英国 データ（利用とアクセス）法 (DUAA) 2025 (2025.06.19)

こんにちは、丸山満彦です。

英国の個人データ保護法の変更を伴うData Use and Access Bill が議会で可決され、国王の勅許がえられ、2025.06l.19にData (Use and Access) Act 2025が制定されましたね...

AIの訓練における著作物の使用に関する議論が活発に行われたので、少し成立に手間取ったようですね...

機械学習に基づくAIがもたらす社会的な影響は大きく、うまく使えれば社会的にも経済的にも便益をもたらす可能性が高く期待される反面、学習の過程における著作物や個人データの取り扱いについて、既存の法体系では想定していない利用方法なので、調整が必要ということだと思います。

 

変更点としては、

• 研究における個人情報の使用方法の明確化
• 一部の自動意思決定に関する制限の解除
• 同意なしに一部のクッキーを使用する方法の規定
• 特定の状況において公益（慈善）団体が同意なしに電子メールによるマーケティングを行うことを許可
• 組織にデータ保護に関する苦情処理手続きの設置を義務付け
• 新たな法的根拠としての「正当な利益」の導入（明文化）

がありますが、それ以外にも修正点があります。

• 研究における個人情報の使用方法の明確化
  • 商業的研究利用にも適用されることを明確化等
• 一部の自動意思決定に関する制限の解除
  • 特別カテゴリー（人種、健康データ等）を除いて一部緩和（利用者による関与等を条件として）
• 同意なしに一部のクッキーを使用する方法の規定
  • サービス改善のための統計情報収集Cookie、Webサイトの表示方法など必要な機能的Cookieについてhオプトアウトを認める
• 特定の状況において公益（慈善）団体が同意なしに電子メールによるマーケティングを行うことを許可
• 組織にデータ保護に関する苦情処理手続きの設置を義務付け
  • 30日以内対応
  • 記録義務
    
• 法的根拠としての「正当な利益」の導入（明文化）による利益衡量テストの省略
  
  • 国家安全保障の保護、犯罪の検出、捜査、防止または犯罪者の逮捕
  • 脆弱な個人の保護
  • 企業グループ内管理目的

 

しかし、条文が難しいです...

あと、欧州のGDPRとの同等性についてですが、EUは2025.12.27までに英国のデータ保護法を再評価し、同等性を判断することになっています。現時点では、英国政府は同等性が維持されるといっていますね...根拠としては、DUAAの変更はEUのGDPRの基本的な枠組みを維持しているためということですが、EU側に決定権がありますからね...

懸念事項としては、クッキー等の変更部分ですかね。。。

 

 

● Legislation.gov.uk

・Data (Use and Access) Act 2025

・[PDF]

