ブラジルの個人情報保護法施行、実務に与える影響は

第2回 データ主体が有する権利や越境移転規制など、日本の個人情報保護法やGDPRと比較した留意点

国際取引・海外進出
岩崎 大弁護士

 前回に引き続き、2018年8月14日に公布され、2020年2月に施行予定のブラジル個人情報保護法(Lei Geral de Proteção de Dados(2018年法13709号:LGPD)(原文は「ブラジル政府のホームページ」参照)について、欧州の一般データ保護規則(General Data Protection Regulation:GDPR)等との比較を適宜加味しながら説明いたします。

データ主体が有する権利等

 LGPD上、データ主体は、自身のデータ処理に関する明確な情報(データ処理の目的、管理者の情報や連絡先等)を事前に受領する権限を有するほか、データ処理等確認権、アクセス権、訂正権、匿名化等情報加工請求権等を保有するとされており(LGPD18条)、この点については、GDPRと同様です(GDPR12条~22条)。なお、忘れられる権利やデータ・ポータビリティ権等日本の個人情報保護法上は認められていない権利が、LGPDおよびGDPR上認められていることにご留意ください。

LGPD、GDPRおよび日本の個人情報保護法上データ主体が有する権利の比較

LGPD/GDPR 日本の個人情報保護法
データ取得時の情報提供義務
アクセス権
訂正権
消去権(忘れられる権利) ×(ただし、利用停止・消去請求権あり)
処理を制限・反対する権利 ×
データ・ポータビリティ権 ×

 また、LGPDは、GDPRと同様に、データ保護責任者を選任し、かかる責任者を特定できる情報と連絡先を公表しなければならないとされています(ウェブサイトによる開示が望ましいとされています)(LGPD41条)。この点も、日本の個人情報保護法と、LGPD・GDPRとの間の相違点の大きなポイントの1つです。

越境移転規制

 LGPD上、ブラジル国外への個人データの移転は、以下の場合に認められるとされています(LGPD33条)。

  1. 移転先の国または国際機関が、LGPDと同等レベルの個人データに関する保護法制を有している場合(I項)
  2. データ管理者がLGPDと同等レベルの個人データに関する保護を提供し、以下の方法によりこれを保証している場合(II項)
    • 特定の移転に関する特定の契約条項
    • 標準契約条項(cláusulas-padrão contratuais)
    • 拘束的企業準則(normas corporativas globais)
    • 認証(certificados)および行動規範(códigos de conduta)
  3. 政府間の国際協力に必要な場合(III項)
  4. データ主体または第三者の生命・身体の保護に必要な場合(IV項)
  5. 連邦当局により承認された場合(V項)
  6. データ主体が、事前に国際的なデータ転送である旨を他の目的と明確に区別して明示され、それに関し特定かつ明確に同意した場合(VI項)

 上記建付けはGDPRと同様で(GDPR45条および46条)、十分性の認定(上記I項)も重要ですが、実務においてはII項の適用が特に重要となります。
 なお、GDPRにおいては、越境移転規制に関し、データ移転契約のひな形も提供されていますが、LGPDにおいては、現在のところ、このようなひな形は提供されていません。今後同法が施行されるまでの間に、GDPRとは一部異なるひな形が提供される可能性がありますので、同法の規制状況については引き続き注視していく必要があります。

民事責任および行政罰等

 LGPD上、データ管理者および処理者は、データ処理に関連し、データ主体に損害が生じた場合に民事責任を負う可能性があるとともに行政罰の対象にもなりえます。

 まず、民事上の責任としては、データ処理に関連し、データ主体に損害が生じた場合における損害賠償責任があり、これに関連する訴訟については集団訴訟の対象となり、また、裁判官の裁量により、データ主体に有利となるよう立証責任を転換される可能性があります(LGPD42条)。

 また、LGPD上の行政罰の内容(LGPD52条)は、GDPRと同様であり(GDPR58条)、具体的には下表のとおりです。

GDPR LGPD
  • 警告または戒告
  • 2,000万ユーロまたは前会計年度の全世界売上総額の4%のいずれか高い金額の課徴金(※1)
  • データ主体からの権利行使要求への対応命令
  • データ主体に対するデータ侵害の通知
  • データ処理の(一部または全部)の制限または停止
  • データの修正または削除およびデータを受領した第三者に対する通知
  • データ移転を許可する認証の取消し
  • 警告(是正措置の実施期限が定められる)
  • 5,000万レアルまたは企業グループ全体のブラジル国内の直近年間売上総額の2%のいずれか低い金額の課徴金(違反1件あたり)
  • 違反事実の公表
  • 個人データ処理の一時停止(違反が是正されるまで)
  • 違反の対象となった個人データの削除命令

