英国 ICO 意見募集 データ保護に関する苦情処理方法の変更案 (2025.08.22)

こんにちは、丸山満彦です。

英国のデータ保護局がデータ保護に関する苦情が大幅に増えていることから、苦情処理をより効率的に実施するための苦情処理方法の変更案についての意見募集をしていますね...

苦情の件数

・2023/24年には39,721件

・2024/25年には42,881件（８％増）

・2025/26年予想45,000件から55,000件

ということで、このままでは現在のプロセスがパンクするということですね。

あらゆる苦情を検討し、適切に対応し、得られた知見をデータ保護慣行の改善に役立てるという考え方のもと、

・すべての苦情が組織の情報権利慣行の理解に貢献することを保証する

・最も重大なリスクにリソースを集中させることを可能にする

・体系的な問題を早期に特定する能力も強化される

ということのようです。

 

日本の個人情報保護委員会でも参考になるかもしれませんね。。。ところで、日本の個人情報保護委員会を含めて日本での苦情総件数はどのくらいなのでしょうかね...

 

● U.K. Information Communication's Office

・2025.08.22 ICO consultation on draft changes to how we handle data protection complaints

ICO consultation on draft changes to how we handle data protection complaints	情報コミッショナー事務局（ICO）によるデータ保護苦情処理方法の変更案に関するドラフト意見募集
Introduction	序論
The Information Commissioner’s Office (ICO) is consulting on draft changes to how we handle data protection complaints. It sets out our proposed framework to assess and determine the extent to which it is appropriate to investigate each complaint. This will allow us to focus on cases where we can have the most impact and improve data protection compliance.	情報コミッショナー事務局（ICO）は、データ保護苦情の処理方法に関するドラフト変更案について意見募集を行っている。本案は、各苦情を調査する適切性の程度をアセスメント・判断するための枠組みを提案するものである。これにより、最も効果的な対応が可能でデータ保護コンプライアンスの向上に寄与する事案に注力できるようになる。
People have a statutory right to lodge a data protection complaint with the ICO if they think there has been an infringement of their data protection rights under the UK GDPR.	英国GDPRに基づくデータ保護権利が侵害されたと考える場合、個人はICOにデータ保護苦情を申し立てる法的権利を有する。
In recent years we have seen a significant increase in data protection complaints. In 2023/24, we received 39,721 complaints. In 2024/25 this rose to 42,881 and current forecasts indicate that this could increase to somewhere between 45,000 and 55,000 if the current trend continues.	近年、データ保護苦情は大幅に増加している。2023/24年度には39,721件の苦情を受理した。2024/25年度には42,881件に増加し、現在の傾向が続けば45,000件から55,000件に増加する可能性があるとの予測が出ている。
The ever-increasing demand for our services is impacting our ability to respond quickly and effectively. We want to consider new ways of handling data protection complaints.	当機関へのサービス需要の急増は、迅速かつ効果的な対応能力に影響を与えている。データ保護苦情の新たな処理方法を検討する必要がある。
The Data (Use and Access) Act (DUAA) places new requirements on organisations to have a complaints process specifically for data protection related issues. Once the provision comes into force, we would expect that more complaints will be resolved by organisations without the involvement of the ICO.	データ（利用とアクセス）法（DUAA）は、組織に対しデータ保護関連問題専用の苦情処理プロセスを設ける新たな義務を課す。この規定が発効すれば、ICOを介さず組織内で解決される苦情が増えると予想される。
If people do bring their complaint to the ICO, we want to provide the most effective service given the finite resources we have. That means looking at our own approach to handling complaints.	万が一ICOに苦情が持ち込まれた場合、限られた資源の中で最も効果的なサービスを提供したい。そのためには苦情処理の取り組み自体を見直す必要がある。
We are proposing changes to our processes to better support people who have experienced harm and focus our resources on those cases where we can have the biggest impact. Organisations will also benefit from reduced routine engagement on lower-risk cases, enabling them to focus on the most significant concerns. Our goal is not just to manage demand, but to raise standards around customer experience and regulatory effectiveness.	我々は、被害を受けた人々をより良く支援し、最大の効果を発揮できる事例に資源を集中させるため、手続きの変更を提案している。組織側も、リスクの低い事例に関する日常的な関与が減ることで、最も重要な懸念事項に集中できるようになる。我々の目標は単に需要を管理することではなく、顧客体験と規制効果の標準を高めることにある。
We have developed a draft framework that we propose to use to determine the extent to which it is appropriate to investigate each complaint. We are also proposing new reporting mechanisms to enable us to monitor complaint volumes across specific organisations and sectors. This will allow us to identify trends or themes which may benefit from other types of regulatory action.	我々は、各苦情の調査の適否を判断するためのドラフト枠組みを策定した。また、特定の組織や分野における苦情件数を監視するための新たな報告メカニズムも提案している。これにより、他の種類の規制措置が有効となる可能性のある傾向やテーマを識別できるようになる。
The approach outlined in this consultation would ensure that every complaint contributes towards our understanding of an organisation’s information rights practices, while allowing us to focus our resources on the most significant risks. It also strengthens our ability to identify systemic issues earlier.	本協議で提示するアプローチは、全ての苦情が組織の情報権利実践の理解に寄与すると同時に、我々が最も重大なリスクに資源を集中させることを可能にする。また、体系的な問題を早期に識別する能力も強化する。
It reflects our ambition to be a strategic regulator – one that considers every complaint, responds proportionately and uses the insight gained to drive improvements in data protection practices.	これは戦略的規制機関となる我々の志を反映している。すなわち、全ての苦情を検討し、比例した対応を行い、得られた知見を活用してデータ保護実践の改善を推進する機関である。
We need to do things differently and transforming our processes will enable us to target our resources to support people’s information rights in a way that has a positive impact and addresses the areas that cause the greatest harm.	我々は従来とは異なる手法を必要としており、プロセス変革により、人々の情報権利を支援する資源を、最も大きな害をもたらす領域に対処し、積極的な影響を与える形で集中させることが可能となる。
Please respond to the ideas in our consultation to help shape the process. You can respond to the consultation via our survey on Citizen Space.	本協議の構想に対するご意見をいただき、プロセス形成にご協力いただきたい。Citizen Space上の調査を通じて協議に対応可能である。
The questions are split into the following sections:	質問は以下のセクションに分かれている：
Section 1: About you.	セクション1：あなたについて
Section 2: Your views on our approach.	セクション2：当機関のアプローチに対する見解
Section 3: Questions to assess the impact of our proposed approach.	セクション3：提案アプローチの影響評価に関する質問
Section 4: Any additional comments about the framework.	セクション4：枠組みに関する追加コメント
The consultation will remain open until 23:59 on Friday 31 October 2025. We may not consider responses received after this deadline.	本協議は2025年10月31日（金）23時59分まで実施する。締切後の回答は考慮しない場合がある。

