| Submission to 2023–2030 Cyber Security Strategy Discussion Paper |
2023-2030年サイバーセキュリティ戦略ディスカッションペーパーへの提出 |
| Introduction |
はじめに |
| 1.1The Office of the Australian Information Commissioner (OAIC) welcomes the opportunity to make a submission to the 2023–2030 Australian Cyber Security Strategy Discussion Paper (Discussion Paper) released by the Department of Home Affairs (Home Affairs) and to contribute to shaping the 2023–2030 Australian Cyber Security Strategy (Strategy). |
1.1 オーストラリア情報コミッショナー事務所(OAIC)は、内務省(Home Affairs)が発表した 2023-2030 年オーストラリアサイバーセキュリティ戦略ディスカッションペーパー(Discussion Paper)に提出し、2023-2030 年オーストラリアサイバーセキュリティ戦略(Strategy)の形成に寄与する機会を歓迎する。 |
| 1.2The OAIC is Australia’s independent Commonwealth privacy regulator.[1] We play a critical role in regulating entities subject to the Privacy Act 1988 (Privacy Act) to safeguard personal information. The security of personal information is a key regulatory priority for the OAIC. [2] |
1.2 OAICは、オーストラリア連邦の独立したプライバシー規制機関です[1]。 1988年プライバシー法(Privacy Act)の適用を受ける事業者が個人情報を保護するための規制を行う上で、重要な役割を担っている。 個人情報のセキュリティは、OAICにとって重要な規制上の優先事項である。 [2] |
| 1.3Privacy is an essential component in the ring of defence to protect Australia from cyber threats. The Privacy Act includes well-established security requirements, including the obligations under the Australian Privacy Principles (APPs), in particular APP 1 and APP 11, and the Notifiable Data Breaches (NDB) scheme.[3] |
1.3 プライバシーは、オーストラリアをサイバー脅威から守るための防衛の環に不可欠な要素である。プライバシー法には、オーストラリアプライバシー原則(APPs)、特にAPP 1とAPP 11に基づく義務、および通知可能なデータ漏洩(NDB)スキームを含む、確立されたセキュリティ要件が含まれている[3]。 |
| 1.4We welcome the Discussion Paper’s commitment to considering feedback received on the current review of the Privacy Act by the Attorney-General’s Department as part of the development of the Strategy.[4] There is an important opportunity to achieve alignment between the proposals to uplift the established requirements in the Privacy Act Review: Report 2022 (Privacy Act Review Report) and the new Strategy to ensure a consistent, whole-of-government approach to reducing the risk of cyber harm.[5] |
1.4 我々は、戦略策定の一環として、司法長官によるプライバシー法の現行レビューに寄せられたフィードバックを考慮するというディスカッションペーパーのコミットメントを歓迎する[4]。プライバシー法のレビューにおける確立された要件を引き上げる提案の間に整合性を達成する重要な機会がある: 2022年報告書(Privacy Act Review Report)と新戦略は、サイバー被害のリスクを低減するための一貫した政府全体のアプローチを確保するために、整合性を取る重要な機会がある[5]。 |
| 1.5The development of the Strategy comes at a pivotal time. As the Discussion Paper notes, Australia is still counting the cost of the two most significant data breaches in Australia’s history, Optus in September 2022 and Medibank in October 2022.[6] In this context, the OAIC supports additional measures to enhance Australia’s cyber security posture. However, as part of this, the OAIC considers it is essential that any cyber security reforms preserve the integrity of the NDB scheme and the OAIC’s ability to exercise its powers and functions under the Privacy Act. |
1.5 戦略の策定は極めて重要な時期に来ている。ディスカッションペーパーにあるように、オーストラリアは、2022 年 9 月の Optus と 2022 年 10 月の Medibank という、オーストラリアの歴史上最も重要な 2 つのデータ漏洩のコストをまだ計算している[6]。このような背景から、OAIC はオーストラリアのサイバーセキュリティ体制を強化する追加措置を支持する。しかし、その一環として、OAICは、サイバーセキュリティ改革がNDBスキームの完全性とOAICがプライバシー法の下で権限と機能を行使する能力を維持することが不可欠であると考える。 |
| 1.6While government plays an important role in providing support, information and resources to assist entities to uplift cyber resilience and security, the primary responsibility for preventing breaches and protecting data in accordance with the Privacy Act rests with the entities themselves. |
1.6 政府は、事業体がサイバーレジリエンスとセキュリティを向上させるための支援、情報、リソースを提供する上で重要な役割を果たすが、侵害を防止し、プライバシー法に従ってデータを保護する第一の責任は、事業体自身が負うものである。 |
| Summary of recommendations |
提言の概要 |
| Recommendation 1 – The 2023–2030 Australian Cyber Security Strategy should consider and align cyber security reforms with proposals in the Privacy Act Review Report to uplift established privacy security obligations and ensure a consistent, whole-of-government approach to reducing the risk of harm. This includes proposals to remove the small business exemption and enhance the NDB scheme’s reporting requirements. |
提言 1 - 2023-2030 年のオーストラリア・サイバーセキュリティ戦略は、確立されたプライバシーセキュリティ義務を向上させ、被害リスクを軽減するための一貫した政府全体のアプローチを確保するため、サイ バーセキュリティ改革とプライバシー法見直し報告書の提案とを検討し、連携させるべきである。これには、小規模事業者の免責を撤廃し、NDB スキームの報告要件を強化する提案も含まれる。 |
| Recommendation 2 – Consider the distinct purposes of the various cyber security regulatory frameworks in any reform proposals to ensure that relevant laws continue to work cohesively to address risks of harm without leaving any regulatory gaps. |
提言 2 - 改革案において、様々なサイバーセキュリティ規制の枠組みの明確な目的を考慮し、関連する法律が、規制の隙間を残すことなく、危害のリスクに対処するために一貫して機能し続けることを保証すべきである。 |
| Recommendation 3 – Collaboration and information sharing mechanisms, supported through legislative amendment where necessary, should be encouraged to reduce the regulatory burden on entities and ensure a consistent, whole-of-government regulatory approach to uplifting Australia’s cyber security and resilience. |
提言 3 - 規制当局の負担を軽減し、オーストラリアのサイバーセキュリティとレジリエンスを向上させるための一貫した政府全体の規制アプローチを確保するために、必要に応じて法改正による支援を受けながら、連携と情報共有の仕組みを促進すべきである。 |
| Recommendation 4 – As a first step to reducing the compliance burdens on industry, consider whether the provision of appropriate guidance could assist entities to navigate their cyber security obligations. |
提言 4 - 産業界のコンプライアンス負担を軽減するための第一歩として、適切なガイダンスを提供することで、事業者のサイバーセキュリティ義務を支援できるかどうかを検討すべきである。 |
| Recommendation 5 – Any proposed amendments to the SOCI Act, specifically in relation to including ‘customer data’ and ‘systems’ in the definitions of ‘critical assets’, should be accompanied by relevant amendments ensuring that protected information can be disclosed to the OAIC so that it can continue to exercise its powers and functions. |
提言 5 - SOCI 法の改正案、特に「重要資産」の定義に「顧客データ」と「システム」を含めることに関連し、OAIC がその権限と機能を引き続き行使できるように、保護された情報を開示できることを保証する関連改正を伴うべきである。 |
| Recommendation 6 – Any proposed single reporting portal should be designed in close consultation with affected regulators, to ensure that the timeliness and integrity of the reporting requirements for all the regimes consolidated within the portal, including the NDB scheme, are preserved. |
提言 6 - 単一の報告ポータルの提案は、NDBスキームを含むポータルに統合されるすべてのレジームの報告要件の適時性と完全性が維持されるように、影響を受ける規制当局と緊密に協議しながら設計されるべきである。 |
| Recommendation 7 – The CSRN and other forums should continue to play a role in post-incident reviews and their work should inform incident response planning policy and practice. |
提言 7 - CSRNやその他のフォーラムは、インシデント発生後のレビューにおいて引き続き役割を果たすべきであり、その活動はインシデント対応計画の方針と実践に反映されるべきである。 |
