ニュージーランドにおける個人情報保護法の概要について

2021年05月17日(月)

ニュージーランドにおける個人情報保護法の概要についてニュースレターを発行しました。
PDF版は以下からご確認ください。

ニュージーランドにおける個人情報保護法の概要について

 

ニュージーランドの個人情報保護法の概要

2021年5月14日
One Asia Lawyers
オーストラリア・ニュージーランド事務所

1.適用法令および適用対象

 ニュージーランドにおける個人情報の保護に関する主要な規制は、Privacy Act 2020(以下、「プライバシー法」)に定められています。プライバシー法は2020年12月1日に施行された改正法であり、データ侵害発生時の通知義務(Notifiable Privacy Breaches)、域外適用などが新たに盛り込まれ、オーストラリアの連邦プライバシー法と類似する点が多くありますが[1]、機微な情報の扱いや海外移転の規制といった日本企業にとって留意が必要となる点に違いがみられます。

 プライバシー法において「個人情報(Personal Information)」とは、特定可能な個人に関する情報と定義されており、個人を識別する情報(例えば、氏名など)の他に、単に特定可能な個人に関する情報(例えば、肌の色など)も含みます

 ニュージーランドにはオーストラリアとは異なり、機微な情報(Sensitive Information)の概念は存在しません。ただし、ニュージーランドのプライバシー法上、個人情報を保護するために合理的に必要な保護措置を取ることが義務付けられているため、例えば生体情報や健康情報、宗教上の信念といった一般的にセンシティブと考えられる情報は、その情報の性質に適したより高度な保護措置をとることが求められています。

 プライバシー法の規制対象となる事業者(プライバシー法では「Agency」と表現されるが、政府機関だけでなく一般企業もこれに該当する。)は、ニュージーランド国内で登記された法人であるか否かを問わず、ニュージーランドで事業を行っている(Carry On Business in New Zealand)事業体が、当該事業を行う上で、個人情報に関し実施する行為は適用の対象となります。従って、例えば、ニュージーランドに子会社・支店などを有していなかったとしても、日本企業が遠隔でニュージーランドにいる個人を対象としたサービスを提供する場合などにおいても、プライバシー法が適用される可能性があります。

2.プライバシー原則

 プライバシー法の規制対象となる事業者は、情報プライバシー原則(Information Privacy Principles)を遵守する必要があります。情報プライバシー原則は13条存在し、その概略は以下の通りです。

1. 個人情報の収集が、事業者の活動に関連した合法な目的のためであり、かつ当該目的に必要であること。
2. 本人の同意がある場合など例外適用時を除き、対象個人から直接収集すること。
3. 個人情報の収集時に、収集の目的、情報の受領者、情報が提供されなかった場合の制限といった所定の事項を対象個人が理解するために合理的な方法を取ること。
4. 合法かつ公平で個人の私事を不合理に侵害しない方法にて収集すること。特に未成年からの個人情報の収集には、通常よりも注意を払うこと。
5. 情報の紛失、不正開示・不正利用等を防ぐために、情報の性質、使用目的などの事情に応じて適切なセキュリティ対策を取ること。
6. 本人へのアクセスを許可すること。
7. 情報の修正の要求に応じること。
8. 個人情報の使用または開示時に当該情報が正確、最新、完全、関連性があり、かつ誤解を招くものではないこと。
9. 合法的に許可される使用目的のために必要な期間を超えて個人情報を保持しないこと。
10. 原則として、収集の目的以外に個人情報を使用しないこと。
11. 原則として、収集の目的以外に個人情報を開示しないこと。
12. 個人情報の海外移転には、移転先にプライバシー法における情報保護措置と同等の義務が課される場合を除き、本人の同意を取得すること。
13. 事業体の機能に必要不可欠な場合を除き、個人へ識別符号を割り当てないこと。他の組織の発行する識別符号の使用は、原則禁止される。

 上記第3条について補足すると、オーストラリアではプライバシーポリシー(個人情報保護方針)と情報通知(個人情報収集時の所定事項の通知)について別々の規定があるものの、ニュージーランドの法令上はその区別はありません。ただしニュージーランドの当局(Privacy Commissioner)のガイドラインによると、プライバシーポリシー(ニュージーランドではPrivacy Statementと呼称。)を企業のウェブサイトで公開することが、第3条を遵守するうえで重要とされています。なお、ウェブサイトの利用時に限らず個人情報を収集する場合は、収集時点で情報通知をすることが求められます。

