ブラジルの LGPD コンプライアンス: ラテンアメリカの事業におけるデータ保護

ブラジルのダドス保護法 (LGPD — 法律第 13,709/2018 年) は 2020 年 9 月 18 日に発効し、2021 年 8 月からダドス国立保護区 (ANPD) による施行が始まりました。 ブラジルは人口で世界第 5 位、経済大国で第 6 位の国であり、LGPD となっています。コンプライアンスは、ブラジルで事業を展開する組織、顧客、従業員にとって不可欠です。

EU の GDPR を厳密にモデルとした LGPD は、処理の法的根拠、データ主体の権利、DPO 要件、国境を越えた転送制限、違反ごとにブラジルの年間収益の最大 2% の 5,000 万レアル (約 1,000 万米ドル) を上限とする罰金を導入しています。 ANPD は初の多額の罰金を発行し、分野別のガイダンスを発行しました。執行はもはや理論的なものではありません。

重要なポイント

• LGPD は、組織の拠点がどこにあるかに関係なく、ブラジルで個人の個人データを処理するすべての組織に適用されます。
• 処理に関する 10 の法的根拠が存在します。いずれもデフォルトではありません。各アクティビティの基礎を文書化する必要があります
• LGPD に基づく同意は、自由で、十分な情報を得た上で、明確で、特定の目的に向けたものでなければなりません - 事前にチェックが入っているボックスは対象外です
• 機密性の高い個人データ (人種、宗教、健康、生体認証、政治的意見、性的指向) には明示的な同意または特定の例外が必要です
• DPO (Encarregado) の任命は、ほとんどのコントローラーとプロセッサーにとって必須です
• 国境を越えた移転は制限されています - 許可されるメカニズムには、十分性の決定、標準的な契約条項、および認証スキームが含まれます
• ANPD の罰金はブラジル歳入の 2% に達し、違反 1 件あたりの上限は 5,000 万レアル
• LGPD は法律 13,853/2019 によって更新され、ANPD の独立性が強化され、執行規定が明確になりました。

---

LGPD の範囲と地域適用

LGPD は、次のような個人データのあらゆる処理に適用されます。

1. ブラジル領土内で行われる
2. ブラジル在住の個人に商品またはサービスを提供する目的がある
3. ブラジルで収集された個人データが含まれます

GDPR の第 3 条と同様、この域外適用範囲は、ブラジルの顧客にサービスを提供するポルトガル語の e コマース ストアを運営する米国企業が、それらの顧客のデータについて LGPD に準拠しなければならないことを意味します。ブラジル人従業員を抱える多国籍企業は、従業員のデータ処理に準拠する必要があります。

LGPD からの 免除には以下が含まれます:

• 経済活動ではなく、もっぱら私的な目的のために行われる処理
• 報道、芸術、学術目的での処理
• 公安、国防、または犯罪捜査のための処理 (特定の法律の対象となる)
• ブラジル国外から発信されたデータであり、ブラジルの代理店との通信または共有使用の対象ではないデータ

ただし、これらの例外は狭く解釈されます。ほとんどの商用処理は対象外です。

---

個人データ処理の法的根拠

LGPD の第 7 条では、個人データの処理に関する 10 の法的根拠を定めています。これは GDPR (6 つあります) とは異なり、ブラジル特有の法的背景を反映しています。すべての処理アクティビティは、次のいずれかの基準に基づいて文書化する必要があります。

LGPD に基づく 正当な利益は GDPR よりも狭いため、管理者は正当な利益とデータ主体の基本的な権利および自由のバランスを取る必要があります。 ANPD のガイダンスでは、これには GDPR と同様の 3 部構成の文書化されたテストが必要であり、商業目的のみが自動的に対象となるわけではないことが示されています。

機密個人データ (第 11 条) には、人種または民族的出身、宗教的信念、政治的意見、労働組合または宗教団体のメンバーシップ、健康データ、性生活、遺伝的データまたは生体認証データに関するデータが含まれます。機密データを処理するには、明示的な同意、または 7 つの特定の法的根拠 (法的義務、研究、医療など) のいずれかが必要です。機密データの同意基準はより高く、明示的で、他の同意とは区別され、目的が特定されています。

