オーストラリアプライバシー法: ビジネスコンプライアンスとデータ処理

オーストラリアの 1988 年プライバシー法 (Cth) は、オーストラリア人の個人情報を保護する主要な連邦プライバシー法です。 2021 年プライバシー法改正法 (オンライン プライバシーおよびその他の措置の強化) 法および 2024 年プライバシー法改正法によって大幅に強化されたオーストラリアのプライバシーの枠組みは、2014 年のオーストラリア プライバシー原則 (APP) の導入以来最も大幅な改革を迎えています。

2024年の改革では、重大なプライバシー侵害に対する法定の不法行為が導入され、罰金が大幅に引き上げられ（現在は違反1件につき最大5,000万オーストラリアドル）、オーストラリア情報コミッショナー局（OAIC）の執行権限が拡大され、データ保持、ダイレクトマーケティング、アルゴリズムの透明性に関する新たな義務が追加された。オーストラリアで活動する組織にとって、既存の APP フレームワークと新しい改革の両方を理解することは不可欠です。

重要なポイント

• プライバシー法は、年間売上高が 300 万ドルを超えるオーストラリア政府機関および民間部門の組織に適用されます (改革により基準値は低くなります)
• 13 のオーストラリアのプライバシー原則 (APP) が個人情報の収集、使用、開示、品質、セキュリティ、アクセス、および修正を管理します
• 通知可能なデータ侵害 (NDB) スキームでは、対象となる侵害から 30 日以内に OAIC および影響を受ける個人に通知する必要があります。
• 2024 年の改革が導入されました: 法定のプライバシー不法行為、より高い罰金 (5,000 万オーストラリアドル)、個人の直接訴訟の権利、および子供のプライバシー義務の新設
• 機密情報 (健康、人種的起源、生体認証、宗教、性的指向など) の収集と使用には明示的な同意が必要です
• 国境を越えた開示制限には、個人情報の海外受信者に対する説明責任が必要です
• OAIC は監査を実施し、苦情を受理し、重大な問題を連邦裁判所で民事罰手続きに付託することができる
• この改革では、子供向けサービスに子供向けオンライン プライバシー コードが導入されます。

---

個人情報保護法を遵守しなければならない人

カバレッジのしきい値

プライバシー法は以下に適用されます。

オーストラリア政府機関: 連邦政府のすべての省庁と政府機関、および特定の状況における一部の州/準州機関。

APP エンティティ (民間部門): 任意の会計年度において 年間売上高が 300 万ドルを超える組織。このしきい値は改革の議論の対象となっており、より多くのビジネスをカバーするためにしきい値を下げるか廃止する提案が進行中です。

特定の活動を行う中小企業: 売上高に関係なく、次のような組織の場合にはプライバシー法が適用されます。

• 医療サービス提供者である（個人開業を含む）
• 個人情報の売買
• オーストラリア政府との契約サービスプロバイダーです
• プライバシー法にオプトインしている
• 賃貸住宅データベースの運営
• 同法の対象となる事業体に関連している

域外範囲: プライバシー法は、オーストラリアの組織とその海外での活動に適用されます。オーストラリアに拠点を持たず、オーストラリアのリンク（オーストラリアのサーバー、オーストラリアのビジネス関係など）を通じてオーストラリア人の個人情報を収集するオフショア事業体も、この法の対象となる可能性があります。

主な免除

• 従業員の記録 (雇用関係に関連する民間部門の組織の場合) ・ジャーナリズム・メディア（報道活動に関する登録報道機関）
• オーストラリア国民/居住者がオーストラリア国外で行った行為（複合免除）
• 売上高基準を下回る中小企業 (上記の例外を除く)

---

オーストラリアのプライバシー原則 (APP)

13 の APP は、プライバシー コンプライアンスの実質的なフレームワークを形成します。

APP 1 — オープンで透明性のある管理: 明確に表現された最新のプライバシー ポリシーを設けます。ご要望に応じて無料でご利用いただけます。

APP 2 — 匿名性と偽名: 合法かつ実行可能な場合は、匿名または偽名を使用してあなたと対話するオプションを個人に提供します。

APP 3 — 要求された個人情報の収集: 職務上合理的に必要な個人情報のみを収集します。機密情報は同意がある場合にのみ (または特定の状況で) 収集します。合理的に実行可能な場合は、個人から直接収集します。

APP 4 — 要求されていない個人情報の取り扱い: 要求しておらず、APP 3 に基づいて収集することが許可されていない個人情報を受け取った場合は、可能な限り速やかにその情報を破棄するか、匿名化してください。

APP 5 — 収集の通知: 収集時または収集前（または収集後可能な限り速やかに）、個人に通知する合理的な手順を講じてください。自分が誰であるか、連絡方法、収集が法律で義務付けられているかどうか、収集の目的、情報を提供しない場合の結果、情報を受け取る可能性のある他の人、および情報へのアクセス/修正方法。