Data (Use and Access) Act 2025	データ（利用とアクセス）法 2025
CHAPTER 18 CONTENTS	第18章 目次
PART 1	第1部
ACCESS TO CUSTOMER DATA AND BUSINESS DATA	顧客データおよび事業データへのアクセス
Introductory	序論
1 Customer data and business data	1 顧客データおよび事業データ
Data regulations	データ規制
2 Power to make provision in connection with customer data	2 顧客データに関する規定を定める権限
3 Customer data: supplementary	3 顧客データ：補足
4 Power to make provision in connection with business data	4 ビジネスデータに関する規定を定める権限
5 Business data: supplementary	5 ビジネスデータ：補足
6 Decision-makers	6 意思決定者
7 Interface bodies	7 インターフェース団体
Enforcement	施行
8 Enforcement of regulations under this Part	8 この部の規定の施行
9 Restrictions on powers of investigation etc	9 調査権限等の制限
10 Financial penalties	10 罰金
Fees etc and financial assistance	手数料等および財政援助
11 Fees	11 手数料
12 Levy	12 課徴金
13 Financial assistance	13 財政援助
Financial services sector	金融サービス部門
14 The FCA and financial services interfaces	14 FCA および金融サービスインターフェース
15 The FCA and financial services interfaces: supplementary	15 FCA および金融サービスインターフェース：補足
16 The FCA and financial services interfaces: penalties and levies	16 FCA および金融サービスインターフェース：罰則および課徴金
17 The FCA and co-ordination with other regulators	17 FCA および他の規制当局との調整
Supplementary	補足
18 Liability in damages	18 損害賠償責任
19 Duty to review regulations	19 規制の見直し義務
20 Restrictions on processing and data protection	20 処理およびデータ保護に関する制限
21 Regulations under this Part: supplementary	21 本パートに基づく規制：補足
22 Regulations under this Part: Parliamentary procedure and consultation	22 本部に基づく規制：議会手続きおよび協議
23 Related subordinate legislation	23 関連する下位法令
24 Repeal of provisions relating to supply of customer data	24 顧客データの提供に関する規定の廃止
25 Other defined terms	25 その他の定義用語
26 Index of defined terms for this Part	26 本部の定義用語索引
PART 2	第 2 部
DIGITAL VERIFICATION SERVICES	デジタル検証サービス (DVS)
Introductory	はじめに
27 Introductory	27 はじめに
DVS trust framework and supplementary codes	DVS トラストフレームワークおよび補足コード
28 DVS trust framework	28 DVS トラストフレームワーク
29 Supplementary codes	29 補足規範
30 Withdrawal of a supplementary code	30 補足規範の撤回
31 Review of DVS trust framework and supplementary codes	31 DVS 信頼枠組みおよび補足規範の見直し
DVS register	DVS 登録簿
32 DVS register	32 DVS 登録簿
33 Registration in the DVS register	33 DVS 登録簿への登録
34 Power to refuse registration in the DVS register	34 DVS 登録簿への登録を拒否する権限
35 Registration of additional services	35 追加サービスの登録
36 Supplementary notes	36 補足
37 Addition of services to supplementary notes	37 補足へのサービスの追加
38 Applications for registration, supplementary notes, etc	38 登録申請、補足事項など
39 Fees for applications for registration, supplementary notes, etc	39 登録申請、補足事項などの手数料
40 Duty to remove person from the DVS register	40 DVS 登録簿からの個人削除義務
41 Power to remove person from the DVS register	41 DVS 登録簿からの個人削除権限
42 Duty to remove services from the DVS register	42 DVS 登録簿からのサービス削除義務
43 Duty to remove supplementary notes from the DVS register	43 DVS 登録簿からの補足事項削除義務
44 Duty to remove services from supplementary notes	44 補足事項からのサービス削除義務
Information gateway	情報ゲートウェイ
45 Power of public authority to disclose information to registered person	45 登録者に対する情報開示に関する公的機関の権限
46 Information disclosed by the Revenue and Customs	46 歳入関税庁が開示する情報
47 Information disclosed by the Welsh Revenue Authority	47 ウェールズ歳入庁が開示する情報
48 Information disclosed by Revenue Scotland	48 スコットランド歳入庁が開示する情報
49 Code of practice about the disclosure of information	49 情報開示に関する行動規範
Trust mark	信頼マーク
50 Trust mark for use by registered persons	50 登録者が使用する信頼マーク
Supplementary	補足
51 Power of Secretary of State to require information	51 情報要求に関する国務大臣の権限
52 Arrangements for third party to exercise functions	52 サードパーティによる機能の行使に関する取り決め
53 Report on the operation of this Part	53 この部の運用に関する報告書
54 Index of defined terms for this Part	54 この部の用語の定義
55 Powers relating to verification of identity or status	55 身元または地位の検証に関する権限
PART 3	第 3 部
NATIONAL UNDERGROUND ASSET REGISTER	国家地下資産登録簿
56 National Underground Asset Register: England and Wales	56 国家地下資産登録簿：イングランドおよびウェールズ
57 Information in relation to apparatus: England and Wales	57 装置に関する情報：イングランドおよびウェールズ
58 National Underground Asset Register: Northern Ireland	58 国の地下資産登録簿：北アイルランド
59 Information in relation to apparatus: Northern Ireland	59 装置に関する情報：北アイルランド
60 Pre-commencement consultation	60 施行前の協議
PART 4	第 4 部
REGISTERS OF BIRTHS AND DEATHS	出生および死亡の登録簿
61 Form in which registers of births and deaths are to be kept	61 出生および死亡の登録簿の保管形態
62 Provision of equipment and facilities by local authorities	62 地方自治体による設備および施設の提供
63 Requirements to sign register	63 登録簿への署名要件
64 Treatment of existing registers and records	64 既存の登録簿および記録の取り扱い
65 Minor and consequential amendments	65 軽微な改正および付随的な改正
