ブラジルの個人情報保護法施行、実務に与える影響は

第1回 適用範囲やデータ処理における、日本の個人情報保護法・GDPRと比較した留意点

国際取引・海外進出
岩崎 大弁護士

 インターネット等情報技術の発達に伴い、情報の発信または取得が容易になっています。パソコン、スマートフォンやスマートデバイス等を生かしたデータの利活用の場面は増え、企業の経済活動や災害時における支援活動のほか、表現の自由の実現等幅広く人々の生活を豊かにする実例が増えつつあります。他方、これを追いかける形で法規制が世界各国で急速に進み始めています。たとえば、南米では、ブラジルのほか、アルゼンチンでも同様の立法化の動きがあります。

 本稿では、2018年8月14日に公布され、2020年2月に施行予定のブラジル個人情報保護法(Lei Geral de Proteção de Dados(2018年法13709号):LGPD(原文は「ブラジル政府のホームページ」参照)に焦点を当てるとともに、日本企業より問い合わせの多い欧州の一般データ保護規則(General Data Protection Regulation:GDPR)等との比較も適宜加味しながら説明いたします。

ブラジルの個人情報保護法(LGPD)の制定背景・概要

 ブラジルでは、日本の個人情報保護法に相当する個人情報に関する分野横断的な法律はなく、消費者保護法や税法等各種業法において一定の制約があるに過ぎなかったため、実務上ブラジルにおいて個人情報を取り扱う場合については不透明・不明確な部分が多々ありました。このような不具合や昨今の時代の変化等に対応すべく、2018年8月、個人情報保護法(Lei Geral de Proteção de Dados(2018年法13709号):LGPD)が成立しました。
 LGPDは、先行して成立した欧州のGDPRの影響を強く受けており、定義語の概念や規律する主体を管理者(controller(英語)、controlador(ポルトガル語))または処理者(processor(英語)、operador(ポルトガル語))の2種とする点等、多くの分野においてLGPDとGDPRとの間の共通点を見いだすことができます。

 LGPDの法案段階では定められていた監督・執行機関(当時の名称は連邦データ保護局(Autoridade Nacional de Proteção de Dados:ANPD)関連等一部の規定が大統領の拒否権行使により削除されたことに伴い、「連邦当局が詳細を定める」と定められている事項等、LGPDでは不透明・不明確な点がいまだ残っています。もっとも、施行済みのGDPRにおける議論が、これら不透明・不明確な点等LGPDに関する議論の予測に多いに役立つと考えられます。

適用範囲(地理的範囲・適用除外)

地理的範囲

(1)LGPD上の地理的範囲

 LGPDは、法人・個人またはその国籍・本店所在地を問わず、個人データ 1 の取扱いを行う下記①から③のいずれかの場合において、原則適用されます(LGPD3条柱書各号)。

  1. ブラジル国内にてデータ処理(データの収受、使用、保管、修正、処分等をいいます。以下同じ)が行われる場合(I項)
  2. データ処理が、ブラジル国内の個人に対しサービスもしくは商品を提供する目的、または、ブラジル国内の個人のデータ処理を行う目的で行われる場合(II項)
  3. 情報収集時点において、データ主体(個人)がブラジル国内に所在している場合(III項)

(2)GDPR等上の地理的範囲

 GDPRにおいては、EU域内に拠点を有し、同拠点の活動に関連して個人データの処理を行うとき(GDPR3条1項)や、EU域内に拠点を有しない場合であっても、域内に所在するデータ主体に対する商品もしくは役務の提供または域内で行われるデータ主体の行動のモニタリングに関連して個人データを処理するときには、同法が適用されることが明確に定められています(GDPR前文22項・3条2項)。

(3)日本の個人情報上の地理的範囲

 なお、日本の個人情報保護法においても、国内にある者に対する物品または役務の提供に関連してその者を本人とする個人情報を取得した事業者が、外国において当該個人情報または当該個人情報を用いて作成した匿名加工情報を取り扱う場合、一定の個人情報保護法の規定が適用されることとされています(個人情報保護法75条)2

 以上のとおり、多少の文言の違いはありますが、LGPD、GDPRおよび日本の個人情報保護法のいずれにおいても、域外適用の可能性は法文上明確に定められています

適用除外

(1)LGPDの適用除外

 上記2-1記載のとおり、LGPDは、ブラジル国内外のデータ処理について広く適用されますが、下記の①~④のいずれかに該当する場合には、例外的に適用除外とされています(LGPD4条柱書)。

  1. 個人によるデータ処理であり、かつ、個人利用目的であって商業利用目的ではない場合(I項)
  2. 報道、芸術目的または一定の学術目的のみのために供されるデータ処理である場合(II項)
  3. 国家の安全、国防、州の安全または刑事訴追・調査の目的のみのために供されるデータ処理である場合(III項)
  4. ブラジル国外(ただし、当該国が本法と同等の保護水準にある場合に限る)をソースとするデータであって、かつ、(x)ブラジルのデータ処理代行業者等への共有もしくは開示目的ではない場合、または(y)(個人データのブラジルと第三国との間の移動である、いわゆる)越境移転ではない場合(IV項)