| Recommendation 8 – Any proposed obligations of confidentiality should be carefully designed in consultation with regulators, to ensure that agencies such as the OAIC are still able to obtain the information they need from affected entities at the appropriate time, and to exercise their functions and powers in the public interest. |
提言 8 - 提案される守秘義務は、規制当局と協議の上、慎重に設計されるべきであり、OAICのような機関が適切な時期に影響を受ける事業者から必要な情報を入手し、公共の利益のためにその機能および権限を行使することができることを保証すべきである。 |
| Recommendation 9 – Support government agencies and regulators to engage with international counterparts to influence global dialogues in regulatory areas impacting cyber security, such as privacy, to promote consistently high standards around the world. |
提言 9 - 政府機関や規制当局が、プライバシーなどサイバーセキュリティに影響を与える規制分野におけるグローバルな対話に影響を与えるために、国際的なカウンターパートと関わり、世界中で一貫して高い水準を推進することを支援すべきである。 |
| Uplifting cyber security through strengthening and streamlining existing frameworks |
既存の枠組みの強化と合理化を通じて、サイバーセキュリティを向上させる。 |
| Strengthening existing frameworks |
既存の枠組みを強化する |
| 1.7 Privacy and cyber security are inextricably interwoven. Effective privacy regulation plays an important role in uplifting Australia’s cyber security posture, while robust cyber security settings are crucial in protecting Australians’ personal information in an increasingly digital environment. In response to Question 1 of the Discussion Paper, we consider that it is important for the Strategy to be built on an understanding of this symbiotic relationship, to succeed in realising the Strategy’s goal of making Australia the most cyber secure nation in the world by 2030.[7] |
1.7 プライバシーとサイバーセキュリティは、表裏一体である。効果的なプライバシー規制は、オーストラリアのサイバーセキュリティ態勢を強化する上で重要な役割を果たし、強固なサイバーセキュリティ設定は、デジタル化が進む環境下でオーストラリア人の個人情報を保護する上で極めて重要である。ディスカッション・ペーパーの質問1に対して、我々は、2030年までにオーストラリアを世界で最もサイバーセキュアな国にするという戦略の目標を実現するためには、この共生関係を理解した上で戦略を構築することが重要であると考える[7]。 |
| 1.8As recent large-scale data breaches have showed, entities collect and hold an increasingly large quantity of personal and sensitive information about Australians which must be secured effectively. When cyber security settings fail, the risk of harm to individuals whose information is compromised can be devastating. |
1.8 最近の大規模なデータ漏洩が示すように、事業体はオーストラリア人の個人情報や機密情報をますます大量に収集し、保持しており、これらは効果的に保護されなければならない。サイバーセキュリティの設定が失敗した場合、情報が漏洩した個人への被害リスクは壊滅的なものとなり得る。 |
| 1.9The volume and granularity of personal information that is collected by entities, combined with other practices such as tracking, monitoring and profiling, amplifies privacy and security risks. The Privacy Act Review Report considers what changes are needed to Australia’s privacy framework to respond to these risks.[8] It includes detailed examination of proposals that would assist in achieving the Discussion Paper’s objective of enhancing cyber resilience across the economy. |
1.9 事業者が収集する個人情報の量と粒度は、追跡、監視、プロファイリングなどの他の慣行と組み合わされ、プライバシーとセキュリティのリスクを増大させる。プライバシー法の見直し報告書は、これらのリスクに対応するために、オーストラリアのプライバシーの枠組みにどのような変更が必要かを検討している[8]。 経済全体のサイバーレジリエンスを強化するというディスカッションペーパーの目的の達成を支援する提案を詳細に検討することが含まれている。 |
| 1.10Noting the feedback sought in Question 2(a) in relation to the appropriate reform mechanisms to improve mandatory operational cyber security standards across the economy, the OAIC recommends that the new Strategy and any related reforms leverage and build upon the established security requirements in the Privacy Act where appropriate. For example, requirements under APP 1 and APP 11, along with the NDB scheme (explained further below), could be said to provide a ‘baseline’ level of security protections across the whole economy for personal information.[9] |
1.10 経済全体の強制的な運用サイバーセキュリティ基準を改善するための適切な改革メカニズムに関連して、質問2(a)で求められたフィードバックに留意し、OAICは、新しい戦略と関連する改革が、必要に応じてプライバシー法の確立したセキュリティ要件を活用し構築することを推奨している。例えば、APP 1とAPP 11に基づく要件は、NDBスキーム(以下でさらに説明)と共に、個人情報に対する経済全体のセキュリティ保護の「ベースライン」レベルを提供すると言える[9]。 |
| 1.11Implementation of the reforms proposed in the Privacy Act Review Report also provide an important opportunity to uplift these well-established baseline security obligations.[10] In particular, the following proposals would aid in achieving the Discussion Paper’s objective of enhancing cyber resilience across the economy: |
1.11プライバシー法の見直し報告書で提案された改革を実施することは、これらの確立されたベースラインのセキュリティ義務を向上させる重要な機会にもなる[10]。 特に、以下の提案は、経済全体のサイバー耐性を強化するというディスカッションペーパーの目的の達成を支援するものである: |
| removing the small business exemption so that small to medium sized enterprises are brought within the Privacy Act’s scope, thereby establishing baseline security protections across the entire economy[11] |
中小企業の適用除外を撤廃し、中小企業をプライバシー法の適用範囲に含めることで、経済全体にわたる基本的なセキュリティ保護を確立する[11]。 |
| strengthening the NDB scheme, including through amendments to the notification requirements and timeframes[12] and an express requirement for entities to take reasonable steps to implement practices, procedures and systems to enable them to respond to data breaches.[13] This will allow the OAIC to take regulatory action quickly to minimise harm to affected individuals and agencies will be able to collaborate more effectively. Affected individuals will also be in a stronger position to mitigate the risk of serious harm arising from the breach. We note that the OAIC has recommended that these proposals could be strengthened through an express obligation on entities to take reasonable steps to prevent or reduce the harm that is likely to arise for individuals as a result of a data breach[14] |
通知要件と時間枠の修正[12]、データ侵害に対応するための実務、手続き、システムを導入するための合理的な措置を講じることを事業者に求める明示的な要件[13]など、NDBスキームの強化。これにより、OAICは影響を受ける個人への被害を最小限に抑えるための規制措置を迅速に講じ、機関はより効果的に連携できるようになる。また、影響を受ける個人は、情報漏えいから生じる重大な損害のリスクを軽減するためのより強い立場に立つことができる。我々は、OAICが、データ侵害の結果として個人に生じる可能性の高い危害を防止または軽減するための合理的な措置を講じる事業体に対する明示的な義務を通じて、これらの提案を強化することができると提言したことに留意する[14]。 |
| including a list of factors in APP 11, which outlines the baseline privacy outcomes APP entities should consider when taking reasonable steps to protect the personal information they hold, setting a bar for entities and encouraging them to conduct continuous analysis of the potential for threats and their severity so that security measures are commensurate to risks[15] |
APP11に要因のリストを含めること。APPは、事業体が保有する個人情報を保護するために合理的な措置を講じる際に考慮すべき基本的なプライバシー成果の概要を示しており、事業体に基準を設け、セキュリティ対策がリスクに見合うように脅威の可能性とその重大性について継続的に分析を実施するよう奨励する[15]。 |
| enhancing the OAIC’s Guidelines on APP 11 on the ‘reasonable steps’ for securing personal information, including cyber-specific elements drawing on technical advice from the Australian Cyber Security Centre (ACSC).[16] |
個人情報を保護するための「合理的な措置」に関するOAICのガイドライン(APP11)を強化し、オーストラリア・サイバーセキュリティセンター(ACSC)からの技術的助言をもとに、サイバーに特化した要素を含む[16]。 |
