英国には個人情報の保護を管轄する政府機関として「ICO」（情報コミッショナー事務局）という組織がある。ここは、2011年に起こったソニーPSNの個人情報漏えい事件に対して、2013年にデータ保護法に基づいて約3,500万円の罰金支払いを命じたところだ。このICOが2016年4月、暗号化のベストプラクティスのための助言書を公表した。データの暗号化は英国の法律では定められていないものの、ICOは個人データを取り扱う組織に対して、助言書を参考にするよう強く推奨している。

「最近では、個人データが流出する情報セキュリティ事故が無数に発生している。盗み出されたり、なくしてしまったり、不正なアクセスによってである」とICOの助言書では述べられている。

多くの場合、データの保護が不十分であったり、不適切な場所に保存されたままになっていたりする。あるいは、幾つかのケースでは、その両方に該当する。「データが流出したり、暗号化ソフトウェアがデータ保護のために使われていない現状が続くようであれば、もっと厳しい執行措置が推し進められるかもしれない」とICOは見解をまとめている。

暗号化されていないデータを含むリムーバブルメディアの紛失の事例の中には、特殊教育が必要な数百人の子供たちに関わるものや、養護を必要とする子供たちに関わる1,000人以上の個人データも含まれる。また、重大な組織犯罪の捜査や情報、証拠へのリンクなども含まれる。

加えて、ICOの助言書は、金融サービス会社が起こした事例にも注意を喚起している。これは、50万人以上の顧客データを含んでいた2つのバックアップディスクの管理が不適切だった。また同様に、スコットランドの地方自治体の事例も取り上げている。こちらは、2万人以上の個人情報を保存していた2台のラップトップコンピューターの放置が原因だった。いずれの場合もデータは暗号化されていなかった。

1998年に制定された英国の個人データ保護法は、データ保護条例に由来し、EUのプライバシー法と密接に関連しているため、個人情報を扱う企業に対して妥当なセキュリティの維持に努めるなど、適切な取り扱いを義務付けている。この中にある第７原則では「無権限のまたは違法な個人データの処理を防止するために適切な技術的、組織的措置がとられなければならない。および、個人データの不慮の喪失、破壊ならびに損壊の防止のために、適切な技術的、組織的措置がとられなければならない」と書かれている。

ICOはプライバシーのリスクを特定し評価するために、プライバシー影響評価を行うよう推奨している。もちろん、ほかの技術的、また組織的な情報セキュリティについても同様に重要ではあるが、データの暗号化こそ、最短の情報漏えい対策であることは間違いない。例えば「DESlock Plus Pro」のような、さまざまなシーンで情報資産を守ることができるデータ暗号化ソフトの利用が勧められる。