PART 5	第 5 部
DATA PROTECTION AND PRIVACY	データ保護およびプライバシー
CHAPTER 1 DATA PROTECTION	第 1 章 データ保護
Terms used in this Chapter	この章で使用される用語
66 The 2018 Act and the UK GDPR	66 2018 年法および英国 GDPR
Definitions in the UK GDPR and the 2018 Act	英国 GDPR および 2018 年法の定義
67 Meaning of research and statistical purposes	67 研究および統計目的の意味
68 Consent to processing for the purposes of scientific research	68 科学研究を目的とした処理に対する同意
69 Consent to law enforcement processing	69 法執行機関による処理に対する同意
Data protection principles	データ保護の原則
70 Lawfulness of processing	70 処理の合法性
71 The purpose limitation	71 目的制限
72 Processing in reliance on relevant international law	72 関連する国際法に基づく処理
Processing of special categories of personal data	特別なカテゴリーの個人データの処理
73 Elected representatives responding to requests	73 要求に対応する選出された代表者
74 Processing of special categories of personal data	74 特別なカテゴリーの個人データの処理
Data subject’s rights	データ対象者の権利
75 Fees and reasons for responses to data subjects’ requests about law enforcement processing	75 法執行機関による処理に関するデータ対象者の要求に対する対応手数料および理由
76 Time limits for responding to data subjects’ requests	76 データ対象者の要求に対する対応期限
77 Information to be provided to data subjects	77 データ対象者に提供すべき情報
78 Searches in response to data subjects’ requests	78 データ対象者の要求に応じた検索
79 Data subjects’ rights to information: legal professional privilege exemption	79 データ対象者の情報に対する権利：弁護士の秘密特権による免除
Automated decision-making	自動化された意思決定
80 Automated decision-making	80 自動化された意思決定
Obligations of controllers	管理者の義務
81 Data protection by design: children’s higher protection matters	81 設計によるデータ保護：子供に対するより高い保護事項
Logging of law enforcement processing	法執行機関による処理の記録
82 Logging of law enforcement processing	82 法執行機関による処理の記録
Codes of conduct	行動規範
83 General processing and codes of conduct	83 一般的な処理および行動規範
84 Law enforcement processing and codes of conduct	84 法執行機関による処理および行動規範
International transfers of personal data	個人データの国際的な転送
85 Transfers of personal data to third countries and international organisations	85 第三国および国際機関への個人データの転送
Safeguards for processing for research etc purposes	研究などの目的のための処理に関する保護措置
86 Safeguards for processing for research etc purposes	86 研究等の目的のための処理に関する保護措置
87 Section 86: consequential provision	87 第 86 条：付随規定
National security	国家安全保障
88 National security exemption	88 国家安全保障に関する適用除外
Intelligence services	情報機関
89 Joint processing by intelligence services and competent authorities	89 情報機関と管轄当局による共同処理
90 Joint processing: consequential amendments	90 共同処理：付随規定の改正
Information Commissioner’s role	情報コミッショナーの役割
91 Duties of the Commissioner in carrying out functions	91 コミッショナーの機能遂行における義務
92 Codes of practice for the processing of personal data	92 個人データの処理に関する行動規範
93 Codes of practice: panels and impact assessments	93 行動規範：パネルおよび影響評価
94 Manifestly unfounded or excessive requests to the Commissioner	94 コミッショナーに対する明らかに根拠のない、または過度な要求
95 Analysis of performance	95 パフォーマンスの分析
96 Notices from the Commissioner	96 コミッショナーからの通知
Enforcement	執行
97 Power of the Commissioner to require documents	97 コミッショナーの文書提出要求権
98 Power of the Commissioner to require a report	98 コミッショナーの報告書提出要求権
99 Assessment notices: removal of OFSTED restriction	99 アセスメント通知：OFSTED の制限の解除
100 Interview notices	100 面接通知
101 Penalty notices	101 罰則通知
102 Annual report on regulatory action	102 規制措置に関する年次報告書
103 Complaints by data subjects	103 データ対象者による苦情
104 Court procedure in connection with subject access requests	104 データ対象者のアクセス要求に関する裁判所の手続き
105 Consequential amendments to the EITSET Regulations	105 EITSET 規則の付随的改正
Protection of prohibitions, restrictions and data subject’s rights	禁止事項、制限事項およびデータ対象者の権利の保護
106 Protection of prohibitions, restrictions and data subject’s rights	106 禁止事項、制限事項およびデータ対象者の権利の保護
Miscellaneous	その他
107 Regulations under the UK GDPR	107 英国 GDPR に基づく規則
108 Further minor provision about data protection	108 データ保護に関するその他の軽微な規定
CHAPTER 2	第 2 章
PRIVACY AND ELECTRONIC COMMUNICATIONS	プライバシーおよび電子通信
109 The PEC Regulations	109 PEC 規則
110 Interpretation of the PEC Regulations	110 PEC 規則の解釈
111 Duty to notify the Commissioner of personal data breach: time periods	111 個人データ漏えいに関するコミッショナーへの通知義務：期間
112 Storing information in the terminal equipment of a subscriber or user	112 加入者またはユーザーの端末機器における情報の保存
113 Emergency alerts: interpretation of time periods	113 緊急警報：期間の解釈
114 Use of electronic mail for direct marketing by charities	114 慈善団体によるダイレクトマーケティングのための電子メールの使用
115 Commissioner’s enforcement powers	115 コミッショナーの執行権限
116 Codes of conduct	116 行動規範
PART 6	第6部
THE INFORMATION COMMISSION	情報委員会
117 The Information Commission	117 情報委員会
118 Abolition of the office of Information Commissioner	118 情報コミッショナーの職の廃止