| Recommendation 1 – The 2023–2030 Australian Cyber Security Strategy should consider and align cyber security reforms with proposals in the Privacy Act Review Report to uplift established privacy security obligations and ensure a consistent, whole-of-government approach to reducing the risk of harm. This includes proposals to remove the small business exemption and enhance the NDB scheme’s reporting requirements. |
提言 1 - 2023-2030 年のオーストラリア・サイバーセキュリティ戦略は、確立されたプライバシ ーセキュリティ義務を向上させ、被害リスクを軽減するための一貫した政府全体のアプローチを確保するため、サイ バーセキュリティ改革とプライバシー法見直し報告書の提案とを検討し、連携させるべきである。これには、小規模事業者の免責を撤廃し、NDB スキームの報告要件を強化する提案も含まれる。 |
| Streamlining cyber-security efforts |
サイバーセキュリティの取り組みの合理化 |
| 1.12The OAIC agrees that if we are to ‘lift and sustain cyber resilience and security, it must be an integrated whole-of-nation endeavour’.[17] Having consistent, interoperable and cohesive systems in place is essential to protecting all Australians from cyber threats. Such an approach will promote public trust and confidence in cyber security protections embedded in digital products and services. |
1.12 OAIC は、「サイバーレジリエンスとセキュリティを高め、維持するためには、統合された国全体の努力 が必要である」ことに同意する[17]。一貫した、相互運用可能でまとまったシステムを整備することは、すべてのオーストラリア国民 をサイバー脅威から守るために不可欠である。このようなアプローチは、デジタル製品やサービスに組み込まれたサイバーセキュリティ保護に対する国民の信頼と信用を促進するものである。 |
| 1.13Question 2(d) canvasses whether Australia should consider a Cyber Security Act. The OAIC considers that the concept of a single Act, drawing together cyber-specific legislative obligations and standards across industry and government, offers the potential to simplify regulatory frameworks. We note the Discussion Paper does not provide any further detail and would welcome the opportunity to engage with Home Affairs about the proposed legislation. |
1.13 質問2(d)は、オーストラリアがサイバーセキュリティ法を検討すべきかどうかを問うものである。OAICは、産業界と政府間のサイバーに特化した立法義務と基準をまとめた単一の法律のコンセプトは、規制の枠組みを簡素化する可能性があると考える。ディスカッション・ペーパーにはこれ以上の詳細が記載されていないことに留意し、提案された法律について内務省に関与する機会を歓迎する。 |
| 1.14Question 2(e) of the Discussion Paper invites comments on opportunities to streamline existing regulatory frameworks and reduce the burden on industry. The OAIC welcomes certain measures that have already been implemented, such as the establishment of the national Coordinator for Cyber Security and the National Office for Cyber Security.[18] Noting recent experiences with the Medibank and Optus data breaches, we appreciate the need for greater centralisation and coordination of whole-of-government responses to data breaches and cyber incidents. |
1.14 ディスカッション・ペーパーの質問2(e)は、既存の規制の枠組みを合理化し、産業界の負担を軽減する機会についてコメントを求めている。OAICは、サイバーセキュリティのための国家コーディネーターやサイバーセキュリティのための国家事務所の設立など、すでに実施されている一定の措置を歓迎する[18]。メディバンクやオプタスのデータ漏洩の最近の経験に注目し、データ漏洩やサイバー事件に対する政府全体の対応の集中化と調整の必要性を評価する。 |
| 1.15The OAIC also supports consideration of streamlining existing frameworks and any duplicative oversight requirements. We acknowledge that entities are currently required to navigate multiple frameworks in relation to cyber security, including the Privacy Act and the Security of Critical Infrastructure Act 2018 (SOCI Act), as well as frameworks regulated by the Australian Securities and Investment Commission (ASIC),[19] and the Australian Prudential Regulation Authority (APRA).[20] |
1.15 OAIC は、既存の枠組みや重複する監督要件の合理化を検討することも支持する。我々は、事業者が現在、プライバシー法や重要インフラストラクチャー安全法2018(SOCI法)、さらにオーストラリア証券投資委員会(ASIC)[19]やオーストラリア健全性規制局(APRA)が規制する枠組みなど、サイバーセキュリティに関連する複数の枠組みを利用することが求められていることを認める[20]。 |
| 1.16While there may be intersections, it is important to acknowledge that these regulatory frameworks address different economic and consumer risks. In this way, the various regimes are essential and complementary components in the ring of defence built to address the risks and harms faced by Australians in the digital age. An enduring and sustainable approach to cyber security must be comprehensive if it is to effectively reduce the harms that can arise from a cyber incident. While we appreciate the need to streamline and centralise frameworks, we would caution that any reforms must ensure that the distinct and important purposes of each regime are considered, to ensure there are no regulatory gaps. |
1.16 交差する部分があるかもしれないが、これらの規制の枠組みは、異なる経済リスクと消費者リスクに対処していることを認識することが重要である。このように、様々な規制は、デジタル時代にオーストラリア人が直面するリスクと被害 に対処するために構築された防衛の環において、不可欠かつ補完的な構成要素である。サイバーセキュリティに対する永続的かつ持続可能なアプローチは、サイバーインシデントから生じ得る損害を効果的に軽減するためには、包括的でなければなりません。我々は、枠組みの合理化と一元化の必要性を評価するが、いかなる改革も、規制の隙間がないように、各制度の明確で重要な目的が考慮されることを保証しなければならないことに注意したい。 |
| 1.17In addition, the OAIC considers that collaboration and information sharing across government agencies is key to reducing the regulatory burden on entities and ensuring that a consistent, whole-of-government approach is implemented to promote cyber security.[21] A coordinated approach between regulators is central to ensuring that the distinct but complementary cyber regulatory frameworks work cohesively to address risks of harm. The Cyber Security Regulators Network (CSRN), which the OAIC co-chairs with APRA, is an example of a forum that facilitates information sharing between regulators on cyber-related matters, enabling them to reduce duplication in regulatory responses and coordinate messages to regulated entities. Where necessary and appropriate as part of any reform package, greater information sharing and collaboration between regulators should be facilitated by legislative amendment. |
1.17 さらに、OAICは、政府機関間の連携と情報共有が、事業者の規制負担を軽減し、サイバーセキュリティを促進するための一貫した政府全体のアプローチを確実に実施するための鍵であると考える[21]。規制当局間の協調的アプローチは、異なるが補完的なサイバー規制の枠組みが被害のリスクに対処して首尾よく機能することを確保するための中心である。OAICがAPRAと共同議長を務めるサイバーセキュリティ規制当局ネットワーク(CSRN)は、サイバー関連事項に関する規制当局間の情報共有を促進するフォーラムの一例であり、規制当局の対応における重複を減らし、規制対象団体へのメッセージを調整することを可能にする。改革パッケージの一部として必要かつ適切な場合、規制当局間の情報共有と協力の強化は、法改正によって促進されるべきである。 |
| 1.18We see the value in regulators working together to avoid unnecessary or inadvertent overlap for industry. At the same time, we do not consider that regulatory overlap is necessarily a negative outcome, particularly where it is well managed. It is more problematic if regulatory gaps expose individuals to harm. In certain circumstances, collaboration between relevant regulators and issuing appropriate guidance to assist entities to understand their regulatory obligations may be more appropriate to address parallel but distinct regulatory concerns, than streamlining frameworks. The new National Office for Cyber Security, announced recently by the Minister for Cyber Security Clare O’Neil MP, is a potential mechanism to centralise and consolidate guidance produced by government agencies and regulators to assist entities.[22] |
