英国 ICO 匿名化ガイダンス (2025.03.28)
こんにちは、丸山満彦です。
GDPRと同等と評価されている、UK-GDPRの新しいガイダンスとして、匿名化ガイダンスが公表されていますね...
丁寧に説明されていてわかりやすいと思います...
ちなみに、ICOのUK-GDPRに関するガイダンスは、数多く発行されています...
| Subject access requests (also known as SARs or right of access) | 対象者アクセス要求(SARまたはアクセス権とも呼ばれる) |
| Individual rights - guidance and resources | 個人の権利 - ガイダンスとリソース |
| Lawful basis | 法的根拠 |
| Controllers and processors | 管理者と処理者 |
| International transfers | 国際的なデータ移転 |
| Security, including cyber security | サイバーセキュリティを含むセキュリティ |
| Employment information | 雇用に関する情報 |
| Artificial intelligence | 人工知能 |
| Research provisions | 研究規定 |
| Online safety and data protection | オンライン安全とデータ保護 |
| Personal information - what is it? | 個人情報とは何か? |
| Data protection principles - guidance and resources | データ保護の原則 - ガイダンスとリソース |
| CCTV and video surveillance | CCTVとビデオ監視 |
| Accountability and governance | 説明責任とガバナンス |
| Exemptions | 適用除外 |
| Data sharing | データ共有 |
| Children's information | 子供の情報 |
| Designing products that protect privacy | プライバシーを保護する製品を設計する |
今回はデータ共有のガイドラインの一つとして公表されていますね...
● U.K. Information Commissoner's Office: ICO
・2025.03.28 Anonymisation
・2025.03.28 About this guidance
| Anonymisation | 匿名化 |
| About this guidance | 本ガイダンスについて |
| At a glance | 概要 |
| ・Anonymisation is a privacy-friendly way to harness the potential of data. | ・匿名化は、データの可能性を活用するためのプライバシーに配慮した方法である。 |
| ・Anonymising personal data is possible in many circumstances. Whether you can effectively anonymise personal data depends on the techniques you use. You should reduce the risks of identifying people to a sufficiently remote level that the information is effectively anonymised. | ・個人データの匿名化は多くの状況で可能である。個人データを効果的に匿名化できるかどうかは、使用する技術による。情報が効果的に匿名化されるように、個人を特定するリスクを十分に遠ざける必要がある。 |
| ・This guidance will help all organisations that want to anonymise personal data, for whatever purpose. | ・このガイダンスは、どのような目的であれ、個人データの匿名化を望むすべての組織の助けとなる。 |
| ・It will help you identify the issues you should consider to use anonymisation techniques effectively. | ・匿名化技術を効果的に使用するために考慮すべき問題を特定するのに役立つ。 |
| In detail | 詳細 |
| ・Why have you produced this guidance? | ・なぜこのガイダンスを作成したのか? |
| ・What is this guidance about? | ・このガイダンスは何に関するものか? |
| ・Who is this guidance for? | ・このガイダンスは誰のためのものか? |
| ・How is this guidance structured? | ・このガイダンスはどのように構成されているか? |
| Why have you produced this guidance? | なぜこのガイダンスを作成したのか? |
| We understand the benefits that sharing personal data can bring to organisations, people and society as a whole. But there are risks too. Effective anonymisation techniques provide a privacy-friendly alternative to sharing personal data. | 我々は、個人データの共有が組織、人々、社会全体にもたらす利益を理解している。しかしリスクもある。効果的な匿名化技術は、個人データを共有する際にプライバシーに配慮した代替手段を提供する。 |
| This guidance sits alongside our data sharing code of practice, which gives practical guidance on how to share personal data in line with data protection law. Anonymisation offers an alternative way to use or share data by making sure that people are not identifiable. | このガイダンスは、データ保護法に沿って個人データを共有する方法について実践的なガイダンスを提供する、我々のデータ共有実践規範と並ぶものである。匿名化は、個人を特定できないようにすることで、データを使用または共有する代替方法を提供する。 |
| What is this guidance about? | このガイダンスはどのようなものか? |
| This guidance will help you develop your understanding of anonymisation techniques, their strengths and weaknesses, and the suitability of their use in particular situations. It: | 本ガイダンスは、匿名化技術、その長所と短所、および特定の状況における使用の妥当性について理解を深めるのに役立つ。 |
| ・explains what we mean by anonymisation and pseudonymisation; | ・匿名化および仮名化の意味について説明する。 |
| ・details how this affects your data protection obligations and responsibilities; | ・これがデータ保護の義務と責任にどのように影響するかについて詳述する。 |
| ・discusses what you should consider when anonymising personal data; | ・個人データを匿名化する際に考慮すべき点について説明する。 |
| ・provides good practice advice anonymising personal data; and | ・個人データを匿名化する際のグッドプラクティス・アドバイスを提供する。 |
| ・discusses technical and organisational measures to mitigate the risks to people when you do so. | ・匿名化する際の人々のリスクを緩和するための技術的および組織的対策について説明する。 |
| This guidance deals with the role that anonymisation plays in the three regimes of data protection law: | 本ガイダンスは、データ保護法の3つの制度において匿名化が果たす役割を扱う。 |
| ・general processing under Part 2 of the Data Protection Act 2018 (DPA 2018) and the UK General Data Protection Regulation (UK GDPR); | ・データ保護法2018(DPA2018)第2部に基づく一般的処理と英国一般データ保護規則(英国GDPR)、 |
| ・law enforcement processing under Part 3 DPA 2018; and | ・DPA2018第3部に基づく法執行処理、 |
| ・intelligence services processing under Part 4 DPA 2018. | ・DPA2018第4部に基づく情報サービス処理。 |
| Where relevant, the guidance highlights and explains any differences between the regimes. | 関連する場合、本ガイダンスは、制度間の相違点を強調し説明する。 |
| However, it is not intended as an exhaustive guide to data protection compliance and it is not prescriptive. It gives you the flexibility to implement anonymisation techniques in your own way, taking a proportionate and risk-based approach. | しかし、このガイダンスは、データ保護コンプライアンスに関する網羅的なガイドとして意図されたものではなく、また防御的なものでもない。本ガイダンスは、匿名化技術を独自の方法で実施する柔軟性を提供し、比例的かつリスクベースのアプローチをとる。 |
| This guidance does not generally consider the impacts of anonymisation on areas of ICO work outside data protection. However, if you are also a public authority or a public body, you should follow this guidance when considering disclosing or allowing re-use of anonymous datasets under the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), or the Re-use of Public Sector Information Regulations 2015 (RPSI). | 本ガイダンスでは、匿名化がデータ保護以外の ICO の業務に与える影響については一般的に考慮し ていない。しかし、あなたが認可機関や公的団体でもある場合、2000年情報公開法(FOIA)、2004年環境情報規則(EIR)、2015年公共部門情報再利用規則(RPSI)に基づき匿名データセットの開示や再利用を検討する際には、このガイダンスに従うべきである。 |
| This guidance is not a statutory code. It contains advice on how to interpret relevant law on anonymisation and pseudonymisation. It also contains good practice recommendations. | 本ガイダンスは法的規範ではない。匿名化および仮名化に関する関連法の解釈方法に関する助言が含まれている。また、グッドプラクティスの推奨も含まれている。 |
| There is no penalty if you don’t follow these recommendations. But you must find another way to comply with the law when you produce and disclose anonymous information. You may also find alternative methods that go beyond the good practice measures we set out. | これらの勧告に従わなくとも罰則はない。しかし、匿名情報を作成し開示する際には、法律を遵守するための別の方法を見つけなければならない。また、私たちが定めたグッドプラクティスの対策を超える代替方法を見つけることもできる。 |
| However, when we look into an issue about anonymisation, we will take this guidance into consideration. | しかし、匿名化に関する問題を調査する際には、本ガイダンスを考慮する。 |
