ICO、AIセキュリティをUK GDPR第32条の義務に明記
5つの重要なポイント
1. AIセキュリティは今やデータ保護の義務。
ICOの新しいガイダンスは、AIを活用した脅威をUK GDPR第32条に基づく現在の義務と位置づけており、将来のリスクではなく、今すぐ対策を求めています。個人データを保有する組織は、今すぐ行動することが求められています。
2. 7つの攻撃カテゴリが規制当局の監視対象。
AIによるフィッシング、ディープフェイクを使ったソーシャルエンジニアリング、自動脆弱性スキャン、AIマルウェア、クレデンシャルスタッフィング、データポイズニング、間接的なプロンプトインジェクションがガイダンスで明記されています。
3. 5つのステップが新たなコンプライアンスの基準に。
脅威のホライズンスキャニング、セキュリティの基本、個人データ保護、多層的なAIガバナンス、モニタリングとインシデント対応。どれも新しいものではありませんが、これらを組み合わせた緊急性が強調されています。
4. 高リスクAI処理にはDPIAが必須に。
高リスクな個人データを処理するAIツールを利用する組織は、データ保護影響評価(DPIA)を実施し、AIを標的とした攻撃への対策を講じる必要があります。
5. すべての組織が読むべき前例「Capita事件」。
ICOが2025年10月にCapita社へ課した1,400万ポンドの制裁金は、第32条に基づく「適切な技術的・組織的措置」の不備が理由でした。同じ基準が今やAIインフラにも適用されます。
ICOが2026年5月13日に実際に発表した内容
2026年5月13日、ICOの規制監督担当暫定エグゼクティブディレクターであるIan Hulme氏が、
「AIによるサイバー脅威から組織を守るための5つのステップ」
というブログ記事を公開しました(注:タイトルのスペルは英国式)。短く、明快で、英国で個人データを処理するすべての組織にとって、AIセキュリティがもはや将来のコンプライアンス課題ではないことを最も明確に示しています。
ガイダンスは、規制当局が追跡している脅威リストから始まります。AIによる高度なフィッシングで個別最適化されたメッセージを生成、ディープフェイク音声・映像による同僚のなりすまし、自動化ツールによるシステムの迅速なスキャンと脆弱性の悪用、検知回避型AIマルウェア、AIによるクレデンシャルスタッフィング、運用中モデルへのデータポイズニング、AIシステムが正規コマンドとして処理する外部コンテンツに悪意のある指示を埋め込む間接的プロンプトインジェクションなどです。
そして、すべてのCISOやDPOの姿勢を変えるべき部分が続きます。「UK GDPRに基づき、個人データを保護するために適切な技術的・組織的措置を講じる義務があります」。新たなフレームワークを導入するのではなく、既存のフレームワークにAI脅威をマッピングし、「標準は今、AIのスピードで適用され、猶予期間はない」と明言しています。
実務で第32条の意味が変わる理由
UK GDPR第32条は、「処理リスクに応じた適切な技術的・組織的措置」を求めています。ICOは過去18か月間、執行を通じてその基準がコントロール不備時にどう適用されるかを示してきました。最も明確な前例が
2025年10月にCapita社へ課された1,400万ポンドの制裁金です。2023年のサイバー攻撃で660万人分の個人データが流出した事件で、ICOはCapita社が特別カテゴリーのデータ保護策の不備、ネットワーク内移動防止のコントロール不足、早期警告への対応不十分など、適切な技術的・組織的措置を講じていなかったと結論付けました。
Capita事件はAIが直接関係したものではありません。しかし、規制当局が適用したフレームワークは、Hulme氏がAI脅威にも拡張したものと同一です。インシデント対応の遅れやアクセス制御の弱さで1,400万ポンドの制裁金となった第32条の論理は、今後、個人データを扱うAIシステムのガバナンス不備にも適用されます。脅威ベクトルがAIであっても法的な基準は変わらず、技術的なハードルが上がるだけです。
取締役会にとっても影響は明白です。次に英国でAI関連の個人データ侵害が発生した際、規制当局はプロンプトインジェクション対策の有無ではなく、認証、アクセス制御、暗号化、モニタリング、インシデント対応、リスク評価の実施と文書化をAIシステムに対して証明できるかを問います。これはCapita事件で失敗したリストと同じです。
個人データの観点から5つのステップを読む