1.18 産業界にとって不必要な、あるいは不注意な重複を避けるために、規制当局が協力することに価値があると考える。同時に、我々は、規制の重複が、特にそれが適切に管理されている場合には、必ずしも否定的な結果であるとは考えていない。規制のギャップが個人を危険にさらす場合はより問題である。状況によっては、関連する規制当局間の協力や、事業者が規制上の義務を理解するための適切なガイダンスの発行は、枠組みの合理化よりも、並行するが異なる規制上の懸念に対処するために適切である場合がある。サイバーセキュリティ担当大臣であるクレア・オニール(Clare O'Neil MP)が最近発表したサイバーセキュリティのための新しい国家事務局は、政府機関や規制当局が作成したガイダンスを集中・統合し、事業者を支援する潜在的メカニズムである[22]。 |
| Recommendation 2 – Consider the distinct purposes of the various cyber security regulatory frameworks in any reform proposals to ensure that relevant laws continue to work cohesively to address risks of harm without leaving any regulatory gaps. |
提言 2 - 改革案において、様々なサイバーセキュリティ規制の枠組みの明確な目的を考慮し、関連する法律が、規制の隙間を残すことなく、危害のリスクに対処するために一貫して機能し続けることを保証すべきである。 |
| Recommendation 3 – Collaboration and information sharing mechanisms, supported through legislative amendment where necessary, should be encouraged to reduce the regulatory burden on entities and ensure a consistent, whole-of-government regulatory approach to uplifting Australia’s cyber security and resilience. |
提言 3 - 規制当局の負担を軽減し、オーストラリアのサイバーセキュリティとレジリエンスを向上させるための一貫した政府全体の規制アプローチを確保するために、必要に応じて法改正による支援を受けながら、連携と情報共有の仕組みを促進すべきである。 |
| Recommendation 4 – As a first step to reducing the compliance burdens on industry, consider whether the provision of appropriate guidance could assist entities to navigate their cyber security obligations. |
提言 4 - 産業界のコンプライアンス負担を軽減するための第一歩として、適切なガイダンスを提供することで、事業者のサイバーセキュリティ義務を支援できるかどうかを検討すべきである。 |
| Extending the definition of ‘critical assets’ |
重要資産」の定義の拡張 |
| 1.19Question 2(b) of the Discussion Paper invites comments on whether further reform to the SOCI Act is required. In particular, the Discussion Paper seeks feedback on whether existing definitions of ‘critical assets’ in the Act should be expanded to include ‘customer data’ and ‘systems’, the objective being to ensure that the powers under the SOCI Act extend to major data breaches, not just operational disruptions.[23] While we appreciate that this could potentially allow for an uplift of security standards in relation to the handling of personal information, the OAIC is concerned that an unintended consequence of including ‘customer data’ or ‘systems’ in the definitions of ‘critical assets’ would result in a restriction on our ability to exercise our functions and powers in some circumstances, such as in the event of a data breach. |
1.19 ディスカッション・ペーパーの質問2(b)は、SOCI法のさらなる改革が必要かどうかについてのコメントを求めている。特に、ディスカッション・ペーパーでは、SOCI 法に基づく権限が、業務上の混乱だけでなく、大規模なデータ漏洩にも及ぶようにすることを目的として、同法の「重要資産」の既存の定義を「顧客データ」や「システム」にも拡大すべきかどうかについてフィードバックを求めている。 [23] 個人情報の取り扱いに関連したセキュリティ基準の引き上げを可能にする可能性があることは評価するが、OAICは、「重要資産」の定義に「顧客データ」や「システム」を含めるという意図せざる結果、データ侵害の場合など、状況によっては我々の機能と権限を行使する能力が制限されることを懸念している。 |
| 1.20Although the Discussion Paper does not define ‘customer data’ or ‘systems’, it seems likely that it could constitute personal information and/or information about entities’ security arrangements and data breaches, and so the potential overlap into areas regulated by the Privacy Act will need to be considered. |
1.20 討議資料では「顧客データ」または「システム」を定義していないが、個人情報および/または事業者のセキュ リティ体制やデータ侵害に関する情報を構成する可能性があるため、プライバシー法が規制する領域と重なる可能 性を検討する必要がある。 |
| 1.21As outlined above, the Privacy Act includes baseline security requirements that play a crucial role in reducing the likelihood of data breaches occurring and in mitigating their impacts on individuals, such as the requirements of APP 1 and APP 11 and the NDB scheme. The Privacy Act applies to regulated entities across the economy, apart from businesses with an annual turnover of $3 million or less (with some exceptions). |
1.21 上述のように、プライバシー法には、APP 1、APP 11、NDB スキームの要件など、データ侵害の発生 の可能性を低減し、個人への影響を緩和する上で重要な役割を果たす基本的なセキュリティ要件が含ま れる。プライバシー法は、年間売上高が 300 万ドル以下の企業(一部例外あり)を除き、経済全般の規制対象事業者に適用される。 |
| 1.22In particular, the NDB scheme requires APP entities to notify the OAIC and affected individuals about data breaches that are likely to result in serious harm to an individual whose personal information is involved.[24] This includes cyber security incidents involving personal information which may also fall within the scope of the SOCI Act.[25] The scheme is designed to enable individuals whose personal information has been compromised in a data breach to take remedial steps to lessen the adverse impacts that might arise from the breach. |
1.22 特に、NDB スキームは、APP 事業者に対して、個人情報が関係する個人に重大な損害をもたらす可能 性のあるデータ侵害について、OAIC および影響を受ける個人に通知することを義務付けている [24] 。これには、SOCI 法の範囲にも含まれる個人情報に関わるサイバーセキュリティ事件も含まれる [25] 。このスキームは、データ侵害によって個人情報が漏洩した個人が、侵害から生じるかもしれない悪影響を軽減 するために改善措置を取ることを可能にするために設計されている。 |
| 1.23In addition, the Privacy Act includes a complaint mechanism that allows individuals who have been adversely impacted by a data breach to seek redress from the entity that handled their information.[26] This mechanism is crucial as it allows the OAIC to appropriately address the consequences of a data breach for an affected individual. As the trusted national independent privacy regulator, the OAIC plays an important role in providing advice, assurance and, in some cases, a remedy for affected individuals in the event of a breach. |
1.23 さらに、プライバシー法には、データ侵害によって悪影響を受けた個人が、自分の情報を扱った事業者に救済を求めることを可能にする苦情メカニズムが含まれている[26]。このメカニズムは、OAIC が影響を受けた個人に対するデータ侵害の結果に適切に対処することを可能にするので重要である。信頼できる国の独立したプライバシー規制機関として、OAIC は、情報漏えいが発生した場合、影響を受ける個人に対して助言、保証、場合によっては救済を提供するという重要な役割を担っている。 |
| 1.24By contrast, the SOCI Act creates a framework for the regulation of entities in 11 specified ‘critical infrastructure’ sectors, and imposes mandatory cyber incident reporting to the ACSC to enhance the government’s ability to manage national security risks.[27] We note that the SOCI Act imposes a number of positive security obligations in relation to assets deemed to be ‘critical assets’, including creating and maintaining a risk management program, and mandatory cyber security incident reporting.[28] |
1.24 対照的に、SOCI 法は、11 の特定「重要インフラ」分野の事業体を規制するための枠組みを作り、国家安全保障リスクを管理する政府の能力を強化するために ACSC へのサイバー事件報告の義務を課している[27]。SOCI 法は、リスク管理プログラムの作成と維持、サイバーセキュリティ事件報告の義務など「重要資産」とみなされる資産に関連して、多くのポジティブなセキュリティ義務を課すことに注意する[28]。 |
| 1.25Importantly, information that is obtained or created in accordance with the SOCI Act is known as ‘protected information’, and the use and disclosure of this information is limited under the Act.[29] For example, a cyber security incident that is reported under the SOCI Act, is considered ‘protected information’ under that Act.The SOCI Act prevents the disclosure of protected information unless an exception applies, or the disclosure is otherwise authorised.[30] Currently, there is no exception or authorisation for an entity to disclose protected information to the OAIC in accordance with that entity’s statutory obligation to do so.[31] |