| This guidance does not describe every possible anonymisation technique in detail but it includes case studies and good practice recommendations. It applies to all mediums, including tabular data, free text, video, images, and audio (including speech). | このガイダンスは、可能な限りの匿名化手法を詳細に説明するものではないが、ケーススタディとグッドプラクティスの推奨を含んでいる。表データ、フリーテキスト、ビデオ、画像、音声(音声を含む)など、あらゆる媒体に適用される。 |
| Further reading outside this guidance | 本ガイダンス以外の参考資料 |
| Read the UK GDPR guidance and resources pages for more information for more information. | 詳細については、英国のGDPRガイダンスとリソースのページを読むこと。 |
| Who is this guidance for? | このガイダンスは誰のためのものか? |
| You should use this guidance if you are considering turning personal data into anonymous information. For example, this guidance is relevant if you: | 個人データを匿名情報にすることを検討している場合、本ガイダンスを使用すべきである。例えば、 |
| ・are required by law to publish anonymous information (eg some health service bodies); | ・匿名情報を公表することが法律で義務付けられている場合(一部の医療サービス団体など)、 |
| ・are looking to use data in new and innovative ways (eg to improve services or design new products or collect large volumes of data to train AI models); | ・新しく革新的な方法でデータを利用しようとしている場合(サービスの改善や新製品の設計、AIモデルを訓練するための大量のデータ収集など)、 |
| ・need to comply with a request for information under FOIA or EIR or a request for re-use under RPSI, and it includes personal data; | ・FOIAまたはEIRに基づく情報要求、またはRPSIに基づく再利用要求に応じる必要があり、その中に個人データが含まれている場合、 |
| ・want to become more transparent and accountable to people; or | ・人々に対してより透明性を高め、説明責任を果たしたい場合、 |
| ・want to provide anonymous information for research purposes, or to enable wider societal benefits. | ・研究目的で匿名情報を提供したい場合、またはより広範な社会的利益を実現したい場合など。 |
| How is this guidance structured? | このガイダンスの構成は? |
| This guidance is divided into sections that cover different aspects of anonymisation in data protection law. | 本ガイダンスは、データ保護法における匿名化の様々な側面をカバーするセクションに分かれている。 |
| The first section introduces the key concepts of anonymisation and pseudonymisation, places them in the context of the UK legal framework, and explains the role they play. | 第1章では、匿名化と仮名化の主要概念を紹介し、英国の法的枠組みの中でそれらを位置づけ、それらが果たす役割について説明する。 |
| The second section covers the concept of identifiability, including approaches such as the ‘spectrum of identifiability’ and how these can apply in data sharing scenarios. This section also looks at how you can manage identification risk, and covers established concepts like the ‘reasonably likely’ and ‘motivated intruder’ tests. | 第2章では、「識別可能性のスペクトラム」などのアプローチを含む識別可能性の概念と、これらがデータ共有のシナリオにどのように適用されるかを説明する。このセクションはまた、識別リスクをどのようにマネジメントできるかについても見ており、「合理的に可能性が高い」テストや「動機のある侵入者」テストなどの確立された概念についても取り上げている。 |
| The third section looks at how pseudonymisation can help you achieve data protection compliance and which technologies can provide effective pseudonymisation. | 第3章では、仮名化がデータ保護コンプライアンスの達成にどのように役立つのか、また、どのような技術が効果的な仮名化を提供できるのかについて考察する。 |
| The fourth section considers accountability and governance requirements in the context of anonymisation, including data protection by design, data protection impact assessments (DPIAs) and the use of trusted third parties. | 第4章では、設計によるデータ保護、データ保護影響評価(DPIA)、信頼できるサードパーティの利用など、匿名化の文脈における説明責任とガバナンスの要件について考察する。 |
| The fifth and final section includes case studies providing practical examples of effective anonymisation. | 最後の第5章では、効果的な匿名化の実践例を提供するケーススタディを紹介する。 |
| In each section, we discuss what you must do to comply with data protection law, as well as what you should do as good practice. | 各章では、データ保護法を遵守するために何をしなければならないか、またグッドプラクティスとして何をすべきかを論じている。 |
| If you are a reader with a general interest in understanding the concepts of anonymisation and pseudonymisation: read the first section. |
匿名化と仮名化の概念を理解することに一般的な関心をお持ちの読者の方は、最初のセクションをお読みいただきたい。 |
| If you are a technical expert and want to understand whether the technology you use results in anonymous or pseudonymous data: read the second and third sections. | 技術的な専門家であり、使用する技術によって匿名または仮名のデータが得られるかどうかを理解したい場合は、第2および第3のセクションを読む。 |
| If you are a decision maker looking for information about the types of techniques available for anonymisation and pseudonymisation: read the first and fourth sections. | 意思決定者であり、匿名化および仮名化のために利用可能な技術の種類に関する情報をお探しの場合は、第1章および第4章をお読みください。 |
ガイドラインの全体像...
| Subject access requests (also known as SARs or right of access) | 対象者アクセス要求(SARまたはアクセス権とも呼ばれる) |
| What is a subject access request (SAR), how to recognise them and when and how to respond to them. | 対象者アクセス要求(SAR)とは何か、それをどのように認識し、いつ、どのように対応すべきか。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間および第三セクターの大企業に適している。中小企業は、中小企業ウェブハブのリソースを利用すること。 |
| Help and support | ヘルプおよびサポート |
| Subject access request self service | 対象者アクセス要求セルフサービス |
| Use this tool to get answers to your questions about subject access requests (SARs). | 対象者アクセス要求(SAR)に関する質問への回答を得るには、このツールを使用する。 |
| Find the right subject access request resources | 適切な対象者アクセス要求のリソースを見つける |
| A quick reference guide to help you find the content you need on each subject access request topic. | 対象者アクセス要求の各トピックについて、必要なコンテンツを見つけるのに役立つクイック・リファレンス・ガイド。 |
| Brief guidance | 簡単なガイダンス |
| A guide to subject access requests | 対象者へのアクセス要求の手引き |
| Brief guidance about SARs including information about how to recognise and respond to a request, finding and providing the information and when you can withhold information or refuse a request. | SARに関する簡単なガイダンス。要請を認識し対応する方法、情報を見つけ提供する方法、情報を差し控えたり要請を拒否できる場合などに関する情報を含む。 |
| Detailed guidance | 詳細ガイダンス |
| Subject access requests (SARs, right of access) | 対象者アクセス要求(SAR、アクセス権) |
| What is a subject access request (SAR), how to recognise them, when and how to respond to them, when you can withhold information or refuse a request and how to manage health, social work and education information in relation to SARs | 対象者アクセス要求(SAR)とは何か、対象者アクセス要求の認識方法、対象者アクセス要求 に対応する時期と方法、対象者アクセス要求に関して情報の提供の差し控えや要求の拒否 が可能な場合、SARに関連する医療、福祉、教育情報の管理方法 |
| Resources | リソース |
| Training videos: individual rights | トレーニングビデオ:個人の権利 |
| Recordings of ICO staff training on individual rights including subject access, available for you to reuse. | 対象者アクセスなど個人の権利に関するICOスタッフトレーニングの記録。 |
| Individual rights - guidance and resources | 個人の権利 - ガイダンスとリソース |
| Writing a privacy notice, responding to a subject access request, and when to delete, change, move or stop processing people's information. | プライバシー通知の作成、対象者へのアクセス要求への対応、および個人情報の削除、変更、移動、処理中止のタイミング。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間および第三セクターの大企業に適している。中小企業は、中小企業ウェブハブのリソースを利用すること。 |
| Brief guidance | 簡単なガイダンス |
| A guide to individual rights | 個人の権利に関する手引き |
| Brief guidance covering privacy notices, subject access requests, deleting and changing information, stopping and restricting processing, moving information and making automated decisions about people. | プライバシー通知、対象者へのアクセス要求、情報の削除と変更、処理の停止と制限、情報の移動、および人に関する自動化された意思決定をカバーする簡単なガイダンス。 |
