※本記事は、一般社団法人日本ブラジル中央協会発行のブラジル特報(2018年11月号)に掲載されたものであり、特段の注記がない限り、当該雑誌掲載日時点の情報に基づいている。
2018年8月14日、個人情報保護法(2018年法13709号)が成立・公布された。ブラジルでは、これまで、個別の法律(消費者保護法やインターネット法)により個人情報の取扱いが定められていたが、個人情報の取扱いや保護に特化した法律は存在しなかった。個人情報保護法が事業運営に与える影響は大きい。そこで、本稿では、ブラジル個人情報保護法の基本的事項を解説する。
1.個人情報保護法の概要
個人情報保護法は成立から18か月後(2020年2月)に施行される。同法は、個人の自由及びプライバシーに関する基本的権利の保護を目的として、個人情報の取扱いのルールを定めている。多くの新しい概念が創設されているが、同法全体を通して、2018年5月にEU(欧州連合)で施行されたEU一般データ保護規則(GDPR)の影響を強く受けている。なお、個人情報保護法では、個人情報の取扱いを監督する「監督機関」について言及されているが、現時点では、同機関は設立されていない。
2.個人情報保護法が適用される場合
個人情報保護法の対象行為は、個人情報のあらゆる処理(収集、生成、受領、使用、アクセス、複製、移転、保存、共有など)が含まれ、これらがブラジル国内で行われると個人情報保護法が適用される。また、ブラジル国内に向けて製品又はサービスを提供する目的の場合は、たとえ処理がブラジル国外で行われても同法が適用される。一方、個人による私的・非経済目的の利用や報道、芸術又は学術目的の場合など例外事由もある。
3.主要な概念の定義
個人情報 |
個人が特定される又は特定され得る情報 |
要配慮情報 |
(個人情報のうち)人種、民族、信仰、政治的意見、労働組合又は宗教・哲学・政治団体の加入の有無、健康、性向、遺伝、生体等に関する情報 |
データ主体 |
個人情報から特定される自然人 |
管理者 |
個人情報の取扱いに関して意思決定を行う者 |
処理者 |
管理者のために個人情報の取扱いを行う者 |
エージェント |
管理者及び処理者 |
4.個人情報の処理が行える場合
個人情報の処理は、法律に定められた要件を満たす場合にのみ許される。たとえば、データ主体の同意がある場合、法律上の義務の履行に必要な場合、契約の履行に必要な場合、正当な利益がある場合などがある。
5.同意の取得方法
データ主体による同意は、強制を受けずに、情報提供を受けた上で、曖昧でない意思表示である必要がある。また、データ主体による積極的な意思表示である必要がある。そのため、たとえば、最初から「同意する」にチェックが付いている方式は認められない。同意を取得する際には、個人情報の処理の目的、処理方法、処理期間等を明示する必要がある。なお、同意の有無については、管理者が立証責任を負う。
6.データ主体の権利
データ主体は、自己の個人情報について、個人情報の処理の有無の確認、個人情報へのアクセス、個人情報の訂正・匿名化・利用停止・削除、個人情報の持ち出し、同意の撤回などの権利を有する。
7.管理者及び処理者の義務
管理者及び処理者は、適切なセキュリティ対策や内部統制を構築し、また、個人情報の取扱いを記録する義務を負う。管理者は、オフィサーと呼ばれる専門家の選任、インパクトレポートと呼ばれる個人情報の処理内容等が記載されたレポートの作成、事故(個人情報漏えい等)発生時の監督機関やデータ主体への報告等の義務を負う。
8.国外移転
個人情報のブラジル国外への移転は一定の場合にのみ許される。具体的には、監督機関が認定した国に移転する場合、管理者が個人情報の保護に十分な対策を講じた場合(標準契約条項の締結、拘束的企業準則など)、データ主体からの同意がある場合などである。
9.罰則
個人情報保護法に違反した場合、(1)警告、(2)違反の公表、(3)個人情報の停止又は削除及び(4) 日々の又は1回の課徴金(グループ会社全体のブラジルでの売上の2%以内、上限は5000万レアル)を受ける可能性がある。なお、かかる罰則のほか、民事責任及び刑事責任を負う可能性がある。
10.会社が行うべき最初の対応
個人情報保護法の施行に向けてまず取り掛かるべきことは、自社が取り扱っている個人情報を把握することである。自社のどの部門が、どのような方法で、どのような目的で、どのような個人情報を取り扱っているか、取り扱っているとして、その情報を第三者(グループ会社含む)と共有しているか、その処理を第三者に委託しているかを把握し、その結果によって、具体的に取るべき対応(内部規程の作成、契約書のレビューなど)を決定することになる。
11.詳細なルールが今後作られる
個人情報保護法の多くの規定は、その内容・要件が明確ではない。たとえば、個人情報の国外移転の要件、最低限必要なセキュリティ対策の内容、オフィサーの設置義務の要件、個人情報の取扱いの記録義務の要件、インパクトレポートの作成義務の要件などは不明確である。これらの点は、今後政令やガイドライン等によって明確になると思われる。