1.25 重要なことは、SOCI 法に従って取得または作成される情報は「保護された情報」と呼ばれ、この情報の使用と開示は同法の下で制限される[29]。例えば、SOCI 法に基づいて報告されるサイバーセキュリティ事件は、同法の下で「保護された情報」と見なされる。 SOCI 法は、例外が適用されるか、または開示が別途許可されない限り、保護情報の開示を防止する[30]。現在、保護情報を開示する事業者の法的義務に従って OAIC に開示するための例外または許可は存在しない[31]。 |
| 1.26The OAIC is therefore concerned that an unintended consequence of an amendment to extend the definition of critical assets would be to restrict entities from sharing certain information with the OAIC, such as information or documents included in risk management programs (outlining security arrangements) and cyber security incident notifications, where that information is protected information under the SOCI Act. This would hamper the OAIC’s ability to effectively respond to and investigate data or privacy breaches,unless an exception under Division 3 of the SOCI Act applied. |
1.26 したがって、OAICは、重要資産の定義を拡大する改正の意図しない結果として、リスク管理プログラム(セキュリティの取り決めの概要)やサイバーセキュリティ事件の通知に含まれる情報または文書など、その情報がSOCI法に基づく保護情報である場合に、企業がOAICと特定の情報を共有することを制限することになることを懸念する。これは、SOCI 法の第 3 部門に基づく例外が適用されない限り、データまたはプライバシー侵害に効果的に対応し、調査する OAIC の能力を阻害することになる。 |
| 1.27This may also impact the ability of the OAIC to effectively investigate and otherwise handle complaints made by individuals in relation to a data breach.[32] A limitation on the OAIC’s power to obtain information from entities would significantly impede the OAIC’s exercise of its privacy functions and ability to grant remedies to individuals who have suffered harm. For example, if an individual makes a complaint to the OAIC after suffering harm due to a cyber incident or data breach, the proposed amendment to the SOCI Act may prevent the OAIC from collecting the information it needs to assess whether APP 1 and APP 11 have been complied with, if the affected entity claims that the relevant information is protected information. |
1.27 また、データ侵害に関連して個人から寄せられた苦情を効果的に調査し、処理する OAIC の能力にも影響する可能性がある[32]。OAIC が事業者から情報を取得する権限を制限することは、OAIC のプライバシー機能の行使と損害を被った個人に救済を与える能力を大きく阻害する。例えば、サイバー事件やデータ侵害により被害を受けた個人が OAIC に苦情を申し立てた場合、SOCI 法の改正案は、被害を受けた事業者が関連情報を保護情報であると主張すれば、OAIC が APP 1 および APP 11 が遵守されているかどうかを評価するために必要な情報を収集することを妨げるかもしれない。 |
| 1.28The OAIC therefore recommends that any proposed amendments to the SOCI Act and associated reforms carefully consider this possible intersection and include mechanisms to overcome impediments to the OAIC’s exercise of its functions and powers. For example, consideration could be given to amending Division 3, Subdivision A of the SOCI Act to include a new provision to provide for the authorised use and disclosure of protected information to the OAIC for the purposes of exercising its regulatory functions and powers under the Privacy Act.[33] |
1.28 したがって、OAIC は、SOCI 法の改正案および関連する改革案が、このような交差の可能性を注意深く考慮し、OAIC の機能および権限の行使に対する障害を克服するメカニズムを含むことを推奨する。例えば、SOCI 法の第 3 部、第 A 部を改正し、プライバシー法に基づく規制機能および権限を行使する目的で、OAIC に対する保護情報の認可された使用および開示を規定する新しい規定を設けることを検討することができる[33]。 |
| Recommendation 5 – Any proposed amendments to the SOCI Act, specifically in relation to including ‘customer data’ and ‘systems’ in the definitions of ‘critical assets’, should be accompanied by relevant amendments ensuring that protected information can be disclosed to the OAIC so that it can continue to exercise its powers and functions. |
提言 5 - SOCI 法の改正案、特に「重要資産」の定義に「顧客データ」と「システム」を含めることに関連し、OAIC がその権限と機能を引き続き行使できるように、保護された情報を開示できることを保証する関連改正を伴うべきである。 |
| Improving government response to major cyber incidents |
大規模なサイバーインシデントへの政府の対応を改善する |
| Single reporting portal |
単一の報告ポータル |
| 1.29Question 13(a) proposes a single reporting portal for all cyber incidents, harmonising existing requirements to report separately to multiple regulators. The OAIC is broadly supportive of the concept of a single reporting portal. However, more detail will be needed on how such a portal would function, and in particular on the interplay between the SOCI Act reporting requirements and NDB scheme obligations given the points outlined in the preceding section. |
1.29 質問13(a)は、複数の規制当局に個別に報告する既存の要件を調和させ、すべてのサイバーインシデントに対する単一の報告ポータルを提案する。OAICは、単一の報告ポータルの概念を広範に支持する。しかし、このようなポータルがどのように機能するか、特に、前節で概説した点を踏まえ、SOCI法の報告要件とNDBスキームの義務の相互関係については、より詳細な説明が必要であろう。 |
| 1.30If adopted, the portal should be designed to ensure the reporting requirements for each regime are incorporated accurately, and the integrity of the NDB reporting scheme is preserved. The portal would also need to enable quick access to reported information by the agencies monitoring compliance with relevant statutes. Potential difficulties would arise if centralised reporting slows or limits the information flows to regulators. This will be crucial to ensuring the OAIC is able to continue to effectively exercise its functions and powers as the trusted national independent privacy regulator, and provide advice, assurance, and, in some cases, a remedy for affected individuals and the public. |
1.30 採用された場合、ポータルは、各制度の報告要件が正確に組み込まれ、NDB報告スキームの整合性が保たれるように設計されなければならない。また、ポータルは、関連法規の遵守を監視する機関が、報告された情報に迅速にアクセスできるようにする必要がある。一元的な報告により、規制当局への情報の流れが遅くなったり制限されたりすると、困難が生じる可能性がある。これは、OAIC が信頼される国の独立したプライバシー規制当局として、その機能と権限を効果的に行使し続け、影響を受ける個人と一般市民に対して助言、保証、場合によっては救済を提供できるようにするために極めて重要なことであろう。 |
| 1.31It is also important to note that the NDB scheme is not limited to cyber incidents, and also regulates data breaches that occur across all environments including in physical (not online) environments, for example as a result of human error or system fault.[34] Together with other affected regulators, the OAIC would therefore need to be closely involved in the development of any single portal to ensure that clear messages and processes are developed for regulated entities in relation to how to report different types of incidents. |
1.31 また、NDB スキームはサイバーインシデントに限定されるものではなく、例えば人為的なミスやシ ステム障害の結果として、物理的な(オンラインではない)環境を含むあらゆる環境で発生する データ侵害も規制することに留意することが重要である[34]。したがって OAIC は、他の影響を受ける規制当局とともに、異なるタイプのインシデントを報告する方法と関連して規制対象団体に明確な メッセージとプロセスを開発することを保証すべく、単一のポータルの開発に深く関与しなければならないであろう。 |
| Recommendation 6 – Any proposed single reporting portal should be designed in close consultation with affected regulators, to ensure that the timeliness and integrity of the reporting requirements for all the regimes consolidated within the portal, including the NDB scheme, are preserved. |
提言 6 - 単一の報告ポータルの提案は、NDBスキームを含むポータルに統合されるすべてのレジームの報告要件の適時性と完全性が維持されるように、影響を受ける規制当局と緊密に協議しながら設計されるべきである。 |
| Effective post-incident review and consequence management models |
効果的な事故後のレビューと結果管理モデル |