最初のステップはホライズンスキャニング――AIによる脅威が自組織の環境でどのように現れるかを把握することです。ICOは7つのカテゴリを挙げていますが、多くのセキュリティチームは3~4つしか説明できません。規制当局の期待と現場の認識のギャップが最初のリスクです。
2つ目はセキュリティの基本:Cyber Essentialsスキームの5つの技術的コントロール、Cyber Governance Code of Practice、すべてのリモートアクセス・管理者アカウント・メールへの多要素認証、強固なパスワードポリシー、堅実なパッチ運用です。これらは新しいものではなく、ICOは「これが最低限」と指摘しています。AIは要件を変えるのではなく、失敗が侵害に至るスピードを変えるのです。
3つ目は個人データの保護:データ最小化、どんな個人データがどこにあるかの定期監査、AIを活用したソーシャルエンジニアリングに関する従業員教育です。最近の執行事例の半数を占めるデータ衛生問題は、まさにこのステップに該当します。
Kiteworks
データセキュリティとコンプライアンスリスク:2026年予測レポートによると、AIシステムでパートナーがデータをどう扱っているか可視化できている組織は36%にとどまり、35%がプロンプト内の個人データを主要なプライバシーリスクと認識していますが、多くは技術的コントロールではなくポリシーや教育に依存しています。ポリシーだけでは、夜11時に顧客リストをパブリックAIアシスタントに貼り付ける行為を防げません。
4つ目は多層防御とAIガバナンスです。ICOは特に、高リスクAI処理に対するDPIA、AI標的型攻撃への対策、英国政府のAI Cyber Security Code of Practiceの遵守、暗号化や仮名化による侵害影響の低減を挙げています。「多層」がキーワードです。単一コントロールによる防御はこの10年サイバー領域で機能していません。AIは失敗から侵害までの時間をさらに短縮します。
5つ目はモニタリング、サプライチェーンガバナンス、インシデント対応です。ガイダンスは、不審なログインパターン、予期しないデータ転送、異常なAPI利用などの包括的なセキュリティ監視を求めています。また、第三者がアクセスできる範囲の把握、適切なセキュリティ基準の遵守、契約へのセキュリティ要件の明記、維持・定期テストされたインシデント対応計画も要求しています。
封じ込めギャップがコンプライアンスリスクになるとき
ICOが強調する多層防御とAIガバナンスは、市場で文書化されたギャップに直結します。2026年予測レポートでは、63%の組織がAIエージェントの目的制限を強制できず、60%が問題行動をするAIを迅速に停止できず、55%がAIシステムをネットワークから隔離できないと回答。これらは封じ込めコントロール――AIに異常が起きたときに止める能力――であり、市場全体で最大のギャップです。
Kiteworks
独自調査でも明らかになっています。
このギャップをICOの期待と照らし合わせてください。規制当局は人による監督、インシデント対応、1つのコントロールが失敗した際のダメージ封じ込め能力を重視します。AIエージェントを迅速に停止できず、機密システムから隔離できない組織は、規制当局のフレームワーク上「適切な技術的・組織的措置」がないと見なされます。Capita事件の制裁金――5,800万ポンドから和解で1,400万ポンドに減額――は、コントロール不備時の「適切」の実際を示しています。
サードパーティAIのリスクも問題を複雑化させます。2026年予測レポートでは、30%の組織がサードパーティAIベンダーのデータ取扱いを最大のセキュリティ懸念としつつ、パートナーがAIシステムでデータをどう扱うか可視化できているのは36%のみ。残り64%は契約やアンケートで見えないリスクから自らを守ろうとしています。ICOガイダンスはこの点を明確に指摘:第三者のアクセス範囲の把握、適切なセキュリティ基準の遵守、契約へのセキュリティ要件の明記が必須です。
2026年Thalesデータ脅威レポートでも可視性の危機が裏付けられており、データの保存場所を完全に把握している組織は3分の1、全データを分類できているのは39%に過ぎません。AIはこの脆弱な基盤の上に成り立っています。
DPIAとAI標的型防御が「推奨」から「必須」へ
ICOは高リスクAI処理に対するDPIAについて明確です。高リスク個人データを処理するAIツールを利用する場合、文書化されたデータ保護影響評価(DPIA)とAI標的型攻撃への適切な対策が必要です。「推奨されるベストプラクティス」ではなく、「第35条および第32条に基づく文書化された期待事項」となりました。
