2024–2026年改正の構造

改正は二段階で展開されており、最初の段階のみが完全に施行されています。法的に効力がある内容と今後予定されている内容を把握するために、段階的な順序を理解することが重要です。

第1段階 — 2024–2025年から施行

2024年11月に承認されたPrivacy and Other Legislation Amendment Act 2024は、すでに適用されているいくつかの変更をもたらしました：

• 深刻なプライバシー侵害に対する法定不法行為 — 個人はPrivacy Act自体の違反を示す必要なく、深刻なプライバシー侵害に対して直接訴訟を起こすことができます
• 新しい民事罰 — OAICは深刻または繰り返しの違反だけでなく、あらゆるプライバシーへの干渉に対して罰則を求めることができます
• 自動意思決定の透明性要件 — 事業者は自動システムを使用して個人に関する重要な決定が行われる場合に開示しなければなりません
• ドキシングの刑事犯罪化 — 害を与えるための個人データの意図的な公開は刑事犯罪になりました
• Children's Online Privacy Code — OAICは子供がアクセスする可能性の高いサービスに対して拘束力のあるコードを策定する必要があり、2026年にコードが完成する予定です

第2段階 — 2026–2027年に向けて積極的に審議中

第2段階はより構造的な変更をカバーし、2025年と2026年に政府合意を通じて進められています。予想される要素には以下が含まれます：

• 現在年間売上高AUD 300万未満の事業者を免除している中小企業免除の廃止または大幅な縮小
• 同意とは独立して個人情報のあらゆる取り扱いに適用される、より明確な公正かつ合理的なテスト
• ターゲット広告の明示的な規制（機密カテゴリにはおそらくオプトイン同意が必要）
• オーストラリア法をGDPRに近づける新しい消去権
• 国境を越えたデータ転送のより厳格な管理

オーストラリア法における個人情報とは

オーストラリアのPrivacy Actは個人情報を広く定義しています。識別された、または合理的に識別可能な個人に関するあらゆる情報を対象とし、OAICは合理的に識別可能をオンライン識別子、デバイスID、他のデータと組み合わせたIPアドレス、広告識別子を含むと解釈しています。実際には、クッキー、ピクセル追跡、デバイスフィンガープリンティング、クロスサイト広告に使用されるIDグラフはすべてオーストラリア法の下で個人情報を処理しており、Australian Privacy Principles (APP)コンプライアンスの完全な対象となります。

2026年のオーストラリア法におけるクッキー同意の仕組み

オーストラリア法は現在、すべてのクッキーに対して完全なGDPR方式のオプトインバナーを要求していません。ただし、制限がないシステムでもなく、いくつかの最近の動向が基準を引き上げています。

APP 3 — 収集には通知が必要

Australian Privacy Principle 3は、個人情報が目的の通知とともに、適法かつ公正な手段によってのみ収集されることを要求しています。個人情報を収集するクッキーの場合、これは収集前または収集時に目に見える、情報提供的な通知を提示しなければならないことを意味します。隠れた追跡はAPP 3を満たしません。

APP 6 — 使用と開示には目的の一致が必要

個人情報は、収集された目的、合理的に関連する二次目的、または個人の同意がある場合にのみ使用できます。クロスコンテクスト行動広告のためにデジタル広告プラットフォームとクッキー由来データを共有することは、通常、主たる目的の範囲外であり、同意が必要となります。

追跡に関するOAICのガイダンス

追跡技術に関するOAICの2024年ガイダンスは明確です：事業者は個人が追跡をオプトアウトするための明確なメカニズムを提供する必要があり、機密情報や重要な決定のためのプロファイリングを含むあらゆる使用例において、OAICはオプトイン同意を期待しています。これにより、ターゲット広告、プログラマティックリターゲティング、セッションリプレイ、行動分析は、法律がすべての場合において義務としていなくても、実際にはオプトイン領域に確実に置かれます。

2026年の実際のCMP設定

オーストラリアで活動するほとんどのパブリッシャーは現在、承諾、拒否、カスタマイズの3状態バナーを表示するCMPを使用しています。EUまたはUKトラフィックには厳格なオプトインが適用されます。オーストラリアトラフィックには、ターゲット広告とセッションリプレイにオプトインが推奨のデフォルトであり、IPアノニマイゼーションとデータ最小化が実施されている限り、アナリティクスは通知と選択モデルで運用できることが多いです。

法定不法行為 — 実際に何を可能にするか

新しい法定不法行為は実際の意味でデジタル広告主にとって最も重要な変更です。以前は、OAICのみがプライバシー権を執行でき、個人の救済は限られていました。法定不法行為はこれを変えます。

深刻なプライバシー侵害とは何か

この不法行為は、孤独への侵入または私的情報の悪用によって深刻なプライバシー侵害を引き起こす意図的または無謀な行為をカバーしています。裁判所は公益やその他の考慮事項に対して深刻さを比較検討します。