| Detailed guidance | 詳細ガイダンス |
| The right to be informed (privacy notices) | 通知を受ける権利(プライバシー通知) |
| When, how and what should you tell people about how their information is used. | 情報の使用方法について、いつ、どのように、何を伝えるべきか。 |
| The right of access (subject access requests) | アクセス権(対象者アクセス要求) |
| What is a subject access request (SAR), how to recognise them, when and how to respond to them and how to manage health, social work and education information in relation to SARs. | 対象者アクセス要求(SAR)とは何か、それをどのように認識するか、いつ、どのように対応するか、SARに関連する医療、福祉、教育情報をどのように管理するか。 |
| Automated decision-making and profiling | 自動化された意思決定とプロファイリング |
| What is automated individual decision-making and profiling, what does the UK GDPR say about when and how you can carry out automated decision-making. | 自動化された個人の意思決定とプロファイリングとは何か、いつ、どのように自動化された意思決定を行うことができるかについて、英国のGDPRは何を述べているか。 |
| Resources | リソース |
| Find Subject Access Request (SAR) resources | 対象者アクセス要求(SAR)リソースの検索 |
| A quick reference guide to help you find the content you need on each subject access request topic. | 対象者アクセス要求の各トピックについて必要なコンテンツを見つけるのに役立つクイック・リファレンス・ガイド。 |
| Training videos: individual rights | トレーニングビデオ: 個人の権利 |
| Recordings of ICO staff training on the data protection principles, available for you to reuse. | データ保護の原則に関するICOスタッフトレーニングの録画。 |
| Lawful basis | 法的根拠 |
| Consent, contracts, legitimate interests, vital interests, public task, legal obligation, special category data, criminal offence data and biometrics. | 同意、契約、正当な利益、重要な利益、公的任務、法的義務、特殊カテゴリーデータ、犯罪データ、生体データ。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources in our section containing advice for small organisations. | このページのガイダンスは、公共、民間、第三セクターの大企業に適している。中小企業は、小規模組織向けのアドバイスを含むセクションのリソースを利用すべきである。 |
| Brief guidance | 簡単なガイダンス |
| A guide to lawful basis for using information | 情報使用の合法的根拠に関するガイド |
| Guidance on the six reasons you can use for using personal information (known as lawful basis), how you can decide the right one for you, and the extra rules for more sensitive types of information (including special category and criminal offence data). | 個人情報を使用する際に使用できる6つの理由(合法的根拠と呼ばれる)、自社に適切な理由を決定する方法、よりセンシティブなタイプの情報(特別カテゴリーおよび犯罪データを含む)に対する追加規則に関するガイダンス。 |
| Detailed guidance | 詳細ガイダンス |
| Consent | 同意 |
| When you can (and can't) use consent, why it's important, and how to obtain, record and manage consent. | 同意を使用できる(できない)場合、同意が重要な理由、同意を取得、記録、管理する方法。 |
| Legitimate interest | 正当な利益 |
| When you can use legitimate interests and how to apply it. | 正当な利益を使用できる場合とその適用方法。 |
| Special category data | 特別カテゴリーデータ |
| What is special category data, what are the rules about using it and what are the extra conditions you need to meet. | 特別カテゴリーデータとは何か、その使用に関する規則とは何か、満たすべき追加条件とは何か。 |
| Criminal offence data | 犯罪行為データ |
| What is criminal offence data, what are the rules for using it and what are extra conditions you need to meet. | 犯罪行為データとは何か、それを使用する際の規則とは何か、満たす必要のある追加条件とは何か。 |
| Biometric data guidance: Biometric recognition | 生体データガイダンス: 生体認証 |
| What is biometric data, what is meant by "biometric recognition", demonstrating compliance with data protection obligations and processing biometric data fairly and lawfully. | 生体認証データとは何か、「生体認証」が意味するもの、データ保護義務の遵守を示すこと、生体認証データを公正かつ合法的に処理すること。 |
| In your sector | あなたのセクターでは |
| The lawful basis for the processing of vehicle keeper data by the Driver and Vehicle Licensing Agency (DVLA) | 運転免許局(DVLA)による車両管理者データ処理の合法的根拠。 |
| Commissioner’s Opinion primarily for the DVLA and the Department of Transport. It sets out the correct lawful basis for the DVLA to process vehicle keeper data when sharing it with car park management companies to recover unpaid parking charges. | Commissioner's Opinion mainly for the DVLA and the Department of Transport. この見解は、DVLAが未払い駐車料金を回収するために駐車場管理会社と車両管理データを共有する際に、車両管理データを処理するための正しい合法的根拠を示している。 |
| Resources | リソース |
| Lawful basis interactive toolkit | 合法的根拠インタラクティブツールキット |
| Answer questions to help decide the lawful basis you can use. | 使用できる合法的根拠を決定するのに役立つ質問に答える。 |
| Training videos: handling more sensitive information | トレーニングビデオ: よりセンシティブな情報の取り扱い |
| Recordings of ICO staff training special category and criminal offence data. | ICOスタッフによる特殊カテゴリーおよび犯罪データのトレーニングの記録。 |
| Controllers and processors | 管理者と処理者 |
| Definitions of 'controllers' and 'processors', how to determine them and their responsibilities. | 管理者」と「処理者」の定義、決定方法、責任。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間、第三セクターの大企業に適している。中小企業は、中小企業ウェブハブのリソースを利用すること。 |
| Brief guidance | 簡単なガイダンス |
| Controllers and processors: a guide | 管理者と処理者:ガイド |
| The definitions of 'controllers' and 'processors', how to determine if you are a controller or processor and what the roles are. | 「管理者」と「処理者」の定義、管理者または処理者であるかどうかの判断方法、および役割について。 |
| Detailed guidance | 詳細ガイダンス |
| Controllers and processors | 管理者と処理者 |
| More detailed guidance on controllers and processors, including how to apply the roles in practice, your responsibilities under each role and joint controllers. | 管理者と処理者に関するより詳細なガイダンス。実務における役割の適用方法、各役割における責任、共同管理者などを含む。 |
| Resources | リソース |
| Controllers self assessment | 管理者の自己アセスメント |
| Assess your high level compliance with data protection legislation, as a data controller. | データ管理者として、データ保護法を高レベルで遵守しているかをアセスメントする。 |
| Processors self assessment | データ処理者の自己 防御 |
| Assess your high level compliance with data protection legislation, as a data processor. | データ処理者として、データ保護法を高レベルで遵守しているかを評価する。 |
| International transfers | 国際的なデータ移転 |
| International data transfers, transfer agreements, transfer risk assessments and binding corporate rules. | 国際的なデータ移転、移転契約、移転リスクアセスメントおよび拘束力のある企業規則。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間および第三セクターの大企業に適している。中小企業は中小企業ウェブハブのリソースを利用すること。 |
| Brief guidance | 簡単なガイダンス |
| International transfers: A guide | 国際的な移転: |
| The rules about transferring information to other countries, restricted transfers and how and when to use them. | 他国への情報移転に関する規則、制限された移転、いつどのように使用するか。 |
| Transfer mechanisms | 移転メカニズム |
| International data transfer agreements (IDTAs) | 国際データ移転協定(IDTA) |
| Guidance on IDTAs and how to use them. Includes transfer agreement templates, addendum templates and a risk assessment tool. | IDTAとその使用方法に関するガイダンス。譲渡契約書テンプレート、補遺テンプレート、リスクアセスメントツールを含む。 |
| Binding corporate rules (BCRs) | 拘束力のある企業規則(BCR) |
| How to prepare and apply for the approval of a BCR and lists of currently approved BCRs. | BCRの準備と承認申請方法、現在承認されているBCRのリスト。 |