このギャップに関する2026年予測レポートのデータは深刻です。EU AI法の対象外組織の74%がAI影響評価を実施しておらず、84%がAIレッドチーミング未実施、72%が目的拘束を欠いています。EU AI法の対象組織でも同様の数字は41%、61%、46%です。法とICOは同じ期待値に収束しつつありますが、多くの組織は準備ができていません。
DTEX 2026インサイダー脅威レポートでも別の角度からギャップが強調されており、92%の組織が生成AIによって従業員の情報アクセス・共有方法が根本的に変化したと認識しつつ、AIを正式にビジネス戦略に統合したのは13%のみ。戦略的ギャップがガバナンスギャップです。
AI標的型攻撃は、ICOが第32条に新たに組み込もうとしている具体的な意味を持ちます。間接的プロンプトインジェクション(推論時にAIが取得するデータに悪意のある指示を埋め込む)、データポイズニング(攻撃者が学習データを改ざん・出力を操作)、ツールポイズニング(AIエージェントがやり取りするツールのメタデータに指示を隠す)などです。これらは従来のDLP、EDR、SIEMルールでは検知できないAI特有の攻撃手法であり、防御はAIのデータアクセスが発生するレイヤーで行う必要があります。
Kiteworksが個人データ保有者向けにICOの5つのステップを実装する方法
ICOのガイダンスは特定のベンダー名を挙げていませんが、そのアーキテクチャは明確です。認証されたアクセス、多層防御、暗号化と仮名化、データレイヤーでのモニタリング、インシデント対応体制、文書化されたガバナンス。Kiteworks Compliant AIは、まさにこのコントロールセットを中心に構築されています。
Kiteworks Compliant AIは、モデルやアプリケーションレイヤーではなくデータレイヤーでAIエージェントのアクセスを管理します。すべてのAIリクエストはOAuth 2.0による認証を受け、トークンはOSのキーチェーンに保存されモデルには露出しません。すべての操作は属性ベースアクセス制御(ABAC)やロールベースアクセス制御(RBAC)ポリシーにリアルタイムで照合されます。すべてのやり取りは改ざん検知可能な監査ログとして記録され、SIEMにスロットリングなしでストリーミングされます。FIPS 140-3認証済みの暗号化でデータを転送時・保存時ともに保護します。エージェントは認可ユーザーの権限を継承し、それを超えることはできません。AIフレームワークのデフォルト設定やプロンプトインジェクション成功、モデル自体の侵害があっても同様です。
これが、ICOのステップ4が実運用でどうなるかの例です。多層防御は1つのコントロールが失敗しても全体を守ります。監査証跡は第5条2項の説明責任および第32条「適切な措置」の証拠となります。DPIAも、技術的な対策が文書化・強制・監査可能であるため、実質的に満たせます。ステップ5のサプライチェーンガバナンスも、データレイヤーがすべてのやり取り(サードパーティAIツールによるものも含む)にポリシーを適用することで実現可能です。
何よりも重要なのは、このアーキテクチャが規制当局の暗黙の問いに答えている点です。AIエージェントが個人データにアクセスしようとしたとき、権限超過をどう防ぐのか?モデルレイヤーのガードレールは回避可能、アプリケーションレイヤーのログも「フェイルオープン」設計ではすり抜けられます。データレイヤーガバナンスは、エージェントの正しい動作を信頼せず、毎回ポリシーに照合します。
CISO・DPO・取締役会が今四半期に取るべき行動
まず、ICOガイダンスを「コンプライアンスの基準」として扱いましょう。単なるコメントではありません。
5つのステップは第32条の期待事項に直結しており、今後のICO制裁通知でも「適切な措置」の証拠として引用されます。自組織の各ステップに対する現状を文書化しましょう。
次に、高リスク個人データを処理するすべてのAIシステムについてDPIAを完了させましょう。
Kiteworks 2026年予測レポートでは、EU AI法の対象外組織の74%がAI影響評価を実施していません。ICOはこのギャップをUK GDPRリスクと明言しました。対策は、システムごとの文書化されたDPIAであり、汎用的なAIポリシーではありません。
3つ目に、サプライチェーンのAIリスクを監査しましょう。
Kiteworks 2026年予測レポートによると、AIシステムでパートナーがデータをどう扱っているか可視化できている組織は36%のみ。ICOは第三者のアクセス範囲の把握と契約へのセキュリティ要件明記を求めています。年1回のベンダーアンケートでは基準を満たしません。