119 Transfer of functions to the Information Commission	119 情報委員会への機能の移管
120 Transfer of property etc to the Information Commission	120 情報委員会への財産等の移管
PART 7	第 7 部
OTHER PROVISION ABOUT USE OF, OR ACCESS TO, DATA	データの使用またはアクセスに関するその他の規定
Information standards for health and social care	健康および社会福祉に関する情報基準
121 Information standards for health and adult social care in England	121 イングランドの健康および成人向け社会福祉に関する情報基準
Smart meter communication services	スマートメーター通信サービス
122 Grant of smart meter communication licences	122 スマートメーター通信ライセンスの付与
Information to improve public service delivery	公共サービスの提供を改善するための情報
123 Disclosure of information to improve public service delivery to undertakings	123 企業に対する公共サービスの提供を改善するための情報の開示
Retention of information by providers of internet services	インターネットサービスプロバイダによる情報の保存
124 Retention of information by providers of internet services in connection with death of child	124 子供の死亡に関連したインターネットサービスプロバイダによる情報の保存
Information for research about online safety matters	オンラインの安全に関する研究のための情報
125 Information for research about online safety matters	125 オンラインの安全に関する研究のための情報
Retention of biometric data	生体データの保存
126 Retention of biometric data and recordable offences	126 生体データおよび記録可能な犯罪の保存
127 Retention of pseudonymised biometric data	127 仮名化された生体データの保持
128 Retention of biometric data from INTERPOL	128 インターポールからの生体データの保持
Trust services	トラストサービス
129 The eIDAS Regulation	129 eIDAS 規則
130 Recognition of EU conformity assessment bodies	130 EU 適合性評価団体の認定
131 Removal of recognition of EU standards etc	131 EU 標準等の認定の取消
132 Recognition of overseas trust products	132 海外トラスト製品の認定
133 Co-operation between supervisory authority and overseas authorities	133 監督当局と海外当局との協力
134 Time periods: the eIDAS Regulation and the EITSET Regulations	134 期間：eIDAS 規則および EITSET 規則
Copyright works and artificial intelligence systems	著作権作品および人工知能システム
135 Economic impact assessment	135 経済影響評価
136 Report on the use of copyright works in the development of AI systems	136 AI システムの開発における著作権作品の活用に関する報告書
137 Progress statement	137 進捗状況報告書
Purported intimate images	親密な画像とみなされる画像
138 Creating, or requesting the creation of, purported intimate image of adult PART 8	138 成人の親密な画像とみなされる画像の作成または作成の依頼 第 8 部
FINAL PROVISIONS	最終規定
139 Power to make consequential amendments	139 付随的改正を行う権限
140 Regulations	140 規則
141 Extent	141 適用範囲
142 Commencement	142 施行
143 Transitional, transitory and saving provision	143 経過、一時的および保存規定
144 Short title	144 略称
Schedule 1 — National Underground Asset Register (England and Wales): monetary penalties	別表 1 — 国家地下資産登録簿（イングランドおよびウェールズ）：金銭的罰則
Schedule 2 — National Underground Asset Register (Northern Ireland): monetary penalties	別表 2 — 国家地下資産登録簿（北アイルランド）：金銭的罰則
Schedule 3 — Registers of births and deaths: minor and consequential amendments	別表 3 — 出生および死亡登録簿：軽微な改正および関連改正
Part 1 — Amendments of the Births and Deaths Registration Act 1953 Part 2 — Amendments of other legislation	第1部 — 1953年出生および死亡登録法の改正 第2部 — その他の法律の改正
Schedule 4 — Lawfulness of processing: recognised legitimate interests Schedule 5 — Purpose limitation: processing to be treated as compatible with original purpose	別表 4 — 処理の合法性：認められた正当な利益 別表5 — 目的制限：元の目的と相容れる処理として扱うこと
Schedule 6 — Automated decision-making: minor and consequential amendments	別表 6 — 自動化された意思決定：軽微な改正および付随する改正
Schedule 7 — Transfers of personal data to third countries etc: general processing	別表 7 — 第三国等への個人データの移転：一般的な処理
Schedule 8 — Transfers of personal data to third countries etc: law enforcement processing	別表 8 — 第三国等への個人データの移転：法執行のための処理
Schedule 9 — Transfers of personal data to third countries etc: minor and consequential amendments and transitional provision	別表 9 — 第三国等への個人データの移転：軽微な改正および付随する改正、および経過規定
Part 1 — Minor and consequential amendments	第 1 部 — 軽微な改正および付随する改正
Part 2 — Transitional provision	第 2 部 — 経過規定
Schedule 10 — Complaints: minor and consequential amendments	別表 10 — 苦情：軽微な改正および付随的な改正
Schedule 11 — Further minor provision about data protection	別表 11 — データ保護に関するさらなる軽微な規定
Schedule 12 — Storing information in the terminal equipment of a subscriber or user	別表 12 — 加入者またはユーザーの端末機器における情報の保存
Schedule 13 — Privacy and electronic communications: Commissioner’s enforcement powers	別表 13 — プライバシーおよび電子通信：コミッショナーの執行権限
Schedule 14 — The Information Commission	別表 14 — 情報委員会
Schedule 15 — Information standards for health and adult social care in England	別表 15 — イングランドの医療および成人向け社会福祉に関する情報基準
Schedule 16 — Grant of smart meter communication licences	別表 16 — スマートメーター通信ライセンスの付与
Part 1 — Amendments of the Energy Act 2008	第 1 部 — 2008 年エネルギー法の改正
Part 2 — Amendments of other legislation	第 2 部 — その他の法律の改正

