オーストラリアにおける個人情報保護法について

2021年02月08日(月)

オーストラリアにおける個人情報保護法についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

オーストラリアにおける個人情報保護法について

 

オーストラリアの個人情報保護法

2021年2月8日

One Asia Lawyers
オーストラリア・ニュージーランド事務所

1.根拠法及び適用範囲

オーストラリアにおける個人情報の保護に関する主要な規制は、Privacy Act 1988(Cth)(以下、「連邦プライバシー法」)に定められています。この他に個人情報の取扱いに関して、連邦レベルでは、特定の事業者・個人情報に適用する法令[1]、電子商業メッセージを規制するSpam Act 2003、電気通信サービス事業者に適用されるTelecommunications(Interception and Access)Act 1979、などが存在し、更に州レベルでも、健康情報の取扱いの規制や職場での監視・傍受を禁止する法令などが存在します。本ニュースレターでは、連邦プライバシー法に焦点を当てて概要をご紹介いたします。

連邦プライバシー法において「個人情報(Personal Information)」とは、特定の個人に関する情報・意見、または合理的に特定できる個人に関する情報・意見のことを指し、かかる情報が真実か否かは問わず、又は具体的に記録されているか否かを問わない、と定義されています。その例として、名前、住所、メールアドレス、電話番号、生年月日、支払い情報、位置情報などが挙げられます。なお、人種・民族、政治的見解、宗教、性的指向、犯罪歴、健康情報、生体認証などは、個人情報の中でも「機微な情報(Sensitive Information)」に区分され、より厳格な規制が課せられます。

連邦プライバシー法の規制対象となる事業者は、オーストラリアにて設立された法人等の他に、オーストラリア国外の企業においても、オ―ストラリアで事業を行っており(Carry On Business in Australia)、個人情報がオーストラリアにおいて収集又は保持される場合は、適用対象となります。従って、例えば、日本企業が遠隔でオーストラリアにいる個人を対象としたサービスを提供する場合などにおいても、連邦プライバシー法が適用される可能性があります。ただし、年間の連結売上が300万豪ドル以下の事業者については、小規模事業運営者(Small Business Operator)として規制対象から除外されます[2]

また、一定の行為については例外規定が存在し、関連会社間における個人情報の開示、従業員記録、他国の法令において義務付けられている行為等に関しては、規制対象から除外される場合があります。

2.プライバシー原則

連邦プライバシー法の規制対象となる事業者は、プライバシー原則(Australian Privacy Principles)を遵守する必要があります。プライバシー法には、GDPRにあるような管理者・処理者といった区別はなく、個人情報の取扱い行為は基本的に全てプライバシー原則の適用を受けます。

プライバシー原則は13条存在し、その概略は以下の通りです。

1.オープンで透明性のある個人情報の管理体制の構築
2.仮名・匿名の使用許可
3.個人情報の収集の制限
4.事業者が要求することなく提供された個人情報(Unsolicited Information)の保持制限
5.収集の際の通知
6.二次的目的の使用・開示の制限
7.ダイレクトマーケティングの制限
8.海外移転時のアカウンタビリティ原則
9.政府発行の識別子の原則使用禁止
10.正確性の保持
11.セキュリティ対策の実施、不要となった個人情報の破棄・非識別化
12.アクセス権の付与
13.修正権の付与

第1条については、まず連邦プライバシー法に則った社外用プライバシー・ポリシー(個人情報保護方針)を策定し、公衆が無償で入手できるようにする必要があります。それに加え、事業や取扱う個人情報の規模に応じた、実質的な管理体制の構築も必要となります。

個人情報の収集は、一般的に、①事業に合理的に必要であり、②収集の目的など第5条に規定の事項を本人に通知する場合に可能です。ただし、個人情報が機微な情報(Sensitive Information)の場合は、限定的な例外を除き、個人の同意取得が必要です。本人に通知した収集の目的の範囲内、または一定の範囲内の二次的利用であれば、本人の同意なく使用・開示が許可されます。

個人情報を海外へ移転する場合は、第8条に基づき、原則として、開示者が移転先の行為につき責任を負います。ただし、本人へリスクについて十分な説明をしたうえでの同意があった場合や、移転先がプライバシー原則と同等の法令または拘束的企業準則に縛られる場合には、例外となります。なおプライバシー法には、GDPRにおける十分性認定のような認定制度はありません。