(2)GDPR等上の適用除外

 GDPRでは、以下の場合に適用除外とされています(GDPR2条2項)。

  1. 欧州連合の機能に関する条約(Treaty on the Functioning of EU)第5編第2章の適用を受ける活動を行う際の加盟国による個人データの処理
  2. 純粋に個人的または家庭内の活動における自然人による個人データの処理
  3. 犯罪の防止、捜査、探知、起訴、または刑事罰を科すために所管官庁が行う個人データの処理

 なお、日本の個人情報保護法は、その適用対象を原則として事業者に限っており、そのほか放送機関等の報道機関の報道の用に供する目的、著述を業として行う者による著述の用に供する目的、大学等の学術研究の用に供する目的、宗教団体による宗教活動(これに付随する活動を含む)の用に供する目的、政治団体による政治活動(これに付随する活動を含む)の用に供する目的の場合においても適用除外としています(個人情報保護法76条1項)。

 以上より、LGPD、GDPRおよび日本の個人情報保護法のいずれの場合においても、細かな文言上の差異はありつつも、商業目的でない個人利用等一定の場合に適用除外がありうるという枠組みは同様と考えます。

個人データに関するデータ処理の原則禁止

LGPD上、個人データの処理が例外的に許容される場合

(1)例外的に許容される場合の一覧

 上記2の記載に従いLGPDが適用される個人データに関するデータ処理は、原則禁止とされます。ただし、例外的に以下の場合においてはこれを行うことが出来るとされています(LGPD7条)。

  1. データ主体からの明確かつ特定された同意が得られた場合(なお、同意はいつでも撤回可能)(I項)
  2. 管理者に対する法令遵守上の要請である場合(II項)
  3. 行政手続上、公共の福祉のために必要な場合(III項)
  4. 研究団体による調査の場合(IV項)
  5. データ主体が当事者となっている契約の履行に必要な場合(V項)
  6. 司法、行政、仲裁手続上の権利行使に通常必要な場合(VI項)
  7. データ主体または第三者の生命・身体の保護に必要な場合(VII項)
  8. 医療専門家または医療団体による医療行為に必要な場合(VIII項)
  9. 管理者または第三者の正当な利益(interesses legítimos(ポルトガル語))のために必要であって、データ主体の基本的権利に対する保護の要請がこれを上回らない場合(IX項)
  10. 信用保護目的の場合(X項)

 上記I項~X項のうち、特に実務上重要となるのが、①上記I項にいう「同意」が得られた場合、②上記V項にいう「契約の履行に必要な場合」、そして、③上記IX項にいう「正当な利益(interesses legítimos(ポルトガル語))」が認められる場合に該当するか否かという検討です。ここでは、よく誤解を受けがちな③について若干の説明をいたします。

(2)「正当な利益(interesses legítimos)」が認められる場合

 まず、データ主体からの同意を得ずに個人データの処理を実施してもLGPDに違反しないという最終的な結論を導くためには、データ主体の基本的権利に対する保護の要請との比較考量が必要ですが、「正当な利益(interesses legítimos(ポルトガル語))」は、ダイレクト・マーケティングを目的とする個人データの処理等、事業上合理的に必要とされる個人データの処理を含むと解されており、比較的広範囲に認められる可能性があります
 また、LGPD上、データ主体はデータ処理に関する同意がいつでも撤回可能とされていますので、個人データの処理にあたって、「ユーザーの同意を得られれば問題ない」といったことはありません

 したがって、取得する個人データの内容(特にセンシティブ・データに該当するか否か)やその取得態様やかかるデータの事業上の位置づけやデータ主体との関係等を考慮したうえで、上記「正当な利益」が認められるか、またデータ主体の基本的権利に対する保護の要請がこれを上回らないかについて慎重に検討することが、実務上重要だと考えます。

GDPR等との比較

(1)GDPR上個人データの処理が例外的に許容される場合

 GDPRが適用される個人データの処理は、原則禁止とされ、例外的に以下の場合においてはこれを行うことができるとされています(GDPR6条1項)。

  1. データ主体が、1つまたは複数の特定の目的のために自己の個人データの処理に同意を与えた場合(なお、同意はいつでも撤回可能)
  2. データ主体が当事者となっている契約の履行のために処理が必要な場合、または契約の締結前にデータ主体の求めに応じて手続をとるために処理が必要な場合
  3. 管理者が従わなければならない法的義務を遵守するために処理が必要な場合
  4. データ主体または他の自然人の重大な利益を保護するために処理が必要な場合
  5. 公共の利益または管理者に与えられた公的権限の行使のために行われる業務の遂行において処理が必要な場合
  6. 管理者または第三者によって追求される正当な利益のために処理が必要な場合(ただし、データ主体(特に児童がデータ主体である場合)の個人データの保護を求める利益または基本的権利および自由が当該管理者等の利益に優先する場合を除く)