 

 

● ICO

ここにわりと詳しく書いていますね...

・Data (Use and Access) Act 2025

 

・2025.06.19 UK organisations stand to benefit from new data protection laws

UK organisations stand to benefit from new data protection laws	英国の組織は、新しいデータ保護法の恩恵を受ける見込み
The Data (Use and Access) Act 2025 (DUAA) has now received Royal Assent. This new legislation updates key aspects of data protection law, making it easier for UK businesses to protect people’s personal information while growing and innovating their products and services.	2025 年データ（利用とアクセス）法（DUAA）が、英国王の裁可を受けた。この新しい法律は、データ保護法の重要な側面を改正し、英国の企業が、製品やサービスの成長と革新を図りながら、個人の個人情報をより簡単に保護できるようにする。
Changes to the law include: clarifying how personal information can be used for research; lifting restrictions on some automated decision making; setting out how to use some cookies without consent; allowing charities to send people electronic mail marketing without consent in certain circumstances; requiring organisations to have a data protection complaints procedure and introducing a new lawful basis of recognised legitimate interests.	法律の変更点としては、研究における個人情報の使用方法の明確化、一部の自動意思決定に関する制限の解除、同意なしに一部のクッキーを使用する方法の規定、特定の状況において慈善団体が同意なしに電子メールによるマーケティングを行うことを許可、組織にデータ保護に関する苦情処理手続きの設置を義務付け、および新たな法的根拠としての「正当な利益」の導入などが挙げられる。
The Act provides the ICO with new powers, including the ability to compel witnesses to attend interviews, request technical reports, and issue fines of up to £17.5 million or 4% of global turnover under PECR.	この法律により、ICO は、証人の事情聴取、技術報告書の提出要求、PECR に基づき最高 1,750 万ポンドまたは世界全体の売上高の 4% に相当する罰金の科を命じるなど、新たな権限が与えられる。
Today we are publishing information to support organisations and the public as these changes are introduced. This includes	本日、これらの変更の導入に伴い、組織および一般市民を支援するための情報を公開する。その内容は以下の通りである。
・An outline what the Act means for organisations.	・この法律が組織にとって意味することの概要。
・An outline of what the Act means for law enforcement agencies.	・この法律が法執行機関にとって意味することの概要。
・A detailed summary of the changes for data protection experts.	・データ保護の専門家向けの変更点の詳細な概要。
・Our new and planned guidance web page setting out what guidance to expect and when.	・新しいガイダンスおよび予定されているガイダンスについて、どのようなガイダンスがいつ発表されるかを記載した新しいガイダンスウェブページ。
・An outline of how we will continue our regulatory work as the Act is implemented.	・この法律の実施に伴い、当機関が規制業務をどのように継続するかの概要。
・A guide for the public on how the Act will affect them.	・この法律が国民に与える影響に関するガイド。
John Edwards, Information Commissioner, said:	情報コミッショナーのジョン・エドワーズ氏は次のように述べている。
“The Data (Use and Access) Act 2025 gives organisations using personal information new and better opportunities to innovate and grow in the UK, and further enhances our ability to balance innovation and economic growth with strong protections for people’s rights.	「2025 年データ（使用およびアクセス）法は、個人情報を扱う組織に、英国で革新と成長のための新たな、より優れた機会を提供するとともに、イノベーションと経済成長、そして人々の権利の強力な保護とのバランスをとる当社の能力をさらに強化する。
“Today we’ve published a catalogue of resources to help explain what this new legislation means for businesses.  Over the coming months we will launch new guidance, open consultations, and provide practical tools to help embed the Act’s principles into everyday operations. Our goal is to ensure that data can be used confidently and responsibly to deliver better services, drive economic growth, and uphold public trust.”	本日、この新しい法律が企業にとってどのような意味を持つかを説明するための資料カタログを公開した。今後数カ月の間に、新しいガイダンスを発表し、公開協議を開始し、この法律の原則を日常業務に組み込むための実用的なツールを提供する。私たちの目標は、データが自信を持って責任を持って利用され、より優れたサービスの提供、経済成長の推進、国民の信頼の維持に役立てられることを確保することである」
Next steps for organisations	組織のための次のステップ
Government will phase implementation of the new law, commencing different changes using secondary legislation. While most provisions are expected to come into force either two or six months after Royal Assent, some may take up to 12 months.	政府は、二次立法を用いてさまざまな変更を開始し、新法の施行を段階的に進める予定だ。ほとんどの規定は、国王の裁可から 2 か月または 6 か月後に施行される予定だが、一部は 12 か月かかる場合もある。
To prepare, organisations can:	準備として、組織は次のことを行うことができる。
・Familiarise themselves with the changes that the DUAA makes to data protection law using these resources. Read our detailed summary for more information.	・これらのリソースを使用して、DUAA によるデータ保護法の変更についてよく理解しておいてください。詳細については、当社の詳細な要約をご覧ください。
・If they provide an online service that children are likely to use, make sure they are doing enough to satisfy the new explicit requirement to consider their needs. They should be on track if they already conform to our Children’s code.	・子供たちが利用する可能性が高いオンラインサービスを提供している場合は、子供たちのニーズを考慮するという新しい明確な要件を十分に満たしていることを確認する。すでに当社の子供向けコードに準拠している場合は、準備は順調に進んでいるはずだ。
・Start thinking about how they can help people to make complaints.	・人々が苦情を申し立てやすい仕組みについて検討し始める。
・Review the changes that support innovation and make things easier and consider whether they want to take the opportunity to do anything differently or streamline their processes.	・イノベーションを支援し、業務を容易にする変更点を確認し、この機会を利用して何か新しい取り組みを行うか、またはプロセスを効率化するか検討する。
・Sign up to the ICO newsletter and e-shots, so they’ll know when we’ve updated our guidance.	・ICO のニュースレターおよび E メールマガジンに登録して、ガイダンスの更新情報を受領できる。
More information	詳細情報
・The DUAA provides amendments, but does not replace, the UK GDPR, the Data Protection Act 2018, and the Privacy and Electronic Communications Regulations. These changes are designed to make data protection law clearer and more flexible for organisations, while maintaining strong safeguards for individuals.	・DUAA は、英国 GDPR、2018 年データ保護法、およびプライバシーおよび電子通信規則を改正するものであり、これらに代わるものではない。これらの変更は、個人に対する強力な保護措置を維持しつつ、データ保護法を組織にとってより明確かつ柔軟なものにするために設計されている。
・The DUAA received Royal Assent on 19 June 2025.	・DUAA は 2025 年 6 月 19 日に英国王の裁可を受けた。
・The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals.	・情報コミッショナーオフィス（ICO）は、データ保護および情報権利に関する法律を監督する英国の独立機関であり、公共の利益のために情報権利を擁護し、公的機関による情報公開と個人のデータ・プライバシーの保護を推進している。
・The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the United Kingdom General Data Protection Regulation (UK GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five acts and regulations.	・ICO は、2018 年データ保護法（DPA2018）、英国一般データ保護規則（UK GDPR）、2000 年情報公開法（FOIA）、2004 年環境情報規則（EIR）、2003 年プライバシーおよび電子通信規則（PECR）、およびさらに 5 つの法律および規則で定められた特定の責任を負っている。
・The ICO can take action to address and change the behaviour of organisations and individuals that collect, use, and keep personal information. This includes criminal prosecution, non-criminal enforcement and audit.	・ICOは、個人情報を収集、利用、保管する組織や個人の行動を是正し、変更するための措置を講じることができる。これには、刑事訴追、非刑事的な執行措置、監査が含まれる。