| Security, including cyber security | サイバーセキュリティを含むセキュリティ |
| The security principles, personal data breaches, and guidance on encryption, ransomware and passwords. | セキュリティ原則、個人データ漏えい、暗号化、ランサムウェア、パスワードに関するガイダンス。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間、第三セクターの大企業に適している。中小企業は、中小企業ウェブハブのリソースを利用すること。 |
| Brief guidance | 簡単なガイダンス |
| A guide to information security | 情報セキュリティの手引き |
| Guidance on information security, passwords, security outcomes, encryption and ransomware. | 情報セキュリティ、パスワード、セキュリティの成果、暗号化、ランサムウェアに関するガイダンス。 |
| Detailed guidance | 詳細ガイダンス |
| Encryption | 暗号化 |
| Types of encryption, implementing encryption, information storage and information transfers. | 暗号化の種類、暗号化の導入、情報保管、情報転送。 |
| Working from home | 在宅勤務 |
| Bring your own device (BYOD), working from home securely, video conferencing and a security checklist. | BYOD(Bring Your Own Device)、安全な在宅勤務、ビデオ会議、セキュリティ・チェックリスト。 |
| Personal data breaches | 個人データ漏えい |
| What is a personal data breach, when you need to report to the ICO, when you need to inform individuals and how to risk assess. | 個人データ漏えいとは何か、ICOへの報告が必要な場合、個人への通知が必要な場合、リスクアセスメントの方法。 |
| Email and security | 電子メールとセキュリティ |
| Is an email address personal information, whether you should use BCC, and what other security measures to take. | 電子メールアドレスは個人情報か、BCCを使用すべきか、その他どのようなセキュリティ対策を講じるべきか。 |
| Resources | リソース |
| Information security self-assessment | 情報セキュリティ自己アセスメント |
| Assess your compliance with data protection in information and cyber security, including policy and risk, mobile and home working, removable media, access controls and malware protection. | ポリシーとリスク、モバイルおよび在宅勤務、リムーバブルメディア、アクセス制御、マルウェア保護など、情報およびサイバーセキュリティにおけるデータ保護へのコンプライアンスをアセスメントする。 |
| Employment information | 雇用に関する情報 |
| Advice for employers and organisations involved in employment issues on how to use and look after your workers’ personal information, and guidance about working from home. | 雇用問題に携わる雇用主や組織に対して、労働者の個人情報の使用方法や管理方法、在宅勤務に関するガイダンスなどのアドバイスを提供する。 |
| Latest updates - last updated 5 February 2025 | 最新の更新情報 - 最終更新日:2025年2月5日 |
| The guidance on this page is suitable for all organisations. However, small businesses may wish to also use the resources on our small business web hub. | このページのガイダンスはすべての組織に適している。ただし、中小企業の場合は、中小企業ウェブハブのリソースも利用されたい。 |
| Guidance | ガイダンス |
| Information about workers’ health | 労働者の健康に関する情報 |
| Guidance on data protection considerations when handing workers’ health information, including practical advice on handling sickness and injury records, occupational health schemes, medical examinations and testing, genetic testing, health monitoring and sharing workers' information. | 労働者の健康情報を渡す際のデータ保護に関する考慮事項に関するガイダンス。これには、病気と傷害の記録、産業保健制度、健康診断と検査、遺伝子検査、健康監視、および労働者情報の共有の取り扱いに関する実践的なアドバイスが含まれる。 |
| Monitoring workers | 労働者の監視 |
| Guidance on monitoring of workers by employers and how this interacts with data protection, including monitoring tools, specific data protection considerations and use of biometric data. | 使用者による労働者の監視およびこれがデータ保護とどのように相互作用するかについてのガイダンスで、監視ツール、特定のデータ保護の考慮事項、生体データの使用を含む。 |
| Information sharing in mental health emergencies at work | 職場におけるメンタルヘルス上の緊急事態における情報共有 |
| Guidance for employers about sharing information about their workers in the event of a mental health emergency. | メンタルヘルス上の緊急事態が発生した場合の労働者に関する情報共有に関する雇用主向けガイダンス。 |
| Keeping employment records | 雇用記録の保管 |
| Guidance aimed at employers who keep employment records. It will help you understand your obligations under the UK GDPR and DPA 2018. | 雇用記録を保管する雇用主を対象としたガイダンス。英国GDPRとDPA2018の下での義務を理解するのに役立つ。 |
| Draft guidance - consultations closed | ドラフトガイダンス-協議終了 |
| Recruitment and selection | 採用選考 |
| Guidance on data protection compliance during recruitment, including automated decision-making and profiling, verifying candidate information and keeping recruitment records. | 自動意思決定やプロファイリング、候補者情報の確認、採用記録の保管など、採用時のデータ保護遵守に関するガイダンス。 |
| Resources | リソース |
| Subject access request Q and As for employers | Subject access request Q and As for employers |
| Answers to key questions on the right of access for employers, including what is the right of access, do people have to submit the request in a certain format, and whether you can clarify the request. | アクセス権とは何か、人々は特定の形式で要請を提出しなければならないか、要請を明確にできるかなど、雇用主にとってのアクセス権に関する主な質問への回答。 |
| Information about workers’ health checklists | 労働者の健康に関する情報チェックリスト |
| Checklists for employers using workers’ health information. | 労働者の健康情報を使用する雇用主のためのチェックリスト。 |
| Monitoring workers checklists | 労働者を監視するためのチェックリスト |
| Checklists for employers monitoring workers. | 労働者を監視する雇用主のためのチェックリスト。 |
| Working from home | 在宅勤務 |
| Guidance to help you remain compliant with data protection law when you have people working from home. | 在宅勤務者がいる場合にデータ保護法を遵守し続けるためのガイダンス。 |
| Artificial intelligence | 人工知能 |
| Artificial intelligence and data protection, AI risk assessment, explaining decisions made with AI and data analytics. | 人工知能とデータ保護、AIリスクアセスメント、AIとデータ分析による意思決定の説明。 |
| The guidance on this page is suitable for businesses in the public, private and third sectors. | このページのガイダンスは、公共、民間、第三セクターの企業に適している。 |
| Detailed guidance | 詳細ガイダンス |
| Artificial intelligence (AI) and data protection | 人工知能(AI)とデータ保護 |
| A detailed overview of how to apply the principles of the UK GDPR to the use of information in AI systems. | AIシステムにおける情報利用に英国GDPRの原則を適用する方法の詳細な概要。 |
| Explaining decisions made with AI | AI による意思決定の説明 |
| Practical advice to help explain the processes, services and decisions delivered or assisted by AI to the individuals affected. | AI によって提供または支援されるプロセス、サービス、意思決定を、影響を受ける個人に説明するのに役立つ実用的なアドバイス。 |
| Biometric data guidance: Biometric recognition | 生体データガイダンス: 生体認証 |
| What is biometric data, what is meant by "biometric recognition", demonstrating compliance with data protection obligations and processing biometric data fairly and lawfully. | 生体認証データとは何か、「生体認証」とは何か、データ保護義務の遵守を証明すること、生体認証データを公正かつ合法的に処理すること。 |
| Resources | 防御アセスメント |
| AI and data protection risk toolkit | AIとデータ保護リスクツールキット |
| Practical support for organisations assessing the risks to individual rights and freedoms caused by their own AI systems. | 自社のAIシステムによる個人の権利と自由へのリスクを評価する組織のための実践的サポート。 |
| Data analytics toolkit | データ分析ツールキット |
| Create tailored advice for your project to help you recognise some of the central risks to the rights and freedoms of individuals created by the use of data analytics. | データ分析の使用によって生じる個人の権利と自由に対するいくつかの中心的なリスクを認識するのに役立つ、プロジェクトに合わせたアドバイスを作成する。 |
