英国 ICO 個人データ越境移転ガイダンスの改訂 (2026.01.16)

こんにちは、丸山満彦です。

英国のデータコミッショナ事務局（ICO）が個人データの越境移転のためのガイダンスを改訂し、公表していますね...

EUのGDPRの移転ルールをベースのルールに対して、「簡素化」「明確化」を通じた「実務負担の軽減」を図っていえるようです。

例えば、「3ステップテスト」という概念を導入していますね...

• ステップ1：個人データが英国の域外に送られるか？ （物理的な移転だけでなく、リモートアクセスも含む。）
• ステップ2：受領者がUK GDPRの適用を受けないか？（英国の域外でも、UK GDPRが域外適用される場合は移転に該当しない。）
• ステップ3：受領者がデータを第三国の法制度に基づき自由に利用できるか？（受領者が英国の指示に従う契約上の義務を負っている場合は、移転に該当しない）

TIA（Transfer Impact Assessment）が重すぎるという批判に対して、「実質的リスク（realistic possibility）」の概念を導入し、国家監視制度の（過度な）詳細分析を要求しないことにより企業側の負担を減らしています...明確化の観点からは、テンプレートを刷新し、実務で使いやすい形式にし、クラウド利用やリモートアクセスのケースを具体例として追加しているようです...

それとガイダンスに簡易版をつくり、詳細版は分冊的にしていますね...

影響がある日本企業もあると思います...

 

● Information Commissioner's office: ICO

プレス...

・2026.01.15 Updated guidance on international transfers published

Updated guidance on international transfers published	国際的な個人データ移転に関するガイダンスを更新
We have updated and enhanced our guidance on international transfers of personal information, making it quicker for businesses to understand and comply with the transfer rules under UK GDPR.	個人データの国際移転に関するガイダンスを更新・強化した。これにより、企業は英国GDPRに基づく移転規則をより迅速に理解し、遵守できるようになる。
The updated guidance clearly sets out key requirements, reduces complexity and supports the responsible transfer of personal information – evidencing our commitment to supporting innovation and economic growth.	更新されたガイダンスは主要な要件を明確に示し、複雑さを軽減し、個人データの責任ある移転を支援する。これはイノベーションと経済成長を支援する我々の取り組みを証明するものだ。
The streamlined guidance sets out a clear ‘three step test’ for organisations to use to identify if they’re making restricted transfers and we’ve added new content to help provide clarity on areas we know organisations have questions on. Additional new content has been added on roles and responsibilities, which reflects the complexity of multi-layered transfer scenarios. In addition, a brief guide, quick reference FAQs and a Glossary will support organisations which don’t have specialist knowledge or experience in making international transfers.	簡素化された本ガイダンスでは、組織が制限付き移転を行っているかどうかを識別するための明確な「3ステップテスト」を提示している。また、組織から質問が多い分野について明確化を図るため、新たな内容を追加した。多層的な移転シナリオの複雑さを反映し、役割と責任に関する追加情報も盛り込まれた。加えて、国際移転に関する専門知識や経験を持たない組織を支援するため、簡易ガイド、クイックリファレンスFAQ、用語集を用意した。
The update is part of an ongoing project which will further develop parts of our guidance, such as our approach to transfer risk assessments (TRAs), and additional guidance on the international data transfer agreement (IDTA) and cloud services. We also plan to add an interactive tool to help organisations identify whether they’re making a restricted transfer, and more examples and case studies that reflect the complexity of global transfer scenarios.	今回の更新は継続的なプロジェクトの一環であり、リスクアセスメント（TRA）へのアプローチや、国際データ移転契約（IDTA）およびクラウドサービスに関する追加ガイダンスなど、当庁のガイダンスの一部をさらに発展させる予定だ。また、組織が制限付き移転を行っているかどうかを識別するための対話型ツールや、グローバルな移転シナリオの複雑さを反映した追加事例・ケーススタディの追加も計画している。
To further support organisations with their approach to international transfers, we are hosting a webinar to talk through the changes and highlight the main things organisations making or advising on restricted transfers need to know.	国際移転への取り組みをさらに支援するため、変更点の説明と、制限付き移転を実施または助言する組織が知っておくべき主要事項を解説するウェビナーを開催する。

 

ガイダンスはこちら...

