英国 ICOの内部AI利用規定が公表され、多くの人が参考にできるようになっていますね...

こんにちは、丸山満彦です。

英国の情報保護局（Information Commissioner's Office）がAI利用規定を公表しています。多くの組織にとって参考になると思います...

2025年8月5日に制定され、25日一部修正がされているものです。。。

 

特にセクション４の方針の部分は参考になります...

 

● Information Commissioner's Office

・[PDF] 

・[DOCX][PDF] 仮訳

 

 

目次...

Foreword	まえがき
Key messages	主なメッセージ
Does this policy relate to me?	この方針は私に関係あるか？
Contents	目次
1. Introduction	1. 序論
2. How we define AI for the purpose of this policy	2. 本方針におけるAIの定義
3. Internal AI use principles	3. 内部AI利用原則
4. Policy requirements	4. 方針要件
4.1. Requirements when using AI at the ICO	4.1 ICOにおけるAI利用時の要件
4.2. AI training and awareness	4.2 AIトレーニングと意識向上
5. Other considerations you should give when using, procuring or developing AI tools:	5. AIツールの使用、調達、開発時に考慮すべきその他の事項：
5.1.  Accountability, decision-making and governance, particularly in the procurement context	5.1 説明責任、意思決定、ガバナンス（特に調達における）
5.2.  Proportionality	5.2 比例性
5.3.  Logging decisions around AI	5.3 AIに関する決定の記録
5.4.  Accountability for AI governance	5.4 AIガバナンスの責任所在
5.5.  Logging AI available to staff	5.5 職員が利用可能なAIの記録
5.6.  Impact assessment, fairness and explainability	5.6 影響アセスメント、公平性、説明可能性
5.7.  Safety, security and robustness	5.7 安全性、セキュリティ、堅牢性
5.8.  AI verification and validation	5.8 AIの検証と妥当性確認
5.9.  AI performance monitoring	5.9 AIのパフォーマンス監視
5.10. Transparency and documentation	5.10 透明性と文書化
5.11. Security classification of AI inputs and outputs	5.11 AI入力・出力の機密分類
5.12.  Feedback loop and change management	5.12 フィードバックループと変更管理
5.13.  Contestability and redress	5.13 異議申立と救済
5.14.  Change management	5.14 変更管理
5.15.  Re-evaluation and retirement	5.15 再評価と廃止
6. Policy compliance	6. 方針遵守
Feedback on this document	この文書に関するフィードバック
Document Control	文書管理
Version history	改訂履歴
Annex A – AI Screener	附属書A – AIスクリーナー
Annex B – Full AI use case specification!	附属書B – 完全なAIユースケース仕様書！
Annex C - What do you need to know about AI?	附属書C - AIについて知っておくべきこと
Machine learning and adaptability	機械学習と適応性
From automation to autonomy and the human-in-the-loop	自動化から自律性、そしてヒューマン・イン・ザ・ループへ
Agentic AI (or AI Agents) Harm	エージェント型AI（またはAIエージェント）の危害
Generative AI	生成的AI
Opportunities	機会
Risks	リスク
Assessing opportunity and risk	機会とリスクの評価
Forms of AI	AIの形態
Lifecycle	ライフサイクル

 

セクション４...