| Research provisions | 研究規定 |
| Research provisions in the UK GDPR and the DPA 2018, the principles and grounds for processing, research exemptions and safeguards. | 英国GDPRとDPA 2018における研究規定、処理の原則と根拠、研究の免除と保護措置。 |
| Online safety and data protection | オンライン安全とデータ保護 |
| Resources for organisations that use online safety technologies and processes. | オンライン安全技術とプロセスを使用する組織のためのリソース。 |
| The guidance on this page is suitable for businesses who use online safety technologies and processes. | このページのガイダンスは、オンライン安全技術とプロセスを使用する企業に適している。 |
| Detailed guidance | 詳細ガイダンス |
| Content moderation and data protection | コンテンツモデレーションとデータ保護 |
| A detailed overview of how data protection law applies when you use content moderation technologies and processes. | コンテンツモデレーション技術とプロセスを使用する際にデータ保護法がどのように適用されるかについての詳細な概要。 |
| Personal information - what is it? | 個人情報とは何か? |
| Key definitions, what is considered personal information and what "identifiable" means. | 主な定義、個人情報と見なされるもの、「識別できる情報」とは何か。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間および第三セクターの大企業に適している。中小企業は、当社の中小企業ウェブハブのリソースを利用すべきである。 |
| Brief guidance | 簡単なガイダンス |
| Who does the UK GDPR apply to? | 英国GDPRは誰に適用されるのか? |
| A brief overview of who the UK GDPR applies to and some key definitions. | 英国GDPRが適用される対象者の簡単な概要といくつかの重要な定義。 |
| What is personal information? | 個人情報とは何か? |
| The definition of personal information and how to know whether the information you are using is personal information. | 個人情報の定義と、使用している情報が個人情報であるかどうかを確認する方法。 |
| Detailed guidance | 詳細ガイダンス |
| What is personal information? | 個人情報とは何か? |
| Detailed guidance about what personal information is, identifiers and related factors, directly identifying someone and the definition of "relates to". | 個人情報とは何か、識別および関連する要素、個人を直接特定できる情報、および「関連する」の定義に関する詳細ガイダンス。 |
| Anonymisation guidance | 匿名化ガイダンス |
| Covering anonymisation techniques, the role that anonymisation plays in the three regimes of data protection law and accountability and governance measures. Includes case studies. | 匿名化の技術、データ保護法の3つの制度において匿名化が果たす役割、説明責任とガバナンスの手段をカバーする。ケーススタディを含む。 |
| Resources | リソース |
| Training videos: What is personal data? | トレーニングビデオ 個人データとは何か? |
| Recordings of ICO staff training on what personal information is and some key data protection definitions, available for you to reuse. | 個人情報とは何か、データ保護の主な定義についてのICOスタッフトレーニングの録画。 |
| Data protection principles - guidance and resources | データ保護の原則 - ガイダンスとリソース |
| Fairness, transparency, purpose limitation, minimisation, accuracy, accountability, storage and security. | 公平性、透明性、目的の限定、最小化、正確性、説明責任、保管、セキュリティ。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間および第三セクターの大企業に適している。中小企業は、中小企業ウェブハブのリソースを利用すること。 |
| Brief guidance | 簡単なガイダンス |
| A guide to the data protection principles | データ保護原則の手引き |
| The principles of the UK GDPR and how to apply them in your organisation. | 英国GDPRの原則と組織での適用方法。 |
| In your sector | あなたのセクターでは |
| Transparency in health and social care | 医療・社会的ケアにおける透明性 |
| What is transparency, how to develop and provide transparency information and how to assess whether you are being transparent in the health and social care sector. | 透明性とは何か、透明性情報の開発と提供の方法、医療・社会的ケアセクターで 透明性が確保されているかどうかのアセスメント方法。 |
| Resources | リソース |
| Records management self-assessment checklist | 記録マネジメント自己アセスメント・チェックリスト |
| Assess your records management procedures and risks to people’s personal information. Includes record creation, storage and disposal, access, tracking and off-site storage. | 記録マネジメントの手順と、人々の個人情報に対するリスクをアセスメントする。記録の作成、保管、廃棄、アクセス、追跡、オフサイト保管を含む。 |
| Training videos: data protection principles | 研修ビデオ:データ保護の原則 |
| Recordings of ICO staff training on the data protection principles, available for you to reuse. | データ保護の原則に関するICO職員研修の記録。 |
| CCTV and video surveillance | CCTVとビデオ監視 |
| CCTV, video surveillance, body worn cameras and drones. | CCTV、ビデオ監視、団体着用カメラ、ドローン。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間、第三セクターの大企業に適している。中小企業は、中小企業ウェブハブのリソースを利用すべきである。 |
| Detailed guidance | 詳細ガイダンス |
| Video surveillance guidance (including information for organisations using CCTV) | ビデオ監視ガイダンス(CCTVを使用する組織向けの情報を含む) |
| Handling personal information using video surveillance including CCTV, automatic number plate recognition (ANPR), body worn video (BWV), drones (UAVs), facial recognition technology (FRT), dashcams and smart doorbell cameras. | CCTV、自動ナンバープレート認識(ANPR)、身体装着型ビデオ(BWV)、ドローン(UAV)、顔認識技術(FRT)、ダッシュカム、スマートドアベルカメラを含むビデオ監視を使用した個人情報の取り扱い。 |
| Resources | 防御 |
| CCTV self-assessment checklist | CCTV自己評価チェックリスト |
| Assess the compliance of your CCTV system with data protection law, including installation, management, operation, public awareness and signage. | 設置、管理、運用、周知、標識など、CCTVシステムのデータ保護法への準拠をアセスメントする。 |
| Accountability and governance | 説明責任とガバナンス |
| DPIAs, accountability principle, internal governance, contracts, documentation, and data protection officers. | DPIA、説明責任原則、内部ガバナンス、契約、文書化、データ保護責任者。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間、第三セクターの大企業に適している。中小企業は、中小企業ウェブハブのリソースを利用されたい。 |
| Brief guidance | 簡単なガイダンス |
| Guide to accountability and governance | 説明責任とガバナンスの手引き |
| Contracts, documentation, data protection by design and default, data protection impact assessments and data protection officers. | 契約、文書化、設計およびデフォルトによるデータ保護、データ保護影響評価、 データ保護責任者。 |
| Detailed guidance | 詳細ガイダンス |
| Contracts and liabilities between controllers and processors | 輸入事業者と処理者の間の契約と責任 |
| When contracts are needed and why they are important, what needs to be included and responsibility and liability. | 契約はいつ必要で、なぜ重要なのか、何を含める必要があるのか、責任と義務。 |
| Documentation | 文書化 |
| What is documentation and who needs to document processing activities, what needs to be documented under article 30 and how to document processing activities. | 文書化とは何か、誰が処理活動を文書化する必要があるのか、第30条に基づき何が文書化される必要があるのか、どのように処理活動を文書化するのか。 |
| Data protection impact assessments (DPIA) | データ保護影響アセスメント(DPIA) |
| What is a DPIA, when and how to conduct one, consulting the ICO and examples of 'likely to result in high risk'. | DPIAとは何か、いつ、どのように実施するか、ICOに相談すること、「高リスクになる可能性が高い」の例。 |
| Codes of conduct | 行動規範 |
| Data protection codes of conduct address sector specific data protection issues and support compliance with the UK GDPR’. We have detailed guidance and other resources for trade organisations and similar representative bodies who may create codes of conduct for their members. | データ保護行動規範は、セクター特有のデータ保護問題に対処し、英国GDPRへの準拠をサポートする。私たちは、業界団体や同様の代表者団体がそのメンバーのために行動規範を作成するための詳細なガイダンスやその他のリソースを用意している。 |
| Certification schemes | 認証スキーム |
