• Instgram
  • LinkeIn
  • Lexologoy

オーストラリアの個人情報保護法改正案(罰則および執行権限の強化)

2022年11月14日(月)

オーストラリアの個人情報保護法改正案(罰則および執行権限の強化)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

オーストラリアの個人情報保護法改正案(罰則および執行権限の強化)

 

オーストラリアの個人情報保護法改正案(罰則および執行権限の強化)

2022年11月吉日
One Asia Lawyers Group
オーストラリア・ニュージーランドチーム

1.はじめに

 2022年10月26日、オーストラリアの個人情報保護法であるPrivacy Act 1988 (Cth)(以下「プライバシー法」)の新改正法案[1]が議会に提出されました。本改正法案が議会で可決されれば、個人のプライバシーを侵害する行為に対する罰則が大幅に増額されます。また、域外適用やデータ侵害発生時の通知義務等に関する規制が強化されます。

 本稿では、オーストラリアにて事業を行う日系企業が特に留意すべき改正点を解説いたします。

2.罰則

 プライバシー法の適用を受ける事業者が重大または繰り返しプライバシーの侵害を行った場合は、プライバシー法13G条に基づき民事罰の対象となりますが、本改正により、当該民事罰が以下の通り大幅に引き上げられます。これにより、前回ご紹介した消費者保護法(Competition and Consumer Act 2010 (Cth))の改正案と同様の基準となります(https://oneasia.legal/8979)。

現行法における最高罰則

改正法案における最高罰則

1.企業:10,000P.U.[2](2.2m豪ドル)

 

2.個人:2,000P.U.(440,000豪ドル)

 

1.企業

いずれかのうち最も高い金額:

・   A$50m

・   裁判所が違反行為から得た利益を決定できる場合は、当該利益の3倍

・   裁判所が違反行為から得た利益を決定できない場合は、対象企業の違反行為があった期間の年間連結売上の30%(ただし違反行為があった期間が12か月間未満の場合は、最低期間として12か月間の金額に調整される)

 

2.個人:A$2.5m

  上記の通り、最高罰則は、違反期間中(ただし少なくとも12か月間)の企業の行為による経済的影響に連動して決定され、莫大な額になる可能性があります。オーストラリア政府は、特に大規模なデジタル・プラットフォームによるプライバシー侵害を十分に抑止するためにこのような引き上げが必要であり、企業がより慎重にプライバシーの保護およびセキュリティ対策に取り組むことを期待すると説明しています[3]

3.域外適用要件の見直し

 外国企業は、オーストラリアとの繋がり(Australian Link)がある場合に、プライバシー法の適用を受けます。Australian Linkは、現行法の要件では、①事業者がオーストラリアで業を営み(Carry On Business)、②オーストラリア国内の情報源から情報を収集または保有している場合に有すると規定されています。しかし、オーストラリアの情報源から個人情報を取得することを証明するのが困難な場合があるという懸念から、本改正では上記要件の②が削除されています。つまり、オーストラリアで業を営むとみなされる海外の事業者は、オーストラリアから直接に収集していない場合(例えば、サーバーがオーストラリアに置かれていないデジタル・プラットフォームからの収集など)であっても、プライバシー法の域外適用を受けることになります。

4.データ侵害発生時の通知義務に関する追加規制

 本改正には、データ侵害発生時の個人への被害リスクの評価を目的として、プライバシー法を所管するプライバシーコミッショナー(Privacy Commissioner、以下「コミッショナー」)の情報要請権限の強化が提案されています。具体的には、プライバシー法26WK条および26WR条が改正され、コミッショナーへ通知すべき情報の種類が具体化されます。更に、新たに26WU条が追加され、実際に発生した、または発生が疑われるデータ侵害について、それが通知義務の対象である適格データ侵害(Eligible Data Breach)であると判断される前であったとしても、コミッショナーが当該データ侵害に関する情報を関係者から収集することが可能となります。

 また、コミッショナーには、通知義務の対象となる事業者が、通知義務を十分に遵守する能力を有するか否かを評価する権限が付与されます。評価の内容としては、適格データ侵害(Eligible Data Breach)であるか否かを判断し、当局および影響を受ける個人に対して通知を行うことができる手順・体制がどの程度備わっているか等が含まれます。つまり、コミッショナーは、プライバシー法を違反していない事業体に対しても、実質的なコンプライアンス能力の評価を行うことができるということになります。

5.プライバシーコミッショナーの権限強化

 上記の他に、コミッショナーには主に以下の権限が新たに付与されます。

 ・コミッショナーが発令できる宣言(Declaration)の種類の拡大(違反事業者に対し、違反行為に関する声明の作成・公表を命じる宣言など)(52条)
 ・コンプライアンス評価等を実施する権限、および評価実施のための情報提出要請権
 ・他の政府当局や機関、外国政府機関との情報共有権
 ・OAICのウェブサイトにコミッショナーの決定や評価を公開する権限、およびコミッショナーの機能・義務の遂行の過程で取得したその他すべての情報を開示する権限(33B条)。重要なことに、コミッショナーは、本法改正の施行前に取得した情報についても開示することができるようになります。
 ・違反通知書(Infringement Notice)の発行権限。コミッショナーには、情報提供等を怠った事業者に対して、訴訟を提起することなく、U.(13,200豪ドル)までの罰則の支払いを求める違反通知書を発行する権限が付与されます(66条(1))。なお、法人の組織的な行為または行動パターンに対する刑事罰が新設され、これにより、刑事犯罪としてコミッショナーから連邦検察庁長官(Commonwealth Director of Public Prosecutions)に事件を移送することができるようになります(66 条(1AA))。

6.おわりに

 本改正は現在議会にて協議が進んでおり、法案が可決されれば、勅許を受けた翌日から施行される予定です。オーストラリアで事業を行う企業は、今後のプライバシー法の執行強化に伴い、自社で実施されている個人情報保護の実務とガバナンスシステムについて今一度見直しを行うことが推奨されます。

以 上

[1] Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022

[2] P.U.(=Penalty Unit)は罰則の単位に使用される。2022年11月現在、1P.U.=220豪ドル。

[3] Explanatory Memorandum, Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022