・[PDF] Consultation document with proposed changes

 

・[PDF] Proposed framework

 

・[PDF] Scale of harm

 

・Data protection complaint handling approach – draft impact assessment

・・[PDF] Data protection complaint handling approach – Draft Impact Assessment

・[PDF] Equality Impact Assessment (Eqia) For Data Protection Transformation consultation

---

 

・[PDF] Consultation document with proposed changes

Consultation on the ICO’s approach to data protection complaint handling	情報コミッショナー事務局（ICO）のデータ保護苦情処理方針に関する意見募集
Introduction	序論
The Information Commissioner’s Office (ICO) exists to empower people through information. We are dedicated to upholding information rights, promoting transparency by public bodies and ensuring data privacy for people. We’re responsible for handling complaints about infringements of the UK General Data Protection Regulation (UK GDPR) and the Data Protection Act 2018 (DPA).	情報コミッショナー事務局（ICO）は、情報を通じて人々の力を引き出すために存在する。我々は情報権利の擁護、公的団体による透明性の促進、そして人々のデータ・プライバシーの確保に尽力している。英国一般データ保護規則（UK GDPR）及び2018年データ保護法（DPA）違反に関する苦情処理を担当している。
Data protection is a cornerstone of modern society, ensuring that personal information is managed with care and respect. We play a crucial role in handling people’s data protection complaints, supporting the public and providing organisations with clarity on how the law applies.	データ保護は現代社会の基盤であり、個人情報が慎重かつ尊重をもって管理されることを保証する。我々は人々のデータ保護苦情を処理し、公衆を支援し、組織に対して法律の適用方法に関する明確性を提供する上で重要な役割を担っている。
The UK GDPR gives everyone the right to complain to the ICO about the processing of their personal information. As people become more aware of their data protection rights, we are receiving more complaints about organisations. In 2023/24, we received 39,721 complaints. In 2024/25, this rose to 42,315 complaints. Our current forecasts indicate that in 2025/26 we will receive somewhere between 45,000 and 55,000 complaints – a significant increase over just two years.	英国GDPRは、誰もが自身のパーソナルデータの処理についてICOに苦情を申し立てる権利を認めている。人々がデータ保護権利への認識を高めるにつれ、組織に対する苦情が増加している。2023/24年度には39,721件の苦情を受け付けた。2024/25年度には42,315件に増加した。現在の予測では、2025/26年度には45,000件から55,000件の苦情が寄せられる見込みであり、わずか2年間で大幅な増加となる。
We recognise our pivotal role in helping people uphold data protection rights. As the volume of complaints continues to grow, we are strategically evolving our approach by maintaining our core responsibilities while focusing our efforts on the most impactful and significant concerns to maximise public value. At the same time, we want to empower organisations to resolve complaints effectively themselves. If they do, people benefit from faster resolution. If they don’t, and the issue raises wider concerns or presents a meaningful opportunity for regulatory action, we can intervene.	我々は、人々がデータ保護権利を守る手助けをする上で重要な役割を担っていることを認識している。苦情件数が増え続ける中、我々は中核的な責任を維持しつつ、最も影響力があり重要な懸念事項に注力することで、公共の価値を最大化するよう戦略的にアプローチを進化させている。同時に、組織自らが効果的に苦情を解決できるよう支援したいと考えている。組織が自ら解決すれば、人々はより迅速な解決の恩恵を受けられる。もし組織が自ら解決せず、問題が広範な懸念を引き起こすか、規制措置の重要な機会となる場合、我々は介入できる。
However, our current model of case handling is increasingly stretched by the volume of complaints. We are taking longer to address people’s concerns and are finding it more difficult to consistently deliver impactful outcomes.	しかし、現在の案件処理モデルは苦情の量にますます逼迫している。人々の懸念に対処するのに時間がかかり、一貫して影響力のある結果を出すことが難しくなっている。
By transforming our process, we aim to better support people who have experienced harm and focus our resources on those cases where we can have the biggest impact. Organisations will also benefit from reduced routine engagement on lower-risk cases, enabling them to focus on the most significant concerns. Our goal is not just to manage demand, but to raise standards around customer experience and regulatory effectiveness.	プロセスを変革することで、被害を受けた人々をより良く支援し、我々が最大の影響を与えられる案件に資源を集中させることを目指す。組織側も、リスクの低い案件に関する日常的な関与が減ることで、最も重要な懸念事項に集中できるようになる。我々の目標は単に需要を管理するだけでなく、顧客体験と規制効果の標準を引き上げることだ。
We are also confident that the changes in the Data (Use and Access) Act, particularly the new obligations on organisations around complaint handling, will lead to more complaints being resolved without our involvement.	また、データ（使用とアクセス）法の改正、特に組織に対する苦情処理に関する新たな義務により、我々の関与なしに解決される苦情が増えると確信している。
What this consultation covers	本協議の対象範囲