 

・Data (Use and Access) Act 2025

Data (Use and Access) Act 2025	データ（使用およびアクセス）法 2025
On 19 June 2025 the Data (Use and Access) Act (DUAA) became law in the UK.	2025年6月19日、データ（使用およびアクセス）法（DUAA）が英国で成立した。
For organisations	組織向け
What does it mean for organisations?	組織にとってどのような意味があるか？
An overview of what the DUAA means for organisations.	DUAA が組織に与える影響の概要。
At a glance	要点
・The DUAA is a new Act of Parliament that updates some laws about digital information matters.	・DUAA は、デジタル情報に関する一部の法律を改正する新しい議会法だ。
・It changes data protection laws in order to promote innovation and economic growth and make things easier for organisations, whilst it still protects people and their rights.	・この法律は、イノベーションと経済成長を促進し、組織の業務を容易にする一方で、個人とその権利を保護するために、データ保護に関する法律を改正する。
・Most of the changes offer you an opportunity to do things differently, rather than needing you to make specific changes to comply with the law.	・変更点のほとんどは、法律を遵守するために特定の変更を行うことを要求するものではなく、業務の方法を変える機会を提供するものである。
・The changes will be phased in between June 2025 and June 2026.	・変更は 2025 年 6 月から 2026 年 6 月にかけて段階的に実施される。
In brief	概要
・What data protection laws does the DUAA change?	・DUAA はどのようなデータ保護法を変更する？
・How might the DUAA help us to innovate?	・DUAA はイノベーションにどのように役立つ？
・How might the DUAA make things easier for us?	・DUAA はどのような点で業務が容易になる？
・Are there any new requirements for us to meet?	・新たに満たすべき要件は？
・What help can we expect from the ICO?	・ICO からどのような支援が期待できる？
・What can we do now to prepare for these changes?	・これらの変更に備えるために今できることは？
・What other laws does the DUAA change?	・DUAA は他にどのような法律を変更する？
What does it mean for law enforcement agencies?	法執行機関にとっての意味は？
An overview of what the DUAA means for law enforcement agencies.	DUAA が法執行機関にとって意味することの概要。
At a glance	要点
・The DUAA is a new Act of Parliament that updates some laws about digital information matters.	・DUAA は、デジタル情報に関する一部の法律を改正する新しい議会法である。
・It changes data protection laws, including the laws that apply to law enforcement agencies (or ‘competent authorities’) that use personal information for law enforcement purposes.	・この法律は、法執行目的で個人情報を使用する法執行機関（または「管轄当局」）に適用される法律を含む、データ保護に関する法律を改正する。
・These changes should help you deliver your public services more effectively.	・これらの改正は、公共サービスのより効果的な提供に役立つはずである。
・Most of the changes offer you an opportunity to do things differently, rather than needing you to make specific changes to comply with the law.	・変更のほとんどは、法律を遵守するために具体的な変更を行う必要はなく、業務の方法を変えることで対応できるものとなっている。
・The changes will be phased in between June 2025 and June 2026.	・変更は 2025 年 6 月から 2026 年 6 月にかけて段階的に実施される。
In brief	概要
・What data protection laws does the DUAA change?	・DUAA は、どのようなデータ保護法を変更する？
・How might the DUAA help us to deliver our public services more effectively?	・DUAA は、公共サービスのより効果的な提供にどのように役立つ？
・Are there any new requirements for us to meet?	・私たちが満たすべき新しい要件はありますか？
・What help can we expect from the ICO?	・ICO からどのような支援を受けることができるか？
・What can we do now to prepare for these changes?	・これらの変更に備えるために、今できることは何か？
・What other laws does the DUAA change?	・DUAA によって変更されるその他の法律は？
Summary of changes to data protection law	データ保護法の変更の概要
A summary of the changes to data protection law that affect organisations, for data protection experts.	データ保護の専門家向けに、組織に影響を与えるデータ保護法の変更の概要をまとめたもの。
This summarises the changes the DUAA makes to data protection law that may affect you if you’re an organisation using personal information.	これは、個人情報を扱う組織に影響を与える可能性のある、DUAA によるデータ保護法の変更点をまとめたものである。
It isn’t a replacement for our existing guidance for organisations that we will update over time, and as the changes come into effect. It should, however, help you understand what the changes are in the meantime. You can find more details about the updates we’re working on in Our plans for new and updated guidance.	これは、今後随時更新される既存の組織向けガイドラインに代わるものではない。ただし、変更が施行されるまでの間、変更の内容を理解する上で役立つはずである。現在作業中の更新の詳細については、「新しいガイドラインおよび更新ガイドラインの計画」を参考にすること
This is a factual summary of the changes that each relevant section of the DUAA makes, but it does not cover how you interpret or apply the law. We’ll address this as we develop and update our guidance for organisations, in consultation with relevant stakeholders.	これは、DUAA の各関連条項による変更の事実に基づく要約であり、法律の解釈や適用方法については記載されていない。この点については、関連する利害関係者と協議しながら、組織向けのガイダンスの策定および更新の際に検討する。
It’s aimed at data protection experts, including Data Protection Officers (DPOs) and people with specific data protection responsibilities. It’s for people who already understand the current law. It explains what has changed rather than providing a comprehensive guide or explanation about data protection law.	これは、データ保護責任者（DPO）やデータ保護に関する特定の責任を有する者など、データ保護の専門家を対象としている。これは、現在の法律をすでに理解している方を対象としている。データ保護法に関する包括的なガイドや説明ではなく、変更点について解説している。
If you’d prefer a brief overview of how the DUAA might affect your organisation, please see The Data Use and Access Act 2025 (DUAA) - What does it mean for organisations?.	DUAA が組織に与える影響について簡潔な概要をご希望の場合は、『データ利用およびアクセス法 2025（DUAA） - 組織にとっての意味』を参考にすること。
If you’d prefer a brief overview of how the DUAA affects law enforcement agencies, please see The Data Use and Access Act 2025 (DUAA) - What does it mean for law enforcement agencies?.	DUAA が法執行機関に与える影響について簡潔な概要をご希望の場合は、『データ利用およびアクセス法 2025（DUAA） - 法執行機関にとっての意味』を参考にすること。
If you’d prefer a brief overview of how the DUAA might affect how your own personal information is used by organisations, please see The Data Use and Access Act 2025 (DUAA) - How does this affect me?.	DUAA が、組織によるお客様の個人情報の使用に与える影響について概要をご希望の場合は、「2025 年データ使用およびアクセス法（DUAA） - これは私にどのような影響があるか」を参考にすること。
This guidance follows the order and headings in the DUAA for ease of reference. It summarises all the significant changes.	このガイダンスは、参照しやすいように、DUAA の順序および見出しに従っている。重要な変更点をすべて要約している。
If a section makes minor, consequential, or technical changes that don’t significantly change the law, we’ve noted this without explaining the detail.	条項が、法律の重要な変更を伴わない軽微な変更、付随的な変更、または技術的な変更である場合、詳細な説明は省略している。
If a section makes changes that don’t directly affect you, we’ve noted this without explaining the detail (eg changes to the ICO’s responsibilities or the powers of the Secretary of State).	条項が、あなたには直接影響しない変更である場合、詳細な説明は省略している（例：ICOの責任や国務大臣の権限に関する変更）。