---

LGPD に基づくデータ主体の権利

LGPD の第 18 条では、データ主体に次の 9 つの権利を与えています。

GDPR との主な違い:

• LGPD には、同意を拒否した場合の結果を知る権利が含まれており、ユーザーが同意を拒否した場合に何が起こるかを収集前に開示する必要があります。
• 「不当な遅延なく」は、GDPR の 30 日間のタイムラインよりも規範的ではありません — ANPD 規制はタイムラインを指定することが期待されています
• 移植性の権利は、技術的な実現可能性と ANPD 規制が条件となります。

権利の行使: データ主体は管理者にリクエストを送信します。コントローラーは、ANPD 解決 CD/ANPD No. 4/2023 に基づいて (確認およびアクセス要求に対して) 15 日以内に応答する必要があります。その他の権利については、管理者は ANPD 規制の定義に従い、不当な遅延なく応答する必要があります。

---

コントローラーとプロセッサーの義務

データ管理者 (Controlador): 処理の目的と手段を決定します。法的根拠の文書化、プライバシーに関する通知、データ主体の権利の履行、DPO の任命、ANPD 報告、セキュリティ対策などの主要な LGPD 義務があります。

データ処理者 (オペレーター): 契約に基づいて管理者に代わってデータを処理します。処理者は、管理者の指示に従わない場合、または LGPD に反する行為をした場合、違反に対する責任を共有します。コントローラーは、LGPD 準拠を十分に保証するプロセッサーのみを使用する必要があります。

処理者契約の要件 (第 39 条): 管理者と処理者は、以下を対象とする書面による契約を締結する必要があります。

• 個人データの処理手順
• セキュリティ義務
• 機密保持要件
• データ主体の権利のサポート
• 契約終了時のデータ返却または削除義務

共同管理者: LGPD は共同管理者の取り決めについて明示的に扱っていません (GDPR の第 26 条とは異なります) が、ANPD ガイダンスでは、責任を明確に割り当てて共同処理の状況に契約上対処する必要があると示しています。

---

データ保護責任者 (エンカレガド)

第 41 条は、管理者および処理者にデータ保護責任者 (Encarregado) を任命することを義務付けています。 GDPR とは異なり、LGPD にはしきい値が設けられておらず、この要件はコントローラーとプロセッサーに広く適用されるようです。 ANPD は、小規模な組織や個人事業主の義務は軽減される可能性があることを示唆しており、ANPD 決議 CD/ANPD No. 2/2022 では、小規模データ処理業者向けの簡素化された規定が定められています。

DPO (Encarregado) の責任:

• コントローラー、データ主体、ANPD 間の通信チャネルとして機能します。
• データ主体の苦情を受け取り、データ主体とその権利に関して連絡する
• ANPDからの通信を受信し、適切なアクションを実行します。
• データ保護の実践について社内従業員にアドバイスする
• 管理者によって定義された、または ANPD 規制で定められたその他の義務を実行する

公開要件: 管理者は、通常はプライバシー ポリシーでエンカレガドの身元と連絡先情報を公開する必要があります。

内部または外部の可能性があります: GDPR とは異なり、LGPD は DPO の役割における利益相反を禁止していませんが、ベスト プラクティスでは DPO が十分な独立性を持つべきであることが示唆されています。資格のあるコンサルタントによる外部 DPO サービスが広く使用されています。

---

セキュリティ要件

第 46 条では、管理者および処理者に対し、個人データを不正アクセス、破壊、紛失、改ざん、通信、またはあらゆる形式の不適切または違法な取り扱いといった偶発的または違法な状況から保護するためのセキュリティ、技術的、および管理上の措置を講じることを義務付けています。

ANPD 解決策 CD/ANPD No. 4/2023 および関連するガイダンスでは、最小限のセキュリティ要件が指定されています。主な技術的対策には次のようなものがあります。

アクセス制御:

• データの機密性に比例した認証メカニズム ・権限制限（必要最小限のアクセス）
• 機密データへのアクセスのためのアクティビティログ

暗号化:

• ストレージ内の機密個人データの暗号化
• 個人データの送信時の暗号化
• 鍵の管理手順

データ ライフサイクル管理:

• 文書化された保存期間
• 保存期間終了時の安全な削除または匿名化

組織的な対策:

• 個人データを扱うすべての従業員を対象としたLGPDトレーニング
• 新しいシステムにおけるプライバシーバイデザインの考慮事項
• 定期的なセキュリティ評価と監査
• インシデント対応手順

---

違反通知

第 48 条では、データ主体に関連するリスクや損害をもたらす可能性のあるセキュリティ インシデントについて、管理者に ANPD および影響を受けるデータ主体に通知するよう義務付けています。 LGPD は特定の通知スケジュールを指定していません。法律では、通知は「合理的な期間内」に行われなければならないと規定されています。インシデント通知に関する ANPD 決議 CD/ANPD No. 2/2023 では、多数のデータ主体に影響を与えるインシデントまたは機密データに関係するインシデントについては 2 営業日以内の事前通知要件が定められており、詳細な通知は 5 営業日以内に行われます。

ANPDへの通知内容:

• 影響を受けるデータの性質とデータ主体の数
• 事件の起こり得る結果
• 状況に対処するために実施または計画された措置
• DPO (Encarregado) の識別

データ主体への通知: インシデントがデータ主体に重大な損害を与える可能性がある場合、ANPD は、インシデントの性質や影響を軽減するために取られた措置を含む、影響を受ける個人への通知を要求する場合があります。

---

国境を越えたデータ転送

LGPD の第 33 条は、個人データの国際転送を制限しています。許可されるメカニズムには次のものが含まれます。

十分性決定の現在の状況: 2026 年初頭の時点で、ANPD は特定の国 (EU を含む) に対する十分性決定をまだ発行していませんが、これについては議論されています。実際には、ほとんどの組織は、ANPD の標準契約条項を待ちながら、同意または特定の契約条項を使用します。

EU からの移転: LGPD の GDPR との類似点にもかかわらず、相互の十分性の認識はありません。 EU→ブラジル間の転送には、GDPR に準拠したメカニズムが必要です。ブラジル→EU への転送には、LGPD 互換のメカニズムが必要です。多国籍データ フローでは、両方のフレームワークが満たされる必要があります。

---

ANPD の執行と罰則

ANPD (Autoridade Nacional de Proteção de Dados) は、法改正を受けて 2023 年に連邦政府から運営上独立しました。執行権限には次のものが含まれます。

行政制裁 (第 52 条):

• 是正措置と期間を示す警告
• 単純な罰金: 前会計年度のブラジルでの企業収益の最大 2%、違反ごとに 5,000 万レアル (約 1,000 万米ドル) を上限とする
• 進行中の違反に対する毎日の罰金 (合計最大 5,000 万レアル)
• 違反の公表
• 個人データ処理のブロック
• 個人データの削除

初の重大な罰金: ANPD は 2023 年に通信事業者と医療プラットフォームを対象に初の罰金を課し、大企業と小規模組織の両方に対して強制執行する意欲を示しました。これまでの罰金は1万4400レアルから1440万レアルとなっている。

調査プロセス: ANPD は、苦情に基づいて、または義務的な違反通知を通じて、職権で調査を開始できます。制裁プロセスには、対象組織への通知、弁護の機会、協力と是正に基づく段階的な罰則が含まれます。

---

LGPD コンプライアンス チェックリスト

• LGPD 適用性分析が完了しました
• すべての処理アクティビティについて文書化されたデータ マッピング / RoPA
• すべての処理アクティビティについて文書化された法的根拠
• 機密性の高い個人データについて文書化された別の法的根拠
• 同意メカニズムの見直し — 事前にチェックを入れたボックスを削除し、目的に特化
• ポルトガル語で発行されたプライバシー ポリシー/通知 (ブラジル ユーザー向け)、必要な開示がすべて記載されています
• DPO (Encarregado) が任命され、連絡先情報が公開されました
• データ主体の権利手順が文書化およびテストされています (アクセス/確認に対する 15 日間の応答)
• プロセッサー契約が確認され、LGPD が要求する条項が更新されました
• すべての国際データフローについて評価された国境を越えた転送メカニズム
• データの機密性に応じて文書化および実装されたセキュリティ対策
• インシデント対応および侵害通知手順 (予備 2 日間、完全 5 日間) を文書化
• 保持スケジュールが文書化され、自動削除が構成されています
• LGPDに関する従業員トレーニングが完了し、文書化されました
• 新製品と機能のプライバシーバイデザインレビュー

---

よくある質問

ブラジルに本拠を置いていない私の会社にも LGPD が適用されますか?