 また、上記第10条、第11条について、個人情報の使用・開示は、法の執行や生命の危機など緊急事態に必要な場合を除き、原則として、当該個人情報の収集時に通知した収集の目的に限定されます。ただし、収集の目的とは異なる二次的目的のための使用・開示も例外として認められることがあります。例えば、個人情報の使用目的が収集の目的に直接関連する場合や、二次的目的のための使用・開示を対象個人が別途に同意した場合です。この他にも、個人が特定されない形で使用される場合や、個人の特定される方法で公表されない統計または研究目的での使用も例外として認められています。

 個人情報のニュージーランド国外への移転には、上述第12条の通り一定の制限がかかります。本人の同意を取得して移転する場合は、移転先が対象個人に対しプライバシー法と同等の保護措置を提供しない可能性があること等を対象個人が容易に理解できる方法で十分に通知した上で同意取得をしなければなりません。同意取得方法についてのご相談をよく受けますが、規約に当該通知内容を追加し、単に「規約に同意します」というチェックボックスを設けることでは不十分であり、海外移転に特化した説明および同意の取得が必要となります。

 同意を取得せずに海外移転するには、以下のいずれかに該当する必要があります。

 ・移転先にプライバシー法における情報保護措置と同等の義務が課される場合
 ・データの保管または処理を行う第三者へ送信される場合
 ・ニュージーランド政府が自国と同等の保護措置(法令)をもつと認めた国の移転先への開示(現時点でこの認定を受けた国はない。)、または
 ・その他、移転先がプライバシー法の適用対象である場合、本人(または本人の代理人)へ送付される場合、公の情報である場合など

 海外移転を合法に行うに最も一般的な方法としては、プライバシー法の要件を満たす契約を移転先と締結することです。これにより、移転先にプライバシー法における情報保護措置と同等の義務が課されるとみなされるため、同意取得は不要となります。

 プライバシー法には、GDPRの管理者(Controller)・処理者(Processor)と類似する区別があります。情報の処理を委託した事業体(管理者)は、受託者(処理者)が受託した範囲内で個人情報を処理し自己またはその他の目的のために使用しない限り、情報の移転後も当該情報を保有しているとみなされます。したがって、海外のクラウドプロバイダー等の処理者にデータの保管または処理を委託する場合は、プライバシー法の海外移転に関する制限を受けることなく(つまり、同意取得等の必要なく)移転が可能です。ただし、委託者は、受託者が付与された権限を超えない範囲で行った行為について責任を負います。委託者においては、移転先とデータ処理契約を締結し、データの取扱いの範囲や補償責任などについて明確に取り決めておくことが推奨されます。

 なお、特定の類の情報については、情報プライバシー原則とは別途に、管轄当局であるプライバシー委員会(Office of the Privacy Commissioner)が細則(Code)を設けることができるとされており、現時点で以下の細則が発行されているため、対象情報を扱う事業者は留意が必要です。

・Health Information Privacy Code
・Credit Reporting Privacy Code
・Telecommunications Information Privacy Code
・Civil Defence National Emergencies (Information Sharing) Code
・Justice Sector Unique Identifier Code
・Superannuation Schemes Unique Identifier Code

3.プライバシーオフィサー

 ニュージーランドでは、プライバシー法適用事業者に対しプライバシーオフィサー1名の任命が義務付けられています。

 実務上は、事業者の規模および取り扱う情報の性質・量などに応じて、プライバシーオフィサーの人数を適切に設定することが推奨されます。当局のガイドラインによると、プライバシーオフィサーは、マネージャー以上の上級役職が務め、組織全体への啓蒙活動・監査、顧客からの問い合わせ対応、侵害事件発生時の対応等の役割を担うとされています。

 4.データ侵害の通知義務

 2020年の法改正により、データ侵害発生時に、管轄当局であるプライバシー委員会(Privacy Commissioner)および被害を受けた個人へ通知することが義務付けられました。当該通知義務の対象となるのは、データ侵害が重大な害を引き起こし、またはその可能性のあることが合理的に認められる場合です。

 5.罰則

 データ侵害の報告を怠った場合、個人へのアクセスの許可を怠った場合、および合理的な理由なくして当局の指示に従わず、または虚偽の報告をするなど当局の権限行使に協力的でない場合は、最高NZ$10,000の罰金が課せれます。また、個人からの苦情を受けて、当局が必要と判断した場合に、人権審理裁定所(Human Rights Review Tribunal)で審議され、被害者への損害賠償が命じられる可能性があります。この他に、プライバシー法違反の企業名を公表するなどの措置が取られることが多く、企業としては、レピュテーション低下を避けるために慎重な行動を取ることが求められるため、ニュージーランドで事業を行う日本企業は留意が必要です。

以 上

[1] オーストラリアの連邦プライバシー法については、下記リンクより、前回のニュースレターをご参照ください。

https://oneasia.legal/6341