• Instgram
  • LinkeIn
  • Lexologoy
One Asia Lawyers > ニューズレター > オーストラリア・ニュージーランド > オーストラリアにおけるOptus事件から学ぶ個人情報保護法の留意点について

オーストラリアにおけるOptus事件から学ぶ個人情報保護法の留意点について

2022年10月11日(火)

オーストラリアにおけるOptus事件から学ぶ個人情報保護法の留意点についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

オーストラリア:Optus事件から学ぶ個人情報保護法の留意点

 

オーストラリア:Optus事件から学ぶ個人情報保護法の留意点

2022年10月吉日
One Asia Lawyers Group
オーストラリア・ニュージーランドチーム

1.はじめに

 2022年9月22日、オーストラリアの大手電気通信会社Singtel Optus Pty Limited(以下「Optus」という)は、サイバー攻撃により凡そ980万人の個人情報の漏洩があった可能性があること、10月4日現在、このうち120万人に対し対応が必要であると発表しています[1]。Optusは、個人情報保護法の所管当局であるオーストラリア情報コミッショナー事務局(OAIC:Office of Australian Information Commissioner)を含む各関連当局と連携し独立機関による調査および被害を受けた顧客への連絡を含む真摯な対応を進めているようですが、信頼の低下および集団訴訟等のリスクが予想されます。

 本稿では、本事件から見えてくる、オーストラリアにおいて事業を営む企業が留意すべきオーストラリア個人情報保護法に基づく留意点について解説いたします。

2.本事件に関連するオーストラリアの個人情報保護法

 オーストラリアにおける個人情報保護に関する主要な法令は、Privacy Act 1988 (Cth)[2](以下「プライバシー法」という)であり、プライバシー法の適用を受ける事業者は、そのSchedule 1に記載される13のプライバシー原則(APP:Australian Privacy Principles)を遵守することが求められます。プライバシー法の概要は、以前ニューズレター(https://oneasia.legal/6341)にてご紹介していますが、本事件への関連が示唆される規制は、主に以下が考えられます。

APP 11

 個人情報を保持する事業者は、紛失、漏洩、不正アクセス等のデータ侵害から個人情報を保護するために、状況に応じて合理的な手段を講じなければなりません。合理的な手段とは、リスクや情報の性質、事業規模等によりケースバイケースで判断されますが、具体的には、技術的なセキュリティシステムの導入、社内でのアクセス制限、自己が管理する情報の定期的なモニタリング、第三者サービスプロバイダーに情報処理を委託する場合の当該第三者の情報セキュリティ体制の監査等、様々な対策の実施が検討されます。

 本事件においては、システムの脆弱性と人的ミスが関与していた可能性が示唆されており、国内シェアNo.2の電気通信事業者であり膨大な顧客情報を扱う企業として、十分な個人情報の保護措置が取られていたかが焦点となっています。

APP 3

 事業者が、その機能または活動に合理的に必要な場合を除き、個人情報を収集することは禁止されています。どのような場合に事業者の機能または活動に「合理的に必要」であるかは、ケースバイケースの判断が求められます。

 例えば、生年月日の等の特定の情報が確認できれば足りる場合に、免許証やパスポート等のコピーを取る行為は、写真、免許証/パスポート番号等のその他の不要な個人情報まで収集することになり、本原則の違反となる可能性が高いと考えられます。将来不特定な機能や活動において必要となる可能性があるという理由で個人情報を収集・保持することも、原則として禁止されます。

APP 9

 オーストラリアの政府機関の発行する識別符(Government Related Identifiers)を使用・開示することは、原則として禁止されています。事業の活動または機能を果たす目的で個人の身元を確認するために合理的に必要である場合は例外として認められますが、政府発行の識別符でない個人情報によって個人の身元の確認が可能である場合は、政府発行の識別符の使用・開示が合理的に必要であるとみなされないため、この例外規定に依拠することはできません。

 Optusはパスポートや政府関連識別符の情報を収集していたことが報道されていますが、本来これらの情報を収集する必要があったか否かという点が当局により問題視される可能性があります。

3.おわりに

 本事件をきっかけに、以前ニューズレター(https://oneasia.legal/8288)にてご紹介したプライバシー法改正の動きが加速することが予想されます。なお、Optusのような電気通信事業者、および他分野において重要インフラを所有または運営する事業者は、重要インフラ法に基づき重要インフラ資産の登録およびサイバー攻撃を受けた際の通知を求められる可能性があります(重要インフラ法およびその最近の改正法の概要は、こちらのニューズレターにてご紹介しています:https://oneasia.legal/8115)。

 オーストラリアで事業を営む企業は、現行の法令だけでなく、今後大きな動きが予想される個人情報に関する各種法改正についても注視する必要があるといえます。

以 上

 

[1] Optusウェブサイト:https://www.optus.com.au/support/cyberattack

[2] https://www.legislation.gov.au/Details/C2022C00199


  |