オーストラリアにおける個人情報保護法の改正について
オーストラリアにおける個人情報保護法の改正についてニュースレターを発行いたしました。 PDF版は以下からご確認ください。
オーストラリア:個人情報保護法の改正
2022年3月
オーストラリアの個人情報保護法(Privacy Act 1998 (Cth)、以下「プライバシー法」という)は、オンラインユーザーやデータ主体の保護を強化し、現代のデジタル時代に適合させることを目的として、現在、2段階にわたる改正の可能性が検討されています。なお、現行のプライバシー法の概要は以前のニューズレターに解説しています(https://oneasia.legal/6341)。
本稿では、①改正第1段階として近い将来議会への提出が見込まれるオンライン・プライバシー法案(Online Privacy Bill)、および②改正第2段階起草のために一般からの意見公募をするディスカッション・ペーパー(Discussion Paper)について、その概要をご紹介します。
1.オンライン・プライバシー法案(Online Privacy Bill)
2021年10月25日に、プライバシー法改正(オンライン・プライバシー等の強化)法案(Privacy Legislation Amendment (Enhancing Online Privacy and Other Measures) Bill 2021、以下「オンライン・プライバシー法案」という)の公開草案が発表されました。本法案は、オーストラリア政府による個人情報保護の強化政策始動の一要因となった2018年3月Facebook・Cambridge Analyticaのデータ不正収集事件に対応するものです[1]。 本法案は、下記に詳述する通り、罰則および執行手段を強化し、ソーシャルメディアやその他のオンライン・プラットフォームに対して拘束力のある実践規範(Code of Practice)を導入することを提案しています。政府は2021年12月6日まで実施した公開草案への意見公募を基に、議会に提出される最終法案を策定する予定です。本法案が可決された後12か月以内に、実践規範であるオンライン・プライバシーコード(Online Privacy Code)が策定・発効されます。
まず、オンライン・プライバシー法案には、プライバシーに対する重大または反復的な妨害に対する民事上の最高刑を、個人の場合、現行の2,000から2,400ペナルティ・ユニット(現在約532,800豪ドル)に引き上げることが提案されています。さらに、法人に対する最高刑は、次のいずれか最も高い額を超えない金額に引き上げられます:①1000万豪ドル、②違法行為により企業が得た利益の3倍、③または違法行為発生直前の12カ月間の売上高の10%。これら罰則の引き上げは、最近のオーストラリア消費者法(Australian Consumer Law)における罰則の引き上げと同様のものです。
また、オンライン・プライバシー法案には、プライバシー法を所管するオーストラリア情報コミッショナー(Australian Information Commissioner、以下「コミッショナー」という)の執行権限の強化も提案されています。例えば、調査の一環としてコミッショナーにより要求されたときに、情報を提供せず、質問に答えず、または文書や記録を提出しない者に対して、コミッショナーは違反通知(Infringement Notice)を発行する権限が付与されます[2]。さらに、コミッショナーが調査終了時の決定において宣告できる事項を拡大することも提案されています[3]。
公開草案には、コミッショナーまたは関連業界によるオンライン・プライバシーコード(Online Privacy Code、以下「OP コード」という)の策定を可能とする新たな規約制定権が盛り込まれています[4]。OPコードはコミッショナーにより発行され、ソーシャルメディアサービス、データ仲介サービス、および大規模オンライン・プラットフォーム[5](以下「OP団体」という)に適用される予定です。この他に公開草案には、通知や同意の要件、プライバシーポリシーの内容要件等、OPコードに含まれるべき要件のリストが規定されています。また、OPコードには、子供や弱者に対する保護を強化することを盛り込まれる予定です。例えば、OP団体は、顧客に対し、子供・弱者に関する個人情報の収集、使用および開示に同意する方法を明確に示すことが求められます。
2.ディスカッション・ペーパー(Discussion Paper)
