Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > セキュアファイル共有 > UKデータ保護法2018:英国市民のPIIを共有する組織のための重要な考慮事項
セキュアなファイル共有と英国データ保護法

UKデータ保護法2018:英国市民のPIIを共有する組織のための重要な考慮事項

by Danielle Barbour updated 1月 27, 2025 セキュアファイル共有
Reading Time: < 1 minutes

今日の相互接続された世界では、データが国境を越えてシームレスに流れる中、データ保護規制への準拠を確保することが、グローバル企業にとって最重要課題となっています。英国データ保護法2018(DPA 2018)は、英国市民の個人識別情報(PII)の取り扱いに関するルールと規制を定めた重要な法律です。このブログ記事では、DPA 2018に準拠し、英国市民のプライバシー権を保護するために、グローバル企業が考慮すべき重要なポイントを包括的にガイドします。

英国データ保護法2018: 簡単な紹介

英国データ保護法2018は、英国におけるデータ保護を規制する主要な法律です。この法律は、組織によって処理される個人データのプライバシーと権利を保護するために設計されています。DPA 2018は、EUの一般データ保護規則(GDPR)と整合しており、GDPRと同様に、個人データの収集、保存、処理のための法的枠組みを提供します。

DPA 2018は、英国におけるデータ保護の実践を規制する主要な法律として機能します。この法律は、英国市民の個人データを取り扱うすべての組織が責任を持って安全に行動することを保証する包括的な法的枠組みを提供することを目的として開発されました。DPA 2018は、英国市民の個人データの収集、保存、処理に関する明確なガイドラインと要件を確立し、データの正当な利用を可能にしつつ、市民の基本的なプライバシーとデータ保護の権利を守ることを目指しています。

DPA 2018への準拠は、組織が英国の顧客や利害関係者との信頼と透明性を維持し、データ保護に関する法的義務を果たすために重要です。

DPA 2018に準拠しない場合、組織には深刻な結果が生じる可能性があります。情報コミッショナーオフィス(ICO)は、英国におけるDPA 2018の施行を担当しており、非準拠に対して重大な罰金や制裁を課す権限を持っています。一般的に、ICOはデータ保護規制の最も深刻な違反に対して、最大1,750万ポンドまたは会社の年間世界売上高の4%のいずれか高い方の罰金を科す権限を持っています。軽微な違反に対しても、罰金は依然として多額であり、最大870万ポンドまたは年間世界売上高の2%に達する可能性があります。これらの罰金は、組織の収益性に影響を与え、財務的不安定を引き起こす可能性があります。

財務的な罰則を超えて、DPA 2018への非準拠は他の否定的な結果をもたらす可能性があります。組織は顧客や利害関係者からの評判の損失や信頼の喪失に直面する可能性があります。これにより、顧客の忠誠心の低下、売上の減少、潜在的なビジネスの混乱が生じる可能性があります。さらに、権利が侵害されたデータ主体は法的救済を求める可能性があり、費用のかかる訴訟や組織の評判へのさらなる損害を引き起こす可能性があります。

英国データ保護法2018の適用範囲

DPA 2018は、英国におけるデータ保護のさまざまな側面を網羅しています。この法律は、英国で活動する組織による個人データの処理に適用され、英国に居住する個人の個人データを処理する場合、英国外の組織にも適用されます。つまり、法律で定められた基準を満たす場合、組織の規模や業種に関係なく、個人データを取り扱うすべての組織がこの法律の適用範囲に含まれます。

法律でカバーされる個人データの種類には以下が含まれます:

  • 氏名と住所:フルネーム、自宅住所、メールアドレス、電話番号は個人データと見なされます。
  • 識別番号:国民保険番号、パスポート番号、運転免許証番号、その他の政府発行の識別番号は個人データと見なされます。
  • 財務情報:銀行口座の詳細、クレジットカード番号、その他の個人に関連する財務データは個人データと見なされます。
  • 健康情報:医療記録、治療履歴、個人に関連付けられるその他の健康関連情報は個人データと見なされます。
  • 生体認証データ:指紋、顔認識データ、個人を一意に識別できるその他の生体情報は個人データのカテゴリーに含まれます。
  • ソーシャルメディア情報:ユーザー名、プロフィール、個人のソーシャルメディアアカウントにリンクされたその他のデータは個人データと見なされます。
  • 雇用情報:雇用契約、給与情報、業績評価を含む従業員記録は個人データと見なされます。