信用調査機関(Credit Reporting Body)、信用貸付者(Credit Provider)、その他信用取引関連事業者については、上述のプライバシー原則とは別途に、連邦プライバシー法第IIIA章およびPrivacy (Credit Reporting) Code 2014に規定の規制が適用されます。一般事業者についても、個人との売買契約などで信用取引を行う場合は、同様の規制を受ける可能性があるため留意が必要です。

3.データ侵害の通知義務

オーストラリアでは2017年の法改正以降、データの不正アクセス・不正開示またはデータの紛失が発生し、個人に重大な危害をもたらす可能性がる場合は、管轄当局であるオーストラリア情報委員会(OAIC)及び該当個人へ通知することが義務付けられています。海外移転先における不正アクセス等についても、移転元が当該通知義務を負うこととなります。

4.罰則

企業がプライバシー原則及びデータ侵害の通知義務の違反を繰り返し、または重大な違反を犯した場合は、民事制裁として、最高222万豪ドルの罰金が科されます。また、違反の疑いがある場合に、当局により、裁判所の捜査状を受けて捜査・証拠押収が実施される可能性もあります。

5.消費者によるデータ移転請求権(Consumer Data Right)

Consumer Data Right(CDR)は、一般消費者(及び一定の事業者)が自己のデータを他社へ移転することを請求できる権利を定めた新法であり、昨年から段階的に導入されています。2020年7月1日にOpen Banking[3]の一環としてオーストラリアの4大銀行で試験的に導入され、今後はその他の銀行への適用拡大、そしてエネルギーや電気通信など他分野においても導入が予定されています。

CDRは競争消費者法(Competition and Consumer Act 2010)の一部であり、上述の連邦プライバシー法とは異なる基準のプライバシー保護の原則[4]が適用されます。また違反行為の最大罰則は1000万豪ドル、違反行為によって得た利益の3倍、又は年間売上の10%のいずれか多い額とされており、連邦プライバシー法と比べて遥かに厳罰となっています。

今後の導入拡大に伴い、オーストラリアの消費者の情報を扱う事業者は、CDRの適用対象となるか否か、及び適用対象となる場合の義務について把握しておくことが推奨されます。一方で、現在CDR適用対象でない事業者であっても、認定データ受領者(Accredited Data Recipient)となることで、例えばFintech事業などにおいて、CDRが導入されている銀行の保有する消費者データを受領し事業に活用することが可能となるため、CDR制度の利用検討の余地があると言えます。

6.連邦プライバシー法改正

ACCCのデジタルプラットフォームに関する調査(Digital Platform Inquiry)を受け、予てからオーストラリア政府は連邦プライバシー法の改正を行うことを発表していましたが、昨年10月に現行法の改善点に関するパブリックコメントの募集を実施するなど、本格的に改正が始動しています。連邦プライバシー法の管轄機関であるオーストラリア情報委員会(OAIC)からは、先端IT技術に適応し、GDPRをベースとした改正の必要性を指摘する意見書が昨年12月時点で発表されており、2021年も当該法改正の動向に注目が集まります。

改正が予想される主な事項として、個人情報の定義の見直し(特にメタデータの扱い)、収集通知および同意要件の強化、データ侵害通知義務の見直し、小規模事業者や従業員記録といった免除規定の撤廃、プラットフォームを対象とした規制強化、忘れられる権利(Right of Erasure)の導入、法定不法行為および被害者個人の直接訴訟権の導入、最高罰則の厳罰化(上述CDRの罰則と水準合わせ)などが挙げられています。

1988年に施行されたオーストラリアの個人情報保護法は、これまで細かい改正が行われてきたものの、デジタル時代のデータ利活用とプライバシー保護の両立という課題を前に、抜本的な改革が求められています。今年にも改正法案の発表があることが予想されており、弊所としても今後の動向を注視し、ニュースレター等で随時アップデートして参ります。

以 上

 

[1] National Health Act 1953、Health Identifiers Act 2010、Personal Property Securities Act 2009、Anti-Money Laundering and Counter-Terrorism Financing Act 2006 (Cth)など

[2] ただし、健康情報(Health Information)を扱う事業者、個人情報を開示することで利益を得るデータ処理事業者、信用調査機関、Anti-Money Laundering and Counter-Terrorism Financing Act 2006 (Cth)の適用を受ける事業者など、小規模事業者であっても、連邦プライバシー法の規制対象となる場合がある。

[3] https://www.ausbanking.org.au/policy/the-future/open-banking/

[4]プライバシー保護措置(Privacy Safeguards) https://www.oaic.gov.au/assets/consumer-data-right/cdr-privacy-safeguard-guidelines-v2.0-july-2020.pdf