※本記事は、一般社団法人日本ブラジル中央協会発行のブラジル特報(2021年1月号)に掲載されたものであり、特段の注記がない限り、当該雑誌掲載日時点の情報に基づいている。
2018年8月14日に成立したブラジルの個人情報保護法(Lei Geral de Proteção de Dados Pessoais、2018年法13709号。以下「LGPD」という。)がようやく施行されることになった。LGPDの概要は、本誌2018年11月号(No.1647)に掲載しているのでそちらを参照いただきたい。本稿では、LGPD成立から施行までの経緯に触れるとともに、LGPDの現状を踏まえて企業として対応すべきことを解説する。
1.LGPD成立から施行までの経緯
(1)施行日をめぐる混乱
LGPDは、2018年8月14日に成立し、当初の施行日は法律公布後18か月後であった。ところが、監督官庁の設置の遅れや企業の対応の遅れ等を考慮し、2019年法13853号により、施行日は法律公布後24か月に延期された。
その後、2020年に入り、再度施行日の延期が国会で議論され、その中で、LGPDの行政上の制裁(警告や制裁金など)に関する条文については2021年8月1日から適用されることが決定された。その他の規定についても2021年5月に施行される内容で議論されていたが、最終的には、2020年9月18日に、当初予定(公布後から24か月後)とおり施行されることが決まった。
なお、2020年9月18日は、2021年5月施行を定めた暫定措置令が却下された(法律化されなかった)日である。LGPDの条文上は、LGPD公布後から24か月後に施行となっているため、正確な施行日は2020年8月16日となる。
(2)2019年法13853号による法改正
2019年法13853号は、施行日の変更だけではなく、内容的な改正もいくつか行っている。主なものは、以下のとおりである。
5条8号 |
データプロテクションオフィサー(以下「DPO」という)が自然人でなくてもよくなった(法人でも可)。また、処理者もDPOを選任することになった |
7条7項 |
一定の条件のもと、公開されている情報を別の目的で使用できるようになった |
11条4項 |
経済的利益を得るためのセンシティブ情報の管理者間の共有に関して、一定の条件のもと、医療サービス、調剤支援及びヘルスケアの提供においては例外的に認められることになった |
11条5項 |
保険会社が契約又は受益者の加入・排除に関するリスクを選別するために健康情報を使用することが禁止されることになった |
52条7項 |
情報漏洩等が発生した場合に、データ主体と管理者間で和解した場合は、LGPDの行政上の制裁が課せられないことになった |
2.LGPDの現状
(1)監督機関
LGPDの監督機関として、Autoridade Nacional de Proteção de Dados(以下「ANPD」という)という機関が新たに設立されるが、ANPDの詳細(構成員の数や任期)は、2020年8月に公布された2020年規則10474号によりようやく決定した。同年11月に初代長官など5名の理事が公表されたが、本項執筆時点では、ANPDによる具体的な活動はまだない。
(2)不明確な規定が多い
LGPDは管理者に多くの義務を課しているが、その詳細が決定してないものも多い。たとえば、個人情報の処理記録の保存の要否の基準、情報漏洩等の発生時のANPDへの通知期限、国外移転の要件等である。これらはANPDが今後決定することになる。
3.現時点で行うべき対応
上述のとおり、LGPD上の義務は不明確なものも多いため、企業の対応として何が正解かも現時点では不明確である。ただし、ブラジルではこのような事態(法律が施行されたが詳細なルールが不明確な事態)は珍しくない。例えば、腐敗防止法(2013年法12846号)が施行された際も、その詳細なルールは腐敗防止法施行後1年以上経って制定された同法施行令(2015年施行令8420号)により明らかになった。このような事態においては、その時点で適切であろうと考えられる対応をまずは行うこととなる。そして、適切であろう対応は、保有・処理する個人情報の内容によって異なり得る。たとえば、センシティブ情報を取り扱うような場合は、情報漏洩時の影響が大きいため、非常に厳格な対応が必要となる。ただし、いずれの会社においても、以下の作業は最低限行うべきである。
①データマッピング
自社が保有する個人情報の内容や取得経緯を確認し、その上で、その処理について法的根拠があるか否かを確認する。仮に法的根拠がないのであれば処理を停止する。
②プライバシーポリシーの作成
個人情報の処理のためには、データ主体に対して、処理の目的、処理の方法・期間、個人情報の共有の有無、データ主体の権利等の情報を提供する必要がある。実務的には、これらを規定したプライバシーポリシーを作成し、自社サイトにおいて掲載する形で情報提供することが一般的である。また、データ主体から個人情報の処理に関する同意を取得する際には、プライバシーポリシーに同意させるプロセスを作る必要がある。
③情報漏洩等発生時の対応プロセスの明確化
個人情報の漏洩や不正アクセス等が発生したときに、被害の拡大を防ぐためやANPDへの報告を速やかに行うための社内対応プロセスを明確にしておく必要がある。特に重要なのが、漏洩等の事実が放置されないために、特定の責任者に情報を集約することである。そのため、社内規程のようなしっかりしとしたものを作る余裕がない場合でも、「漏洩等が発生した場合に誰に報告するか」ということを明確にし、社内で共有しておくことが重要である。