さらに、DPA 2018はデータ管理者とデータ処理者の両方に適用されます。データ管理者は個人データの処理の目的と手段を決定する主体であり、データ処理者はデータ管理者の代わりに個人データを処理する主体です。データ管理者とデータ処理者の両方が法律の下で特定の責任と義務を負っています。

英国データ保護法2018に準拠するためのデータ保護対策

以下の表は、英国データ保護法2018に準拠するためにグローバル企業が実施すべき重要なデータ保護対策を示しています。各対策は、PIIの保護、データの整合性の維持、無許可のアクセスや侵害のリスクの軽減に寄与します。これらの対策については後ほど詳しく説明し、法律への準拠に関連する実施方法とその重要性についてガイドします。

DPA 2018の対策 説明
暗号化 機密性の高いPIIを保護するために、転送中および保存中の暗号化方法を利用します。
アクセス制御 許可された個人のみがデータにアクセスし、処理できるようにアクセス制御を実施します。
安全なデータ保存 無許可のアクセスや侵害からPIIを保護するために、安全なサーバーと保存方法を使用します。
定期的なセキュリティ監査 潜在的な弱点を特定し対処するために、定期的なセキュリティ監査と脆弱性評価を実施します。
スタッフトレーニング データ保護のベストプラクティスとPIIセキュリティの重要性について、スタッフに包括的なトレーニングを提供します。
データ最小化 意図された目的に必要な最小限のPIIのみを収集し、処理します。
プライバシー・バイ・デザイン システムとプロセスの初期設計段階からプライバシーの原則と実践を実装します。
データ侵害対応計画 潜在的なデータ侵害の影響を緩和するための堅牢な計画を策定します。

英国データ保護法2018の主要原則

DPA 2018は、個人データを処理する際に組織が遵守すべきいくつかの主要な原則に基づいています。これらの原則には以下が含まれます:

  • 合法性、公正性、透明性:組織は、データ処理の実践において合法性、公正性、透明性を確保しながら個人データを処理しなければなりません。
  • 個人データの目的制限:個人データは、特定された明示的かつ正当な目的のためにのみ収集および処理されるべきです。
  • データ最小化の原則:組織は、意図された目的に必要な個人データのみを収集および処理するべきです。
  • 個人データの正確性:組織は、保持している個人データの正確性を確保し、誤りを修正するための合理的な手段を講じなければなりません。
  • 個人データの保存制限:個人データは、収集された目的のために必要な期間を超えて保持されるべきではありません。
  • 個人データの保護のための整合性と機密性:組織は、無許可のアクセス、損失、または損害から個人データを保護するために適切なセキュリティ対策を実施しなければなりません。
  • データプライバシーと責任および説明責任:組織は、法律で定められたデータ保護の原則と義務を遵守していることを示すことが期待されています。

PIIを共有する際のDPA 2018への準拠を確保するためのベストプラクティス

PIIを共有する際、組織は法律の要件と原則を遵守し、非準拠や潜在的な法的結果を回避する必要があります。法律の規定を理解し、適切な対策を実施することで、組織はPIIを保護し、取り扱う個人との信頼を築くことができます。これらのベストプラクティスには以下が含まれます:

PIIを処理するための法的根拠を特定する

英国DPA 2018は、組織がPIIを処理するための有効な法的根拠を持つことを要求しています。データを共有する前に、グローバル企業は法律で提供されるリストから適切な法的根拠を特定する必要があります。例えば、同意、契約上の必要性、法的義務、重要な利益、公的任務、または正当な利益などです。データが共有される目的に合致する法的根拠を評価することが重要です。例えば、同意は、組織がPIIを共有する前に個人から明示的かつ情報に基づいた同意を得ることを要求します。これは、データ共有の目的と範囲を明確に示し、同意を容易に撤回できるオプションを提供することを意味します。法律への準拠を示すために、受け取った同意を文書化することが重要です。

個人データに関する個人の権利を理解する

英国データ保護法2018は、個人データに関して個人に特定の権利を付与しています。グローバル企業はこれらの権利を理解し、英国市民のPIIを共有する際にそれらを遵守できるようにする必要があります。情報を受ける権利は、データがどのように使用されるか、誰と共有されるか、個人のデータに関する権利について透明性を持つことを組織に要求します。アクセス権は、個人が組織が保持する個人データのコピーを要求し、受け取ることを可能にします。