If the DUAA changes the law that applies to competent authorities which use personal information for law enforcement purposes (part 3 of the Data Protection Act 2018 (DPA)), or to the use of personal information by the intelligence services (part 4 of the DPA), we’ve noted this. Otherwise, the changes relate to the general use of personal information by other organisations.	DUAA により、法執行の目的で個人情報を使用する管轄当局（2018 年データ保護法（DPA）第 3 部）または情報機関による個人情報の使用（DPA 第 4 部）に適用される法律が変更された場合は、その旨を記載している。それ以外の変更は、他の組織による個人情報の一般的な使用に関するものである。
・Data protection	・データ保護
・Privacy and electronic communications	・プライバシーおよび電子通信
・The Information Commission	・情報委員会
・Schedules	・スケジュール
Our plans for new and updated guidance	新しいガイダンスおよび更新されたガイダンスの計画
Information about all the guidance that we’re working on.	当機関が現在作成中のすべてのガイダンスに関する情報。
Our guidance is designed to help and support you to comply with the laws we regulate, and to help people understand their information rights.	当機関のガイダンスは、当社が規制する法律の遵守を支援およびサポートし、人々が自分の情報に関する権利を理解するのに役立つように作成されている。
As well as detailed formal guidance and Codes of Practice, we also produce checklists, toolkits and position papers. We create all our guidance with you in mind, making it as simple as possible for you to use.	詳細な正式なガイダンスおよび行動規範に加え、チェックリスト、ツールキット、ポジションペーパーも作成している。すべてのガイドラインは、皆様が利用しやすいよう、できるだけ簡潔に作成している。
Grouped by the topics below, you’ll find information about all the guidance that we’re working on. You’ll see what we’re developing and when we expect to publish. We’ll update this information regularly so that you can confidently track a product as it develops.	以下のトピックごとに、現在作成中のすべてのガイドラインに関する情報を掲載している。開発中の内容と公開予定日を確認することができる。この情報は定期的に更新されるため、製品の開発状況を確実に追跡することができる。
Because of the Data (Use and Access) Act, we have started work on new guidance. This means we’ve had to deprioritise and withdraw some of the planned guidance you will have seen previously on this web page.	データ（利用とアクセス）法（DUAA）の施行に伴い、新たなガイドラインの作成を開始しました。これにより、このウェブページで以前にご覧いただいた計画中のガイドラインの一部を優先順位を下げたり、取り下げたりする必要が生じた。
We may restart some of the withdrawn guidance projects in the future. If this happens details will be republished on this page.	今後、取り下げたガイドラインプロジェクトの一部を再開する可能性があります。その場合、詳細はこのページに再掲載される。
Guidance stages explained	ガイドラインの段階説明
---	省略
・General data protection	・一般的なデータ保護
・Freedom of Information	・情報の自由
・Law enforcement	・法執行
・Direct marketing and privacy and electronic communications	・ダイレクトマーケティングとプライバシーおよび電子通信
・Children's information	・子供に関する情報
・Technology	・技術
・Guidance for the public	・一般向けガイダンス
How we will regulate as the DUAA commences?	DUAAの施行に伴い、どのように規制を行うか？
An overview to reassure businesses on how the law changes will impact our regulatory action.	法律の変更が当社の規制措置に与える影響について、企業に安心してもらうための概要。
The Data (Use and Access) Act (DUAA) received Royal Assent on 19 June 2025 and will come into effect in phases.	データ（利用とアクセス）法（DUAA）は2025年6月19日に王室承認を受け、段階的に施行されます。
We will continue to regulate the DPA 2018, UK GDPR and PECR, which stay in force, but will be amended by the DUAA. Organisations should follow the existing law until various parts of the DUAA are expected to commence at two, six and 12 months after Royal Assent.	当社は、DUAAにより改正されるものの、引き続き効力を有するDPA 2018、UK GDPR、およびPECRの規制を継続します。組織は、DUAA の各部分が国王の裁可から 2 ヶ月、6 ヶ月、12 ヶ月後に施行されるまで、現行の法律に従う必要がある。
We want to provide reassurance to businesses about how the changes impact our regulatory action.	この法律の変更が当社の規制措置に与える影響について、企業に安心をしていただきたいと考えている。
It’s important to understand that we apply the law as it stands at the time an infringement took place, rather than the date that we received any complaint or report or when the infringement was detected.	当社は、苦情や報告を受けた日、あるいは違反が検知された日ではなく、違反が発生した時点で有効な法律を適用することを理解することが重要だ。
In some cases, we will need to exercise our discretion when considering regulatory action on alleged non-compliance with an existing provision under the data protection legislation which is going to be removed, amended or replaced with a similar provision under the DUAA. We will make a judgement on whether to proceed with regulatory action under the old provision or, where there is ongoing non-compliance, consider action under the new provisions.	場合によっては、データ保護法に基づく既存の規定の違反が、DUAA により削除、改正、または同様の規定に置き換えられる場合、規制措置を検討する際に、当社の裁量権を行使する必要がある。当社は、旧規定に基づく規制措置を継続するか、または違反が継続している場合には、新規定に基づく措置を検討するかを判断する。
When considering regulatory action on the DUAA’s new provisions, we will consider the ICO guidance available to organisations at the time of the alleged non-compliance.	DUAA の新しい規定に基づく規制措置を検討する際には、違反の疑いがあった時点で組織が利用可能だった ICO のガイダンスを考慮する。
The DUAA provides us with new powers, including the power to:	DUAA は、当社に次のような新しい権限を与えている。
・compel a witness to attend an interview;	・証人の事情聴取を強制する権限
・request technical reports; and	・技術報告書の提出を要求する権限
・issue fines of up to £17.5m or 4% of global turnover under PECR.	・PECR に基づき、最高 1,750 万ポンドまたは世界全体の売上高の 4% に相当する罰金を科す権限
We are required to produce statutory guidance on the use of these new powers and will consult publicly nearer to their commencement.	当局は、これらの新しい権限の使用に関する法定ガイダンスを作成することが義務付けられており、その施行が近づきましたら、公開して協議を行います。
The DUAA brings in some new requirements for organisations. We will be publishing new and updated guidance to reflect these changes. Our planned guidance pages will set out when to expect new and draft guidance to give organisations certainty.	DUAA は、組織にいくつかの新しい要件を導入しています。当局は、これらの変更を反映した新しいガイダンスおよび更新されたガイダンスを公開する予定です。当局が計画しているガイダンスページでは、組織に確実性を提供するため、新しいガイダンスおよびドラフトガイダンスの公開予定日を掲載する予定です。
All website guidance pages relevant to DUAA changes will explain that the law is changing and where to find out more information.	DUAA の変更に関連するすべてのウェブサイトガイダンスページでは、法律が変更されること、および詳細情報について記載しています。
For the public	一般の方へ
How does this affect me?	これは私にどのような影響があるの？
Information for the public on how the changes will affect you.	変更が一般の方に与える影響に関する情報。
The DUAA is a new Act of Parliament that updates some laws about digital information matters.	DUAA は、デジタル情報に関する一部の法律を改正する新しい議会法だ。
This includes some changes to the data protection laws we regulate and that govern how organisations are allowed to use your personal information. These changes will be phased in between June 2025 and June 2026.	これには、当社が規制するデータ保護法、および組織がお客様の個人情報を使用する方法に関する規制の一部変更が含まれる。これらの変更は、2025年6月から2026年6月にかけて段階的に実施される。