| 1.32The OAIC is supportive of government efforts to develop an effective post-incident review and consequence management model together with industry as discussed in Question 14. We agree that sharing ‘root cause findings’ from investigations of major cyber incidents could be invaluable for shaping regulated entities’ incident response policies and plans. In a similar initiative, the OAIC periodically publishes statistical information about notifications received under the NDB scheme to help entities and the public understand privacy risks identified through the scheme, and uses scenario examples based on reported incidents to help guide better practice.[35] We note that this practice is starting to be adopted internationally.[36] |
1.32 OAIC は、質問 14 で述べたように、産業界と共に効果的な事故後のレビューと結果管理モデルを開発する政府の努力を支持する。我々は、大規模なサイバーインシデントの調査から得られた「根本原因の発見」を共有することが、規制対象事業者のインシデント対応方針と計画を形成する上で非常に貴重であることに同意する。同様の取り組みとして、OAICは、NDBスキームを通じて特定されたプライバシーリスクを事業者と公衆が理解するのを助けるために、NDBスキームの下で受け取った通知に関する統計情報を定期的に公表し、より良い実践を導くために報告されたインシデントに基づくシナリオ例を使用している[35]。 この実践が国際的に採用され始めていることに我々は留意したい[36]。 |
| 1.33Related to this question, we note the establishment of the new National Office for Cyber Security.[37] Based on recent experience, the OAIC acknowledges the need for greater centralisation and coordination in responding to major cyber incidents and we are therefore broadly supportive of this mechanism. |
1.33この質問に関連して、我々は、サイバーセキュリティのための新しい国家事務所の設立に注目している[37]。最近の経験に基づき、OAICは、主要なサイバーインシデントへの対応において、より集中し調整する必要性を認めており、したがって我々は、このメカニズムを広く支持するものである。 |
| 1.34We also note that together with APRA, the OAIC co-chairs the Cyber Security Regulators Network (CSRN), the other members being the Australia Communications and Media Authority (ACMA), the Australian Competition and Consumer Commission (ACCC) and ASIC. The purpose of the CSRN is to enable Australian regulators to work together to understand, respond to and share information about cyber security risks and incidents. The CSRN demonstrates that regulators can work together effectively to address gaps and reduce duplication, and forums such as this should continue to play an important role in cyber post-incident evaluation and analysis as part of any future reforms. |
1.34 OAIC は APRA と共に、サイバーセキュリティ規制当局ネットワーク(CSRN)の共同議長を務め ており、他のメンバーはオーストラリア通信メディア局(ACMA)、オーストラリア競争・消費者委員 会(ACCC)、ASIC である。CSRNの目的は、オーストラリアの規制当局が協力して、サイバーセキュリティのリスクやインシデントについて理解し、対応し、情報を共有できるようにすることである。CSRN は、規制当局が効果的に連携してギャップに対処し、重複を減らすことができることを実証しており、このようなフォーラムは、将来の改革の一環として、サイバーインシデント後の評価と分析において引き続き重要な役割を果たすべきである。 |
| Recommendation 7 – The CSRN and other forums should continue to play a role in post-incident reviews and their work should inform incident response planning policy and practice. |
提言 7 - CSRNやその他のフォーラムは、インシデント発生後のレビューにおいて引き続き役割を果たすべきであり、その活動はインシデント対応計画の方針と実践に反映されるべきである。 |
| Safe harbour provisions |
セーフハーバー規定 |
| 1.35Question 8 of the Discussion Paper proposes the introduction of an explicit obligation of confidentiality upon the Australian Signals Directorate (ASD) and the ACSC to improve engagement with organisations that experience a cyber incident and allow information to be shared between the organisation and ASD/ACSC without the concern that this will be shared with regulators. |
1.35 ディスカッションペーパーの質問 8 では、サイバーインシデントを経験した組織との関わりを改善し、組織と ASD/ACSC の間で規制当局と共有される心配なく情報を共有できるように、オーストラリア信号局 (ASD) および ACSC に明確な守秘義務の導入が提案された。 |
| 1.36While the OAIC appreciates the importance of immediate collaboration and information sharing between affected entities and the ASD/ACSC to facilitate an effective immediate response to cyber incidents, there is a need to balance the facilitation of industry cooperation during an incident with the ability of regulatory agencies to enforce laws and deter non-compliance at an appropriate time. In particular, it is important that any confidentiality obligations do not impede the current reporting obligations under the NDB scheme nor subvert the OAIC’s regulatory role. Safe Harbour arrangements could take many forms. The OAIC’s view is that any such arrangements need to be developed carefully and subject to clear boundaries so that regulatory activity in the public interest is not impeded. While we appreciate the need to incentivise reporting to the ASD/ACSC and facilitate efforts to contain a breach and minimise the potential harms, entities must comply with their legal obligations under the Privacy Act, including their NDB reporting obligation and the obligation to take reasonable steps to protect their data under APP 11. |
1.36 OAICは、サイバーインシデントへの効果的な即時対応を促進するために、影響を受ける組織とASD/ACSCの間で即時の協力と情報共有が重要であることを評価するが、インシデント発生中の業界の協力の促進を、規制機関が法律を施行し適切な時期に非遵守を抑止する能力とバランスを取る必要がある。特に、守秘義務がNDB制度に基づく現在の報告義務を阻害したり、OAICの規制的役割を覆したりしないことが重要である。セーフハーバーの取り決めには、様々な形態が考えられます。OAICの見解としては、そのような取り決めは、公益のための規制活動が阻害されないよう、明確な境界線に従って慎重に策定される必要があると思いる。ASD/ACSCへの報告を奨励し、違反の封じ込めや潜在的な被害を最小限に抑える努力を促進する必要性を評価するが、事業者は、NDB報告義務やAPP11に基づくデータ保護のための合理的な措置をとる義務など、プライバシー法に基づく法的義務を順守する必要がある。 |
| Recommendation 8 – Any proposed obligations of confidentiality should be carefully designed in consultation with regulators, to ensure that agencies such as the OAIC are still able to obtain the information they need from affected entities at the appropriate time, and to exercise their functions and powers in the public interest. |
提言 8 - 提案される守秘義務は、規制当局と協議の上、慎重に設計されるべきであり、OAICのような機関が適切な時期に影響を受ける事業者から必要な情報を入手し、公共の利益のためにその機能および権限を行使することができることを保証すべきである。 |
| International interoperability and enhancing relationships with our neighbours |
国際的な相互運用性と近隣諸国との関係強化 |
| 1.37Question 3 of the Discussion Paper seeks feedback on how Australia can work with its neighbours to build regional cyber resilience and better respond to cyber incidents. The OAIC considers that information sharing between nations on current cyber security risks, threat actors and best practice has a crucial role to play in achieving these objectives. |
1.37 討議資料の質問 3 は、地域のサイバーレジリエンスを構築し、サイバーインシデントによりよく対応するために、オーストラリアが近隣諸国とどのように協力できるかについて意見を求めている。OAICは、現在のサイバーセキュリティリスク、脅威要因、ベストプラクティスに関する国家間の情報共有が、これらの目的を達成する上で重要な役割を果たすと考える。 |
| 1.38The OAIC’s membership of the newly formed Global Privacy Assembly Cybersecurity Sub-Working Group will allow us to leverage offshore technical expertise on cyber security and globally elevate the understanding of best practice strategies.[38] Participation in similar knowledge sharing international cooperation efforts by relevant Australian agencies will leverage international cyber security experience for a domestic context, helping to predict trends in the threat landscape. |
1.38 OAIC が新たに設立された Global Privacy Assembly Cybersecurity Sub-Working Group のメンバーであることは、サイバーセキュリティに関する海外の技術的専門知識を活用し、ベストプラクティス戦略への理解を世界的に高めることを可能にする[38]。オーストラリアの関連機関による同様の知識共有の国際協力の取り組みへの参加は、国内の状況に応じたサイバーセキュリティに関する国際経験を活用して、脅威状況の傾向を予測するのに役立ちます。 |
