英国の一般データ保護規則(GDPR)の今後の改正により、情報コミッショナー事務所(ICO)の統治に大きな変化がもたらされようとしています。
国家データ保護規制当局は、単一のリーダーシップモデル(法人単独の地位の下で、コミッショナーを長とする)から、理事会が運営する政府機関へと移行します。
この転換は、当局の範囲の拡大と業務量の増加に対応するために設計されており、データ保護にさらに多様な専門知識をもたらすことを目指しています。
ICOで過去28年間働いてきたポール・アーノルド氏は、2025年の夏に新しいICO体制の初代最高経営責任者(CEO)に任命されました。
2月25日の国際プライバシー専門家協会(IAPP)インテンシブロンドンイベントで登壇したアーノルド氏は、ICOはOfcom、FCA、CMAと並んで「英国最大級の規制機関の一つ」になったと説明しました。
「当局のすべての責務が一人の人間に集中しているという考えは、ほぼ馬鹿げている」と彼は述べました。
英国の現情報コミッショナーであるジョン・エドワーズ氏は、IAPPイベントで、この構造的な転換が「数週間以内に」完全に実現されることを発表しました。
正確な時期はまだ確認されていませんが、これらの変更は、英国GDPRと2018年データ保護法およびプライバシーと電子通信規則2003(PECR)を改革する新しいデータ保護規制である2025年データ(利用とアクセス)法(DUAA)に組み込まれます。
ICOの戦略への「重要な継続性」の確保
エドワーズ・コミッショナーは、委員が選出されている間、新しい理事会の初代議長としての役割を担当します。同氏はこの役割にどの程度の期間留任するかについては具体的には述べていません。エドワーズのコミッショナーとしての任期は2026年末に満了する予定です。
今後、非常勤理事を含む新しいICO理事会委員および議長は英国政府によって任命されます。
アーノルド氏は、委員の任期は「理事会の適切で健全な更新」を確保するようにずらされると述べました。
理事会のメンバーは共同でICO戦略を所有し、どの決定と責務を自分たちに委譲する必要があり、どれをCEOを含む経営幹部に委譲するかを選択します。CEOも理事会のメンバーです。
アーノルド氏はこれらの変更に関わる3つの主な利点を説明しました。新しい体制はICOがより一貫した戦略を立てることを可能にし、当局の増加する業務量に対応するのに役立ち、当局の意思決定にさらに多くの多様性をもたらします。
以前の体制がコミッショナーにデータ保護調査や執行措置を迅速に開始することを可能にしたことをアーノルド氏は認めながらも、現在の業務量は単一の人間によるリーダーシップには大きすぎるようになったと説明しました。
「理事会があれば、より広い統治の仕組みの利点を得られると同時に、意思決定の機敏さを失わないようにすることができます」と彼はIAPPインテンシブロンドンの聴衆に保証しました。
さらに、新しい理事会の体制はICOに「重要な継続性」をもたらすと述べました。コミッショナーの任期が終わるにつれて「崖っぷちに近づく」ことがなくなるからです。
「以前のパラダイムでは、ある人物が組織がすることについての彼らのビジョンを持って到着し、その5年後に別の人物が異なるかもしれない彼ら自身のビジョンを持って到着しました。これはビジネスのセキュリティとプライバシー実務家にとってナビゲートするのが難しい場合があります。」
移行の別の重要な推進力は、より多くの多様性をもたらすことでした。
「より多くの多様な視点をもたらすことが重要です。より多くの多様な視点は、組織にとってより良く、より強い決定をもたらすからです」とアーノルド氏は付け加えました。
ICOの変更が英国企業に意味するもの
アーノルド氏は、ICO内の変更は当局と英国企業間の協力に影響を与えるべきではないと述べました。
しかし同氏は、ICOを、その責務と範囲の両方、および将来、組織が下す決定についてより透明性を高いものにしたいと述べました。
「各規制介入の根拠について、より意図的で、思慮深く、透明性を持つことが期待できます」と彼は約束しました。
これらの内部変更は英国企業に直接影響を与えないものの、DUA法は正当な利益、自動化された意思決定、商業的研究、およびICOへの新しい執行権を含む、英国のデータ保護法における新しい法的および運用上の変更も導入します。
- 新しい調査権と強制力:証人(シニア経営者を含む)に質問に答えるよう強制し、組織に技術的・フォレンジック報告書およびその他の技術的証拠の提出を要求する
- 新しい主要目的:個人情報に対する適切なレベルの保護を確保し、データ転送の公開信頼と自信を促進する
- 意思決定で考慮する追加的な二次的義務:イノベーションの促進、競争の促進、犯罪的違反の防止・調査・検出・訴追の支援、公共およびセキュリティの検討、および児童保護の必要性の認識
- 法定規制文書が制定されると同時に(例えばAIおよび関連技術分野)、法定規範を開発するための義務
- 他の法律(サイバー回復力規則との重複など)との拡大した規制調整および権限相互作用、および関連法に基づくマネージドサービスプロバイダー(MSP)を対象とした可能性のある拡大
最後に、エドワーズ・コミッショナーはIAPPインテンシブロンドンで、ICOが「今後数ヶ月以内に」データエッセンシャルトレーニングスキームを拡大することを発表しました。
データエッセンシャルズは、2023年に開始された無料の任意パイロットプログラムであり、英国の中小企業(SME)が個人情報を安全に、合法的に、責任を持って扱う方法を理解するのを支援するために設計されています。
翻訳元: https://www.infosecurity-magazine.com/news/uk-data-watchdog-ico-makeover/
