英国 データ保護局 データ保護執行手続きガイダンスに関する意見募集
こんにちは、丸山満彦です。
英国のデータ保護局(ICO)が英国一般データ保護規則(UK GDPR)、2018年データ保護法(DPA 2018)(総称して「データ保護法」)に基づく権限を行使して調査を実施し、執行措置を講じる際の手続きに関する新たなガイダンスについて意見募集を行っていますね...
2018年の執行以来の実績を踏まえ、調査権限と執行権限の行使方法について透明性と確実性を高めるため、組織に対し我々のアプローチを詳細に提供することを目的としているようです...
また、2025年データ(利用及びアクセス)法(DUAA)への回答が2025年データ(利用及びアクセス)法(DUAA)には、我々の既存権限を改正・追加する規定が含まれている。これには、個人に対し質問への回答を要求する新たな権限、及び組織に対し、特定事項に関する報告書を作成する認可者の手配を要求する新たな権限が含まれる。本ドラフトガイダンスは、DUAAに続くデータ保護法における我々の権限変更を反映したものであり、これらの変更は既に施行されているか、今後数ヶ月以内に施行される見込みである。
● Infromation Commisioner"s Office: ICO
・2025.10.31 ICO consultation on data protection enforcement procedural guidance
| ICO consultation on data protection enforcement procedural guidance | ICOによるデータ保護執行手続きガイダンスに関する意見募集 |
| The Information Commissioner’s Office (ICO) is consulting on new guidance about the process we follow when carrying out investigations and taking enforcement action using our powers in the UK General Data Protection Regulation (UK GDPR) and Data Protection Act 2018 (DPA 2018) (together the “data protection legislation”). | 情報コミッショナー事務局(ICO)は、英国一般データ保護規則(UK GDPR)および2018年データ保護法(DPA 2018)(総称して「データ保護法」)に基づく権限を行使して調査を実施し、執行措置を講じる際の手続きに関する新たなガイダンスについて意見募集を行っている。 |
| We refer to this new guidance as the data protection enforcement procedural guidance (the ‘guidance’). | この新たなガイドラインを「データ保護執行手続きガイドライン」(以下「本ガイドライン」)と呼称する。 |
| Data protection enforcement procedural guidance - for consultation | データ保護執行手続きガイドライン - 意見募集版 |
| Why have we produced this draft guidance and who is it aimed at? | 本ガイドライン案を作成した理由と対象者 |
| The draft guidance explains the process we follow throughout the duration of an investigation, from opening the case and information gathering, through to reaching a decision on whether to use our statutory enforcement powers. It also explains some of the other ways in which we may resolve compliance issues and the limits on our powers. | 本ドラフトは、調査開始から情報収集、法的執行権限行使の判断に至るまでの全過程における当庁の手続きを説明する。また、コンプライアンス問題解決の代替手段や権限の限界についても言及する。 |
| We have gained significant experience in using our powers under the data protection legislation since the existing statutory guidance was published in the Regulatory Action Policy in November 2018. The purpose of the new draft guidance is to provide organisations with more detail about our approach to give greater transparency and certainty about how we use our investigatory and enforcement powers. | 2018年11月に「規制措置方針」で現行の法定ガイドラインを発表して以来、当庁はデータ保護法に基づく権限行使において豊富な経験を蓄積してきた。新たなドラフトの目的は、調査権限と執行権限の行使方法について透明性と確実性を高めるため、組織に対し我々のアプローチを詳細に提供することである。 |
| The draft guidance is primarily aimed at organisations that process personal data and their advisers. However, it may also be of interest to others who want to understand how we use our statutory powers to investigate and enforce the data protection legislation. | 本ドラフトは主に個人データを処理する組織とその顧問を対象とする。ただし、データ保護法規制の調査・執行における法定権限の行使方法を理解したい他の関係者にも参考となる可能性がある。 |
| The draft guidance does not explain the process we follow in relation to the prosecution of criminal offences, except to the extent that it provides statutory guidance on our information gathering powers, which may be used to investigate either a potential infringement of data protection legislation or a criminal offence. Information about our criminal powers is set out in our prosecution policy statement. | 本ドラフトは、刑事事件の起訴に関する我々の手順を説明しない。ただし、データ保護法違反の可能性と刑事犯罪のいずれの調査にも使用可能な情報収集権限に関する法定ガイダンスを提供する範囲では例外である。刑事権限に関する情報は、我々の起訴方針声明に記載されている。 |
| What is the status of the draft guidance once finalised? | ドラフトガイダンスは最終決定後、どのような地位を持つのか? |