The ICO is responsible for handling data protection complaints about infringements of the UK General Data Protection Regulation (UK GDPR), and Part 3 or Part 4 of the Data Protection Act 2018 (DPA). The department within the ICO responsible for discharging this function is the Public Advice and Data Protection Complaints Service.	ICOは、英国一般データ保護規則（UK GDPR）及び2018年データ保護法（DPA）第3部・第4部違反に関するデータ保護苦情の処理を担当する。この機能を担うICO内部部門は「公的助言・データ保護苦情処理サービス」である。
Our strategic plan, ICO25, made clear that we will safeguard and empower people. It also set out how we will do more to understand the views and concerns of the diverse UK public and use these to guide our priorities. We will be transparent in the decisions we take. While we are required to consider every complaint about infringements of UK data protection law, we have broad discretion whether to investigate further and to what extent, based on the circumstances of each case.	我々の戦略計画「ICO25」は、人々の権利を防御し、力を与えることを明確にした。また、多様な英国国民の意見や懸念をより深く理解し、それらを優先事項の指針とする方法を定めた。我々は意思決定において透明性を保つ。英国データ保護法違反に関する全ての苦情を検討する義務はあるが、個々の事情に基づき、調査の継続やその範囲については広範な裁量権を有する。
This consultation sets out and seeks views on how we propose to assess and determine the appropriate level of investigation. This will allow us to focus on cases where we can have the most impact and improve data protection compliance.	本協議では、調査の適切な水準の評価・決定に関する当機構の提案方法について説明し、意見を求めます。これにより、最大の影響力を発揮し、データ保護コンプライアンスの向上に寄与できる事案に焦点を当てることが可能となります。
The current ICO approach to complaint handling	現在のICO苦情処理アプローチ
UK data protection law provides data subjects with the right to complain to us if they think there has been an infringement of their data protection rights. This includes potential infringements of their rights under the UK GDPR, or under Part 3 or Part 4 of the Data Protection Act 2018 (DPA).	英国のデータ保護法は、データ対象者が自身のデータ保護権利が侵害されたと考える場合、当機関に苦情を申し立てる権利を定めている。これには英国GDPRに基づく権利、あるいは2018年データ保護法（DPA）第3部または第4部に基づく権利の潜在的な侵害が含まれる。
We are required to investigate data protection complaints to the appropriate extent. In 2023, the Court of Appeal confirmed that we have broad discretion in deciding the appropriate extent of an investigation, including the form of the outcome. This can range from reviewing the facts and supporting information submitted with a complaint, to more extensive correspondence with the organisation and the complainant to understand what happened.	我々はデータ保護に関する苦情を適切な範囲で調査する義務がある。2023年、控訴裁判所は調査の適切な範囲（結果の形式を含む）を決定するにあたり我々に広範な裁量権があることを確認した。調査内容は、苦情と共に提出された事実関係や裏付け情報の確認から、組織や苦情申立者との詳細なやり取りを通じて事態の解明に至るまで多岐にわたる。
We consider complaints fairly and impartially before deciding whether we need further information. For example, we may ask the complainant to clarify aspects of their concern or provide missing details. We may also request the organisation’s account of events, including any steps taken to address the issue. In some cases, we may need to examine additional supporting information, such as unredacted documents or internal policies.	我々は苦情を公平かつ中立に検討した上で、追加情報の必要性を判断する。例えば、苦情申立人に対し懸念事項の明確化や不足情報の提供を求める場合がある。また、当該組織に対し、問題解決のために講じた措置を含む経緯の説明を求めることもある。場合によっては、編集されていない文書や内部方針など、追加の補足情報の審査が必要となることもある。
Once assessed, we provide an outcome. These can include:	アセスメント後、結果をプロバイダする。結果には以下が含まれる：
• determining that there is no further action to take;	• 追加措置の必要性がないと判断する；
• telling the organisation to do further work to help resolve the complaint;	• 苦情解決に向けた追加対応を組織に指示する；
• making recommendations to the organisation about how they can improve their information rights practices;	• 情報権利に関する実践改善のための組織への提言；
• referring the complaint to our Investigations teams; or	• 当局の調査チームへ苦情を移管する；または
• using the complaint to inform other regulatory activity.	• 当該苦情を他の規制活動の情報源として活用する。
We do not currently have a formal process for prioritising high-profile cases. We generally assign cases in chronological order and, while some are flagged due to their subject matter – such as those involving a high risk of serious harm or attracting significant media attention – this is done informally and on an ad-hoc basis.	現在、注目度の高い案件を優先的に処理する正式な手順は存在しない。案件は概ね時系列順に割り当てられており、深刻な危害のリスクが高いものやメディアの注目を集めるものなど、主題によってフラグが立てられる場合もあるが、これは非公式かつ臨機応変な対応である。
