英国政府は、デジタル技術を通じた個人データの利用および共有を規律するための新たな法案を導入した。
「データ(利用およびアクセス)法案」はデジタル本人確認サービスの枠組みを提供し、本人確認のためのツールを提供する企業が、政府認証の「トラストマーク」を取得できるようにする。
このトラストマークは、科学・イノベーション・技術省(DSIT)内に新設されるデジタル・アイデンティティおよび属性局(OfDIA)によって承認されたデジタル本人確認サービスであることを示す新しいロゴとなる。
これは、デジタル本人確認サービスのセキュリティとプライバシーに対する信頼を高めることを目的としており、荷物の受け取り、銀行口座の開設、引っ越しなど、生活のさまざまな場面での効率向上につながるとされる。
法案のデジタル本人確認に関する要素について、Yotiの最高政策・規制責任者であるジュリー・ドーソン氏は次のように述べた。「デジタル本人確認サービス(DVS)の設立は、従来のデジタル・アイデンティティ&属性トラスト・フレームワークを基盤として拡張し、より広範で体系的な規制基盤へと発展させるものであり、デジタル・アイデンティティへの信頼を高めるでしょう。これにより、個人と企業は安全にサービスへアクセスでき、詐欺を減らし、データ・プライバシー保護を強化できます。」
前の保守党政権は2022年に、デジタル・アイデンティティ・ソリューションのセキュリティ向上のための法制導入計画を公表しており、認証済みデジタル・アイデンティティ組織に対して容易に認識できるトラストマークを発行するODIAの創設も含まれていた。
2024年9月、EUは欧州デジタル・アイデンティティ(EUDI)規則を公表し、加盟国に対して市民および企業へデジタル・アイデンティティ・ウォレットを提供することを義務付ける。この規則により、デジタルID提供者は、これらのソリューションへの信頼を高めるため、サイバーセキュリティ要件を遵守することが求められる。
公共サービスによる個人データへのアクセス
この法案には、NHS職員や警察が個人データへより容易にアクセスできるようにする措置も含まれており、これらのサービス全体の効率向上とコスト削減を目的としている。
NHSトラスト、GP(一般開業医)診療所、救急搬送サービスは、患者の健康情報にリアルタイムでアクセスできるようになる。これには、医療・介護分野向けのITサプライヤーが、プラットフォーム間でのデータ共有を可能にする共通標準を満たすよう、自社システムを確実に適合させることが必要となる。政府は、これによりNHS職員の時間が毎年最大14万時間分確保されると見積もっている。
警察官は、事件対応のために個人データへアクセスするたびに手作業で記録する要件を負わなくなる。たとえば、警察データベースで容疑者や要注意人物を照会する必要がある場合などである。これにより、警察官の時間が年間最大150万時間分確保されると推計されている。
政府は、これらのサービス全体で個人データがどのように利用されているかを追跡・監視するための「重要な安全策」が講じられるとしている。
ピーター・カイル技術相は次のように述べた。「データを安全かつ効果的に利用できるようにする法律により、この法案は英国経済の押し上げに寄与し、最前線の職員にとって重要な時間を確保し、人々を不要な事務作業から解放して、日常生活に専念できるようにします。」
法案の別の要素として、研究者向けのデータアクセス制度の創設があり、オンライン安全性の動向に関する独立した研究を支援できる。
刷新される情報コミッショナー庁
英国のデータ保護規制当局である情報コミッショナー庁(ICO)は、法律の下で新たな組織構造と執行権限を備える形に刷新される。
ICOは「情報委員会(Information Commission)」に改称され、情報コミッショナー職は廃止される。
「データ(利用およびアクセス)法案」は10月23日に議会へ提出され、貴族院で第一読会を終えている。
翻訳元: https://www.infosecurity-magazine.com/news/uk-data-governance-legislation/
