オーストラリアの組織は、データプライバシーに関してはさまざまなレベルの準備状況を示しているが、マドックスのパートナーであるソニア・シャルマ氏は、議論がすでに「議会からパブへ」移っているため、法改正に先んじて取り組む必要があると述べている。
シャルマ氏は、オーストラリア情報コミッショナー事務局のガイダンスに沿って、組織は今すぐ行動を起こし、基本的なプライバシーのベストプラクティスを追求すべきだと述べた。最優先事項は、組織データをマッピングし、サードパーティプロバイダーがもたらす重大なリスクを管理することだ。
ジャンプ先:
- 個人と規制当局に権限を与えるプライバシー法改革
- プライバシー法の改革に先立って行動しないよう組織に要請
- 組織データのマッピングは最優先事項であるべきである
個人と規制当局に権限を与えるプライバシー法改革
2023年に発表された「プライバシー法見直しへの対応」報告書によると、オーストラリア連邦政府は116の提案のうち38に同意し、68に「原則的に」同意し、10に「留意」した。4年間の協議を経ての慎重な対応と評される一方で、改革への幅広い支持を示すと同時に、更なる検討と協議の必要性を示唆している。
オーストラリア政府が2024年に改革法を制定する際には、この制度を売上高300万豪ドル(190万米ドル)未満の中小企業にも拡大する可能性がある。法律事務所Corrs Chambers Westgarthは、組織は将来、より「権限を与えられた個人や規制当局」と対峙することになると予想している。
個人のデータ権利の拡大
コアーズ氏は顧客向けアドバイスの中で、「個人は、個人情報の収集と取り扱いに関して、説明、訂正、消去の権利に加え、個人情報が不適切に取り扱われた場合に申し立てる権利など、新たな権利を多数有することになるだろう」と述べた。同社は、これには「プライバシー関連の損害賠償を求める直接的な訴訟権に加え、深刻なプライバシー侵害に対する法定不法行為」も含まれると説明した。
参照:データ ガバナンスがデータ セキュリティとプライバシーにどのように影響するかについての解説をご覧ください。
コーズ氏は、個人情報の収集に関してさらなる義務が課される可能性を指摘した。これには、すべての個人情報の収集に公平性と合理性に関する積極的な基準を課す提案や、顔認識のような高リスクの活動についてプライバシー影響評価を実施することを義務付ける提案が含まれており、いずれもオーストラリア政府によって「原則的に合意」されている。
個人はまもなく、自分に関する重要な自動決定がどのように行われるかについて、有益な情報を要求する権利を持つようになる一方、プライバシーポリシーでは、自動決定にどのような情報が使用されるかを明記する必要がある。これは、人工知能(AI)による意思決定の台頭が、より厳格な法的義務と結びつくことを意味する可能性がある。
強化された規制権限
OAIC(オーストラリア情報委員会)は、プライバシー法改革の一環として、不正なデータ利用行為を規制する権限を強化します。これには、段階的な違反行為に対する罰則規定を導入する合意された提案が含まれており、低段階および中段階の民事罰規定が導入されます。
コアーズ氏は、一般的に、今回の変更は、権限を与えられたOAICによるより積極的かつ統一的な執行アプローチと、オーストラリア人の個人情報を処理する企業に対する規制上の「攻撃対象領域」の拡大を間もなく告げるものになるだろうと述べた。
プライバシー法の改革に先立ち、組織は行動を促される
マドックスのシャルマ氏は、オーストラリアの組織は「サイバーとプライバシーの成熟度において非常に大きなばらつきがある」と述べた。プライバシーとデータセキュリティの実践において「かなり進んでいる」組織もあれば、将来のプライバシー法改正に準拠するために必要な基本的な対策をまだ導入していない組織もある。
「データ漏洩対応計画を策定しておらず、文書保管ポリシーも策定しておらず、プライバシー影響評価を実施していない組織を目にしてきました」とシャルマ氏は述べた。「これらはすべて、プライバシー法改革の一環として義務付けられているか、あるいは実施が期待されています。」
保険会社メディバンク、金融サービス会社ラティテュード・ファイナンシャル、通信会社オプタスなど、オーストラリア国民数百万人に影響を与えた一連の大規模データ侵害事件を受けて、シャルマ氏は、コミュニティの期待は変化しており、組織はもはや法律が追いつくのを待つ余裕はないと述べた。