There is no dedicated triage team or consistent set of criteria for identifying and escalating such cases. As a result, complaints that involve serious issues or that affect a large number of people may not be recognised early and can experience delays, simply because they are not easily distinguishable within our current allocation system.	こうした案件を識別・エスカレートするための専任のトリアージチームや一貫した規準は存在しない。結果として、深刻な問題を含む苦情や多数の人々に影響する苦情は、現行の割り当てシステムでは容易に識別できないため、早期に認識されず遅延が生じる可能性がある。
In 2024/25 we received 42,315 data protection complaints – an average of 3,526 per month. In the same year, we handled 35,901 cases, resulting in a shortfall of 6,450. This shortfall, together with rising demand, has led to a growing backlog of data protection complaints.	2024/25年度には42,315件のデータ保護苦情を受理した。月平均3,526件である。同年度に処理した件数は35,901件であり、6,450件の未処理が発生した。この未処理件数と増加する需要が相まって、データ保護苦情の未処理件数は増加傾向にある。
Our oldest unallocated cases are currently around 24 weeks old and it is then taking an average of about 26 weeks to provide an outcome. As a result, we have seen a significant rise in requests to expedite cases and complaints about timeliness. In turn this takes further resource away from complaint handling and responding to requests for advice from our live services.	現在、最も古い未割り当て案件は約24週間経過しており、結果をプロバイダに通知するまでに平均約26週間を要している。その結果、案件の迅速化要請や処理期間に関する苦情が大幅に増加している。これがさらに苦情処理や現行サービスからの助言要請対応からリソースを奪っている。
A framework that outlines the appropriate level of investigation will allow us to allocate our resources effectively and consistently, ensuring that we focus on the most significant issues and provide timely outcomes.	適切な調査レベルを定める枠組みにより、リソースを効果的かつ一貫して配分し、最重要課題に集中してタイムリーな結果を提供できる。
Our proposed approach to complaint handling	苦情処理への提案アプローチ
The framework	枠組み
We have developed a framework that we propose to use to determine the extent to which it is appropriate to investigate each complaint.	我々は、各苦情を調査する適切性の程度を判断するために使用する枠組みを開発した。
The framework sets out the criteria we would consider when deciding whether to conduct a further investigation and to what extent – for example, the impact of the data protection issue on the people affected, or whether the complaint would help us to meet our strategic priorities.	この枠組みは、追加調査の実施可否及びその範囲を決定する際に考慮する規準を定めている。例えば、データ保護問題が影響を受ける人々への影響度、あるいは苦情が我々の戦略的優先事項達成に寄与するか否かなどである。
Our proposed approach is designed to deliver faster and more impactful outcomes, particularly for people whose complaints raise the most serious concerns. It reflects our ambition to be a strategic regulator – one that considers every complaint, responds proportionately and uses the insight gained to identify patterns or systemic risks and drive improvements in data protection practices.	提案するこのアプローチは、特に深刻な懸念を提起する苦情を申し立てた人々に対して、より迅速かつ効果的な結果をもたらすよう設計されている。これは我々が戦略的規制機関となるという志を反映している。すなわち、全ての苦情を検討し、比例した対応を行い、得られた知見を活用してパターンやシステム的リスクを識別し、データ保護慣行の改善を推進する機関である。
The proposed framework would enable us to:	提案する枠組みにより、我々は以下のことが可能となる：
• assess complaints consistently and proportionately across the tens of thousands we receive;	• 数万件に及ぶ苦情を一貫性を持って比例的に評価する
• allocate our resources effectively, focusing on the most significant issues and providing timely outcomes; and	• 資源を効果的に配分し、最重要課題に焦点を当てつつタイムリーな結果を提供する
• clarify the criteria we consider when deciding how to handle a complaint, including the extent of any investigation.	• 苦情の処理方法（調査範囲を含む）を決定する際の規準を明確化する
How we would apply the framework	枠組みの適用方法
We propose to triage each complaint we receive. Case officers would consider the facts of the complaint and assess it against the framework criteria. This would help determine the appropriate level of investigation.	受け付けた苦情は全てトリアージ（選別）する。担当官は苦情の事実関係を考慮し、枠組みの規準に基づいてアセスメントする。これにより適切な調査レベルを決定する助けとなる。
At this stage, the case officer may decide that they would:	この段階で担当官は以下の判断を下す可能性がある：
• record the complaint for information only; or	• 情報記録のみとして苦情を登録する；または
• write to the organisation with guidance.	• 組織に対し指導内容を記載した文書を送付する。
In these cases, the case officer would then provide this outcome and the reasons for it to the complainant.	これらの場合、担当官は結果とその理由を苦情申立者に通知する。