| When finalised, the draft guidance will, alongside our Data Protection Fining Guidance, constitute updated statutory guidance about regulatory action that we are required to publish under section 160(1) DPA 2018. It will also contain the statutory guidance about privileged communications we are required to publish under section 133 DPA 2018. | 最終決定後、本ドラフトガイダンスは「データ保護罰金ガイダンス」と共に、2018年データ保護法第160条(1)に基づき公表が義務付けられる規制措置に関する更新された法定ガイダンスを構成する。また、2018年データ保護法第133条に基づき公表が義務付けられる特権的コミュニケーションに関する法定ガイダンスも含む。 |
| The draft guidance will replace the existing statutory guidance about information notices, assessment notices, enforcement notices, penalty notices, and privileged communications currently set out in the Regulatory Action Policy published in November 2018. Our Data Protection Fining Guidance has already replaced the guidance in the Regulatory Action Policy on when we consider issuing a penalty notice is appropriate and our approach to determining the amount of any fine. | 本ドラフトガイドラインは、2018年11月に公表された「規制措置方針」に現在規定されている情報通知、評価通知、執行通知、罰金通知、および特権通信に関する既存の法定ガイドラインに取って代わるものである。データ保護罰金ガイドラインは既に、「罰金通知の発行が適切と判断される場合」および「罰金額の決定に関する当方のアプローチ」について、規制措置方針内のガイドラインに取って代わっている。 |
| The Data (Use and Access) Act 2025 (DUAA) includes provisions that amend and add to our existing powers. This includes new powers to require individuals to answer questions and to require organisations to make arrangements for an approved person to prepare a report about a specified matter. The draft guidance reflects the changes to our powers in the data protection legislation following the DUAA, which have either come into force or are expected to come into force in the coming months. | 2025年データ(利用及びアクセス)法(DUAA)には、我々の既存権限を改正・追加する規定が含まれている。これには、個人に対し質問への回答を要求する新たな権限、及び組織に対し、特定事項に関する報告書を作成する認可者の手配を要求する新たな権限が含まれる。本ドラフトガイダンスは、DUAAに続くデータ保護法における我々の権限変更を反映したものであり、これらの変更は既に施行されているか、今後数ヶ月以内に施行される見込みである。 |
| Will there be new enforcement guidance about PECR and UK eIDAS/EITSET following changes under the DUAA? | DUAAに基づく変更に伴い、PECRおよび英国eIDAS/EITSETに関する新たな執行ガイダンスは発表されるのか? |
| The DUAA includes provisions that bring our investigatory and enforcement powers under the Privacy and Electronic Communications Regulations 2003 (PECR) and the Electronic Identification and Trust Services for Electronic Transactions Regulations 2016 (EITSET) in relation to potential infringements of UK eIDAS broadly into line with our powers under the data protection legislation (as amended by the DUAA). | DUAAには、2003年プライバシー・電子通信規則(PECR)および2016年電子取引における電子識別・トラストサービス規則(EITSET)に基づく調査・執行権限を、英国eIDAS違反の可能性に関して、データ保護法(DUAA改正後)に基づく権限と概ね整合させる規定が含まれている。 |
| While some differences between the legislative frameworks for enforcement will remain, we propose to take the same approach to the use of our powers in relation to PECR and EITSET as set out in the draft guidance in relation to the data protection legislation. However, we would welcome views on this in response to our consultation, in particular whether there is a preference for consolidated guidance covering all three regimes (noting differences where appropriate) or separate guidance for each regime. For example, the guidance we are consulting on is drafted by reference to concepts within the UK GDPR and DPA 2018, such as ‘controllers’ and ‘processors’, whereas the terminology used in PECR and EITSET differs, even if the powers are broadly similar. | 執行に関する法的枠組みには一部相違が残るものの、PECRおよびEITSETに関する権限行使については、データ保護法に関するドラフトガイダンスで示したのと同様のアプローチを取ることを提案する。ただし、この点については意見募集への回答を歓迎する。特に、三つの制度全てを網羅した統合ガイダンス(適切な箇所では相違点を明記)と、各制度ごとの個別ガイダンスのどちらを好むかについて意見を求めたい。例えば、今回協議中のガイダンスは、英国GDPRや2018年データ保護法における「管理者」や「処理者」といった概念を参照して作成されている。一方、PECRやEITSETで使用される用語は、権限が概ね類似しているにもかかわらず異なる。 |
