• Instgram
  • LinkeIn
  • Lexologoy
One Asia Lawyers > ニューズレター > オーストラリア・ニュージーランド > オーストラリアの個人情報保護法改正

オーストラリアの個人情報保護法改正

2025年01月16日(木)

オーストラリアの個人情報保護法改正に関するニュースレターを発行いたしました。
こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

オーストラリアの個人情報保護法改正

 

オーストラリアの個人情報保護法改正

2025年1月吉日
One Asia Lawyers Group
オーストラリア・ニュージーランドチーム

1.はじめに

 2024年12月10日、プライバシーおよびその他の法改正法案(Privacy and Other Legislation Amendment Bill 2024 (Cth))が勅許を受け、オーストラリアの個人情報保護法であるPrivacy Act 1988 (Cth)(以下「プライバシー法」という)にいくつかの重要な改正が導入されました。これは政府によって提案された2段階改正の第1段階とされています。本稿では、その中でも特に重要と思われる改正点について紹介します。

2.法定不法行為の導入

 プライバシーの重大な侵害に対する法定不法行為がオーストラリアで初めて導入されました。プライバシーの侵害が故意(Intentional)または無謀(Reckless)であり、かつ重大なものである場合、侵害を受けた個人は相手に対してプライバシーの侵害に対する訴因を有することとなります。重大性を判断するために裁判所が考慮できる要素としては、苦痛や被害の程度、原告が害されることを被告が知っていたこと、被告の悪意などが含まれます。一方で、ジャーナリスティックな資料など、法定不法行為の申し立てに対する抗弁も存在します。

3.Doxxing行為の犯罪化

 本法改正により、オーストラリアの刑法(Criminal Code Act 1995 (Cth))にいわゆるDoxxingと言われる犯罪が追加されました。これにより、対象個人に対して脅迫的または嫌がらせと考えられる方法で個人情報を利用可能にしたり、公開したり、または配布したりすることが犯罪行為となります。また、人種や性的指向などの保護されるべき属性によって区別される集団に属する者に対して、同様の行為を行うことも犯罪行為となります。

4.プライバシーの侵害に対する新たな罰則体系

 改正前は重大な個人のプライバシー侵害(Serious Interference with Privacy)のみが民事罰の対象でしたが、本改正法により、重大でない個人のプライバシー侵害(単なるInterference with Privacy)も民事罰の対象となります。重大でない個人のプライバシー侵害に対する罰則の上限は、2,000ペナルティユニット(現在660,000豪ドル)または10,000ペナルティユニット(現在3,300,000豪ドル)です。また、当局OAICは、プライバシー法違反に対して違反通知(Infringement Notice)および是正通知(Compliance Notice)を発行する権限を有します。

5.AIによる自動化された意思決定

 自動化された意思決定に関する情報をプライバシーポリシーに含めることが義務付けられます。具体的には、ソフトウェアを使って下された決定が個人の権利や利益に重大な影響を及ぼすことが合理的に予想される場合に、当該ソフトウェアで使用される個人情報の種類や、意思決定の種類を開示することが求められます。この改正は2年後に発効されますが、OAICが最近発行したガイドラインの中で、顧客の意思決定にAIを使用する企業は、AIが目的に適合していることを確認すべきであり、またかかる目的での個人情報の使用に関してプライバシーポリシーに明確に記載することで、AIの使用について透明性を確保すべき述べており、本改正事項の発効を待たずとしてプライバシーポリシーにAIの使用について開示することが推奨されます。

6.子どものオンラインプライバシー規範

 OAICにより、今後2年以内に若年者のオンラインプライバシー規範(Children’s Online Privacy Code)が策定されることが予定されています。この規範には、プライバシー原則(APP:Australian Privacy Principles)がどのように子どもとそのオンライン・プライバシーに適用されるかが詳細に定められます。

7.十分性認定

 EUの十分性認定と同様に、オーストラリアと同等のプライバシー保護を持つ国を政府がみなすことを可能にし、事業者は必要な評価や保護措置なしに個人情報を認定国に移転することができる仕組みが設けられました。

8.おわりに

 本改正は、オーストラリアのプライバシー原則を根本的に変更するものではありませんが、プライバシー遵守を促すためにより実務的な執行能力を導入するものです。比較的重大でない違反行為についても指摘を受ける可能性が考えられることから、オーストラリアの個人情報を扱う企業は、この機会に個人情報の管理体制の見直しを行うことが推奨されます。


  |