted upstream activity. In the wider public sector, there were concerns about the reduced influence of data protection professionals due to a perceived low threat of ICO enforcement. Conversely, central government DPOs reported increased support from senior leadership and maintained or increased professional influence.  データ保護の状況に対する PSA の影響は、より広範な公共部門と中央政府との間で異なっており、これは上流の活動 の対象が中央政府に集中していることを反映していると思われる。より広範な公共部門では、ICOによる取締りの脅威が低いと認識されているため、データ保護の専門家の影響力が低下する懸念があった。ガバナンスとは逆に、中央政府のDPOは上級幹部からの支援が増加し、専門家としての影響力が維持または増加したと報告している。
The ICO’s reputation benefited from the PSA, being seen as more collaborative and proactive. However, some unintended effects in the wider public sector were highlighted resulting in the de-prioritisation of data protection issues in some instances. Some of these effects may have been exacerbated by a perceived lack of clarity at the outset of the PSA which led some parts of the public sector to believe that the ICO was no longer fining, or even regulating, public bodies. However, feedback received towards the end of the trial suggests this issue had been mitigated.  ICOの評判はPSAの恩恵を受け、より協力的で積極的と見なされるようになった。しかし、より広範な公共部門において、データ保護問題の優先順位が下がるという意図せざる影響も見受けられた。このような影響の一部は、公共部門の一部がICOはもはや公的団体に罰則を科すことも、規制することもないと考えるに至ったPSAの当初の明確性の欠如によって悪化した可能性がある。しかし、試験終了時に寄せられたフィードバックによると、この問題は緩和されたようだ。
Trial's outcome isn't a straightforward success or failure, instead, it involves multiple layers  トライアルの結果は、単純な成功や失敗ではなく、複数の層が関係している。
The evidence presented in this review shows that the PSA was an ambitious and challenging trial to deliver over two years with a limited lead-in time. The trial's outcome isn't a straightforward success or failure. Instead, it involves multiple layers: notable achievements, areas with more to do, unexpected challenges, and unintended consequences.  このレビューで提示された証拠から、PSAは、限られたリードタイムで2年間かけて実施された野心的で困難なトライアルであったことがわかる。試験の結果は、単純な成功とも失敗とも言えない。それどころか、特筆すべき成果、もっとやるべきことがある分野、予期せぬ課題、意図しない結果など、幾重にも重なっている。
Overall, the PSA has been impactful. It has driven changes that have increased data protection standards, albeit across a smaller population than anticipated. There is clear evidence of how upstream and downstream regulatory activities can work together to drive change. The PSA’s effect on the status of data protection varied, likely due to the central government focus of the targeted upstream activities.   全体として、PSAはインパクトがあった。予想より少ない人数ではあったが、データ保護標準を向上させる変化をもたらした。上流と下流の規制活動がどのように連携して変化を促すことができるかを示す明確な証拠がある。PSAがデータ保護の状況に及ぼした効果は様々であったが、これはおそらく対象となった上流の活動が中央政府を中心としたものであったためであろう。 
The PSA was intended ‘not to be a one-way street’, with expectations of greater involvement from the public sector, including senior leaders, with investment of time, money and resources in ‘ensuring data protection practices remain fit for the future’. While engagement within central government has notably increased, clear evidence of financial and resource investment is less apparent. This reciprocal expectation is less applicable in the wider public sector due to the lack of targeted engagement.  PSAは「一方通行ではない」ことを意図しており、「データ保護の慣行が将来に適合し続ける」ための時間、資金、リソースの投資とともに、シニアリーダーを含む公共部門からのより大きな関与が期待されていた。中央政府内の関与は顕著に増加しているが、財政的・資源的投資の明確な証拠はあまり見られない。このような相互的な期待は、対象を絞ったエンゲージメントが欠如しているため、より広範な公共部門ではあまり当てはまらない。

 

序文...