APP 6 — 個人情報の使用または開示: 個人情報は、収集の主な目的、個人が合理的に期待する関連する二次目的、同意がある場合、または特定の APP 6 例外 (法律、法執行機関、健康/安全で要求される) に基づいてのみ使用または開示してください。

APP 7 — ダイレクト マーケティング: 条件 (個人による提供、機密情報に対する同意、購読解除メカニズムの提供) が満たされない限り、個人情報をダイレクト マーケティングに使用または開示してはなりません。個人はオプトアウトをリクエストできます。

APP 8 — 国境を越えた開示: 個人情報を海外の受信者に開示する前に、受信者が APP に違反しないように合理的な措置を講じてください。海外の受取人の取り扱いについては、引き続きお客様の責任となります。個人の同意がある場合、または受信者が実質的に同様の法律が適用される国に居住している場合には、開示が許可されます。

APP 9 — 政府関連の識別子の採用、使用、または開示: 民間部門の目的での政府の識別子 (メディケア番号、センターリンク参照など) の使用の制限。

APP 10 — 個人情報の品質: 収集、使用、または開示の前に、個人情報が正確、最新、完全であることを保証するための合理的な措置を講じてください。

APP 11 — 個人情報のセキュリティ: 個人情報を悪用、妨害、紛失、および不正なアクセス、変更、開示から保護するために合理的な措置を講じてください。個人情報が不要になった場合は、破棄するか匿名化します。

APP 12 — 個人情報へのアクセス: 合理的であれば、要求された形式で、30 日以内に個人情報にアクセスできるようにします。例外としては、アクセスが重大な脅威となる場合、他人のプライバシーに不当な影響を与える場合、アクセスは違法となります。

APP 13 — 個人情報の修正: 要求に応じて (または独自の判断で)、不正確、不完全、古い、無関係、または誤解を招く個人情報を修正します。訂正を拒否する場合は、その個人に通知し、訂正の声明を自分の記録に関連付けることを許可してください。

---

機密情報

プライバシー法では、機密情報を、より高い水準の保護が必要な個人情報のサブセットとして定義しています。機密情報には次のものが含まれます。

• 健康情報
• 遺伝情報
• 識別を目的とした生体情報
• 人種的または民族的起源
• 政治的意見
• 宗教的または哲学的信念
• 性的指向または性的習慣
• 労働組合への加入
• 犯罪歴情報
• 政府発行の身分証明書の詳細

APP 3.3: 組織は次の場合にのみ機密情報を収集できます。

• 個人が同意しており、収集が組織の機能のために合理的に必要である場合。 または
• 8 つの特定の例外のうち 1 つが適用されます (法律で義務付けられている、重大な脅威の防止など)。

健康情報: 追加の保護が受けられます — 医療サービス提供者は売上高に関係なく補償され、OAIC が発行した特定の医療プライバシー ガイドラインが適用されます。

---

通知可能なデータ侵害 (NDB) スキーム

NDB スキーム (プライバシー法パート IIIC) では、APP エンティティは対象となるデータ侵害について OAIC および影響を受ける個人に通知する必要があります。

対象となるデータ侵害とは何ですか?

対象となるデータ侵害は、次の場合に発生します。

1. 企業が保有する個人情報への不正なアクセス、開示、または紛失がある。 そして
2. 合理的な人であれば、アクセス/開示/損失は、情報に関連する個人に深刻な損害をもたらす可能性があると結論付けるでしょう。

重大な危害の評価: 情報の種類、機密性、セキュリティ技術が適用されているかどうか、誰がアクセス/受信したか、および潜在的な危害 (経済的、物理的、心理的、風評) を考慮します。

通知タイムライン

緊急のデータ侵害 — 重大な損害が発生する可能性があり、企業がこれを直ちに認識する場合 — は、30 日待つのではなく、可能な限り早く OAIC および個人に通知する必要があります。

OAIC 通知内容:

• 団体名と連絡先の詳細
• 違反の説明
• 影響を受ける個人のカテゴリーとおおよその数
• 関係する情報 (レコードの種類とおおよその数)
• これに応じて講じられた、または計画された措置

---

2024 年プライバシー法改正

2024 年プライバシーおよびその他の法改正法 (2024 年 11 月制定) では、重要な変更が導入されました。主な改革には以下が含まれます。

プライバシー侵害に対する法定不法行為

新しい法定訴訟原因により、個人はOAICの関与を必要とせずに、重大なプライバシー侵害について組織を連邦裁判所に直接訴えることができるようになりました。救済には、損害賠償（加重損害賠償および懲罰的損害賠償を含む）、差し止め命令、および利益の計算が含まれます。この私的訴訟の権利により、企業の訴訟リスクが大幅に増加します。

2 種類の侵入: (1) 隔離中の侵入 - 私事への物理的または電子的侵入。 (2) 個人情報の悪用 — 個人情報の収集、使用、または開示。

合理的な人がそれを非常に攻撃的であるとみなし、原告がその状況において*プライバシーに対する合理的な期待をしていた場合にのみ、侵害は訴訟に値する。

より高い罰則

重大な、または反復的なプライバシー侵害に対する民事罰金の最高額は、違反 1 件につき 5,000 万オーストラリアドル に増加しました (222 万ドルから増加)。裁判所は、違反によって得られた利益の 3 倍、または違反期間中のオーストラリアの売上高の 30% のいずれか高い方に基づいて罰則を命じることもできます。これらは、オーストラリアの競争法における最高レベルの罰則と一致します。

OAIC の権限の拡大

OAIC には次の機能が追加されました。

• 告訴なしで独自の調査を行う権限
• それほど重大ではない違反に対する侵害通知権限
• 予備的証拠開示および暫定差止命令を求める権限
• 海外のプライバシー当局と情報を共有する機能

児童向けオンライン プライバシー コード

2024 年法は、子供向けオンライン プライバシー コード の枠組みを作成します。これは、子供 (サービスに該当する年齢にある 18 歳未満) を対象としたオンライン サービスの必須要件です。この規範は、データの最小化、保護者への透明性、および子供に適した設計に関する特定の義務を課します。開発は進行中です。組織はOAICの発展を監視する必要があります。

ダイレクトマーケティング改革

ダイレクトマーケティングに対する制限の強化: 個人は、ターゲットを絞った広告を目的としたプロファイリングなど、個人情報に基づいてターゲットを絞った広告をオプトアウトできます。

自動化された意思決定の透明性

個人情報を使用した重要な自動化された意思決定に関する透明性に関する新たな要件 — 組織は、個人に重大な影響を与える自動化された意思決定のロジックを説明できなければなりません。

---

国境を越えた開示 (APP 8)

APP 8 は、最も誤解されている APP の 1 つです。個人情報を海外の受信者に開示する場合:

デフォルト ルール: 海外の受信者がその情報に関して APP に違反しないように合理的な措置を講じる必要があります。 海外の受取人の取り扱いについては、引き続き責任を負います。

同意の例外: 海外の受信者と情報を共有する可能性があること、および海外の受信者の取り扱いについて責任を負わない可能性があることを個人に明示的に通知し、個人が同意した場合は、責任を負うことなく国境を越えて開示することができます。

適切性の例外: 海外の国でも実質的に同様のプライバシー保護が行われていると OAIC が判断した場合、開示が許可されます。

クラウドと SaaS への実際的な影響:

• クラウド プロバイダーがオーストラリア国外にデータを保存している場合、APP 8 が適用されます。
• クラウド プロバイダーの条件を単に指摘することはできません。合理的な手順 (契約上の保護、セキュリティ評価) を講じる必要があります。
• データが複数の国際地域に保存されている場合、それぞれの場所が漏洩の可能性があります。

---

OAIC の執行と苦情処理

苦情経路:

1. 個人が組織に苦情を申し立てる (組織は 30 日以内に回答する必要があります)
2. 未解決の場合、または団体が応答しない場合、個人はOAICに苦情を申し立てることができます
3. OAIC は苦情を調停します。未解決の場合、OAIC が調査できる
4. OAIC は補償命令を含む決定を行うことができる

民事罰手続き:

• OAIC は重大な問題を連邦裁判所に付託します
• 裁判所は民事罰（最高5,000万ドル）を課すことができる
• OAIC は強制力のある約束も受け入れることができます

規制当局の調査:

• OAICは独自の申し立て調査を開始できる
• エンティティに情報の提供、面接への出席、書類の作成を要求することができる
• 監査を実施できる（計画的または非通知）

注目すべき執行措置: OAIC は、ウーバー テクノロジーズ (NDB スキーム違反)、RI アドバイス グループ (不十分なセキュリティ)、およびオーストラリア選挙管理委員会 (APP 11 のセキュリティ違反) を含む主要な事件を追及してきました。 Optus データ侵害 (2022 年、オーストラリア人 980 万人に影響) とメディバンク侵害 (2022 年、顧客 970 万人) は、規制および立法上の大きな注目を集めました。

---

オーストラリアのプライバシー コンプライアンス チェックリスト

• 個人情報保護法の適用を確認（売上高の基準値、特定の活動）
• プライバシー ポリシーが公開され、最新であり、すべてのアプリを対象としています
• 収集時点で提供される APP 5 通知 (すべてのデータ収集フォーム上の収集通知)
• 機密情報が特定されました — 収集のために同意が得られました
• データの最小化を見直しました - 合理的に必要な情報のみを収集します
• APP 6 の二次使用/開示評価を文書化
• ダイレクトマーケティングのオプトアウトメカニズムを実装 (APP 7)
• 海外開示評価完了 — 受領者の APP コンプライアンスを確保するための合理的な手順 (APP 8)
• データセキュリティ対策の実装および文書化 (APP 11)
• データ保持および破壊/匿名化ポリシーが実装されました (APP 11.2)
• 個別のアクセスおよび修正手順を文書化 (APP 12、13)
• NDB 対応手順を文書化し、テストしました (30 日間の評価タイムライン)
• OAIC侵害通知テンプレートを準備しました
• 児童データの取り扱いを見直し — 児童オンラインプライバシー規約の準備
• 自動化された意思決定の透明性レビューが実施されました
• APP および NDB スキームに関するスタッフ トレーニングが完了

---

よくある質問

プライバシー法は私の中小企業にも適用されますか?

一般に、プライバシー法は年間売上高が 300 万ドルを超える民間部門の組織にのみ適用されます。ただし、医療サービス提供者、個人情報の取引、政府の請負業者、賃貸住宅データベースの運営者、または対象事業体の関係者である場合は、売上高に関係なく保険の対象となる場合があります。さらに、特にクイーンズランド州、ニューサウスウェールズ州、ビクトリア州の特定の分野では、州/準州のプライバシー法がお客様の事業活動に適用される場合があります。

オーストラリアの法律では何が「機密情報」とみなされますか?

機密情報とは、健康情報、遺伝情報、生体認証情報 (一意の識別用)、人種または民族的出身、政治的意見、宗教的または哲学的信念、性的指向または性行為、労働組合への加入、犯罪歴情報などを含む定義されたカテゴリです。機密情報の収集には同意が必要であり、業務上合理的に必要である必要があります。健康情報は、OAIC から最も包括的な保護と追加のガイダンスを受けています。

NDB スキームにおける 30 日間の評価期間とは何ですか?

組織は、データ侵害が発生した可能性があることに気づいた場合、30 日以内に評価を実施し、それが適格なデータ侵害 (重大な損害をもたらす可能性が高いデータ侵害) であるかどうかを判断します。この 30 日間の間に、組織は何が起こったのか、どのような情報が関係していたのか、誰が影響を受けたのか、重大な損害が発生する可能性があるのか​​どうかを調査する必要があります。適格な侵害が特定された場合は、可能な限り速やかに OAIC および影響を受ける個人に通知する必要があります。適格な侵害の決定が行われた後は、追加の待機期間はありません。

オーストラリアで AWS または Azure を使用する場合、APP 8 はどのように適用されますか?

オーストラリアのデータセンター (AWS ap-southeast-2 シドニー、Azure Australia East) 内に完全にデプロイされた AWS または Azure サービスを使用している場合、データはオーストラリアに留まるため、海外での開示の問題は発生しない可能性があります。グローバル インフラストラクチャ (コンテンツ配信ネットワーク、グローバル レプリケーション、海外からのアクセスのサポート) を備えたサービスを使用している場合、データを海外に開示する可能性があります。クラウド プロバイダーのデータ処理ドキュメントを注意深く確認してください。多くのプロバイダーは、オーストラリアのデータ常駐保証と、海外での二次処理に対する契約上の保護を通じて APP 8 要件をカバーするデータ処理契約を提供しています。

プライバシーに対する新しい法定不法行為とは何ですか?また、それがビジネスにどのような影響を及ぼしますか?

法定不法行為（2024 年のプライバシー法改正で導入）は、OAIC を経由せずに、個人が重大なプライバシー侵害で組織を連邦裁判所に訴える直接的な権利を創設します。隔離時の侵入と個人情報の悪用の 2 つのカテゴリがあります。不法行為は、合理的な人が侵入を非常に攻撃的であるとみなし、個人がプライバシーを合理的に期待していた場合に適用されます。考えられる救済策には、補償的損害賠償、加重損害賠償、懲罰的損害賠償、差し止め命令、利益の計算などが含まれます。これにより、個人情報を扱う企業の訴訟リスクが大幅に増加します。現在、重大なデータ侵害に対して集団訴訟が現実的に考えられています。

---

次のステップ

オーストラリアのプライバシー法改正は、世界標準とのより緊密な連携を図り、施行の強化、罰則の強化、個人の権利の拡大への移行を示唆しています。初めてコンプライアンスを評価する場合でも、2024 年の改革に対応してプログラムを更新する場合でも、ECOSIRE のチームは、お客様のビジネスに適したプライバシー バイ デザイン システムとコンプライアンス プロセスの設計を支援します。

始めましょう: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。オーストラリアのプライバシー法は継続的な改革の対象となっています。あなたの組織に特有のアドバイスについては、オーストラリアの資格のある法律顧問にご相談ください。