| Data protection certification can help demonstrate data protection in a practical way to businesses, individuals and regulators. We have detailed guidance and other resources about certifications schemes for organisations. | データ保護認証は、企業、個人、規制当局にデータ保護を実践的に示すのに役立つ。組織向けの認証制度に関する詳細なガイダンスやその他のリソースがある。 |
| Resources | リソース |
| Accountability framework | アカウンタビリティの枠組み |
| Assess your organisation’s accountability and governance. | 組織のアカウンタビリティとガバナンスを評価する。 |
| Exemptions | 適用除外 |
| When and how you can apply exemptions to the UK GDPR requirements. | 英国のGDPR要求事項の適用除外を適用できる場合とその方法。 |
| The guidance on this page is suitable for large businesses in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間、第三セクターの大企業に適している。中小企業は、当社の中小企業ウェブハブのリソースを利用すべきである。 |
| Brief guidance | ブリーフ・ガイダンス |
| A guide to the data protection exemptions | データ保護の免除に関するガイド |
| Data protection exemptions, how they work and a list of available exemptions. | データ保護の免除、その仕組み、利用可能な免除のリスト。 |
| Detailed guidance | 詳細ガイダンス |
| Immigration exemption: a guide | 移民免除:ガイド |
| The immigration exemption, when and how to apply it, how it impacts individual rights and what happens when an immigration investigation becomes a criminal investigation. | 移民免除、いつ、どのように適用するか、それが個人の権利にどのように影響するか、 移民捜査が犯罪捜査になったときに何が起こるか。 |
| National security and defence: a guide | 国家安全保障と防衛:ガイド |
| The national security and defence exemption, how the exemption works and when to apply it, ministerial certificates, special rules for special category data, security obligations and law enforcement processing. | 国家安全保障と防衛の免除、免除の仕組みと適用時期、大臣証明書、特別カテゴリーデータの特別規則、安全保障義務、法執行処理。 |
| Resources | リソース |
| Training videos: Exemptions | トレーニングビデオ 免除 |
| Recordings of ICO staff training on data protection exemptions, available for you to reuse. | データ保護の免除に関するICO職員研修の録画。 |
| Data sharing | データ共有 |
| The data sharing code, case studies and examples, checklist, the sharing of personal information with and by law enforcement authorities, sharing information to prevent harm and for child safeguarding purposes. | データ共有規範、ケーススタディと事例、チェックリスト、法執行機関との個人データの共有、危害防止と児童保護目的の情報共有。 |
| The guidance on this page is suitable for medium and large businesses and organisations in the public, private and third sectors. Small businesses should use the resources on our small business web hub. | このページのガイダンスは、公共、民間および第三セクターの中規模および大規模の企業および組織に適している。中小企業は、中小企業ウェブハブのリソースを利用すること。 |
| Code of practice | 実践規範 |
| Data sharing: A code of practice | データ共有: 実践規範 |
| Practical guidance about when and how you can share personal information. It explains the law and promotes good practice and contains practical tools, case studies and examples that will help you. | 個人情報をいつ、どのように共有できるかについての実践的な指針。法律を説明し、グッドプラクティスを促進し、実践的なツール、ケーススタディ、事例が含まれている。 |
| Guidance | ガイダンス |
| Anonymisation guidance | 匿名化ガイダンス |
| Covering anonymisation techniques, the role that anonymisation plays in the three regimes of data protection law and accountability and governance measures. Includes case studies. | 匿名化技術、データ保護法の3つの制度において匿名化が果たす役割、説明責任とガバナン ス対策についてカバーしている。ケーススタディを含む。 |
| Sharing information to safeguard children | 子どもを保護するための情報の共有 |
| Practical advice on the data protection considerations when you need to share personal information for child safeguarding purposes | 子どもを保護する目的で個人情報を共有する必要がある場合のデータ保護上の考慮事項に関する実践的なアドバイス |
| Sharing personal information with law enforcement authorities | 法執行当局との個人情報の共有 |
| When and how non-law enforcement authorities can share personal information with law enforcement authorities, such as the police. | 法執行当局以外の機関が警察などの法執行当局と個人情報を共有できる場合とその方法。 |
| Competent authorities - sharing and reuse of information for non-law enforcement purposes | 権限のある当局-法の執行目的以外での情報の共有と再利用 |
| How to share information collected for law enforcement purposes with another organisation, so it can be used for non-law enforcement purposes. | 法の執行目的で収集された情報を別の組織と共有し、法の執行目的以外で使用できるようにする方法。 |
| Universities and colleges - sharing personal information in an emergency | 大学およびカレッジ-緊急事態における個人情報の共有 |
| Helping universities and colleges share people’s information lawfully in an urgent or emergency situation, such as preventing loss of life or serious physical, emotional or mental harm. | 大学およびカレッジが、人命の損失や深刻な身体的、精神的、心理的危害の防止などの緊急事態において、人々の情報を合法的に共有できるよう支援する。 |
| Information sharing in mental health emergencies at work | 職場でのメンタルヘルス緊急事態における情報共有 |
| Guidance for employers about sharing information about their workers in the event of a mental health emergency. | メンタルヘルスの緊急事態が発生した場合に、雇用主が労働者に関する情報を共有するためのガイダンス。 |
| Resources | リソース |
| Sharing personal information when preventing, detecting and investigating scams and frauds | 詐欺や詐欺を防止、検知、調査する際の個人情報の共有 |
| Advice for private sector organisations across the digital economy such as financial services, telecommunications and digital platforms that want to share personal information with each other to support scam and fraud mitigation efforts. | 詐欺や詐欺緩和の取り組みを支援するために個人情報を互いに共有したいと考える金融サービス、テレコミュニケーション、デジタルプラット フォームなどのデジタル経済全体の民間部門組織向けのアドバイス。 |
| Sharing information to safeguard children: Marketing materials | 子どもを守るための情報共有 マーケティング資料 |
| A toolkit of resources, including a video from the Information Commissioner, flyers, posters, newsletter articles, and images and text for social media posts. | 情報コミッショナーのビデオ、チラシ、ポスター、ニュースレター記事、ソーシャルメディア投稿用の画像とテキストを含むリソースのツールキット。 |
| Sharing information with law enforcement authorities toolkit | 法執行機関との情報共有ツールキット |
| Use this toolkit to decide whether you can and how you should share personal information with a law enforcement authority. | このツールキットを使って、法執行機関と個人情報を共有できるかどうか、またどのように共有すべきか判断しよう。 |
| Data sharing myths busted | Data sharing myths busted |
| Busting common myths and the misconceptions surrounding data sharing and data protection law. | データ共有とデータ保護法をめぐる一般的な神話や誤解を解く。 |
| Case studies and examples | ケース・スタディと事例 |
| Real world examples and case studies of different approaches to data sharing from the public, private and third sector. | 公共、民間、サード・セクターのデータ共有に対する様々なアプローチの実例とケース・スタディ。 |
| Checklist | チェックリスト |
| A step-by-step guide to deciding whether to share personal information. | 個人情報を共有するかどうかを決定するための段階的ガイド。 |
| Data sharing request form template | データ共有要請書式テンプレート |
| Template forms for requesting personal information and deciding whether to share information. | 個人情報を要請し、情報を共有するかどうかを決定するための書式テンプレート。 |
| Additional guidance | 追加ガイダンス |
| Contractual liability in data sharing agreements | データ共有契約における契約責任 |