What difference does this make to how an organisation can use my personal information?	この変更により、組織が私の個人情報を使用する方法にどのような違いが生じるのか？
Many of the changes don’t really affect how an organisation can use your personal information. They just make what is and isn’t already allowed clearer.	多くの変更は、組織があなたの個人情報を使用する方法に実際には影響を与えない。これらの変更は、すでに許可されていることと許可されていないことをより明確にするだけだ。
However, there are some changes that do open up the ways an organisation can use your personal information. Any changes like this  have safeguards to ensure you are still properly protected.	ただし、組織があなたの個人情報を使用する方法に新たな可能性をもたらす変更もいくつかある。このような変更には、お客様が引き続き適切に保護されるよう、安全対策が講じられている。
What are the main data protection changes?	データ保護に関する主な変更点は何ですか？
Changes to complaints procedures	苦情手続きの変更
An organisation must take steps to help you if you want to make a complaint about how it uses your personal information, such as providing an electronic complaints form. It also must acknowledge your complaint within 30 days and respond to it ‘without undue delay’.	組織は、あなたの個人情報の使用について苦情があった場合、電子苦情フォームの提供など、あなたを支援するための措置を講じなければならない。また、30 日以内に苦情を承認し、「不当な遅延なく」対応しなければならない。
Changes to how an organisation can use your personal information	組織があなたの個人情報を利用する方法の変更
Automated decision-making: an organisation can use your personal information to make significant automated decisions about you, if it can show it has a valid reason. This reason is known as a ‘legitimate interest’ and it needs to outweigh the impact on your rights and freedoms. This won’t be allowed for some information that is more protected and is known as ‘special category information’. For example, information about racial or ethnic origin or sexual orientation. (An automated decision is a decision made by a computer without any meaningful human involvement.)	自動化された意思決定：組織は、正当な理由がある場合に、あなたの個人情報を使用して、あなたに関する重要な自動化された決定を行うことができる。この理由は「正当な利益」と呼ばれ、お客様の権利および自由への影響を上回るものでなければならない。より保護が強化されている「特別カテゴリー情報」と呼ばれる情報については、この限りではない。例えば、人種や民族、性的指向に関する情報などである。（自動化された決定とは、人間の関与がほとんどないコンピュータによって行われる決定のことである。）
Direct marketing ‘soft opt in’: a charity that has collected your personal information because you’ve supported, or expressed an interest in, their work, can send you direct marketing emails, unless you ask it not to.	ダイレクトマーケティングの「ソフトオプトイン」：あなたが支援したり、興味を示したりしたために個人情報を収集した慈善団体は、あなたが拒否しない限り、ダイレクトマーケティングのメールを送ることができる。
Archiving in the public interest: an organisation can give out your personal information when it is needed for the purposes of ‘archiving in the public interest’. Even if you originally provided it for a different reason, and you only consented to the organisation using it for that reason. (Archiving in the public interest means preserving records of public value.)	公共の利益のためのアーカイブ：組織は、「公共の利益のためのアーカイブ」の目的で必要な場合、あなたの個人情報を提供することができる。あなたが当初、別の理由でその情報を提供し、その目的でのみその組織による使用に同意した場合でも同様だ。（公共の利益のためのアーカイブとは、公共的価値のある記録を保存することを意味する。
National security exemption: a law enforcement agency (such as the police) does not have to follow some of the usual rules about how it can use your personal information, if this is necessary to protect national security.	国家安全保障の例外：法執行機関（警察など）は、国家安全保障のために必要である場合は、個人情報の使用に関する通常の規則の一部を遵守する必要はない。
Designation notices: law enforcement agencies, and the intelligence services (such as MI5), who are working together on joint operations can work to the same intelligence services’ rules when using your information, if the Secretary of State authorises this. (Before the DUAA, they each worked to slightly different data protection laws.)	指定通知：共同作戦で協力している法執行機関および情報機関（MI5 など）は、国務大臣が承認した場合、あなたの情報を使用する際に、同じ情報機関の規則に従うことができる。（DUAA 以前、各機関は、それぞれ若干異なるデータ保護法に基づいて業務を行っていた。
Cookies: an organisation no longer needs your consent to set some cookies if the intrusion on your privacy is limited, such as those that improve the functionality of its website.	クッキー：組織は、ウェブサイトの機能向上など、あなたのプライバシーへの侵害が限定的な場合、クッキーの設定についてあなた同意を得る必要がなくなった。
Changes to what an organisation must do when it uses your personal information	組織がお客様の個人情報を使用する際に遵守すべき事項の変更
Children and online services: an organisation must think about children when it uses personal information to provide online services, and make sure it properly protects them.	子供とオンラインサービス：組織は、オンラインサービスを提供するために個人情報を使用する場合、子供について考慮し、子供たちを適切に保護しなければならない。
Privacy notices: an organisation no longer needs to inform you that it intends to re-use your personal information for research, archiving in the public interest, or generating statistics, if it would involve a disproportionate effort for it to do so. So long as it protects your rights in other ways and still explains what it’s doing by publishing details on its website.	プライバシーに関する通知：組織は、研究、公共の利益のためのアーカイブ、統計の作成のために個人情報を再利用する場合、その旨をお客様に通知する必要がなくなった。ただし、その通知に過大な労力を要する場合に限る。その場合は、他の方法でお客様の権利を保護し、その詳細をウェブサイトに掲載してその旨を説明しなければならない。
Changes to how the law is regulated	法律の規制方法の変更
The DUAA makes some changes to the ICO:	DUAA は、ICO に以下の変更を加える：
it changes our structure to help us regulate more effectively;	規制を効果的に実施するための組織構造の変更；
it gives us some new powers to assist us in our investigations; and	調査を支援するための新たな権限の付与；および
it gives us some new duties and reporting requirements to enhance our transparency and accountability for how we work.	業務の透明性と説明責任を強化するための新たな義務と報告要件の追加。
The Secretary of State has been given some new powers to allow them to amend some aspects of the law in the future, so long as this is agreed by Parliament.	国務大臣には、議会の同意があれば、将来、法律の一部を改正できる新たな権限が与えられている。
What other changes does the DUAA make?	DUAA では、他にどのような変更があるか？
The DUAA also changes some other laws that we don’t regulate. You can find more information about these changes at on the GOV.UK website.	DUAA は、私たちが規制していない他の法律も一部変更している。これらの変更に関する詳細情報は、GOV.UK のウェブサイトをご覧ください。
How can I find out more?	詳細については、どこで確認できますか？
We will update our ‘For the public’ website content as the changes are phased in.	変更が段階的に実施されるにつれて、「一般の方向け」ウェブサイトのコンテンツを更新していきます。
We’ve also provided some resources to help organisations prepare. Although these are written for experts and organisations rather than for people whose information they are using, you may find them useful if you want some more details.	また、組織の準備に役立つ資料もいくつか用意している。これらは、情報を使用する人々ではなく、専門家や組織向けに作成されているが、詳細を知りたい方には参考になるかもしれない。