このブログでは、ブラジルの一般データ保護法について、遵守する必要があるのは誰か、何が保護されているのか、要件を満たすにはどうすればいいのかについて説明します。

コンプライアンスを徹底することは簡単ではありません。こまごまとした法律の内容を理解しなければならず、規制当局や監査人に丁寧さや辛抱強さは期待できません。国際的なデータ保護法のコンプライアンスの場合は困難さは倍増するかもしれません。そんな不安感を持った人に少しでも役立つよう、イプスイッチのブログで、国際的なデータ保護法へのコンプライアンスに必要な、用語やポイントを解説したいと思います。

昨年は、GDPR について4回にわたってブログで説明しました。それぞれのブログは次の通りです。

• GDPR 一般データ保護規則の詳細 - 原則１
• GDPR 一般データ保護規則の詳細 - 原則２と原則３
• GDPR 一般データ保護規則の詳細 - 原則４と原則５
• GDPR 一般データ保護規則の詳細 - 原則６と原則７

最近では、中国のサイバーセキュリティ法についての解説と、ISO 20022 の概要をブログで取り上げました。今回は、ブラジルの新しい一般データ保護法を見ていきます。

ブラジルの一般データ保護法とは何ですか？

ブラジルは、GDPR に触発されて、2018年8月中旬、ブラジルでの個人データの使用と処理を管理することを目的とした新しい法的枠組みである、一般データ保護法を可決しました。

この法律は、プライバシー保護と個人データ保護に関連するおよそ40の現行法律に代わるものであり、個人の権利を保証し、データ収集のための明瞭でトランスペアレントな規則を作成することによって経済成長を促進することを目的としています。2018年8月中旬に可決された一般データ保護法は、2020年2月からの施行が予定されています。

遵守する必要があるのは誰ですか？

新しい法律はブラジルでの個人データの処理について規定しており、データ処理に関する広い理解が求められます。基本的に、市民のデータにタッチしたら、処理しているとみなされます。データ処理には、データの収集、保存、転送が含まれます。  

したがって、ブラジルでこれらの活動のどれか１つでも実行する組織は、法律の対象となります。国家安全保障組織、芸術目的やジャーナリズム目的のわずかな例外を除いて、民間組織も公共機関も、等しくこの法律を遵守する必要があります。

ブラジルの一般データ保護法は、GDPRと同様、域外適用されるため、ブラジルでサービスを提供し、ブラジルに居住する人々の個人データを収集および処理する組織は、国外の組織であってもこの法令を遵守する必要があります。興味深いことに、これはデータ主体の国籍に関係なく適用されます。したがって、ブラジルに居住するアメリカ人のデータを処理するアメリカの会社は、この法律を遵守する必要があります。

法案の具体的な要件は何ですか？GDPR とどのくらい似ていますか？

法律の要件は最も重要で、しっかりチェックする必要があります。一般データ保護法は、その名称からもわかるように、確かに GDPR を参考にしていますが、丸写しというわけではありません。法律の主な要件は、以下の通りです。

データ保護責任者

GDPR や中国のサイバーセキュリティ法と同様に、ブラジルの新法では、組織内でのコンプライアンスとデータ保護の取り組みを監督するために、データ保護責任者を任命する必要があります。

データ侵害の通知

GDPR とは異なり、ブラジルの法律ではデータ侵害を通知するための具体的な日数などは定められていませんが、規制対象となる組織が、情報に影響を及ぼすデータ侵害についてユーザーに通知することを義務付けています。通知には、影響を受ける個人データの種類の説明、データを保護するために講じられたセキュリティ対策、および個人情報の盗難などのインシデントから生じるリスクの詳細を含める必要があります。

データ処理への同意

ブラジルの新法によれば、個人データが処理される場合は常に、データ主体から事前に同意を得る必要があります。同意は、データ処理の特定の目的のためにのみ使用することができ、データ処理と明瞭に示されていなければ同意とみなされない場合があります。ただし、法的要件やコンプライアンス要件の実行や契約の実行などのためにデータ処理が必要な場合など、同意規則にはいくつかの例外があります。基本的に、データ処理は必要な法的根拠がある場合にのみ実行されます。

セキュリティとプライバシーの要件

規制対象機関はサイバー攻撃に対する保護措置を講じなければならず、新製品を作成する際にはいつでも保護措置を実装する必要があります。ブラジルのデータ保護当局は、組織がこれらの要件を満たしていることを確認するためにプライバシー監査を実施することができます。

記録の要件

行われたすべての個人データの処理を、収集したデータの種類、使用目的、法的根拠、保存期間、および暗号化などの保管に使用されるセキュリティ施策の詳細な記述を含め、記録することが義務付けられています。

データ転送の要件と制限

ブラジルの法律は、特に国境を越える場合の、個人データの転送を大幅に制限しています。

国境を越えるデータ転送は、DPAの承認がない限り、ブラジルのデータ保護当局が同等または適切なレベルのデータ保護を行うと判断した国に対してのみ許可されます。国境を越えるデータ転送に関するその他の法的規制として、データ管理者とデータ主体者の間の標準的な契約条項があります。データ主体が具体的な同意を与えた場合についても考慮されます。 

法執行の担当機関はどこですか？

ブラジルの新法によって、新たな国家データ保護局（National Data Protection Authority、DPA）が設立され、DPA がコンプライアンスの監督と罰則の執行を担当することになります。

コンプライアンス違反に対する罰則は何ですか？

一般データ保護法へのコンプライアンス違反に対しては、最大でブラジルでの総売上高の2％の制裁金が科せられますが、制裁金は違反1件につき5,000万レアル（このブログ掲載時の換算レートで約14億円）の上限があります。GDPR の制裁金の上限には及びませんが、かなりの金額であることには間違いありません。