参照: オーストラリアの組織は、ランサムウェアに対抗するために侵入を想定するアプローチを実装することが推奨されています。
「これらの改革が実現するのを待っている間に、議論は議会からパブへと移ってしまいました。おばあちゃんだってプライバシーのことなんて知っていますからね」とシャルマ氏は述べた。「データ漏洩対応計画を策定し、テストして共有することで対応時間を短縮するといった対策を、今すぐ講じる必要があります。」
規制当局は取締役会と幹部を追及する
オーストラリアの規制当局は、オーストラリアの取締役会や幹部に対し、サイバーセキュリティとデータプライバシー対策に無謀なアプローチをとった場合、より多くのオーストラリア人のデータプライバシーが侵害される結果となり、法的訴訟の対象となる可能性があると直接警告した。
オーストラリア安全保障投資委員会のジョセフ・ロンゴ委員長は、2023年に開催されたオーストラリアン・ファイナンシャル・レビューのサイバーサミットで、サイバーレジリエンスは今やオーストラリアのすべての取締役会にとって「最優先事項でなければならない」と述べ、インシデント発生時にはASICが準備万端であると語った。
「事態が悪化した場合、ASICは、企業の取締役や取締役会が適切な措置を講じなかった、あるいは事業がもたらすリスクに見合った適切な投資を行わなかったという適切な事例を調査するでしょう」とロンゴ氏はAFRに述べた。「適切な事例であれば、ASICは、そうした措置が講じられなかったと信じる理由があれば、訴訟手続きを開始することをお約束します。」
組織データのマッピングは最優先事項であるべきである
組織内のITリーダーは、組織が保有するデータの明確なマップを作成することを最優先事項として重視すべきです。マドックスのシャルマ氏は、プライバシー法改革の結果として生じるあらゆる実務上の変化に備えるために、これが必要な第一歩となると述べました。シャルマ氏はその一例として、個人の同意に関するより自発的で具体的なアプローチへの移行と、データ破棄のための明確な保管期間の設定を挙げました。
参照: TechRepublic Premium のデータ ガバナンス チェックリストをご覧ください。
「現在、実際にどのようなデータを収集し、保有しているのかを明確に把握していなければ、これらの勧告にどう備えることができるでしょうか?」とシャルマ氏は述べた。「どのような同意を得ているのか、その同意はどのシステムに保管されているのか、オンプレミスかクラウドかを問わず、あらゆるIT環境にどのようなデータを保有しているのか、そして現在、それらのデータにどのくらいの期間を設定しているのかを把握していなければ、これらの改革に備えることは難しいでしょう。」
シャルマ氏は、データ保持期間の延長などの問題は、侵害に遭った多くの組織にとって大きな問題であり、一部の組織にとってはまだ「やるべきことがたくさんある」ことを意味すると述べた。
サードパーティプロバイダーを担当する組織
サードパーティプロバイダーは「重大なリスク」を伴い、多くの侵害にサードパーティベンダーが関与しています。一例として、オーストラリア史上最大の侵害となったLatitude Financialの事件が挙げられます。この事件では、脅威アクターがサードパーティサプライヤーを通じてアクセスを獲得しました。
しかし、組織はこれらのデータに対して責任を負います。シャルマ氏は、第三者と契約する前に、セキュリティまたはプライバシー・バイ・デザインのアプローチを追求する必要があると述べました。これには、プライバシー影響評価の実施や、セキュリティ対策の詳細なレビューが含まれます。
「データがどのように処理されているか、暗号化されているか、どこに保管されているか、どのサードパーティを利用しているのか、どのように侵害を監視しているのかなど、サードパーティプロバイダーと契約する前に、厳重な技術的管理を実施して詳細を把握する必要があります」とシャルマ氏は述べた。
シャルマ氏によると、本格的なプロジェクトに対するプライバシー影響評価の要件は、今後のプライバシー法の改正に含まれる可能性が高いとのことだ。
「これは私が人々に今やるべきことを勧めたいことであり、OAICのガイダンスと一致している」とシャルマ氏は述べた。