組織は、このような要求を迅速に履行するためのプロセスを整備しておく必要があります。訂正権は、個人が不正確または不完全なデータを修正することを可能にし、消去権(または「忘れられる権利」)は、特定の状況下で個人がデータの削除を要求することを可能にします。処理の制限権は、個人がデータの処理を制限するオプションを提供し、データポータビリティ権は、個人が自分の個人データを取得し、異なるサービス間で再利用することを可能にします。異議申し立て権は、特定の状況で個人がデータの処理に異議を申し立てることを可能にします。さらに、法律は自動化された意思決定とプロファイリングに関連する権利についても取り扱っています。組織は、これらの権利を履行できるようにし、個人がそれらを行使するための明確なプロセスを提供する必要があります。

PIIを保護するための適切なセキュリティ対策を実施する

個人データのセキュリティと機密性を保護することは、英国データ保護法2018への準拠にとって重要です。グローバル企業は、無許可のアクセス、開示、改ざん、または破壊からPIIを保護するための適切なセキュリティ対策を実施しなければなりません。例えば、暗号化を使用して、転送中および保存中の機密データを保護する必要があります。アクセス制御とデジタル著作権管理(DRM)を実施して、許可された個人のみがデータにアクセスできるようにします。

安全なデータ保存の実践、例えば安全なサーバーの利用やソフトウェアの脆弱性の定期的なパッチ適用が重要です。定期的なセキュリティ監査と脆弱性評価は、PIIを保存および共有するシステムやアプリケーションの潜在的な弱点を特定し、対処するのに役立ちます。最後に、包括的なスタッフトレーニングを提供し、データ保護のベストプラクティスとPIIの安全な取り扱いの重要性を教育します。

所有するPIIを特定する

英国データ保護法2018によれば、個人識別情報とは、個人を直接または間接的に識別できる情報を指します。DPA 2018の下でのPIIの例には以下が含まれます:

  1. 氏名:個人を一意に識別できるフルネームまたはその他の名前。
  2. 住所:居住地または事業所の住所、街の住所、郵便番号、市名を含む。
  3. メールアドレス:個人に関連付けられた個人またはビジネスのメールアドレス。
  4. 電話番号:個人またはビジネスの電話番号、携帯電話、固定電話、ファックス番号を含む。
  5. 社会保障番号:政府が個人に割り当てた社会保障目的のための一意の識別番号。
  6. 国民保険番号:政府が個人に割り当てた社会保障および課税目的のための一意の識別番号。
  7. パスポート番号:旅行目的で個人を一意に識別するためのパスポートに記載された識別番号。
  8. 運転免許証番号:運転目的で個人を一意に識別するために運転免許証に記載された番号。
  9. 金融口座番号:銀行口座番号、クレジットカード番号、または個人に関連するその他の金融識別子。
  10. 生年月日:個人を一意に識別するために使用される個人の特定の生年月日。

これは包括的なリストではなく、個人を直接または間接的に識別できるその他の種類の情報もDPA 2018の下でPIIと見なされる可能性があることに注意が必要です。組織や個人は、個人情報を保護し、法律に準拠するために関連するデータ保護規制を遵守する必要があります。

PIIを処理する前に明示的な同意を得る

同意は、英国データ保護法2018の基本的な側面です。英国市民のPIIを共有する際、グローバル企業は個人から明示的かつ情報に基づいた同意を得る必要があります。同意は自由に与えられ、特定され、容易に撤回可能であるべきです。組織は、データ共有の目的と範囲を個人に明確に伝え、彼らが何に同意しているかを理解できるようにする必要があります。個人がいつでも同意を撤回できる明確で使いやすいメカニズムを提供することが重要です。組織は、法律への準拠を示すために、受け取った同意の記録を保持する必要があります。

PIIへのアクセスを制限する

個人識別情報(PII)へのアクセスを制限することは、データプライバシーを維持し、データ保護規制に準拠するために重要です。PIIへのアクセスを制限する際に実施すべき主要なデータプライバシー対策は以下の通りです:

  1. 許可された個人:PIIへのアクセスは、職務を遂行するために必要な個人にのみ許可します。これにより、情報を必要とする人だけがアクセスでき、無許可の露出や悪用のリスクが軽減されます。
  2. ユーザー認証メカニズムPIIへのアクセスを求める個人の身元を確認するために、堅牢なユーザー認証メカニズムを実施します。これには通常、ユーザー名とパスワードなどの一意の資格情報と、SMSコードや生体認証などの補足的な資格情報を必要とする多要素認証技術が含まれ、機密データへのアクセスを許可する前にユーザーを認証します。
  3. 役割ベースのアクセス制御(RBAC):職務と責任に基づいて特定のアクセス権限を割り当てるためにRBACシステムを利用します。ユーザーを役割に分類することで、最小権限の原則に従ってアクセス権限を付与または制限できます。これにより、個人は職務を遂行するために必要な特定のPIIにのみアクセスできるようになります。
  4. 強力なパスワードポリシー:アクセス資格情報が容易に侵害されないように強力なパスワードポリシーを施行します。これには、パスワードの最小長を要求し、英数字と特殊文字を含むこと、定期的にユーザーにパスワードの更新を促すことが含まれます。多要素認証(MFA)を実施することで、追加のセキュリティ層を提供できます。
  5. 定期的なアクセス権限のレビュー:組織内の個人の現在のニーズと責任に合致するようにアクセス権限を定期的にレビューします。従業員が組織を離れる際、職務が変更される際、またはアクセスが不要になった際には、アクセス権限を削除または変更します。
  6. アクセスログと監視PIIへのアクセスをログに記録し、監視するシステムを実施します。これにより、無許可のアクセス試行や疑わしい活動を検出できます。アクセスログを定期的にレビューして、異常や潜在的なセキュリティ侵害を特定します。
  7. エンドツーエンド暗号化PIIを保存中および転送中に保護するために暗号化技術を適用します。暗号化により、無許可のアクセスが発生した場合でも、PIIやその他の機密コンテンツが読み取れず、使用できない状態に保たれます。
  8. 従業員トレーニングと意識向上データプライバシーの重要性とPIIの適切な取り扱いについて従業員に包括的なトレーニングを提供します。アクセス制御、パスワード管理、データ保護のベストプラクティスについて教育し、組織内でのセキュリティ文化を育成します。

データ保護影響評価(DPIA)を実施する

高リスクのデータ処理活動に対して、グローバル企業は英国データ保護法2018に基づいてデータ保護影響評価(DPIA)を実施する必要があります。DPIAは、個人のプライバシー権に対する潜在的なリスクを特定し、最小化するのに役立ちます。組織は、機密性の高いPIIを共有する場合や大規模な処理活動に従事する場合にDPIAを実施するべきです。

英国データ保護法2018の下でデータ保護影響評価(DPIA)が必要となる可能性のある高リスクのデータ処理活動には以下が含まれます:

  1. 生体認証データの処理:組織が指紋、顔認識、虹彩スキャンなどの生体認証データを収集し処理する場合、それは高リスクの活動と見なされます。生体認証データは個人にとって敏感であり、誤った取り扱いや無許可のアクセスは重大なプライバシーへの影響をもたらす可能性があります。したがって、このような場合には、生体認証データの処理に関連するリスクを評価し、軽減するためにDPIAを実施することが重要です。
  2. 重要な意思決定のためのプロファイリング:プロファイリングとは、個人の特定の特性、行動、または好みを評価または予測するための個人データの自動処理を指します。組織が個人に重大な影響を与えるプロファイリング活動に従事する場合、例えば法的または同様に重大な影響を与える自動化された意思決定など、それは高リスクのデータ処理活動と見なされます。この場合、プロファイリング活動から生じる個人のプライバシー、公正性、および権利に対する潜在的なリスクを特定し、対処するためにDPIAが必要です。

データ処理活動に関連する潜在的なリスクを評価し、文書化することが重要です。これには、データの性質、処理の目的、個人の権利と自由に対する潜在的な影響、およびリスクを軽減するための措置を考慮することが含まれます。組織は、特定されたリスクに対処し、法律への継続的な準拠を確保するために適切な措置を講じる必要があります。

データ保護責任者(DPO)を任命する

英国データ保護法2018の下で、特定の組織はデータ保護の実践を監督するためにデータ保護責任者(DPO)を任命する必要があります。法律はすべての組織にDPOの任命を義務付けているわけではありませんが、データ保護を担当する専任の個人を持つことは、継続的な準拠を確保し、専門的なガイダンスを提供し、規制当局や個人との連絡窓口として機能することができます。DPOはデータ保護法と実践に関する知識を持ち、PIIの保護に関連するすべての問題に関与するべきです。組織は、法律で定められた要件に基づいてDPOを任命する必要があるかどうかを慎重に評価する必要があります。