If the complaint is assessed as requiring further investigation, it would be allocated to the appropriate team. The time taken to assign a case would depend on the nature of the complaint, our initial assessment of the case and current volumes of cases waiting to be assigned. We would then provide an outcome once this further investigation was complete.	苦情がさらなる調査を必要とすると判断された場合、適切なチームに割り当てられる。案件の割り当てにかかる時間は、苦情の性質、初期アセスメント、および割り当て待ち案件の現在の量によって異なる。その後、追加調査が完了次第、結果を提供する。
We would monitor how we were applying the framework and implement a quality assurance process to ensure it was used consistently.	枠組みの適用状況を監視し、一貫した運用を確保するための品質保証プロセスを実施する。
Case reviews	事案の再審査
We recognise that not everyone will agree with the outcome of their complaint. As is currently the case, people could ask us for a case review, which we would consider under our existing process.	苦情の結果に全員が同意するとは限らないことを認識している。現行と同様に、事案の再審査を要請することが可能であり、既存のプロセスに基づき検討する。
We also understand that new information may become available after we provide an outcome. We would continue to review any additional information submitted by complainants that could affect the outcome.	結果通知後に新たな情報が得られる可能性も理解している。結果に影響を与え得る苦情申立者から提出された追加情報は、引き続き審査対象とする。
What we would do with the information we collect from complaints	苦情から収集した情報の活用方法
Our proposed new model builds on our current ways of working and existing use of our discretion to investigate complaints to the extent appropriate. It formalises how we identify areas where we can have the greatest impact. To support this, we’re proposing to introduce a threshold-based approach to complaint handling and build a new process around it.	提案する新モデルは、現行の業務方法と苦情調査における裁量権の適切な行使を基盤とする。我々が最大の影響力を発揮できる領域を識別する方法を体系化するものである。これを支援するため、苦情処理に閾値ベースのアプローチを導入し、新たなプロセスを構築することを提案する。
We will continue to consider and record all complaints for information purposes, regardless of their outcome. However, our new model would enable us to actively monitor complaint volumes across specific organisations and sectors.	結果にかかわらず、情報収集目的で全ての苦情を検討・記録し続ける。ただし新モデルでは、特定組織・セクターの苦情件数を積極的に監視できるようになる。
We propose to use a new reporting mechanism to identify:	新たな報告メカニズムを用いて以下を識別する：
• when a defined number of complaints is received about an organisation – for example, six complaints within two months; or	• 組織に対する苦情が規定数（例：2ヶ月で6件）に達した場合
• when the number of complaints received about an organisation increases by a defined percentage amount – for example, an increase of 50% compared to the previous month.	• 組織への苦情件数が規定の割合（例：前月比50％増）増加した場合
This number or increase is called the ‘threshold’. When complaints about an organisation reach this threshold, it may trigger a deeper review of that organisation’s practices. This may include identifying trends or themes in the complaints or consulting other ICO teams to understand any previous engagement.	この数値または増加幅を「閾値（しきい値）」と呼ぶ。組織への苦情がこの閾値に達した場合、当該組織の業務慣行に対する詳細な審査が開始される可能性がある。これには苦情の傾向や共通点の識別、または過去の対応状況を把握するための他ICOチームとの協議が含まれる。
The threshold is not fixed and we can adjust it over time to reflect emerging risks or sector-specific trends. This flexibility allows us to respond proportionately and focus our regulatory efforts where they are most needed. In order to identify which organisations meet the threshold, we propose to review reports periodically.	閾値は固定値ではなく、新たなリスクや業界固有の傾向を反映するため随時調整可能である。この柔軟性により、我々は比例した対応が可能となり、規制努力を最も必要な分野に集中させられる。閾値を満たす組織を識別するため、報告書の定期的な見直しを提案する。
Once we flag an organisation, we may carry out an initial analysis to understand the reason for the volume or increase. We’ll document this analysis to inform our next steps, which may include:	組織を識別したら、件数や増加の理由を理解するための初期分析を実施する可能性がある。この分析は文書化し、次の対応策の判断材料とする。対応策には以下が含まれる：
• deciding that no further engagement is needed – for example where the organisation has already informed us of the issue and the steps they are taking;	• 追加対応不要と判断する場合（例：組織が既に問題を報告し、対応策を提示している場合）
• contacting the organisation to highlight a potential compliance pattern and provide guidance;	• 組織に連絡し、潜在的なコンプライアンスパターンを指摘し、ガイダンスを提供する場合
• setting up regular meetings to monitor a specific issue over time;	• 特定の問題を継続的に監視するため、定期的な会合を設定する場合
• appointing a single point of contact within our complaints team to act as a liaison for complaints work; or	• 苦情対応業務の窓口として、苦情チーム内に単一の連絡担当者を任命する場合
• conducting further investigation or referring the matter to another ICO team.	• 追加調査を実施するか、他のICOチームに案件を移管する場合