| We are planning to produce and publish separate fining guidance for PECR in due course, in particular to reflect the case law that has developed in the Tribunal in relation to direct marketing cases. | 我々は、特にダイレクトマーケティング案件に関する審判所の判例法の発展を反映するため、PECR向けの罰金に関する別個のガイダンスを適宜作成・公表する予定である。 |
| What does the draft guidance cover? | ガイダンス草案の内容は何か? |
| The draft guidance explains the process we follow when carrying out investigations and taking enforcement action under the data protection legislation. It provides a detailed description of the different stages of our investigations, from the decision to open an investigation through to taking a final decision. | 本ドラフトは、データ保護法に基づく調査実施及び執行措置の過程を説明する。調査開始の決定から最終決定に至るまでの各段階を詳細に記述している。 |
| Set out below is a short summary of what the draft guidance covers. The headings match the headings used in the draft guidance itself and reflect how we have structured the consultation questions. | 以下にドラフトの主な内容を簡潔に要約する。見出しはドラフト本文と一致し、意見募集項目の構成を反映している。 |
| 1. About this guidance | 1. 本ガイダンスについて |
| This section provides an overview of what the draft guidance covers and why we have produced it. It explains the scope of the draft guidance, how we will apply it, and the fact it is primarily aimed at controllers and processors that process personal data within the scope of the data protection legislation. | 本節では、草案ガイダンスの対象範囲と作成目的の概要を説明する。草案ガイダンスの適用範囲、適用方法、およびデータ保護法の対象範囲内で個人データを処理する管理者および処理者を主な対象としている事実を説明する。 |
| This section also explains the status of the draft guidance. | また、本ドラフトの法的地位についても説明する。 |
| 2. How we decide whether to open an investigation | 2. 調査開始の判断基準 |
| This section sets out the sources of potential investigations and the factors we consider when deciding whether to open an investigation. It also explains the other potential outcomes following our initial information gathering, including the other means we might use to resolve the issue. | 本節では、調査開始の潜在的な情報源と、調査開始の可否を判断する際に考慮する要素を明示する。さらに、初期情報収集後のその他の潜在的な結果、すなわち問題解決のために用いる可能性のある他の手段についても説明する。 |
| 3. What to expect during an investigation | 3. 調査中の対応 |
| This section explains what happens when we open an investigation and provides a summary of the process we follow during the course of the investigation. | 本節では、調査開始後の流れと、調査過程で従う手順の概要を説明する。 |
| 4. Information gathering | 4. 情報収集 |
| This section explains how we use our information gathering powers and sets out the statutory guidance we are required to publish in relation to information notices, assessment notices (including approved person reports), and interview notices. It also explains our powers of entry and inspection. | 本節では、情報収集権限の行使方法と、情報通知書・アセスメント通知書(承認者報告書を含む)・聴取通知書に関する公表義務のある法定ガイダンスを定める。立入検査権限についても説明する。 |
| 5. Limits on our powers of investigation | 5. 調査権限の制限 |
| This section explains the limits on our powers of investigation. In addition to setting out the statutory guidance we are required to provide relating to privileged communications, it also covers privilege against self-incrimination, handling confidential information, and determinations relating to processing of personal data for the purpose of journalism or for academic, artistic or literary purposes. | 本節では、調査権限の制限について説明する。特権通信に関する法定ガイダンスの提供義務に加え、自己負罪拒否権、機密情報の取り扱い、ジャーナリズム目的または学術・芸術・文学目的でのパーソナルデータの処理に関する判断についても扱う。 |
| 6. Deciding on the outcome of an investigation | 6. 調査結果の決定 |
| This section explains that we can conclude our investigations in several ways and sets out the potential outcomes. This includes using our statutory enforcement powers if appropriate, as well as the possibility of resolving any issues identified through other means such as providing advice or accepting assurances. The remainder of the guidance then explains the procedure we follow in relation to each of our statutory enforcement powers. | 本節では、調査を複数の方法で終結できること、および想定される結果を説明する。これには、適切な場合には法定執行権限を行使すること、また助言の提供や保証の受諾など他の手段で特定された問題を解決する可能性も含まれる。その後、各法定執行権限に関連する手順を説明する。 |
