第36回 プライバシー法の改正

教えて! オーストラリアの企業法務

第36回 プライバシー法の改正

ベーカー&マッケンジー法律事務所
パートナー弁護士 リチャード・ラスティグ(左)
シニア・アソシエイト エリザベス・タイスハースト(中)
シニア・アソシエイト 辻本哲郎(右)

Q 2012年5月23日、オーストラリア連邦議会において、個人情報の取り扱い等を規定するプライバシー法(Privacy Act 1988(Cth)、以下「プライバシー法」)の改正についての審議が開始されたと聞きました。当該改正の概要および同改正が企業に与える影響について教えてください。

A 本改正では、プライバシー法の適用範囲の拡大、新規制の追加、罰則の強化などが企図されており、仮に法案が正式に承認された場合、各企業としては、現在導入しているプライバシー・ポリシーの内容や個人情報に係る取り扱いが、当該改正法により要求される新基準に適合するものとなっているかどうかについて、再度検証する必要があります。

(1)プライバシー法の概要

プライバシー法は、オーストラリアにおいて、個人のプライバシー保護のための中核となる法律です。プライバシー法においては、個人を特定または特定し得るもの、例えば名前、住所、病歴、銀行口座に関わる情報、写真、ビデオ、電話番号、納税番号といった個人情報が保護の対象となります。

プライバシー法は、このような個人情報に係る以下の取り扱いを規制しています。

・個人情報の収集
・個人情報の利用および開示の方法
・個人情報の正確性の担保
・個人情報の安全な管理
・個人情報に対するアクセス権

また、プライバシー保護のため特に慎重な取り扱いが必要と考えられる健康や病歴に関する情報、信仰に関する情報、人種や民族、犯罪歴に関する情報などの個人情報は、プライバシー法において「センシティブ情報」として扱われ、その取り扱いについては別途特別な規制が適用されます。

 

(2)プライバシー法の適用対象となる事業者

プライバシー法は非営利団体も含めて、年間売上げが300万ドルを超えるほぼすべての事業主体に適用があります(ただし、メディアや政党など適用が免除される団体も一部存在します)。また、年間売り上げが300万ドル以下の事業主体についても、(i)健康サービス提供者(health service provider)に該当する場合、(ii)年間300万ドルの売上げを有する事業と関連を有する場合、(iii)公共事業に関する請負事業である場合などにおいては、プライバシー法の適用対象となり得ることに留意が必要です。

 

(3)プライバシー法の主要な規制について

プライバシー法自体は、事業者がどのように個人情報を取り扱うべきかについての詳細を規定していませんが、「National Privacy Principles」(以下「NPP」)において、民間事業者が個人情報を収集し、開示し、保有するにあたっての主要な10原則が定められています。

NPPに規定される10原則の概要は以下の通りです。

(a)情報収集:当該組織の運営や事業に不可欠でない限り、個人から情報を収集することは認められない。

(b)情報の利用および開示:情報を収集する際に定められた目的に従い、情報を収集する必要がある。一部例外を除き、情報の目的外利用には事前承諾を得る必要がある。

(c)情報の正確性:事業者は個人情報の正確性、完全性、最新性が担保されるよう合理的な措置を講じる必要がある。

(d)セキュリティー:事業者は個人情報の誤使用や消失、不正使用、修正、遺漏を防ぐため、合理的な措置を講じる必要があり、また意図した利用目的に必要な期間を超えて個人情報を保持してはならない。

(e)公開性:事業者は、プライバシー・ポリシーなどの形で個人情報の取扱方針を書面化し、要求された場合にはこれを提供する。また、請求があった場合には、事業者は保有する個人情報の内容、その利用目的並びに収集、利用および開示方法について明らかにする必要がある。

(f)アクセスと修正:事業者が個人情報を保有している場合、当該個人に自己に関する情報へのアクセス権と修正権を認める。

(g)識別情報:事業者は、医療番号、納税番号といった政府の個人識別情報をそのまま使用してはならない。

(h)匿名性:個人と取引を行う場合で、当該個人が希望する場合、実務上可能な限り、事業者は個人の匿名性を維持したままで取引を行う必要がある。

(i)国外への情報の持ち出し:一定の要件を満たさない限り(本人の同意がある場合または情報の送付先が法令若しくは契約上、NPPと同程度の情報の取り扱いルールを課されている場合など)、個人情報をオーストラリア国外に持ち出してはならない。

(j)センシティブ情報:事業者は法律上要求される場合または個人の同意がある場合に限り、センシティブ情報を収集することができる。

 

(4)改正が検討されている事項

現在検討されている改正のうち、民間事業者の業務に主として関連するものとしては、以下のものが挙げられます。

(a)オーストラリア・プライバシー原則

プライバシーに関する新しい基準として、従前のNPPに代わり、新たにAustralian Privacy Principles(以下「APP」)が定められます。APPの下では、事業者に以下が要請されます。

 

・事業者は、APPに沿った個人情報の取り扱いを実現する社内体制を構築する義務がある。これには従業員の教育、苦情処理手続き、情報取り扱いに係る内部基準の制定などが含まれる。

・事業者はプライバシー・ポリシーなどにおいて、苦情処理に係る手続きやオーストラリア国外への情報提供の有無についても記載する必要がある。

・ダイレクト・マーケティングへの個人情報の利用は、情報を収集する時点で当該利用目的が開示されていた場合または当該利用が合理的に予測できる場合に限って許容され、また、いわゆる「オプトアウト」(同利用を個人が拒絶することを選択できること)の手続きが認められなければならない。

・仮に事業者が個人情報をオーストラリア国外の事業者に送信した場合、当該情報受領者においてもAPPに適合した取り扱いを行うことを確保させる必要があり、不適合があった場合には情報を送信した事業者が責任を取らなければならない。

 

(b)域外適用について取扱いの変更

海外事業者がオーストラリア国内に所在する個人からインターネットを通じて個人情報を取得した場合、オーストラリア国内で情報取得がなされたものとみなされます。これにより、これまでプライバシー法が適用されなかった海外事業者においても、法令遵守が要請されることとなります。

 

(c)執行力の強化

現行法ではプライバシー法の違反につき民事制裁金は存在しませんでしたが、改正法案は、深刻なまたは継続的な個人のプライバシー侵害が行われた場合、110万ドルを上限とする民事制裁金の制度を規定しています。

 

(5)企業に与える影響

プライバシー法の適用がある企業においては、改正法への対応として、以下の措置を行うことが必要となります。

・個人情報の照会や苦情処理の手続きなどを含め、改正法において要求される水準の社内体制が整備されているか再確認する。

・現在のプライバシー・ポリシーを再確認の上、改正法に則したアップデートを行う。

・ダイレクト・マーケティングを行っている場合、同方法が改正法に則したものとなっているか再確認する。

・海外事業者へ個人情報を提供するアレンジをしているような場合(インターナショナル・データベースの構築を行っている場合など)には、同海外事業者においても改正法に沿った情報の取り扱いが確保されているか、再確認する。


※本記事に関する意見・質問は下記まで。
リチャード・ラスティグ   Email: Richard.lustig@bakermckenzie.com
エリザベス・タイスハースト Email: Elizabeth.ticehurst@bakermckenzie.com
辻本哲郎       Email: Tetsuo.tsujimoto@bakermckenzie.com  

 

新着記事

新着記事をもっと見る

新着イベント情報

新着イベントをもっと見る