処理にブラジルで収集されたデータが含まれる場合、またはブラジルの個人に商品やサービスを提供する場合は、はい。 LGPD の域外適用範囲は GDPR のアプローチと似ています。完全にブラジル国外で事業を行っているが、ブラジル人の顧客にサービスを提供するポルトガル語の Web サイトを運営している企業、またはブラジル人のリモートワーカーを雇用している企業は、それらの個人のデータについて LGPD に準拠する必要があります。

GDPR と比較した LGPD ペナルティとは何ですか?

LGPD の罰金の上限はブラジルの年間収入の 2% で、違反 1 件あたりの上限は 5,000 万レアル (約 1,000 万米ドル) です。 GDPR の上限は、世界の年間収益の 4% または 2,000 万ユーロのいずれか高い方です。大規模な多国籍企業の場合、GDPR の罰金は LGPD の罰金よりも大幅に高額になる場合があります。ただし、LGPD の「違反ごと」の枠組み（影響を受ける各データ主体が個別の違反である可能性がある）は、大規模なインシデントの場合、合計の暴露が非常に重大になる可能性があることを意味します。

LGPD の同意は GDPR の同意と同じですか?

コンセプトは似ていますが、いくつかの違いがあります。どちらも自由で、情報に基づいた、具体的で明確な同意を必要とします。 LGPD の同意は、書面または同意を示すその他の手段によって提供されなければなりません (ANPD はデジタル同意書に関するガイダンスをまだ最終決定していません)。 GDPR とは異なり、LGPD には雇用の状況に関する特定の「自由に与えられた」テストがありません。ただし、雇用関係の力の不均衡は、同意が本当に自由であったかどうかに関係します。機密データについては、LGPD と GDPR の両方で、より高度な明示的な同意基準が必要です。

LGPD はブラジルの医療データにどのように適用されますか?

ヘルスケア データは、LGPD の下で機密個人データとして分類されます。処理には明示的な同意が必要であるか、健康保護を含む特定の法的根拠に該当します (第 11 条、II、c - 医療専門家または団体によって実行されます)。ブラジルの医療機関は、ブラジル保健規制庁 (ANVISA) および連邦医学評議会 (CFM) による部門別の規制も遵守する必要があります。 LGPD と保健分野の規制は並行して実施されます。

中小企業向けの簡素化されたコンプライアンス義務はありますか?

はい。 ANPD 決議 CD/ANPD No. 2/2022 では、「小規模データ処理業者」 (年間収益が最大 400 万レアル、一部の種類では最大 1,600 万レアル) の自然人または民間法人と定義され、簡素化されたコンプライアンス義務が定められています。義務の簡素化には、報告要件の削減と DPO 要件の緩和が含まれます。ただし、法的根拠の文書化、データ主体の権利、セキュリティ対策などの中核となる義務は引き続き適用されます。

---

次のステップ

ブラジルはラテンアメリカ最大のデジタル市場の 1 つであり、ブラジルの企業顧客や政府の調達プロセスでは LGPD への準拠がますます求められています。初めてブラジルに進出する場合でも、既存のコンプライアンスのギャップを修正する場合でも、ECOSIRE のチームは、LGPD の要件に対処するお手伝いをします。

データ マッピングや法的根拠の文書化から、テクノロジー プラットフォームでのプライバシー バイ デザインの実装に至るまで、当社のサービスはコンプライアンスのライフサイクル全体をカバーします。

詳細: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。 LGPD の要件は、ANPD の規制と施行ガイダンスを通じて進化し続けています。貴社の組織に特有のアドバイスについては、資格のあるブラジルの法律顧問にご相談ください。