1. Introduction   1. 序文 
1.1. Background   1.1. 背景 
In June 2022 the ICO announced[1] and explained[2] a two-year trial of a revised approach to working with and regulating public organisations which in this report we call the ‘Public Sector Approach’ (PSA). The objective was to work more effectively with these organisations to raise data protection (DP) standards and ultimately lead to better outcomes for UK citizens. The PSA has seen use of the Commissioner’s discretion to reduce the impact of fines on the public sector, coupled with increased engagement, including publicising lessons learned and sharing good practice. In June 2024, the two-year trial concluded and the ICO announced[3] that it would review the learning from the trial before making a decision on its future public sector regulatory approach.  2022年6月、ICOは公的組織との協働と規制のあり方を見直す2年間の試行を発表[1]し、説明[2]した。その目的は、データ保護(DP)の標準を高め、最終的に英国市民にとってより良い結果をもたらすために、これらの組織とより効果的に協働することであった。PSAでは、公共部門に対する罰金の影響を軽減するためにコミッショナーの裁量を活用し、教訓の公表やグッドプラクティスの共有などのエンゲージメントを強化してきた。2024年6月、2年間の試行は終了し、ICOは試行から得られた教訓を検討した上で、今後の公共部門の規制手法を決定すると発表した[3]
1.2. Review of the trial approach   1.2. 試行アプローチのレビュー 
To assist in understanding both the impact and learning from the trial period, a monitoring and review plan was established in conjunction with the launch and implementation of the trial. The plan was underpinned by a theory of change approach and HM Treasury principles (as set out in the Green[4] and Magenta[5] Books) and in line with the ICO’s Ex-Post Impact Framework.[6]    試行期間からの影響と学習の両方を理解するために、試行の開始と実施に合わせてモニタリングとレビューの計画が策定された。この計画は、変化理論アプローチとHM Treasuryの原則(グリーンブック[4]およびマゼンタブック[5]に記載されている)に支えられ、ICOの事後影響フレームワーク[6]に沿ったものである。 
The overall purpose of the review is to gain insight into the outcomes and impacts of the trial and assess both the trial itself and the process through which it was delivered. The overall approach to the review has been theory based and employed mixed methods (see Section 2.1 for details of these methods). There were several challenges to measuring the impact of the PSA (see Section 2.2), which should be kept in mind when considering the evidence and findings presented.    レビューの全体的な目的は、トライアルの結果と影響を洞察し、トライアル自体とそれが実施されたプロセスの両方を評価することである。レビューの全体的なアプローチは理論に基づいており、混合法を採用している(これらの方法の詳細についてはセクション2.1を参照)。PSAの影響を測定するにはいくつかの課題があり(セクション2.2参照)、提示されたエビデンスと所見を検討する際には、この点に留意する必要がある。 
Key aspects of the monitoring and review plan included:   モニタリング・レビュー計画の主な内容は以下のとおりである: 
• A series of quarterly monitoring reports which set out the emerging evidence and sought to identify trends and points of note from a range of evidence activities.  - 四半期ごとのモニタリング報告書を作成し、新たなエビデンスを示すとともに、さまざまなエビデンス活動から傾向や留意点を明らかにした。
• This post-implementation review report, which brings together and analyses all of the (quantitative and qualitative) evidence streams with reference to the theory of change for the PSA, and presents key insights on impact and thematic learning from implementation of the trial period.  - この実施後レビュー報告書は、PSAの変化理論に基づき、すべての(量的・質的)エビデンスの流れをまとめ、分析したもので、試行期間の実施から得られた影響とテーマ別の学習に関する重要な洞察を示している。
The review has been undertaken by the ICO’s Economic Analysis directorate. Whilst it’s recognised that this is an internally delivered review, the team were not directly involved in the development or implementation of the trial itself, which helps provide objectivity.   このレビューはICOの経済分析部門が担当した。これは社内で実施されたレビューであるが、チームはトライアル自体の開発や実施に直接関与していないため、客観性を確保するのに役立っている。 
1.3. Purpose and structure of this report   1.3. 本報告書の目的と構成 
The purpose of this report is to present robust evidence on impact and learning from the trial to inform the ICO’s future decisions on regulating public organisations. It is structured as follows:  本報告書の目的は、公的組織の規制に関するICOの将来の決定に情報を提供するため、試験からの影響と学習に関する確固たる証拠を提示することである。本報告書の構成は以下の通りである: 
• Chapter 2 sets out the methodology and sources of evidence for the review;  - 第2章では、レビューの方法論とエビデンスの情報源について述べている; 
• Chapter 3 provides the theoretical and policy context, including international benchmarking;  - 第3章では、国際的なベンチマークを含む、理論的・政策的背景をプロバイダが説明する; 
• Chapter 4 explains the process learnings we have found;  - 第4章では、我々が発見したプロセス学習について説明している; 
• Chapter 5 describes upstream engagement activities and outcomes;  - 第5章では、上流のエンゲージメント活動とその成果について述べている; 
• Chapter 6 describes downstream regulatory activities and outcomes;  - 第6章では、下流の規制活動とその成果について述べている; 
• Chapter 7 explores the aggregate level impacts of the PSA; and  - 第7章では、PSAの総体レベルでの影響を探る。
• Chapter 8 provides the conclusion and learning points for consideration.   - 第8章は、結論と考察のための学習ポイントを提供する。 
The report is supported by a series of annexes in a separate document:  本報告書は、別冊の一連の附属書によってサポートされている: 
• A: review approach and methodology;  - A:レビューのアプローチと方法論 
• B: public sector complaints and data breach report trends;  - B:公共部門の苦情およびデータ侵害報告書の傾向; 
• C: evidence from international DPAs;  - C: 国際的なDPAのエビデンス、
• D: central government DPO survey; and  - D: 中央政府のDPO調査、E: ケーススタディ。
• E: case studies.   - E:ケーススタディ 
A note on terminology   用語に関する注記 
Throughout this report we use the term Public Sector Approach, or PSA, to refer to the ICO’s approach to data protection regulation for public organisations over the trial period June 2022 to June 2024.  本報告書では、2022 年 6 月から 2024 年 6 月までの試行期間中、公的組織に対するデータ保護規制に対する ICO のアプローチを指すために、PSA(Public Sector Approach)という用語を使用する。
Every effort has been made to ensure that the information contained in this report is correct at the time of writing.  本報告書に含まれる情報が執筆時点で正しいことを確認するためにあらゆる努力を払った。