International transfers	国際的な移転
On this page you’ll find guidance you need to support your international transfers of personal information. It’s suitable for all types of organisation.	このページでは、個人情報の国際的な移転を支援するために必要なガイダンスを提供する。あらゆる種類の組織に適している。
Brief guidance	簡易ガイダンス
A brief guide to international transfers	国際的な移転に関する簡易ガイド
The rules about transferring personal information to other countries – including checklists to help you identify and make a 'restricted transfer'.	他国への個人情報移転に関する規則——「制限付き移転」を識別し実施するためのチェックリストを含む。
Detailed guidance	詳細なガイダンス
A guide to international transfers	国際的な移転に関するガイド
The rules about transferring personal information to other countries – when the rules about transferring information to other countries apply, how to make what we call a 'restricted transfer', and who has responsibility for complying with the rules.	個人情報を他国へ移転する際の規則について。他国への情報移転に関する規則が適用される場合、いわゆる「制限付き移転」の実施方法、規則遵守の責任主体を説明する。
Adequacy regulations	十分性規則
Guidance on adequacy regulations and when they apply – including a list of current UK adequacy regulations. There’s also specific information on the UK’s adequacy regulations for the US (the UK Extension), with checklists to help you comply.	十分性規則とその適用時期に関するガイダンス。現在の英国における十分性規則の一覧を含む。米国向け英国十分性規則（英国拡張）に関する特定情報も掲載。遵守を支援するチェックリスト付き。
Appropriate safeguards	適切な保護措置
Guidance on the safeguards permitted under UK GDPR, including the UK IDTA, Addendum and UK BCRs, and when they become appropriate safeguards for restricted transfer of personal information. Previous content on IDTAs and BCRs has been moved here.	英国GDPR下で認められる保護措置に関するガイダンス。英国IDTA、補遺、英国BCRを含む。これらが個人情報の制限付き移転における適切な保護措置となる条件を解説。IDTAとBCRに関する過去コンテンツは本ページへ移動済み。
Completing a transfer risk assessment	移転リスクアセスメントの実施
Guidance on what a transfer risk assessment (TRA) is, when you need a TRA, and how to complete one. A TRA is now referred to in UK legislation as a “data protection test” but we still use the term ‘transfer risk assessment’ and TRA in our guidance.	移転リスクアセスメント（TRA）の定義、実施が必要な場合、および実施方法に関するガイダンス。TRAは現在英国法で「データ保護テスト」と呼ばれているが、本ガイダンスでは従来通り「移転リスクアセスメント」およびTRAという用語を使用する。
Using an exception	例外規定の適用
Guidance on the exceptions from the rules on restricted transfers (called “derogations” in the legislation) and when you can use them.	制限付き移転に関する規則の例外（「法令では免除」と呼ばれる）と、その適用可能な状況についてのガイダンス。
Receiving personal information from the EEA	EEAからの個人情報受領
Guidance about receiving personal information from the EEA – including the EU adequacy decisions for the UK and information to help navigate the UK and EU data protection regimes. It replaces our previous guidance on Data protection and the EU.	EEAからの個人情報受領に関するガイダンス。英国に対するEUの十分性認定や、英国とEUのデータ保護制度を把握するための情報を含む。従来の「データ保護とEU」ガイダンスに代わるものである。
Resources	リソース
Glossary	用語集
A list of frequently used terms or phrases used in this guidance and their definitions.	本ガイダンスで頻繁に使用される用語やフレーズの一覧とその定義。
Quick reference FAQs	クイックリファレンスFAQ
Answers to some of the questions we're asked about most often about restricted transfers	制限付き移転に関して最も頻繁に寄せられる質問への回答。