4つ目に、封じ込めギャップを解消しましょう。
Kiteworks 2026年予測レポートでは、63%の組織がAIエージェントの目的制限を強制できず、60%が迅速な停止ができません。ICOが強調する人による監督、多層防御、インシデント対応は、これらのギャップが単なるセキュリティギャップではなくコンプライアンスギャップであることを意味します。目的拘束、キルスイッチ、ネットワーク分離は計画段階から本番運用へ移行すべきです。
5つ目に、検知をデータレイヤーに移しましょう。
AI標的型攻撃――プロンプトインジェクション、データポイズニング、ツールポイズニング――は設計上アプリケーションレイヤーのモニタリングを回避します。ICOのモニタリング要件は、AIのデータアクセスが実際に発生するレイヤーでテレメトリが動作して初めて現実的に満たせます。
6つ目に、今四半期中に取締役会へ説明しましょう。
Capita事件の前例は、5,800万ポンドから始まり1,400万ポンドで決着した制裁金です。次の英国でのAI関連個人データ侵害は、Ian Hulme氏が公表したフレームワークで評価されます。取締役会の認識自体がコントロールです。必ず文書化しましょう。
ICOの姿勢は煽動的ではなく冷静です。Hulme氏は締めくくりで「どれも新しいものではないが、AIは緊急性とスピードをもたらす」と述べています。まさにその通りです。基準は変わっていませんが、時間軸が変わったのです。
よくある質問
はい。AIシステムを通じて個人データを処理するすべての英国組織はUK GDPR第32条の対象となり、ICOの2026年5月13日付ガイダンスはAIによるサイバー脅威も明確に含むとしています。Kiteworks データセキュリティとコンプライアンスリスク:2026年予測レポートでは、35%の組織がプロンプト内の個人データを主要なプライバシーリスクと認識し、多くが技術的コントロールよりもポリシーや教育に依存していることが示されています。金融サービス企業は、高リスク処理に対するDPIAの文書化と多層的な防御策の実証が求められます。
ICOは「リスクに応じた適切な技術的・組織的措置」を求めており、これは2025年10月のCapita社への1,400万ポンド制裁金を生んだ基準と同じです。患者データを処理する医療AIでは、認証されたアクセス、ABACまたはRBACポリシーの強制、転送時・保存時の暗号化、改ざん検知可能な監査ログ、文書化されたDPIAが必要です。Kiteworks データセキュリティとコンプライアンスリスク:2026年予測レポートでは、60%の組織が問題行動をするAIエージェントを迅速に停止できず、これは医療現場での第32条上の直接的なギャップとなります。
ICOの5つ目のステップは、第三者のアクセス範囲の把握、適切なセキュリティ基準の遵守、契約へのセキュリティ要件明記を組織に求めています。Kiteworks データセキュリティとコンプライアンスリスク:2026年予測レポートでは、AIシステムでパートナーがデータをどう扱っているか可視化できている組織は36%のみ、30%がサードパーティAIベンダーの取扱いを最大のセキュリティ懸念としています。合理的な解釈として、年1回のアンケートでは第32条を満たさず、継続的なモニタリングと契約上の技術要件が必要となります。
両者は収束しつつあります。EU AI法第9条はリスク管理、第14条は人による監督、第17条は高リスクAIの品質管理システムを求めています。ICOガイダンスは同じコントロールをUK GDPR第32条にマッピングしています。Kiteworks データセキュリティとコンプライアンスリスク:2026年予測レポートでは、EU AI法の対象組織と対象外組織の間でAI影響評価、目的拘束、AIレッドチーミングに22~33ポイントのギャップがあることが示されています。公共機関は両制度下で同時に説明責任を負います。
間接的プロンプトインジェクションは、AIが推論時に取得するデータ内に悪意のある指示を埋め込む攻撃です。従来のDLPはファイル移動やネットワーク外部送信を監視し、EDRはエンドポイントの挙動を監視しますが、AIシステムが直前に読んだコンテンツによって何を指示されているかを評価する位置にはありません。Kiteworks データセキュリティとコンプライアンスリスク:2026年予測レポートでは、60%の組織がAI特有の異常検知を欠いています。ICOのモニタリング要件――異常なログインパターン、予期しないデータ転送、異常なAPI利用――は、AIエージェントが実際にアクセス要求を行うデータレイヤーで実装する必要があります。