(※1)
GDPR上では、違反事由によっては、最大で1,000万ユーロまたは前会計年度の全世界売上高の2%以下のいずれか高い金額が課徴金として課されることがあります。また、GDPR前文上、グループ会社の売上高が含まれる可能性が示唆されているものの、売上金額の基準が、違反者単体かまたは当該違反者の属する企業グループ全体のどちらで判断するか明確ではありません。

 なお、日本の個人情報保護法では刑事罰(たとえば、個人情報取扱事業者またはその従業員またはこれらの地位にあった者が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金(同法83条))が規定されていますが、GDPRまたはLGPDと異なり、多額の課徴金が求められる行政罰は規定されていません。

その他の留意事項:データ侵害発覚時の対応

 LGPD上、データ管理者は、データ侵害が生じた場合、当局が定める合理的な期間内に、当局への通知を行わなければならないとされています(同法48条)。LGPD上は、データ侵害について、データ主体に対し重大なリスクまたは侵害が生じるものと若干の説明を加えているものの、「合理的な期間内」の内容は不明確なままです。なお、かかる不明確な点は、今後制定されると予想されるLGPDに関する規則等において定められる可能性が高いと考えられます。

 これに対し、GDPRでは、個人データ侵害(Data Breach)発生から72時間以内にデータ管理者が監督当局への通知を行うことを義務付けており、データ管理者または処理者が個人データ侵害を認識(aware)した時点のうちいずれか早い時点をその72時間の起算点とし、明確な期限を定めているほか、72時間以内に監督当局への通知ができない場合には、その理由を通知しなければならないとしています。また、GDPRでは、「個人データ侵害(Data Breach)」について、移転、保存またはその他の処理がなされた個人データに対する偶発的または違法な破壊、滅失、変更、許可されていない開示またはアクセスをもたらすセキュリティ侵害と定義しており(GDPR4条12号)、これに関するガイドライン(29条作業部会による「データ侵害の通知に関するガイドライン」(WP250))も公表しています。

 なお、日本の個人情報保護法では、「個人データの漏えい等の事案が派生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)において、告示の対象である漏えい等の事案を以下①~③の3種類と定め、かかる場合における公表等の措置を講ずることが望ましいとし、また、個人情報保護委員会等への報告を努力義務としています(なお、具体的な期限に関する明記はありません)。

  1. 個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く)の漏えい、滅失または毀損
  2. 個人情報取扱事業者が保有する、匿名加工情報の加工方法等情報(特定個人情報に係るものを除く)の漏えい
  3. ①または②のおそれ(なお、ここでいう「おそれ」に該当する場合とは、一般的には、個人データの漏えいが疑われるものの確証はない場合が考えられます)

ブラジル個人情報保護法(LGPD)の今後の実務への影響と留意点

 「適用範囲やデータ処理における、日本の個人情報保護法・GDPRと比較した留意点」の2で述べたとおり、LGPDは、ブラジル国外の企業であっても適用され、LGPD違反により多額の罰金の支払命令を受ける可能性があります。したがって、ブラジル国内に事業所を有する企業はもちろんのこと、ブラジル国外の企業であっても、ブラジル国内に関連するビジネスを行う企業ならば、本法に対する対策を、少なくともその検討は早急に開始するべきと考えます。

 具体的な検討作業としては、取引先との個人データのフローやグループ内の個人データの取扱いを確認する、いわゆるデータ・マッピングの作業があげられます。また、取り扱っているデータにセンシティブ・データが含まれているか否かという確認作業や、世界各国で収集したデータを保管しているサーバの場所の特定作業や、個人データを国・法域外へ移転させているかの確認作業といった事実関係の確認が優先すべき作業としてあげられます。

 LGPDの施行は2020年2月15日で、また、大統領による拒否権行使の結果により生じた条文の空白を埋めるべく今後新たな法令が制定される可能性が非常に高いことから、具体的な検討が必要となる状況はかなり先のことのように思われるかもしれません。しかし、すでに施行済みのGDPRへの対応に追われる日本国内の事業者の状況を見る限り、LGPDへの対応についても、早急に準備を進めるかまたは少なくともその検討は開始された方が望ましいと考えられます。

 また、すでにGDPRへの対応を開始した企業においては、そこで行われた対応の多くをLGPD対応にも流用できると考えられますが、センシティブ・データの取扱い等一部異なる部分についてはご留意ください

 次世代通信(5G)の導入がせまり、データ通信は人と人との間のみならず、人とモノ・モノとモノとの間(IoT)にも迅速に行われるようになり、データの利活用は国・法域を超え今後ますます活発に行われるようになることが予想されます。そうはあっても、現状、データの流通に関する規制は国・法域ごとに設けられている以上、各法域の規制を確認する必要は日々増加し続けています。ブラジルでのビジネスを行う企業、ブラジルに所在する個人のデータを取り扱う企業におかれましては、今回紹介させていただいた事項を参考に、円滑に準備または検討を進めていただければ幸いです。

関連する特集

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する