オーストラリアとの取引がある場合、オーストラリアの1988年プライバシー法とその基本原則を理解する必要があります。
オーストラリアには、1988年連邦プライバシー法とオーストラリアのプライバシー原則に基づく厳格な連邦ガイドラインがあるだけでなく、地域ごとに独自のデータ保護法も存在します。オーストラリアの特定の地域内だけとの取引がある場合は、その地域のデータ保護法もチェックするのが妥当だと思いますが、このブログでは、1988年連邦プライバシー法とオーストラリアのプライバシー原則に絞って概説します。
1988年連邦プライバシー法とプライバシー原則
1988年プライバシー法は、個人情報の取り扱い方法を規制するオーストラリア連邦法です。オーストラリアは、個人を同定できる個人のデータまたは意見を個人情報と見なします。オーストラリアの個人識別情報(personally identifiable information、PII)の例としては、電子メール、署名、電話番号などがあります。
1988年連邦プライバシー法には、企業による個人データの扱い方、処理方法に透明性を確保することを目的とした、合計13のプライバシー原則があります。GDPRコンプライアンス体制がすでに整っている場合は、大部分がオーストラリアでも当てはまります。注意しなければならない点がいくつかありますが、考え方は同じです。市民には、企業が自分のデータを使って何をしているのかを知る権利があります。
このブログでそれぞれの原則を詳細に説明することはできませんので、13の原則の詳しい内容を知りたい場合は、オーストラリア情報コミッショナー事務局(OAIC)のWebサイトでお確かめください。
この原則は、簡単にまとめるなら、データを収集する方法と理由について透明性を確保し、個人の匿名性を尊重する必要があることを明示しています。個人データまたは機密データの収集には個人の同意が必要であり、企業は妥当な理由がある場合にのみデータを収集できます。企業がその個人によって要求されたサービスを提供するために個人情報をファイルに記録する必要があれば、妥当な理由があるとみなされます。常識に照らし合わせて、必要以上に多くの個人データを収集しないようにし、収集したデータを確実に保護するようにしてください。
機密情報と個人情報
機密情報と個人情報には違いがありますので、十分注意が必要です。
個人情報は、個人を直接識別するデータです。前述のように、これは電話番号、住所、氏名、さらには銀行口座の詳細などです。
機密情報の例としては、人種、民族、政治的傾向、性的指向、犯罪歴などがあります。バイオメトリクスや遺伝的データもこのカテゴリに分類されます。機密情報(または機密データ)は、個人が差別を受けやすくなる可能性があるので、オーストラリアの1988年連邦プライバシー法の下でより厳格な保護手段を講じるよう規制されています。
個人情報と機密情報がどのように保護されるべきかについては、オーストラリアの13のプライバシー原則の第3条で詳述されています。
データ侵害
個人データの処理と保存に関して、要件をすべてカバーしたとしても、データ侵害が発生しないとは言い切れません。データ侵害の被害を受けてしまった場合、どうすればいいでしょうか?
オーストラリアは、1988年プライバシー法の Part IIIC(データ侵害の通知)に基づいて、NDB(Notifiable Data Breaches)スキームを使用しています。このスキームでは、事業者は、被害を受けた個人とオーストラリア情報コミッショナー事務局(OAIC)に発見された違反を通知する必要があります。特定のデータ侵害が通知を必要とするのかどうか判断できない場合は、査定を受ける権利があります。データ侵害の際、OAIC が企業に要求することに関する詳細な情報は、このガイドに記載されています。NDBスキームの基本にあるのは、データ侵害を防ぐため、またはデータ侵害が発生した場合にそれを是正するために全力を尽くすことをしない企業には責任を負わせる、という考え方です。
GDPR への対処と同じように、不幸にしてデータ侵害が発生してしまったときに迅速に対応するには、データ侵害発生時の対応策を事前に計画しておく必要があります。すべてを文書化しておくことは非常に重要です。文書による証拠がないために、必要なすべての予防措置を講じたことを証明できなければ、罰金を免れることはできないかもしれません。年間売上高が300万ドルを超える民間部門および非営利団体、医療提供者、および一部の小規模企業も、個人データおよび機密データを適切に保護する必要があります。
総括
オーストラリアで、個人データや機密データを使用する必要がある活動を行っている場合は、オーストラリアのプライバシー法とプライバシー原則をよく理解する必要があります。ここで紹介した OAIC の Web サイトをよくチェックしてください。不安がある場合、独自ではデータを安全に保護できない場合は、外部にサポートを依頼することもできます。コンサルタントや法的専門家など、データ保護の各ステップに対して支援し、リスク軽減のためのサポートを提供する機関はたくさん存在します。
Greg Mooney
Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.