オーストラリア競争・消費者委員会(ACCC:Australian Competition and Consumer Commission)の「デジタル・プラットフォームサービスに係る調査の最終報告書」(Digital Platforms Inquiry Final Report)が2019年に発表されて以降、プライバシー法に関する大幅な改正が検討されてきました。オーストラリア政府は、2021年10月25日に、一般からの意見募集を求めるプライバシー法改正に関するディスカッション・ペーパー(Privacy Act Review Discussion Paper)を発表しました。ディスカッション・ペーパーは200ページ超にわたり個人情報保護の強化に関する67の提案をしていますが、以下に、その中から主要な提案を概説します。
・「個人情報」(Personal Information)の定義を改定し、プライバシー法の適用範囲を拡大するとともに、EU 一般データ保護規則(GDPR:General Data Protection Regulation)等の国際的な法律と平仄を合わせる。 ・「収集」(Collection)の定義を改定し、既に事業者が保持する情報から推測や創生された情報を含め、あらゆる情報源・手段から取得することが、個人情報の収集行為に関する義務の対象となることを明確にする。 ・個人情報の収集の通知に関する新たな要件を導入する。例えば、プライバシー通知(Privacy Notice)は明確、最新かつ理解しやすいものでなければならないという明確な要件を導入する。 ・個人情報の収集、使用および開示に関する追加的な保護規制を導入する。例えば、同意(Consent)に関する新しい定義を追加し、収集・使用・開示が状況に応じて公正かつ合理的であることを要件とする。 ・16歳未満の未成年者の場合には、親または保護者による同意を必要とする。 ・個人情報の収集、使用、および開示に対して、個人がいつでも異議を唱え、または同意を撤回することができる新しい権利(Right to Object)を導入する。 ・一定の例外を除き、個人情報が機微な情報(Sensitive Information)である場合等の特定の理由に基づき、個人情報の消去を要求する権利(Right to Erasure)を導入する。 ・ダイレクトマーケティング、ターゲティング広告、およびプロファイリングに関する新たな保護規制を導入する。例えば、ダイレクトマーケティングを目的とする事業者による個人情報の収集・使用・開示に対して、無条件で反対する権利を個人に付与する。 ・個人情報へのアクセス権を拡大するため、個人からの開示請求に応じて、第三者から間接的に収集した個人情報の出所を特定することを各事業者に義務付ける(ただし実行不可能な場合、または不均衡な影響を伴う場合は免除される)。 ・海外へのデータ移転に関する新たなルール・仕組みを導入する(認定国、認証制度、標準契約条項(SCC)の導入等)。 ・プライバシーの侵害を受けた個人が違反事業者に対し直接的に求償できる権利を設定する。 ・プライバシーの侵害に対する法定不法行為(Statutory Tort)を導入する。
ディスカッション・ペーパーに関する意見公募は2022年1月10日に締め切られました。寄せられた意見はプライバシー法改正の最終報告書に反映されることが予定されています。今後の動向については、弊所のニューズレター等で随時アップデートして参ります。
以 上
[1]オンライン・プライバシー法案の説明資料(Online Privacy Bill Explanatory Paper)4頁
[2]オンライン・プライバシー法案公開草案第21条(プライバシー法に第80UB条を追加する提案)
[3]オンライン・プライバシー法案公開草案第9条および第10条(プライバシー法第52条の改正提案)
[4] 現行のプライバシー法においては、コミッショナーは、公共の利益であると考える場合にのみAPPコード(個人情報の取扱いに関する文書による実践規範)を発行することができます。発行手順としては、コミッショナーは、まず関連業界の専門家にAPPコードの作成を依頼しなければならず、当該業界がその依頼に応じない場合、または業界が作成したAPPコードをコミッショナーが発行しないと決定した場合にのみ、コミッショナーは自らAPPコードを作成し発行することができます。これに対し、後述するディスカッション・ペーパーでは、司法長官の指示または承認によりコミッショナーがAPPコードを作成できるよう、より柔軟な対応が提案されています。
[5] 大規模オンライン・プラットフォームとは、オーストラリアにおいて1年に少なくとも250万人のエンドユーザーを有するプラットフォームを指すと定義されています。