[1] ICO (2022) Open letter from UK Information Commissioner John Edwards to public authorities. Available at: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/06/open-letterfrom-uk-information-commissioner-john-edwards-to-public-authorities/ [Accessed: 18 September 2024].


[2] ICO (2022) ICO sets out revised approach to public sector enforcement. Available at:
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/06/ico-sets-out-revisedapproach-to-public-sector-enforcement/ [Accessed: 18 September 2024]. 


[3] ICO (2024) ICO statement on its public sector approach trial. Available at: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/06/ico-statement-on-itspublic-sector-approach-trial/ [Accessed: 18 September 2024].


[4] HM Treasury (2022) The Green Book. Available at: https://www.gov.uk/government/publications/the-green-book-appraisal-and-evaluation-in-centralgovernment/the-green-book-2020 [Accessed: 18 September 2024].


[5] HM Treasury (2020) The Magenta Book. Available at: https://www.gov.uk/government/publications/the-magenta-book [Accessed: 18 September 2024].


[6] ICO (2024) The ICO’s Ex-Post Impact Framework. Available at: https://ico.org.uk/about-theico/our-information/measuring-our-impact/ [Accessed: 18 September 2024].

 

 

|

« 欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書(2024)(2024.12.03) | Main | 欧州連合理事会 サイバーセキュリティ強化に向けENISAの権限の強化を承認 (2024.12.06) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書(2024)(2024.12.03) | Main | 欧州連合理事会 サイバーセキュリティ強化に向けENISAの権限の強化を承認 (2024.12.06) »