| The potential contractual liabilities of data sharing agreements and how can they be avoided. | データ共有契約における潜在的な契約責任とその回避方法。 |
| Privacy enhancing technologies (PETs) | プライバシー強化技術(PETs) |
| How PETs can help organisations achieve compliance with data protection law. It gives a brief introduction to eight types of PETs and explains their risks and benefits. | 組織がデータ保護法の遵守を達成するためにPETsがどのように役立つか。8種類のPETを簡単に序文し、そのリスクと利点を説明する。 |
| Children's information | 子供の情報 |
| How to protect children's information, the Age Appropriate Design Code and resources for online service providers. | 子どもの情報を保護する方法、「年齢に応じた適切なデザイン規範」、オンラインサービスプロバイダ向けのリソース。 |
| The guidance on this page is suitable for organisations of all sizes and from all sectors. Small businesses can also use the resources on our small business web hub. | このページのガイダンスは、あらゆる規模、あらゆる分野の組織に適している。中小企業は、中小企業ウェブハブのリソースも利用できる。 |
| Brief guidance | 簡単なガイダンス |
| Using children's information: a guide | 子どもの情報の利用:ガイド |
| Marketing to children, automated decision making and profiling, sharing children's information and children's data protection rights. | 子どもへのマーケティング、自動意思決定とプロファイリング、子どもの情報の共有、子どものデータ保護の権利。 |
| Detailed guidance | 詳細ガイダンス |
| Children's code: guidance and resources | 子ども向けコード:ガイダンスとリソース |
| Read the Age Appropriate Design Code for providers of online services that are likely to be accessed by children in full (such as apps, online games, and web and social media sites). Includes guidance and resources about the 15 standards, frequently asked questions, DPIAs and resources for designers. | 子どもがアクセスする可能性のあるオンラインサービス(アプリ、オンラインゲーム、ウェブやソーシャルメディアサイトなど)のプロバイダ向けの「年齢に応じた適切なデザインコード」を全文読む。15の標準、よくある質問、DPIA、デザイナー向けリソースに関するガイダンスとリソースを含む。 |
| Children and the UK GDPR | 子どもと英国GDPR |
| Information society services (online service) offered to children, marketing to children, automated decisions about children, sharing children's data, and children's data protection rights. | 子どもに提供される情報社会サービス(オンラインサービス)、子どもへのマーケティング、子どもに関する自動化された決定、子どものデータの共有、子どものデータ保護権。 |
| Resources | リソース |
| Lesson plans and resources for schools and teachers | 学校と教師のためのレッスンプランとリソース |
| We have produced school resources for teachers to use when discussing privacy issues and the value of personal information. The lesson plans cover what counts as personal information, why it is valuable and how to keep it safe when using social media. | プライバシー問題と個人情報の価値について話し合う際に教師が使用できる学校用リソースを作成した。授業計画では、何が個人情報としてカウントされるのか、なぜ個人情報は価値があるのか、ソーシャルメディアを使用する際に個人情報を安全に保つにはどうすればよいのかについて取り上げている。 |
| Designing products that protect privacy | プライバシーを保護する製品を設計する |
| Privacy in the product lifecycle and designing online services for children. | 製品のライフサイクルにおけるプライバシーと、子どものためのオンラインサービスの設計。 |
| The guidance on this page is for people designing digital products and services that involve processing personal information. | このページのガイダンスは、個人情報の処理を伴うデジタル製品やサービスを設計する人のためのものである。 |
| Getting started | はじめに |
| How to think about privacy in product design | 製品設計におけるプライバシーの考え方 |
| Practical tools and guidance to design for privacy at all stages of the product design process, including kick-off, research, design, development, launch, and post-launch phases. | 製品設計プロセスのすべての段階(キックオフ、調査、設計、開発、発売、発売後の段階を含む)においてプライバシーを設計するための実用的なツールとガイダンス。 |
| In detail | 詳細 |
| Designing for children | 子供のためのデザイン |
| Guidance and resources for designing online services likely to be accessed by children and applying the standards of the children's code in practice. | 子どもがアクセスする可能性のあるオンラインサービスを設計し、子ども向けコードの標準を実際に適用するためのガイダンスとリソース。 |
| Data protection by design and default | Data protection by design and default |
| The UK GDPR requires you to integrate data protection concerns into every aspect of your processing activities. | 英国GDPRは、データ保護への配慮を処理活動のあらゆる側面に統合することを求めている。 |
| Resources | リソース |
| Conference recordings - Privacy seriously? 2023 | カンファレンスの記録 - プライバシーを真剣に考える?2023 |
| Design and product leaders revealed how they put privacy at the heart of responsible innovation. Watch recordings of talks titled - 'Privacy is a product issue', 'Privacy in the real world of tech', 'Ditching deceptive design', and 'Designing for safety'. | デザインと製品のリーダーが、責任あるイノベーションの中心にプライバシーを据える方法を明らかにした。プライバシーは製品の問題である」、「技術の現実世界におけるプライバシー」、「欺瞞的なデザインを捨てる」、「安全のためのデザイン」と題された講演の録画を見る。 |
| Practical tool - Age-appropriate mindsets Miro template | 実践的ツール - 年齢に応じたマインドセット Miroテンプレート |
| Practical tool - Data privacy moments Miro template | 実践的ツール - データ・プライバシーの瞬間 Miroテンプレート |
| Data protection and journalism code of practice | データ保護とジャーナリズムの実践規範 |
| The data protection and journalism code, reference notes, consultation responses and impact assessment. | データ保護とジャーナリズムの規範、参考資料、協議への回答、影響評価。 |
| The Data protection and journalism code of practice (the code) is a statutory code of practice produced under section 124 of the Data Protection Act 2018 (DPA). It came into force on 22 February 2024. | データ保護とジャーナリズムの実践規範(規範)は、2018年データ保護法(DPA)第124条に基づき作成された法定実践規範である。2024年2月22日に施行された。 |
| The Reference notes support the code, but they are not part of the statutory code itself. They will help anyone who would like background information or more detail than is in the code. | 参照ノートはコードをサポートするものであるが、法定コード自体の一部ではない。背景情報や規範に記載されている以上の詳細が必要な場合に役立つものである。 |
| The notes refer to our wider guidance to help you to comply with the UK General Data Protection Regulation (UK GDPR) and the DPA 2018. | この注記は、英国一般データ保護規則(UK GDPR)およびDPA 2018の遵守を支援するための、より広範なガイダンスを参照している。 |
| If you are new to data protection or are a small organisation, you’ll find basic guidance and resources to support you on our dedicated SME web hub. | データ保護が初めての場合や小規模な組織の場合は、基本的なガイダンスやリソースが中小企業専用のウェブハブに掲載されている。 |
| Code of practice | 実践規範 |
| Data protection and journalism code of practice | データ保護とジャーナリズムの実践規範 |
| Practical guidance about what the legislation says and how to comply with it when using personal information for journalism. | ジャーナリズムのために個人情報を使用する際に、法律が何を規定し、どのように遵守すべきかについての実践的なガイダンス。 |
| Reference notes | 参考資料 |
| Guidance to support the code, containing more information about the legislation, good practice, case law examples, and further reading. | 規範をサポートするガイダンスで、法律に関する詳細情報、グッドプラクティス、判例例、追加読み物を含む。 |
| Additional guidance | 追加ガイダンス |
| UK GDPR guidance and resources | 英国GDPRガイダンスおよびリソース |
| A collection of our main guidance and resources about complying with the UK GDPR and DPA 2018. | 英国GDPRおよびDPA 2018の遵守に関する当社の主なガイダンスおよびリソースのコレクション。 |
| SME web hub – advice for all small organisations | SME web hub - advice for all small organisations |
