英国 ICO 意見募集 消費者向けIoT製品およびサービスに関するガイダンス (2025.06.16)

こんにちは、丸山満彦です。

英国ICOが消費者向けIoT製品およびサービスに関するガイダンスのドラフトを公開し、意見募集をしています。ただ、6月19日よりデータ利用とアクセス法 (Data (Use and Access) Act) が適用されたため、修正がはいるかも。。。ということのようです。。。

DUAAについては、あらためて記載しますね...（多分...）

 

ちなみに、ICOが作成中のガイドについては、ここ (Our plans for new and updated guidance) から確認できます...

 

● U.K. ICO

・2025.06.16 Guidance for consumer Internet of Things products and services

Guidance for consumer Internet of Things products and services	消費者向けIoT製品およびサービスに関するガイダンス
About this guidance	このガイダンスについて
Why have you produced this guidance?	このガイダンスを作成した理由
Who is it for?	対象者
What is the Internet of Things?	IoTとは
What does this guidance cover?	このガイダンスの対象範囲
What doesn’t this guidance cover?	このガイダンスの対象外
How should we use this guidance?	このガイダンスの使い方
What information do IoT products use?	IoT 製品が使用する情報
Do IoT products process personal information?	IoT 製品は個人情報を処理する？
Do IoT products process special category information?	IoT 製品は特別な種類の情報を処理する？
IoT and location data	IoT と位置情報
People might use IoT products in the home – does the UK GDPR still apply?	家庭で IoT 製品を使用する場合、英国 GDPR は適用されるか？
Does PECR apply to IoT products?	PECR は IoT 製品に適用されるか？
How do we ensure accountability in IoT products?	IoT 製品における説明責任をどのように確保するか？
What is accountability?	説明責任とは何か？
How should we understand controller and processor relationships in IoT?	IoT における管理者および処理者の関係をどのように理解すべきか？
What do we need to do if children are likely to use our IoT products or services?	子供たちが当社の IoT 製品またはサービスを使用する可能性が高い場合、何をする必要があるか？
What risks do we need to manage?	どのようなリスクを管理する必要があるか？
How do we apply a data protection by design and default approach?	設計およびデフォルトによるデータ保護アプローチをどのように適用するか？
How do we ensure our IoT products process information lawfully?	IoT 製品が情報を合法的に処理することをどのように確保するか？
How do we choose the right lawful basis?	適切な法的根拠をどのように選択するか？
How do we ask for consent in IoT products?	IoT 製品において同意をどのように求めるか？
How do we ensure our IoT products process personal information fairly?	IoT 製品が個人情報を公正に処理することをどのように確保するか？
How does the fairness principle apply when an IoT product uses AI?	IoT 製品が AI を使用する場合、公正性の原則はどのように適用されるか？
How should we tell people what we’re doing?	当社の活動について、どのように人々に伝えるべきか？
How do we ensure our processing by IoT products is transparent?	IoT 製品による処理の透明性を確保するにはどうすればよいか？
How do we decide the right methods for providing our privacy information?	プライバシー情報を提供するための適切な方法を決定するにはどうすればよいか？
How do we make our privacy information easy to follow?	プライバシー情報をわかりやすく記載するにはどうすればよいか？
What are the right moments for us to provide privacy information?	プライバシー情報を提供するための適切なタイミングはいつか？
How do we provide privacy information on different product interfaces?	さまざまな製品インターフェースでプライバシー情報を提供するにはどうすればよいか？
How do we provide privacy information if there are multiple users?	複数のユーザーがいる場合、プライバシー情報を提供するにはどうすればよいか？
How do we ensure accuracy in IoT?	IoT の正確性を確保するにはどうすればよいか？
How long should we keep personal information for?	個人情報はどのくらいの期間保存すべきか？
How do we ensure security of personal information in IoT?	IoT における個人情報のセキュリティを確保するにはどうすればよいか？
What measures do we need to consider?	どのような対策を考慮すべきか？
Can PETs help us with our data protection compliance?	PET はデータ保護のコンプライアンスに役立ちますか？
How do we help people exercise their rights?	人々が自分の権利を行使できるようにするにはどうすればよいか？
What is the right of access?	アクセス権とは何ですか？
What is the right to rectification?	修正権とは何ですか？
What is the right to erasure?	消去権とは何ですか？
What is the right to data portability?	データポータビリティ権とは何ですか？
What is the right to object?	異議申立権とは何ですか？
What is automated decision-making and profiling?	自動化された意思決定およびプロファイリングとは何ですか？
Glossary	用語集

 

法律やガイドを作る際に影響評価（assessment）をするのが英国の素晴らしい点だと思います。

日本もすればよいのにね...

日本の政治家はこういう考えを法制度にしないのかしらね...