This approach ensures that every complaint contributes towards our understanding of an organisation’s information rights practices, while allowing us to focus our resources on the most significant risks.	この手法により、全ての苦情が組織の情報権利慣行の理解に寄与すると同時に、最も重大なリスクにリソースを集中できる。
It also strengthens our ability to identify systemic issues earlier, including those of low or moderate harm. By monitoring complaint trends and sharing insights internally, we can take more timely and targeted regulatory action. This ensures that our focus on high-impact individual cases does not come at the expense of addressing broader compliance risk.	また、軽度・中程度の危害を含む体系的な問題を早期に識別する能力も強化される。苦情の傾向を監視し内部で知見を共有することで、より迅速かつ的を絞った規制措置が可能となる。これにより、影響力の大きい個別事例への注力が、広範なコンプライアンスリスクへの対応を犠牲にすることはない。
We would not ordinarily contact organisations that don’t meet the threshold or criteria for further enquiries. However, we would still deal with individual complaints about those organisations according to the standard procedure.	通常、追加調査の規準を満たさない組織には連絡しない。ただし、それらの組織に関する個別の苦情については、標準手順に従って対応する。
In addition, we would use the insights from this reporting to inform other areas of our work – for example, if we identify an issue that aligns with our strategic priorities, we may refer it to the Intelligence department. It could also help identify areas where there is a need for further public or organisational guidance.	さらに、この報告から得られた知見を他の業務領域に活用する。例えば、戦略的優先事項と合致する問題を特定した場合、情報部門に照会することがある。また、さらなる公的・組織的ガイダンスが必要な分野の識別にも役立つ可能性がある。
How will we know we’ve been successful	成功の判断基準
We are proposing to introduce this new approach to ensure that our complaint handling is more timely, proportionate and focused on the areas where we can have the greatest impact. To measure the success of this model we will assess both operational performance and the wider outcomes it delivers for people, organisations and the ICO.	この新たなアプローチを導入する目的は、苦情処理をより迅速かつ適切に行い、最大の影響が期待できる分野に集中させることにある。本モデルの成功を測るため、業務実績と、個人・組織・ICO全体にもたらす広範な成果の両方を評価する。
Success will mean the following:	成功とは以下のことを意味する：
• An improved customer experience – complainants will receive clearer, faster outcomes and we will be better able to support those who have experienced harm.	• 顧客体験の改善 – 苦情申立者はより明確かつ迅速な結果を得られ、被害を受けた人々への支援体制が強化される。
• More effective use of our resources – by focusing our efforts on the most significant complaints, we will free up capacity to deliver more meaningful outcomes.	• 資源の効率的活用 – 最も重要な苦情に注力することで、より意義ある成果を生み出す余力が生まれる。
• Reduced burden on organisations – fewer complaints will be referred to organisations unnecessarily. When we do contact organisations, it will relate to issues that are more likely to require regulatory attention.	• 組織への負担軽減 – 不要な苦情の組織への照会が減る。組織に連絡する場合も、規制対応が必要な問題に限定される。
• Better insight and intelligence – our threshold model will help us identify patterns and trends, enabling us to take more strategic action and improve compliance across sectors.	• 洞察力と情報力の向上 – 閾値モデルにより傾向やパターンを識別し、戦略的行動と業界全体のコンプライアンス向上が可能となる。
• Higher satisfaction levels – we aim to see improvements in our customer service satisfaction scores because of more consistent and timely engagement.	• 満足度の向上 – 一貫性と迅速性を高めた対応により、顧客サービス満足度スコアの改善を目指す。
We will also continue to monitor our performance against our existing service standards, which are:	既存のサービス標準に対する実績も引き続き監視する。標準は以下の通りだ：
• 80% of data protection complaints will be assessed and responded to within 90 days;	• データ保護苦情の80％を90日以内にアセスメント・対応する
• 90% of complaints will be assessed and responded to within six months;	• 苦情の90％は6ヶ月以内にアセスメント・対応する；
• less than 1% of our data protection complaint caseload will be over 12 months old; and	• データ保護苦情案件の12ヶ月以上経過分は1％未満とする；
• no complaints to the Parliamentary and Health Service Ombudsman (PHSO) will be upheld.	• 議会・保健サービス監察官（PHSO）への苦情は一切認めない。
These targets reflect our commitment to improving the experience for those who raise concerns with us and to ensuring that our regulatory response is timely and proportionate. We will continue to monitor and evaluate the impact of this new approach, using both quantitative data and qualitative feedback to ensure it is delivering the outcomes we intend.	これらの目標は、懸念を提起する人々の体験改善と、規制対応の適時性・均衡性確保への我々の取り組みを反映している。我々は定量データと定性フィードバックの両方を用いて、この新たな取り組みの影響を継続的に監視・評価し、意図した成果が達成されていることを確認する。