| Basic guidance and resources, including a quick run-through of the data protection basics and bite-sized advice for smaller organisations. | データ保護の基本事項のクイックスルーや小規模組織向けの一口サイズのアドバイスなど、基本的なガイダンスとリソース。 |
| Data protection and journalism: how to complain about media organisations | データ保護とジャーナリズム:メディア組織に苦情を言う方法 |
| This is statutory guidance to help the public understand how to complain about the media under section 177 of the DPA 2018. | これは、DPA2018の第177条に基づき、一般市民がメディアに苦情を言う方法を理解するための法定ガイダンスである。 |
| Training videos | トレーニングビデオ |
| View the information governance and legislation training modules we provide to ICO staff as part of their internal training. | 社内研修の一環としてICO職員に提供している情報ガバナンスと法規制のトレーニングモジュールを見る。 |
| Everyone in your business is responsible for complying with information rights laws. We’re here to help. | 企業の誰もが情報権利法を遵守する責任がある。私たちがお手伝いする。 |
| We’ve taken the information governance and legislation training modules we provide to ICO staff as part of their internal training and made them available for you to reuse. This is a good place for your business to start. | 私たちは、ICOスタッフが社内トレーニングの一環として提供している情報ガバナンスと法規制のトレーニングモジュールを、貴社が再利用できるようにした。これは、あなたのビジネスが始めるのに良い場所である。 |
| You can select the modules that fit the needs of your business and add them to your existing training materials. You can also amend the modules to suit your business if you need to. | あなたのビジネスのニーズに合ったモジュールを選択し、既存のトレーニング教材に追加することができる。また、必要であれば、あなたのビジネスに合わせてモジュールを修正することもできる。 |
| Please note: there may be some terminology which needs updating in some of these modules, which we will update over time. However you should still find the content useful in training your staff in the key points of the relevant legislation. To make sure you're accessing the latest content, use the resources on our website rather than downloading them. | 注意:これらのモジュールの中には、更新が必要な用語があるかもしれない。しかし、関連法規の重要なポイントについてスタッフをトレーニングする上で役立つ内容であることに変わりはない。最新のコンテンツに確実にアクセスするには、ダウンロードするのではなく、当ウェブサイトのリソースを利用すること。 |
| Modules | モジュール |
| 1. What is personal data | 1. 個人データとは |
| The first two modules look at the different data protection terms and what they mean. They provide a basic understanding of data protection and help you assess the types of data your business uses. | 最初の2つのモジュールでは、さまざまなデータ保護用語とその意味について見ていく。データ保護の基本を理解し、ビジネスで使用するデータの種類をアセスメントするのに役立つ。 |
| 2. Handling more sensitive information | 2. より機微な情報の取り扱い |
| These two modules take an in-depth look at special category and criminal offence data, and the measures you need to have in place if your business processes this type of information. | この2つのモジュールでは、特殊カテゴリーおよび犯罪データについて詳しく説明し、業務でこの種の情報を処理する場合に必要な対策について説明する。 |
| 3. The principles | 3. 原則 |
| These three modules look at the principles that underpin the UK’s data protection laws. Understanding the principles will help you take the right steps to make sure you’re handling people’s data correctly. | これら3つのモジュールでは、英国のデータ保護法を支える原則について取り上げる。原則を理解することで、人々のデータを正しく取り扱うための正しい手順を踏むことができる。 |
| 4. Individual rights | 4. 個人の権利 |
| These two modules look at the rights of the individual. Understanding the principles will help you take the right steps to make sure you’re enacting data protection rights requests correctly. | これら2つのモジュールは個人の権利について見ている。原則を理解することで、データ保護の権利要求を正しく実行するための正しい手順を踏むことができる。 |
| 5. Exemptions | 5. 適用除外 |
| These two modules look at the exemptions set out in the UK GDPR and the Data Protection Act 2018. Understanding the exemptions will help you apply them correctly, where relevant. | これら2つのモジュールは、英国GDPRとデータ保護法2018に規定された適用除外について見ている。適用除外を理解することで、関連する場合に正しく適用することができる。 |
| 6. Role and powers of the commissioner | 6. 情報コミッショナーの役割と権限 |
| This module explains the role of the Information Commissioner, and the responsibilities and powers held by their office. It will be useful if you want to know more about what the ICO does. | このモジュールでは、情報コミッショナーの役割、およびその職責と権限について説明する。ICOが何を行っているのか詳しく知りたい場合に役立つだろう。 |
| Online tracking | オンライン追跡 |
| Advice for organisations who want to track users and their activities online | オンラインでユーザーとその活動を追跡したい組織のためのアドバイス |
| The guidance and resources on this page are suitable for businesses who want to track users and their activities online. | このページのガイダンスとリソースは、オンラインでユーザーとその活動を追跡したい企業に適している。 |
| Detailed guidance | 詳細なガイダンス |
| Consent or pay | 同意するか、支払うか |
| Guidance to provide clarity and advice for any organisation currently operating, or considering, a “consent or pay” model in the UK. | 英国で「同意または支払い」モデルを現在運営している、または検討している組織に対して、明確性と助言を提供するガイダンス。 |
| Storage and access technologies | ストレージとアクセス技術 |
| How the Privacy and Electronic Communications Regulations 2003 (as amended) (PECR) and where relevant, data protection law apply when you use technologies that store information, or access information stored, on someone’s device (eg a computer or mobile phone). | 2003年プライバシー・電子コミュニケーション規則(改正)(PECR)および関連するデータ保護法が、誰かのデバイス(コンピュータや携帯電話など)に情報を保存したり、保存された情報にアクセスしたりする技術の使用時にどのように適用されるか。 |
| Resources | リソース制御 |
| Taking control: our online tracking strategy | オンライン・トラッキング戦略 |
| This strategy sets out how we will promote compliance with the law in 2025 to obtain a fairer online tracking ecosystem for people and business. | この戦略では、2025年にどのように法の遵守を促進し、人々とビジネスにとってより公平なオンライン追跡エコシステムを獲得するかを定めている。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.11.20 英国 ICO 遺伝情報に関するプライバシーのガイドライン...
・2023.03.24 OECD 先進のプライバシー強化技術 - 現在の規制・政策アプローチ (2023.03.08)
・2023.01.26 英国王立学会 プライバシー向上技術 (PETs) (2023.01.23)
・2022.09.11 英国 ICO プライバシー強化技術に関するガイダンス案を発表
・2022.01.29 ENISA データ保護エンジニアリング
・2021.11.11 欧州評議会 プロファイリングに関する勧告を更新 at 2021.11.03
・2021.11.05 英国 デジタル・文化・メディア・スポーツ省の提案に対する、バイオメトリックスコミッショナーおよび監視カメラコミッショナーであるフィッシャー氏の回答
・2021.02.16 欧州委員会 健康データとGDPRに関する加盟国の規則についての調査結果を公開
・2021.02.07 EDPB 健康研究を中心としたGDPRの一貫した適用に関する欧州委員会からの明確化要請に対する回答
・2022.07.15 個人情報保護委員会 「個人情報保護法の基本」
・2022.04.06 個人情報保護委員会 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて(制度編・事例編)
・2021.12.15 内閣府 意見募集「医療分野の研究開発に資するための匿名加工医療情報に関する法律についてのガイドライン」の改定(案)
・2021.11.02 個人情報保護委員会 令和3年改正個人情報保護法について、政令・規則・民間部門ガイドライン案の意見募集の結果を公示+公的部門ガイドライン案の意見募集を開始
・2021.08.06 個人情報保護委員会 意見募集 令和3年改正個人情報保護法 政令・規則・民間部門ガイドライン案について他
・2021.05.20 個人情報保護委員会の今後の取り組みと個人情報保護法ガイドラインの改正(パブコメ)
・2020.12.22 内閣官房 個人情報保護制度の見直しに関する最終報告案
・2020.06.07 改正個人情報保護法が成立
・2020.06.05 内閣官房 個人情報保護制度の見直しに関するタスクフォース 個人情報保護制度の見直しに関する検討会委員 第2回(個人情報保護制度見直しの基本的な方向性(案)について)
・2016.10.04 パブコメ 「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)(案)」に関する意見募集について
« 英国 ICO ランサムウェア被害にあったITサービス提供者に罰金約3百万ポンド(約6億円)を課す (2025.03.27) | Main | 英国 NCSC ブログ 能動的サイバー防御2.0:外部攻撃サーフェス管理試験 (trial) からの洞察 (2025.03.06) »
Comments