 

・[PDF] Guidance on consumer Internet of Things products and services: Impact Assessment - DRAFT

 

目次...

Executive summary	エグゼクティブサマリー
Problem definition	問題定義
Rationale for intervention	介入の理由
Options appraisal	選択肢の評価
Details of proposed intervention	提案された介入の詳細
Cost-benefit analysis	費用便益分析
Monitoring and evaluation	モニタリングと評価
1. Introduction	1. 序論
1.1. Our approach to the impact assessment	1.1. 影響評価に対する当社のアプローチ
1.2. Report structure	1.2. 報告書の構成
2. Problem definition	2. 問題定義
2.1. What is the consumer Internet of Things?	2.1. 消費者向けモノのインターネットとは？
2.2. Problem context	2.2. 問題の状況
2.3. Consumer IoT market within the UK	2.3. 英国の消費者向け IoT 市場
2.4. Summary	2.4. 概要
3. Rationale for intervention	3. 介入の理由
3.1. The policy context	3.1. 政策の背景
3.2. Market failures	3.2. 市場の失敗
3.3. Actual or potential harms	3.3. 実際のまたは潜在的な害
3.4. Summary of rationale for intervention	3.4. 介入の理由の概要
4. Options appraisal	4. 選択肢の評価
4.1. Options for consideration	4.1. 検討すべき選択肢
4.2. Assessment of options against critical success factors	4.2. 重要な成功要因に対する選択肢の評価
5. Detail of proposed intervention	5. 提案された介入の詳細
5.1. Light touch engagement	5.1. 軽微な関与
5.2. The guidance	5.2. ガイダンス
5.3. Scope of guidance	5.3. ガイダンスの範囲
5.4. Guidance timeline	5.4. ガイダンスのスケジュール
5.5. Affected groups	5.5. 影響を受けるグループ
6. Cost-benefit analysis	6. 費用便益分析
6.1. Identifying impacts	6.1. 影響の識別
6.2. Counterfactual	6.2. 反事実
6.3. Costs and Benefits	6.3. 費用と便益
7. Monitoring and evaluation	7. モニタリングと評価
Annex A: Familiarisation costs	附属書 A：習熟費用
A.1 Familiarisation costs per organisation	A.1 組織あたりの習熟費用

 