 

 

・[PDF] Proposed framework

Proposed data protection complaint handling framework	提案されるデータ保護苦情処理枠組み
How we handle data protection complaints	データ保護苦情の処理方法
Data protection law requires us to investigate a data protection complaint to the extent we consider appropriate and to inform the complainant of the outcome. We assess each complaint individually and decide how far we’ll investigate it using the criteria below. Handling cases proportionately allows us to allocate our resources effectively, ensuring that we focus on the most significant issues and provide timely outcomes.	データ保護法は、我々が適切と判断する範囲でデータ保護苦情を調査し、結果を苦情申立者に通知することを義務付けている。我々は各苦情を個別にアセスメントし、以下の規準を用いて調査範囲を決定する。ケースを比例的に処理することで、資源を効果的に配分し、最も重要な問題に焦点を当て、タイムリーな結果を提供できる。
We ask complainants for the information we need to do this on our complaint form, including any details they may wish to share of any harm they may experience because of the data protection issue.	苦情申立者には、苦情申立書で必要な情報を提供するよう求めている。これには、データ保護問題により被った可能性のある被害の詳細も含まれる。
Checking whether we can handle a complaint	苦情の受理可否の確認
We check whether we can handle a complaint. As we are the independent regulator for data protection law, we don’t handle complaints which:	当機構は苦情の受理可否を確認する。データ保護法の独立規制機関として、以下の苦情は取り扱わない：
• aren’t about data protection issues;	• データ保護問題に該当しないもの
• are solely about an organisation’s customer service; or	• 組織の顧客サービスのみに関するもの
• should have gone to another organisation or regulator for them to deal with.	• 他組織または規制機関が対応すべきもの
We let the complainant know promptly if we can’t handle their complaint.	苦情を受理できない場合は、速やかに申立人に通知する。
Determining the extent to which we will investigate a complaint	苦情調査の範囲決定
We look into each complaint carefully and use the criteria below to decide whether we can provide an outcome at this stage. If we need to investigate further before providing an outcome, we will allocate the complaint to a case officer.	各苦情を慎重に検討し、以下の規準に基づき現段階で結論を出せるか判断する。結論を出す前に追加調査が必要な場合、担当官に案件を割り当てる。
Criteria	規準
Criteria which may increase the need to investigate further	追加調査の必要性を高める可能性のある規準
• Has the data protection issue caused, or is it likely to cause, a high level of harm to anyone?	• データ保護問題が誰かに重大な危害をもたらしたか、またはその可能性があるか？
• Has the data protection issue significantly affected, or is it likely to affect, people, including those who are currently in a vulnerable situation?	• データ保護上の問題が、現在脆弱な状況にある人々を含む多くの人々に重大な影響を与えているか、または与える可能性があるか？
• Has the data protection issue significantly affected a substantial number of people or is it likely to?	• データ保護上の問題が、相当数の人々に重大な影響を与えているか、または与える可能性があるか？
• Will investigating the data protection complaint further help us to significantly improve the way the organisation uses personal information or enhance data protection rights?	• データ保護苦情を調査することで、組織の個人情報利用方法やデータ保護権利を大幅に改善できるか？
• Does the data protection issue relate to our strategic priorities?	• データ保護上の問題が、我々の戦略的優先事項に関連するか？
• Is it in the public interest for us to make enquiries? For example, does it raise a new or high-profile data protection issue?	• 調査を行うことが公共の利益になるか？例えば、新たなまたは注目度の高いデータ保護問題を提起するか？
Criteria which may reduce the need to investigate further	調査の必要性を減らす可能性のある規準
• Are we already aware of the data protection issue?	• 当該データ保護問題を既に把握しているか？
• Is the organisation currently taking steps to respond to the complaint? Do those steps seem adequate?	• 組織は現在、苦情に対応する措置を講じているか？それらの措置は適切と思われるか？
• Do we think the organisation has complied with data protection law?	• 組織がデータ保護法に準拠していると考えるか？
• Has the organisation already addressed the data protection issue and taken appropriate action?	• 組織は既にデータ保護問題に対処し、適切な措置を講じているか？
This list is not exhaustive. We will keep the criteria under review.	このリストは網羅的なものではない。我々は規準を継続的に見直す。
What happens if we don’t need to investigate a complaint further	苦情をさらに調査する必要がない場合の対応
We may conclude we don’t need to make further enquiries or contact the organisation when we assess a complaint. We may instead record the complaint for information purposes. Some examples of where we’re likely to record complaints for information purposes are:	苦情を評価した結果、追加調査や組織への連絡が不要と判断する場合がある。その代わりに情報目的で苦情を記録することがある。情報目的で苦情を記録する可能性が高い事例は以下の通りである：
• we’re already aware of the issue and there isn’t a significant adverse impact on the complainant or others;	• 当該問題について既に認識しており、申立人や他者への重大な悪影響がない場合；
• the organisation is currently taking steps to respond to the complaint and hasn’t yet told the complainant of the outcome;	• 組織が現在苦情対応を進めており、結果を申立人に通知していない場合；
• we think the organisation has complied with data protection law; and	• 組織がデータ保護法を遵守していると判断した場合；および
• the organisation has already addressed the data protection issue and taken appropriate action.	• 組織が既にデータ保護問題に対処し適切な措置を講じている場合。
We will monitor complaints which are recorded for information purposes to identify trends. We will use this information to help us assist organisations with the way they use personal information or to help determine our strategic priorities.	情報提供目的で記録された苦情は、傾向を識別するため監視する。この情報は、組織の個人情報利用方法の改善支援や、我々の戦略的優先事項の決定に活用する。

 

 