広告主が注意すべき理由

攻撃的な追跡、特に機密ページでのキーストロークやカーソルの動作を記録するセッションリプレイ、ユーザーのオプトアウトを回避するフィンガープリンティング、または匿名の行動を名前付きアイデンティティに無断でリンクすること — これらはすべて不法行為請求の妥当な事実的根拠となります。2026年に原告側法律事務所が境界線をテストし始めることが予想されます。オーストラリアには米国のようなクラスアクション文化はありませんが、代表訴訟は可能であり、一部の事務所はそれに向けて明確に位置付けています。

Children's Online Privacy Code

Children's Online Privacy Codeは、サイトが子供にアクセスされる可能性のあるパブリッシャーにとって最も具体的な新しい規制の一部です。

対象範囲

このコードはソーシャルメディアサービス、子供がアクセスする可能性が高い関連電子サービス、および特定の指定インターネットサービスに適用されます。実際には、これは純粋な子供向けサイトをはるかに超えます — 相当数の未成年者がアクセスする一般向けプラットフォームはすべて対象となる可能性が高く、OAICは包括的な解釈を取ることが予想されます。

コードに期待されるコア義務

• 18歳未満のユーザーに対する高プライバシーのデフォルト設定
• 未成年者へのターゲット広告の制限
• 子供をより弱いプライバシー設定に誘導するダークパターンの禁止
• データ処理に関する年齢相応の説明
• 個人情報を処理する機能を展開する前の子供の最善の利益の評価

今すぐ準備すること

18歳未満の訪問者を相当数含む視聴者を持つパブリッシャーは、コードが確定される前に追跡スタック、広告設定、デフォルト設定の監査を開始すべきです。事後の改修は、最初からコンプライアンスをスタックに組み込むよりも通常コストがかかり、より混乱を招きます。

2026年の執行姿勢

OAICは改正とともに大幅に強化されたリソースを受け取りました。監査活動が増加し、委員はより公的な執行アプローチを示しています。

施行中の罰則

深刻または繰り返しのプライバシー干渉に対する最大民事罰は、AUD 5,000万、行為から得た利益の3倍、または違反期間中の事業者の調整済み売上高の30パーセントのいずれか大きい方です。改正はまた、深刻さの閾値を満たさないプライバシー干渉に対する第二層の罰則を導入し、OAICにより精緻化された執行ツールを提供しています。

通知が必要なデータ侵害

オーストラリアは2018年から強制的なデータ侵害通知制度を持っており、OAICは2022年および2023年の主要なオーストラリアのデータ侵害事件後の執行において目に見えて積極的でした。不正開示につながるクッキーまたは追跡関連の事件はすべて対象範囲内に入る可能性があります。

国境を越えたデータ転送とグローバルトラフィック

Australian Privacy Principle 8は、事業者が海外の受取人がAPPと一致する形で個人情報を取り扱うよう合理的な措置を講じることを要求しています。グローバルなad techを使用するパブリッシャーにとって、これは実質的に類似した法律を持つ管轄区域、海外の受取人からの契約上の拘束力のある約束、または個人からの情報に基づく同意のいずれかを意味します。

米国へのデータ転送

米国は現在、実質的に類似した法律を持つとは認められていません。したがって、米国のad techベンダーへの転送には、拘束力のある契約上のコミットメントまたは明示的な同意が必要です。EU-US転送をカバーするData Privacy Frameworkの認証に依存するパブリッシャーは、それらの認証がオーストラリアのAPP 8要件を自動的に満たすわけではないことに注意すべきです。

2026年のオーストラリアトラフィック向け監査チェックリスト

• CMPはオーストラリアのトラフィックに対して、視覚的に同等に目立つ承諾、拒否、カスタマイズのオプションを提示します
• ターゲット広告、リターゲティング、セッションリプレイにはオプトイン同意が必要、アナリティクスは通知とデータ最小化によって運用されます
• プライバシーポリシーはクッキー、ピクセル追跡、広告識別子を明確に特定し、APP 3とAPP 6に沿った目的の声明を含みます
• 国境を越えた転送メカニズムはすべての非オーストラリア処理者（ベンダーリスト、契約上の保護、または同意）について文書化されています
• そのようなシステムを使用して重要な決定が行われる場合は自動意思決定を開示します
• Children's Online Privacy Code準備評価が完了しており、検出された未成年ユーザーに対して高プライバシーのデフォルトが利用可能です
• ユーザーが送信した個人情報を公開する可能性のある機能についてドキシングリスクレビューが完了しています
• データ侵害対応計画は30日の通知期間と現在のOAIC報告形式に合致しています

2026年の展望

オーストラリアは、より緩やかなプライバシー体制から、独自のオーストラリア的な特性を持ちながら欧州やカリフォルニアのフレームワークにますます似てきた体制への構造的な移行の最中にあります。第1段階はすでに執行可能であり、訴訟を再編しています。中小企業免除の縮小とターゲット広告の明示的な規制を含む第2段階は、2026年または2027年に発効する可能性があります。GDPRレベルの同意スタックに投資したパブリッシャーと広告主は、コンプライアンスに必要な機構のほとんどをすでに持っています。オーストラリアの歴史的により緩やかな姿勢に依存してきた人々は、既知のギャップを持って新しい体制に入ります。適切な対応は、法定不法行為、Children's Code、またはOAIC監査が誰も管理できないタイムラインで問題を強制する前に、今そのギャップを埋めることです。