| 7. Process for giving warnings | 7. 警告発出手続き |
| This section explains the process we follow when deciding to issue a warning that a controller or processor’s intended processing operations are likely to infringe the data protection legislation. | 本節では、データ管理者またはデータ処理者が意図する処理業務がデータ保護法に抵触する可能性があると判断した場合に警告を発出する手続きを説明する。 |
| 8. Process for giving reprimands | 8. 戒告発出手続き |
| This section explains the process we follow when deciding to issue a reprimand. | 本節では、戒告を発出する決定を行う際の手続きを説明する。 |
| 9. Process for giving enforcement notices | 9. 執行通知発出手続き |
| This section explains the process we follow when deciding to issue an enforcement notice. It incorporates the statutory guidance we are required to provide relating to the factors we consider when deciding to give an enforcement notice, the circumstances we would consider it appropriate to issue an urgent enforcement notice, and how we proceed if a person does not comply with an enforcement notice. | 本節では、執行通知を発出する決定を行う際に当方が従う手続きを説明する。これには、執行通知発出の判断要素、緊急執行通知発出が適切と判断される状況、および執行通知に従わない場合の対応方法に関する法定ガイダンスが含まれる。 |
| 10. Process for giving penalty notices | 10. 罰金通知発出手続き |
| This section explains the process we follow when deciding to issue a penalty notice. It incorporates the statutory guidance we are required to provide relating to when we would consider it appropriate to allow a person to make oral representations, how we proceed if a person does not comply with a penalty notice, and the circumstances when we would consider it necessary to issue the penalty notice as soon as reasonably practicable after the period of six months beginning when the notice of intent was given. | 本節では、罰金通知を発行する決定を行う際に当方が従う手続きを説明する。これには、口頭による陳述を認めることが適切と考える場合、罰金通知に従わない場合の対応、および通知の意図が示されてから6か月が経過した後に合理的に実行可能な限り速やかに罰金通知を発行することが必要と考える状況に関する、当方が提供を義務付けられている法定ガイダンスが含まれる。 |
| This guidance should be read alongside the Data Protection Fining Guidance, which explains when we would consider it appropriate to issue a penalty notice and how the amount of the fine is calculated. | 本ガイダンスは「データ保護罰金ガイダンス」と併せて読む必要がある。同ガイダンスでは、罰金通知書の発行が適切と判断される場合や罰金額の算定方法について説明している。 |
| 11. Settlement procedure | 11. 和解手続き |
| This section sets out our proposed settlement procedure. This applies in cases where we consider that issuing a penalty notice is appropriate. It explains the requirements for agreeing a settlement, which include the party under investigation making an admission about the nature, scope and duration of the infringement and agreeing not to appeal our decision. | 本節では、当庁が提案する和解手続きを定める。これは罰金通知書の発行が適切と判断される場合に適用される。和解合意の要件を説明しており、これには調査対象者が違反行為の性質・範囲・期間について認めること、及び我々の決定に対して不服申立てを行わないことに同意することが含まれる。 |
| The guidance makes clear that we decide to settle cases at our discretion and the settlement process does not preclude us from resolving investigations by other means if we consider it appropriate to do so. The proposed procedure is based on our experience in settling investigations with Advanced Computer Software Group and Capita. | 本ガイダンスは、和解案件の決定は我々の裁量によるものであり、和解手続きが他の手段による調査解決を妨げるものではないことを明確にしている。提案された手続きは、Advanced Computer Software Group及びCapitaとの調査和解における我々の経験に基づいている。 |
| 12. Rights of Appeal | 12. 異議申立ての権利 |
| This section explains the rights of appeal against our statutory notices. | 本節では、当庁の法定通知に対する異議申立ての権利について説明する。 |
意見募集のドラフト
・[PDF] Data protection enforcement procedural guidance - for consultation
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.10.22 欧州 EDPB 英国の同等性6年間延長 (2025.10.20)
・2025.06.26 英国 データ(利用とアクセス)法 (DUAA) 2025 (2025.06.19)
Comments