4. Policy requirements	4. 方針要件
4.1 Requirements when using AI at the ICO	4.1 ICOにおけるAI利用時の要件
4.1.1. You should only use AI that has been approved by the ICO for internal use (following the appropriate ICO governance process). You should only use ICO approved devices to access AI tools and systems for corporate work.	4.1.1. 内部利用については、ICOが承認したAIのみを使用すること（適切なICOガバナンスプロセスに従う）。業務でAIツールやシステムにアクセスする際は、ICO承認デバイスのみを使用すること。
4.1.2. You should only use AI tools in a way which is consistent with published guidance and training on the use of the tool deployed by the ICO.	4.1.2. AIツールは、ICOが公開した当該ツールの使用に関するガイダンス及びトレーニングが展開された方法でのみ使用すること。
4.1.3.  You should be transparent about your use of AI as appropriate and proportionate. This includes being clear where your work includes AI generated outputs, marking them to be clear that is the case (e.g. providing a clear statement linked to a specific portion of text or image using a footnote to specify ‘This text/image was generated using AI’).	4.1.3. AIの使用については、適切かつ均衡の取れた形で透明性を確保しなければならない。これには、業務成果物に生成的AI出力が含まれる場合、その旨を明確に表示することが含まれる（例：特定のテキストや画像部分に脚注を付し、「このテキスト/画像はAIを用いて生成された」と明記する）。
4.1.4. You should ensure that all AI outputs are reviewed by a human reviewer, unless agreed otherwise by the appropriate approval body (Data, AI and Automation programme Board, DAA), taking into account relevant risks and impacts on users, data subjects or the quality of ICO’s own outputs. For example, manual review of all outputs may not be necessary, where the impact is low, or other safeguards have been identified, documented and adopted. When reviewing AI generated outputs, you should ensure that the output is accurate, amending where necessary.	4.1.4. 適切な承認団体（データ・AI・自動化プログラム委員会、DAA）が別途合意した場合を除き、すべてのAI出力を人間のレビュー担当者が確認すること。この際、ユーザー、データ対象者、またはICO自身の出力品質に対する関連リスクと影響を考慮に入れること。例えば、影響が低い場合や、他の安全対策が識別・文書化・採用されている場合には、全出力の手動レビューは必ずしも必要ではない。AI生成出力をレビューする際は、その正確性を確認し、必要に応じて修正すべきである。
4.1.5. You should only use AI in activity involving the use or processing of any personal, sensitive or confidential information when permitted by the ICO (in line with ICO’s appropriate internal governance processes and policies e.g. privacy by design procedures, security assessments and Architecture Design Authority approval). Where the ICO has approved use of AI which includes the processing of personal or sensitive information, data protection compliance is paramount. You should ensure that any processing meets all of the ICO’s obligations. This includes the requirement to comply with the principle of data minimisation (i.e. only using personal data that is limited to what is necessary for your purposes). Please contact the Information Management team, Cyber Security team and the Architecture Design Authority if you require further information.	4.1.5. 個人情報、機微情報、機密情報の利用または処理を伴う活動においてAIを使用するのは、ICOが許可した場合に限る（ICOの適切な内部ガバナンスプロセスおよび方針、例えばプライバシー・バイ・デザイン手順、セキュリティアセスメント、アーキテクチャ設計承認権限の承認に沿って）。ICOが個人情報または機微情報の処理を含むAIの使用を承認した場合、データ保護コンプライアンスが最優先事項である。あらゆる処理がICOの義務を全て満たすことを保証すべきである。これにはデータ最小化の原則（目的達成に必要な範囲に限定した個人データのみを使用する）への準拠要件が含まれる。詳細情報が必要な場合は、情報管理チーム、サイバーセキュリティチーム、アーキテクチャ設計権限者に連絡すること。
4.1.6. Advice that is typically given by licensed professionals, like accountants or lawyers, should only be obtained by the appropriate licensed professional and not AI. (This should not prevent AI being used to assist professionals in their work provided that the work is validated before sharing).	4.1.6. 会計士や弁護士などの有資格専門家が通常提供する助言は、適切な有資格専門家によってのみ取得すべきであり、AIによって取得すべきではない。（ただし、共有前に作業が妥当性確認されることを条件に、AIが専門家の業務を支援するために使用されることを妨げるものではない）
4.1.7. You should only use AI for solely automated decision-making (ADM) when this is appropriate, i.e. when there would be no legal effect or similarly significant effect on an individual or group. If you think you may use AI for making such a decision, you must consult ICO’s guidance on ADM and Legal Services colleagues as necessary, to ensure you are meeting regulatory requirements.	4.1.7. 完全に自動化された意思決定（ADM）にAIを使用するのは、それが適切な場合、すなわち な個人または集団に法的効果または同等の重大な影響が生じない場合に限る。そのような意思決定にAIを使用する可能性がある場合は、規制要件を満たしていることを確認するため、必要に応じてICOのADMガイダンスおよび法務サービス担当者と相談しなければならない。
4.1.8. You should check AI-generated contents before publishing to make sure you are not infringing the intellectual property rights of a third party – if in doubt you should speak to the Contracts and Compliance team in Legal Services.	4.1.8. 公開前にAI生成コンテンツを確認し、第三者の知的財産権を侵害していないことを確認すること。疑わしい場合は法務部門の契約・コンプライアンスチームに相談すること。
4.1.9. You should consider the appropriate security classification of inputs into and outputs from AI, taking account of the ICO’s legal obligations as a public sector body.	4.1.9. 公共部門機関としてのICOの法的義務を考慮し、AIへの入力および出力に対する適切なセキュリティ分類を検討すべきである。
4.1.10.  You should not knowingly use AI in a way that causes, or may cause, significant risk of harm to individuals, groups or the reputation of the ICO, or breach any regulatory requirements.	4.1.10. 個人、集団、またはICOの評判に重大なリスクをもたらす、またはその恐れがある方法、あるいは規制要件に違反する方法で、故意にAIを使用してはならない。
4.1.11. You should flag any concerns, incidents or questions relating to internal AI use at the earliest opportunity to your manager and/or the system owner.	4.1.11. 内部でのAI利用に関する懸念事項、インシデント、疑問点は、可能な限り早期に上司および／またはシステム所有者に報告すべきである。
4.2 AI training and awareness	4.2 AIトレーニングと意識向上
General AI literacy	一般的なAIリテラシー
4.2.1. The ICO’s senior leadership team should ensure all staff have access to high-quality general AI literacy training sufficient to enable them to identify and specify potential AI opportunities, to appreciate the potential risks of AI use and to understand the importance of transparency and explainability in AI-enabled systems.	4.2.1. ICOの上級管理職チームは、全職員が以下の能力を身につけられるよう、質の高い一般的なAIリテラシー研修へのアクセスを確保すべきである：AI活用の可能性を識別・明確化する能力、AI利用の潜在リスクを認識する能力、AI搭載システムにおける透明性と説明可能性の重要性を理解する能力。
Specific training on an AI system	AIシステムに関する特定トレーニング
4.2.2. All users of a planned AI deployment should be given relevant training, prior to product deployment, covering its scope (appropriate use), limitations including legal requirements, how to use it effectively and efficiently, and how to provide feedback and report incidents.	4.2.2. 計画中のAI展開の全ユーザーは、製品展開前に、その範囲（適切な使用法）、法的要件を含む制限事項、効果的・効率的な使用方法、フィードバックの提供方法およびインシデントの報告方法を含む関連トレーニングを受けるべきである。