・[PDF] Scale of harm

Proposed data protection harms scale	提案されるデータ保護上の危害の尺度
Data protection harms	データ保護上の危害
These are harms caused by the way an organisation uses personal information if they don’t comply with data protection law.	これは、組織がデータ保護法に準拠しない方法で個人情報を利用することにより生じる危害である。
Case officers will use the information provided in the complaint to understand the impact on people when considering the level of any harm.	担当官は、危害の程度を検討する際、苦情で提供された情報に基づき、人々に与える影響を理解する。
We understand that the same data protection issue may have different impacts on different people, particularly when the harm is intangible, such as causing someone distress or anxiety. We recognise that harm can vary because of individual circumstances, such as whether someone is currently in a vulnerable situation or has a pre-existing illness.	同じデータ保護問題でも、特に精神的苦痛や不安といった無形の損害の場合、個人によって影響が異なることを認識している。脆弱性にあるか、既存の疾患があるかといった個人の状況によって損害の程度が変化することも理解している。
We assess data protection harm as low or relatively low, moderate or high-level impact.	データ保護上の損害は、低レベルまたは比較的低レベル、中程度、高レベルのインパクトとしてアセスメントする。
Low or relatively low level of harm	低または比較的低いレベルの危害
We consider the data protection harm the person affected experiences is of low or relatively low impact – such as being annoyed, frustrated, worried, inconvenienced or mildly distressed. This is usually when:	影響を受けた者が経験するデータ保護上の危害は、低または比較的低い影響度とみなす。具体的には、不快感、苛立ち、不安、不便、軽度の苦痛などが該当する。これは通常、以下の条件が揃う場合である：
• something happens once;	• 事象が一度限りで発生した場合
• the effect lasts a short time; and	• 影響が短期間で終了した場合
• there are no other adverse effects or ongoing wider impact.	• その他の悪影響や継続的な広範な影響が存在しない場合
Example	例
Someone receives a promotional email from a retailer. They have previously unsubscribed from emails and are mildly annoyed that they have received another.	小売業者からプロモーションメールが届いた。以前メール配信を停止していたため、再度受信したことに多少の苛立ちを感じた。
This could also include instances where the impact is more serious but only takes place once or is of short duration.	影響がより深刻でも、一度限りまたは短期間に留まる事例も含まれる。
Example	例
An organisation circulates a staff rota including a note about an employee’s recent mental health absence to a small team. They quickly replaced the document but the employee felt exposed and embarrassed.	組織が小規模チームに、従業員の最近のメンタルヘルス関連の欠勤に関する注記を含む勤務表を回覧した。文書はすぐに差し替えられたが、当該従業員は暴露されたような感覚と恥ずかしさを感じた。
Moderate level of harm	中レベルの危害
The impact is greater than low or relatively low harm and is usually experienced over a longer period.	影響は低レベルまたは比較的低い危害よりも大きく、通常はより長い期間にわたって経験される。
Harm may also be moderate if the impact on the person affected is substantial but is only sustained for a short time and it is unlikely to continue or happen again.	影響を受けた個人への影響が相当程度あるが、短期間しか持続せず、継続または再発の可能性が低い場合も、危害は中程度とみなされることがある。
Example	例
A small company inappropriately shares an internal email discussing underperformance of named junior staff with a wider distribution list. The affected employees are embarrassed and one raises a grievance.	ある小規模企業が、名指しされた若手社員の業績不振について議論した社内メールを、不適切に広範な配布リストで共有した。影響を受けた従業員は恥ずかしい思いをし、そのうちの一人が苦情を申し立てた。
Example	例
An organisation held incorrect information about someone’s criminal history on file and disclosed it during a job vetting process. They corrected it within a month, but the employee experienced significant stress and was concerned about their reputation.	ある組織が、ある人物の犯罪歴に関する誤った情報を記録に残し、採用審査の過程でそれを開示した。1か月以内に訂正したが、従業員は大きなストレスを感じ、自身の評判を懸念した。
High level of harm	高いレベルの危害
The person affected experiences a significant or lasting impact, or both, because the organisation did not comply with data protection law.	組織がデータ保護法に準拠しなかったため、影響を受けた人物は重大な影響、あるいは持続的な影響、あるいはその両方を経験する。
In these cases the impact goes beyond ordinary distress or anxiety, even where it lasts for an extended period.	こうしたケースでは、影響は通常の苦痛や不安を超え、長期に及ぶ場合もある。
A high level of harm will include the most serious cases we see where the effect of the data protection issue cannot be reversed and it causes a very substantial, ongoing impact on the person affected.	重大な被害には、データ保護問題の影響が取り返しのつかないものであり、影響を受けた者に非常に重大かつ継続的な影響をもたらす、我々が目にする最も深刻な事例が含まれる。
Example	例
A school sends an email to all parents but attaches the wrong document. They send information containing special category data about a child, including medical information. The child’s family is concerned that the school shared information about their child’s medical record with all parents.	学校が全保護者宛てにメールを送信したが、誤った文書を添付した。児童に関する特別カテゴリーデータ（医療情報を含む）を含む情報を送信した。児童の家族は、学校が子供の医療記録に関する情報を全保護者と共有したことを懸念している。
Example	例
A charity mistakenly sends a letter intended for a domestic abuse survivor to their previous address, which is still occupied by their abusive expartner. The letter contains details of the survivor’s new address. The survivor is forced to move again and requires additional police protection.	慈善団体が、家庭内暴力被害者宛ての手紙を誤って以前の住所に送付した。その住所には依然として虐待的な元パートナーが居住していた。手紙には被害者の新しい住所の詳細が含まれていた。被害者は再び引っ越すことを余儀なくされ、追加の警察保護を必要とした。