| 1.39Similarly, Question 5 of the Discussion Paper seeks feedback on how Australia can better contribute to international standards-setting processes in relation to cyber security and shape laws in this area. In our experience, participation and leadership in the global dialogue on privacy and security has allowed the OAIC to shape the international narrative on privacy and security, and to promote globally consistent high standards. |
1.39 同様に、ディスカッション・ペーパーの質問 5 では、オーストラリアがサイバーセキュリティに関 する国際的な基準設定プロセスにどのように貢献し、この分野の法律を形成することができるかについて意見を求め ている。我々の経験では、プライバシーとセキュリティに関する世界的な対話への参加とリーダーシップにより、OAICはプライバシーとセキュリティに関する国際的な物語を形成し、世界的に一貫した高水準を促進することができた。 |
| 1.40In addition, implementation of the reforms in the Privacy Act Review will bring Australia more in line with international standards, which will ensure Australia continues to be a major contributor to the global discussion on privacy and security. This will support good cyber security outcomes and provide a foundation for Australia to solidify its role as a global leader on cyber security related matters. |
1.40 さらに、Privacy Act Review の改革を実施することで、オーストラリアは国際標準に沿うようになり、オーストラリアがプライバシーとセキュリティに関する世界的な議論に主要な貢献者であり続けることを保証する。これは、優れたサイバーセキュリティの成果を支援し、オーストラリアがサイバーセキュリティ関連事項のグローバルリーダーとしての役割を確固たるものにするための土台となる。 |
| 1.41Having contemporary and fit-for-purpose legislative frameworks will provide Australia with the credibility to influence international standard-setting processes, and shape global understandings on what laws and norms are necessary to uphold responsible state behaviour in relation to cyber security. |
1.41 現代的で目的に合った法的枠組みを持つことは、国際的な標準設定プロセスに影響を与え、サイ バーセキュリティに関連する国家の責任ある行動を支持するために必要な法律や規範に関する世界的な 理解を形成する信頼性をオーストラリアに提供することになる。 |
| Recommendation 9 – Support government agencies and regulators to engage with international counterparts to influence global dialogues in regulatory areas impacting cyber security, such as privacy, to promote consistently high standards around the world. |
提言 9 - 政府機関や規制当局が、プライバシーなどサイバーセキュリティに影響を与える規制分野におけるグローバルな対話に影響を与えるために、国際的なカウンターパートと関わり、世界中で一貫して高い水準を推進することを支援すべきである。 |
| Footnotes |
脚注 |
| [1] The OAIC is an independent Commonwealth regulator, established to bring together three functions: privacy functions (protecting the privacy of individuals under the Privacy Act 1988 (Cth), freedom of information (FOI) functions (access to information held by the Commonwealth Government in accordance with the Freedom of Information Act 1982 (Cth), and information management functions (as set out in the Australian Information Commissioner Act 2010 (Cth) (AIC Act). |
[1] OAICは、プライバシー機能(プライバシー法1988(Cth)に基づく個人のプライバシー保護)、情報公開機能(情報公開法1982(Cth)に基づく連邦政府保有情報へのアクセス)、情報管理機能(オーストラリア情報コミッショナー法2010(Cth)(AIC法)に規定される)の3機能を結集して設立された連邦の独立規制機関である。 |
| [2] OAIC, Priorities for regulatory action 2022–23 , OAIC, accessed 13 March 2023. |
[2] OAIC, Priorities for regulatory action 2022-23 , OAIC, accessed 13 March 2023. |
| [4] Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. |
[4] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. |
| [5] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 13 March 2022. |
[5] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 13 March 2022. |
| [6] Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. |
[6] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. |
| [7] See Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 24, Question 1: ‘What ideas would you like to see included in the Strategy to make Australia the most cyber secure nation in the world by 2030?’. |
[7] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 24, 質問1:「2030年までにオーストラリアを世界で最もサイバーセキュアな国にするための戦略に、どのようなアイデアを盛り込みたいですか?」を参照のこと。 |
| [8] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Chapter 20, accessed 28 March 2023. |
[8] AGD, Privacy Act Review を参照: Report 2022, AGD, Australian Government, 2023, Chapter 20, accessed 28 March 2023. |
| [9] Under APP 1, entities must take reasonable steps beyond technical security measures to protect and ensure the integrity of personal information throughout the information lifecycle, including by implementing strategies in relation to governance, internal practices, processes and systems, and dealing with third party providers. Under APP 11, entities are required to take reasonable steps to protect the personal information they hold from misuse, interference, loss, unauthorised access, modification, or disclosure. |
[9] APP1では、事業体は、ガバナンス、内部慣行、プロセス及びシステム、並びに第三者プロバイダとの取引に関連する戦略を実施することを含め、情報のライフサイクルを通じて個人情報の保護及び完全性を確保するために、技術的セキュリティ対策以外の合理的な措置を講じなければならない。APP11では、事業体は、保有する個人情報を誤用、干渉、損失、不正アクセス、修正、または開示から保護するために合理的な措置を講じることが要求されている。 |
| [10] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 21 March 2023. |
[10] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 21 March 2023. |
| [11] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposal 6.1, accessed 21 March 2023. In response to Question 15(a), which relates government assistance for small business to keep customers’ data safe, the OAIC is well placed to support small business to comply with the Privacy Act complementing existing government support. |
[11] AGD, Privacy Act Review を参照: Report 2022, AGD, Australian Government, 2023, Proposal 6.1, accessed 21 March 2023. 質問15(a)の、顧客のデータを安全に保つための中小企業に対する政府の支援に関連して、OAICは、既存の政府の支援を補完して、中小企業がプライバシー法を遵守するのを支援するのに適した立場にある。 |
| [12] The proposed amendments would require entities to notify the OAIC and affected individuals within 72 hours of eligible data breaches (rather than the current 30 days) and to set out the steps they have taken or intend to take in response to the breach, including steps to reduce any adverse impacts on the affected individuals. |
[12] 提案された改正案は、事業者に対して、適格なデータ侵害が発生した場合、(現行の30日ではなく)72時間以内にOAICおよび影響を受ける個人に通知し、影響を受ける個人への悪影響を軽減するための措置を含む、侵害に対応して講じた、または講じる予定の措置を示すよう求めるものである。 |
| [13] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposals 28.2 and 28.3, accessed 21 March 2023. |
[13] AGD, Privacy Act Review を参照: Report 2022, AGD, Australian Government, 2023, Proposals 28.2 and 28.3, accessed 21 March 2023. |
| [14] See Recommendation 106, Privacy Act Review Discussion Paper: submission by the OAIC , OAIC, 2021, p 221, accessed 21 March 2023. |
[14] 提言 106, Privacy Act Review Discussion Paper: submission by the OAIC , OAIC, 2021, p 221, accessed 21 March 2023 を参照のこと。 |
| [15] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposal 21.2, accessed 20 March 2023. |
[15] AGD, Privacy Act Review を参照のこと: Report 2022, AGD, Australian Government, 2023, Proposal 21.2, accessed 2023年3月20日. |
| [16] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposal 21.3, accessed 20 March 2023. |