 上記のとおり、LGPDとGDPRは大要同内容であり、GDPRでの議論がLGPDの理解に役立つことは間違いないと考えられます。特に、GDPRにおけるデータ主体の個人データの保護を求める利益または基本的権利および自由と正当な利益の比較考量の議論は、29条作業部会による「データ保護指令7条におけるデータ管理者の正当な利益の考えに関する意見書」(WP217)等示唆に富むものが多いところです。なお、センシティブ・データの場合における取扱いには差異がある等LGPDとGDPRはまったく同一ではない点については、留意が必要です(下表参照)。

センシティブ・データの処理が例外的に許される場合に関するLGPDとGDPRの比較(※1)(※2)

GDPR LGPD
データ主体の同意がある場合
契約上必要な場合 ×
法令遵守のために必要な場合
正当な利益のために必要な場合 × ×
司法・行政・仲裁手続上の手続目的の場合
健康上の目的の場合
調査研究目的の場合
公共の利益目的の場合
公権力による行使の場合
クレジット情報等信用保護目的の場合 × ×
詐欺行為防止の場合 ×
政治・宗教団体または労働組合による場合 ×
データ主体により公開されている場合 ×

(※1)
本表は比較の便宜のために正確性を捨象している部分がある点にご留意ください(たとえば、GDPR上においてセンシティブ・データの処理が例外的に許されている場合は明示的な(express)同意を与えた場合とされているのに対し、LPGD上においては明示的かつ特定(específica e destacada)の同意を与えた場合とされています)。

(※2)
日本の個人情報保護法に関しては、GDPR・LGPDとの単純な比較が難しいため、上記表に含めていません。なお、同法は、個人情報取扱事業者に対し、あらかじめ本人の同意を得ない要配慮個人情報の取得を原則として禁止しており、例外として許される場合として大要以下①~③の場合をあげています(同法17条2項)。

  1. あらかじめ本人の同意を得ない場合であっても、個人情報の取扱いができるときと同じ場合(下記3-2(2)①~④項参照)
  2. 当該要配慮個人情報が、本人、国の機関、地方公共団体、適用除外が認められている報道機関、大学、宗教団体、政治団体等その他個人情報保護委員会規則で定める者により公開されている場合
  3. その他①・②の場合に準ずるものとして政令で定める場合
    (i)本人を目視しまたは撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
    (ii)委託、事業承継、共同利用により本人の同意なく個人データの第三者提供ができる場合において、個人データである要配慮個人情報の提供を受けるとき

(2)日本の個人情報保護法上個人データの処理が例外的に許容される場合

 日本の個人情報保護法は、個人情報取扱事業者に対し、あらかじめ本人の同意を得ない個人情報の取扱いを原則として禁止しており、例外として許される場合として以下の4つをあげています(同法16条)。  

  1. 法令に基づく場合
  2. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  3. 公衆衛生の向上または児童の健全な育成の推進のため特に必要がある場合であって、本人の同意を得ることが困難であるとき
  4. 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

 上記 (1) ・ (2) よりすでにご推察いただいているかもしれませんが、LGPDとGDPRは類似の要素が多い一方、これらと日本の個人情報保護法は建付けが異なります。
 たとえば、①同意の撤回の自由が法文上認められていない日本の個人情報保護法の実務感覚からすると、同意を取得しておけば確実かつ安全となりますが、同意の撤回の自由が法文上も認められるLGPD・GDPR上ではデータ主体からの同意に依拠する実務運用は必ずしも適切ではない場合があります。

 また、②LGPD・GDPR上では契約の履行に必要な場合や正当な利益が認められる場合において個人データの処理等が認められる可能性があるのに対し、日本法上ではかような例外事項は明文上認められていません

日本の個人情報保護法 LGPD/GDPR
同意の撤回の自由 法文上認められていない 法文上認められる
契約の履行に必要な場合,正当な利益が認められる場合 明文上認められていない 個人データの処理等が認められる可能性がある

  1. LGPDにおいて保護の対象となる情報は「dado pessoal」(英訳:personal data)で、識別されたまたは識別可能な自然人に関する情報をいいます(LGPD5条I号)。GDPRと同様の定義であり、GDPRの「personal data」の訳語として、(個人情報ではなく)個人データが当てられることが一般的に多いため、本稿では「dado pessoal」「personal data」の双方の訳語として、個人データを当てています。なお、日本法の「個人データ」は、個人情報データベース等を構成する個人情報をいい、「個人情報」よりも狭い定義です。 ↩︎

  2. 日本の個人情報保護法75条は、外国の事業者が日本国内の個人から直接個人情報を取得する場合を想定しており、かかる外国の事業者が日本国内の事業者から個人情報を取得する場合は、専ら日本国内の事業者側の問題として、同法24条の外国にある第三者への提供の制限の問題となります。 ↩︎

関連する特集

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する