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
This draft impact assessment accompanies our draft guidance on consumer Internet of Things (IoT) products and services. It sets out our initial impact considerations for consultation, alongside the consultation on the draft guidance. It should be noted that this is not an exhaustive assessment of the impacts of the guidance, and we will move towards a more conclusive assessment of impact based on the development of the final guidance and taking account of the feedback received at consultation stage. We are seeking feedback on this draft impact assessment, along with any additional information or insights that stakeholders may be able to provide on impacts throughout the consultation process.	この影響評価ドラフトは、消費者向けIoT製品およびサービスに関するガイダンスドラフトに付属するものです。ガイダンスドラフトに関する協議と併せて、協議のための初期的な影響評価を記載している。これはガイダンスの影響に関する包括的な評価ではないことにご留意ください。最終的なガイダンスの策定、および協議段階で寄せられたフィードバックを踏まえて、より決定的な影響評価を行う予定です。当機関では、この影響評価のドラフトについて、協議プロセスを通じて、影響に関する追加情報や見解など、ステークホルダーの皆様からのフィードバックをお待ちしている。
Problem definition	問題点の定義
The draft guidance covers the processing of personal information by organisations providing IoT products on the consumer market. Much of the data processing in IoT products relates to tracking user activity. The ICO’s Online Tracking Strategy identifies areas where people are not being given the control they are entitled to under data protection law. These areas are present across a wide range of websites, services and technologies (including IoT devices), affecting nearly all adults online. When users lack control, harm can occur. It is recognised that there are particular problems for IoT products and services in complying with data protection legislation, for instance in the delivery of privacy information. ICO intervention is required to provide clarity on our regulatory expectations to organisations who process personal information in consumer IoT products.	このガイダンスのドラフトは、消費者市場で IoT 製品を提供する組織による個人情報の処理を対象としている。IoT 製品におけるデータ処理の多くは、ユーザーの行動の追跡に関連している。ICO のオンライン追跡戦略では、データ保護法に基づき、人々が本来有する権利を十分に行使できない分野を特定している。これらの分野は、幅広いウェブサイト、サービス、技術（IoT デバイスを含む）に存在し、オンラインを利用するほぼすべての成人に影響を及ぼしている。ユーザーがコントロールできない場合、害が生じる可能性がある。IoT 製品およびサービスは、プライバシー情報の提供など、データ保護法の遵守において特に問題があることが認識されている。消費者向け IoT 製品で個人情報を処理する組織に対して、当社の規制上の期待を明確にするため、ICO の介入が必要だ。
Rationale for intervention	介入の理由
The combination of compliance concerns, data protection harms and market failures have prompted the ICO to determine that action needs to be taken to improve regulatory certainty on how PECR and GDRP regulations apply to IoT products and services. Absent regulatory intervention, firms are likely to continue to underinvest in data protection, consumers are likely to be exposed to increasing data protection risks over time and wider society is likely to face increased costs of harm mitigation.	コンプライアンスに関する懸念、データ保護上の害、および市場の機能不全が相まって、ICO は、PECR および GDRP 規制が IoT 製品およびサービスにどのように適用されるかに関する規制の確実性を高めるための措置を講じる必要があると判断した。規制当局の介入がない場合、企業はデータ保護への投資を不十分なまま継続し、消費者は時間の経過とともにデータ保護のリスクにさらされる可能性が高まり、社会全体が害の緩和コストの増加に直面する可能性が高い。
Options appraisal	選択肢の評価
In the context of the identified problem and rational for intervention, six options were considered. These options were assessed against a number of critical success factors and the preferred option of light touch engagement plus guidance (Option 5) was chosen. This option involves the provision of a light touch regulatory approach using education, engagement and influence alongside the development of support and guidance setting out ICO expectations across the wider IoT market.	特定された問題と介入の理由を踏まえ、6 つの選択肢が検討された。これらの選択肢は、いくつかの重要な成功要因に対して評価され、軽度の関与とガイダンス（選択肢 5）が最適な選択肢として選択された。この選択肢では、教育、関与、影響力による軽度の規制アプローチと、より広範な IoT 市場における ICO の期待事項を定めた支援およびガイダンスの策定が組み合わされる。
Details of proposed intervention	提案された介入の詳細
The proposed regulatory intervention involves light touch engagement plus guidance. The overarching objective of the guidance involves the provision of regulatory certainty to organisations. The production of guidance for consumer IoT products and services, aims to help organisations provide people with meaningful control across the AdTech ecosystem; reduce the potential for data protection harms; and meet the objectives noted. These include: a level playing field of compliance amongst organisations is achieved; innovative alternatives are developed and implemented; and organisations respect and adhere to people's choice to name a few.	提案されている規制介入は、軽度の関与とガイダンスからなる。このガイダンスの包括的な目的は、組織に規制の確実性を提供することです。消費者向け IoT 製品およびサービスに関するガイダンスの作成は、組織が AdTech エコシステム全体において、人々に有意義な制御を提供し、データ保護の害の可能性を低減し、上記の目的を達成することを支援することを目的としている。その目的としては、組織間のコンプライアンスの公平性の確保、革新的な代替手段の開発と実施、組織による人々の選択の尊重と順守などが挙げられる。
Cost-benefit analysis	費用便益分析
Our initial analysis of costs and benefits has identified a number of impacts of the draft guidance including the reduced potential for data protection harms. The guidance is expected to increase regulatory certainty for organisations within the consumer IoT ecosystem. Although there will be costs to organisations from reading, understanding and implementing the guidance, this is expected to be outweighed by the wider societal benefits of reduced data protection harms.	費用と便益に関する初期分析では、データ保護上の害の可能性の低減など、ガイダンスドラフトが及ぼすさまざまな影響が特定された。このガイダンスにより、消費者向け IoT エコシステム内の組織に対する規制の確実性が高まると予想される。組織は、ガイダンスの読解、理解、実施にコストがかかるが、データ保護上の害の低減というより広範な社会的便益が、そのコストを上回ると予想される。
At this initial draft stage of guidance development, we expect the guidance to have a net positive impact on balance. However, we will seek to gather additional information on the potential costs and benefits of the guidance throughout consultation and development of our final guidance and impact assessment.	ガイダンス作成の初期段階である現時点では、ガイダンスは全体としてプラスの影響をもたらすものと予想している。ただし、最終的なガイダンスの作成および影響評価の協議・作成過程において、ガイダンスの潜在的なコストと便益に関する追加情報を収集する予定だ。
Monitoring and evaluation	モニタリングと評価
As per our impact assessment framework, when finalising the guidance post consultation, we will consider the monitoring and review processes. As noted, this intervention sits within our wider Online Tracking Strategy. As such, the outcomes and impacts of this intervention will feed into any wider ex-post impact measurement carried out on the Online Tracking Strategy.	影響評価の枠組みに従い、協議を経てガイダンスを最終決定する際には、モニタリングとレビューのプロセスを検討する。前述の通り、この介入は、より広範なオンライン追跡戦略の一部である。そのため、この介入の結果と影響は、オンライン追跡戦略について実施されるより広範な事後影響測定に反映される。