[16] AGD, Privacy Act Reviewを参照のこと: Report 2022, AGD, Australian Government, 2023, Proposal 21.3, accessed 2023年3月20日. |
| [17] Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 7, accessed 21 March 2023. |
[17] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 7, accessed 21 March 2023. |
| [18] The Hon Clare O’Neil MP, Prime Minister’s Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. |
[18] The Hon Clare O'Neil MP, Prime Minister's Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. |
| [19] Corporations Act 2001 (Cth), s 912A(1)(h) requires Australian financial services licensees to have adequate risk management systems in place. A failure of the system to manage cybersecurity risks may result in a breach of this obligation: see ASIC v RI Advice Group Pty Ltd [2022] FCA 496 . |
[19] 2001年会社法(Cth)、912A(1)(h)は、オーストラリアの金融サービス免許取得者に適切なリスク管理システムの設置を求めている。サイバーセキュリティのリスクを管理するシステムの失敗は、この義務の違反につながる可能性がある:ASIC v RI Advice Group Pty Ltd [2022] FCA 496 を参照。 |
| [20] Prudential Standard CPS 234 Information Security requires APRA-regulated entities to take measures to be resilient against information security incidents (including cyber-attacks) by maintaining an information security capability commensurate with information security vulnerabilities and threats. The Standard requires entities to notify APRA of material information security incidents. Prudential Standard CPS 220 Risk Management requires APRA-regulated institutions to have systems for identifying, measuring, evaluating, monitoring, reporting, and controlling or mitigating material risks that may affect its ability to meet its obligations to depositors and/or policy holders. The Standard requires notification to APRA when an institution becomes aware of a significant breach of, or material deviation from, the risk management framework. |
[20] プルデンシャル基準 CPS 234 情報セキュリティは、情報セキュリティの脆弱性と脅威に見合った情報セキュリティ能力を維持することにより、情報セキュリティ事件(サイバー攻撃を含む)に対して弾力性を持つための措置を講じることを APRA 規制対象事業者に求めている。本基準は、事業体に対し、重要な情報セキュリティ・インシデントをAPRAに通知することを求めている。 プルデンシャル・スタンダードCPS220リスク管理は、APRAの規制下にある機関に対し、預金者や保険契約者 に対する義務を果たす能力に影響を与える可能性のある重要なリスクを特定、測定、評価、監視、報告、管理または 軽減するためのシステムを持つことを求めている。同基準は、金融機関がリスク管理の枠組みの重大な違反や重大な逸脱を認識した場合、APRAに通 知することを求めている。 |
| [21] The OAIC welcomed the Privacy Legislation Amendment (Enforcement and Other Measures) Act 2022, which came into force on 13 December 2022, that provides greater information sharing powers under the Privacy Act and the AIC Act. These provisions ensure that the OAIC can efficiently and effectively cooperate with other regulators and entities during investigative and regulatory activities. This helps to ensure that duplicative investigation and regulatory responses – both domestically and globally – are avoided and limited resources are directed appropriately. |
[21] OAICは、2022年12月13日に施行された、プライバシー法およびAIC法の下でより大きな情報共有権限を提供するプライバシー法改正(施行およびその他の措置)法2022を歓迎した。これらの規定により、OAICは、調査および規制活動において、他の規制当局および団体と効率的かつ効果的に協力することができます。これにより、国内外を問わず、重複した調査や規制対応が回避され、限られた資源が適切に配分されるようになるのです。 |
| [22] The Hon Clare O’Neil MP, Prime Minister’s Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. |
[22] The Hon Clare O'Neil MP, Prime Minister's Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. |
| [23] See Part 1, Division 1 of the SOCI Act 2018. |
[23] SOCI法2018のPart 1, Division 1を参照。 |
| [24] See Part IIIC of the Privacy Act, in particular s 26WK in relation to notification obligations to the Information Commissioner and s 26WL in relation to notification obligations to individuals. |
[24] プライバシー法の第IIIC部、特に情報コミッショナーへの通知義務に関する第26WK条および個人への通知義務に関する第26WL条を参照のこと。 |
| [25] See Part 2B of the SOCI Act. |
[25] SOCI 法の Part 2B を参照。 |
| [26] See Part V of the Privacy Act, including s 36. |
[26] 第 36 条を含むプライバシー法の第 V 部を参照。 |
| [27] CISC, Cyber security incident reporting , Factsheet, CISC, Home Affairs, Australian Government, 2022, accessed 24 March 2023. |
[27] CISC, Cyber security incident reporting , Factsheet, CISC, Home Affairs, Australian Government, 2022, accessed 24 March 2023. |
| [28] See Part 2A and Part 2B of the SOCI Act. |
[28] SOCI 法の第 2A 部および第 2B 部を参照のこと。 |
| [29] See the definition of protected information in s 5 of the SOCI Act. The 11 critical infrastructure sectors are: Communications, Financial services and markets, Data storage or processing, Defence industry, Higher education and research, Energy, Food and grocery, Health care and medical, Space technology, Transport, Water and sewerage. See Defining critical infrastructure , CISC website, 23 February 2023, accessed 29 March 2023. |
[29] SOCI 法の第 5 条の保護情報の定義を参照のこと。11の重要インフラ部門は以下の通り: 通信、金融サービスおよび市場、データの保存または処理、防衛産業、高等教育および研究、エネルギー、食品および食料品、ヘルスケアおよび医療、宇宙技術、輸送、水および下水道。重要インフラの定義 , CISC ウェブサイト、2023 年 2 月 23 日、2023 年 3 月 29 日にアクセス参照。 |
| [30] See SOCI Act, s 45. |
[30] SOCI 法、45 条を参照。 |
| [31] See SOCI Act, s 46. |
[31] SOCI 法、第 46 条を参照のこと。 |
| [32] See Part V, Division 1 of the Privacy Act. |
[32] プライバシー法のパート V、ディビジョン 1 を参照。 |
| [33] This could be modelled on existing s 43AA, or similar. |
[33] これは既存の s 43AA または類似のものをモデルとすることができる。 |
| [34] See Notifiable Data Breaches Report: January to June 2022 , OAIC website, 10 November 2022, which states that 162 of the 396 data breaches during the reporting period resulted from cyber security incidents (41%). |
[34] Notifiable Data Breaches Report を参照のこと: January to June 2022 , OAIC website, 10 November 2022 によれば、報告期間中の 396 件のデータ侵害のうち 162 件がサイバーセキュリティインシデントに起因している(41%)とされている。 |
| [35] OAIC, Notifiable data breaches publications , OAIC website, n.d., accessed 28 March 2023. |
[35] OAIC, Notifiable data breaches publications , OAIC website, n.d., accessed 28 March 2023. |
| [36] President Biden’s Executive Order 14028 established the Cyber Safety Review Board (CSRB) for the purpose of reviewing major cyber events and making recommendations to drive improvements within the private and public sectors. See Executive Order on Improving the Nation’s Cybersecurity , EO 14028, The White House, 21 May 2021, accessed 15 March 2023. |
[36] バイデン大統領の大統領令14028は、主要なサイバーイベントをレビューし、民間および公的セクター内での改善を促進するための提言を行う目的で、サイバー安全性レビュー委員会(CSRB)を設立しました。国家のサイバーセキュリティの改善に関する大統領令 , EO 14028, The White House, 21 May 2021, accessed 15 March 2023を参照のこと。 |
| [37] The Hon Clare O’Neil MP, Prime Minister’s Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. |
[37] The Hon Clare O'Neil MP, Prime Minister's Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. |
| [38] Global Privacy Assembly, Global Privacy Assembly [website], n.d., accessed 23 March 2023. |
[38] Global Privacy Assembly, Global Privacy Assembly [website], n.d., accessed 23 March 2023. |
/
Recent Comments