すべての通信チャネルに安全なプロトコルを展開する

すべての通信チャネルに安全なプロトコルを実装することが重要です。HTTPS、SFTPセキュアメールセキュアなウェブフォームなどのプロトコルを利用することで、組織は機密情報が傍受や改ざんから保護されることを確保できます。これらのプロトコルは転送されるデータを暗号化し、無許可の個人がファイルを傍受または操作することを非常に困難にします。安全なファイル転送プロトコルを実装することで、内部文書、顧客記録、その他の機密情報が転送中に保護されます。

国境を越えたデータ転送がDPA 2018に準拠していることを確認する

個人識別情報(PII)を国際的に共有する際には、データ保護法2018(DPA 2018)で定められた規制に準拠することが重要です。この法律は、欧州経済領域(EEA)または英国(U.K.)外の国への個人データの転送に関するガイドラインと要件を提供します。

準拠を確保するために、組織は転送されるデータを保護するための適切な保護措置を実施する必要があります。一般的に使用される2つの保護措置は、標準契約条項(SCCs)と拘束的企業準則(BCRs)です。

標準契約条項(SCCs)

SCCsは、欧州委員会によって発行された事前承認された契約条項です。これらは、データを転送する組織(データ輸出者)とデータを受け取る組織(データ輸入者)間の個人データの転送のための法的拘束力のある枠組みを提供します。SCCsは、転送されたデータに対して適切な保護レベルを確保するために、両当事者に義務と権利を設定します。

SCCsを実施するには、データ転送を規制する契約または契約にこれらの契約条項を組み込む必要があります。SCCsは、セキュリティ対策、データ主体の権利、責任など、データ保護のさまざまな側面に対処します。

SCCsを採用することで、組織は国境を越えたPIIの共有時に個人データの保護とDPA 2018への準拠を確保するための取り組みを示すことができます。

拘束的企業準則(BCRs)

BCRsは、多国籍企業が企業グループ内で個人データを転送することを可能にする内部規則です。BCRsは、関連するデータ保護当局からの承認を必要とし、組織がグローバルな運営全体で包括的なデータ保護ポリシーと実践を実施していることを示します。

BCRsは、組織内のすべてのエンティティに適用される共通のデータ保護原則と基準を設定することにより、高いレベルの保護を提供します。これにより、欧州委員会からの適切性決定がない国へのデータ転送時でも、データ保護の実践に一貫性と統一性が確保されます。

BCRsを確立することで、組織は個人データの保護に対する取り組みを示し、国境を越えたデータ転送に関するDPA 2018の規制に準拠することができます。

SCCsとBCRsに加えて、組織は受取国のデータ保護法と実践を徹底的に評価する必要があります。この評価は、転送されたデータに対して適切な保護レベルを確保するために必要な追加の保護措置や対策があるかどうかを判断するのに役立ちます。

Kiteworksで機密コンテンツを保護する

Kiteworksのプライベートコンテンツネットワークは、機密コンテンツ通信チャネルを統合し、メール、ファイル共有、マネージドファイル転送(MFT)、ウェブフォームなどを含み、組織に入るまたは出るすべてのPIIを制御、保護、可視化、追跡します。中央集権的なガバナンスとセキュリティを通じて、PIIへのアクセス、コンテンツの変更、情報の受取人を監視し、規制するコンテンツリスクポリシーを確立できます。このプラットフォームは、エンドツーエンド暗号化、強化された仮想アプライアンス、安全な展開オプション、および多層防御のセキュリティアプローチを採用し、プライベート情報の安全な交換を簡素化します。

アクセス制御:Kiteworksは、組織が共有ファイルとフォルダーに対して詳細なアクセス制御を定義し、施行することを可能にします。これにより、許可された個人のみがPIIにアクセスでき、偶発的または意図的なデータ露出のリスクが軽減されます。

ユーザー認証:このプラットフォームは、多要素認証(MFA)やシングルサインオン(SSO)など、さまざまな認証メカニズムをサポートしています。これらの機能は、システムにアクセスするユーザーの身元を確認し、無許可のアクセスを防ぐための追加のセキュリティ層を提供します。

データ主権:Kiteworksは、英国または欧州連合内に位置するデータセンターを選択する柔軟性を提供し、データ主権要件に準拠します。これにより、英国市民のPIIが関連する規制に従って保存および処理されることが保証されます。

Kiteworksプライベートコンテンツネットワークのカスタムデモをスケジュールして、PIIをプライベートに保ち、データ保護法2018に準拠する方法をご覧ください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks