オーストラリア連邦政府は、1988年個人情報保護法(Cth)に、2022年個人情報保護法改正(施行措置および他の措置)法案の形式で、大きな変更を行いました。これらの変更は、企業が自らのプライバシー、セキュリティ、および情報処理の慣行を見直すための行動を促すものです。
主な変更点
- 提案された変更は、プライバシー法を(個人情報を収集または保持する組織だけでなく)オーストラリアで取引するすべての企業に拡大する。
- オーストラリア情報局長(OAIC, Office of the Australian Information Commissioner)の事務局に、小さな手続上の問題について(刑事上の照会を求めるのではなく)侵害通知を発行する能力を与える。
- OAICに対し、違反に関する情報を(公共の利益のためとみなされる場合には)公衆と共有する能力を与える。
- 法人以外の者については44.4万豪ドル~250万豪ドルに、法人については222万豪ドル~5憶万豪ドルのうち得られた利益の3倍、または裁判所が利益の価値を決定できない場合は、該当時間における調整後売上の30%までの違約金の上限の増加。
- オーストラリア情報局長は、裁判所の手続きの外で査定を行い、侵害通知を発行するための執行権限を大幅に強化。
- 通知可能なデータ違反スキームは、違反が発生していなくても、当該スキームの要件に対する事業体の遵守を評価する権限を局長に与えることによって強化。
企業の責任者としての対策
- 現在のビジネス慣行と法的要件を反映するために、プライバシーに関するポリシーや手続きを見直し、更新する。
- データ監査を実施し、データに関連するリスクを理解し、最小限に抑える。
- 情報資産の収集、保管、処理、共有、破棄に関するコントロールをレビューする。
- リスク登録リストを更新し、影響/結果の変化を反映させ、それに応じて緩和戦略を変更する。
変化の原動力
今回の法改正は、オーストラリアの多くの人々に大きな影響を及ぼす最近の目立ったデータ違反に対応するものです。これらの違反は、組織がプライバシー、データセキュリティ、情報リスクを適切に取り扱っていないことを明確に実証しました。
政府は、この機会を利用して、潜在的な脅威から個人のプライバシーを保護する上でのオーストラリア企業の役割と責任に注目しました。これが制定された体制とスピードは、企業がプライバシー・プロセスとコントロールを見直し、データのプライバシーとセキュリティに積極的に取り組むよう促すために設計されています。
これらの変更、およびプライバシー法の現在の見直しから出てくる可能性のある変更は、オーストラリアのプライバシー規制を、EUの一般データ保護規則(GDPR, General Data Protection Regulation)のようなグローバルな体制に沿ってもたらしつつあり、組織がより真剣にプライバシー問題を受け入れることを意図しています。
オーストラリアにおける最近のサイバーセキュリティ問題は、プライバシーとセキュリティのエコシステムにおいて、組織が追加的な安全対策を検討する必要性を強調しました。これらの変更についてさらに話し合うことをご希望の場合は、Grant Thorntonオーストラリアの担当者にお問い合わせください。
Authors
