ブラジル - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに

ブラジルにおいては、比較的最近まで、個人データの保護に特化した法律は存在しませんでした。すなわち、以前は、

・ 消費者保護法(1990年法律8,078号)

・ インターネットの民事的枠組みに関する法律(2014年法律12,965号)

等、いくつかの個別の法律によって個人データの保護が図られているのみでした。また、これらに加えて、ブラジルの憲法5条は、プライバシー、私生活、名誉、肖像等を個人の基本権として保護しており、それらの侵害による財産的損害や精神的損害の賠償請求権を認めていました。

しかし、2018年になって、ブラジルにおいても個人データ保護に関する一般法(Lei Geral de Proteção de Dados Pessoais)(2018年法律13,709号)(以下、「LGPD」といいます)が制定されました。また、2022年には憲法5条も改正され、デジタルメディアの形式のものも含め、個人データ保護に関する権利も個人の基本権として保障されることが憲法上明記されるなど注1、ブラジルでも近年個人データ保護に関して重要な立法が行われています。
中でも、LGPDのインパクトはとりわけ大きく、さまざまな業種の多くのブラジル企業がLGPDにより重大な影響を受けています。また、個人データの越境移転(ブラジルから外国への移転)も、LGPDにより規制されます。そのため、日系企業を含め、ブラジルでビジネスを行う企業にとっては、LGPDの理解は不可欠といえます。しかし、後述のとおり、本稿の執筆時点(2022年7月1日時点。以下同じ)においてはLGPDに関する規則の多くがまだ制定されていないこともあり、LGPDの理解は容易ではありません。

そこで、本稿においては、まずLGPDの概要について触れた上で、LGPDにおける個人データの越境移転の規制について説明します。また、個人データの移転先が負うこととなる主要な義務や、違法な越境移転等に対する制裁についても触れます。

LGPDの概要

目的と特徴

LGPDは、個人データの処理と保護について定めた一般法です。その目的は、個人の自由やプライバシーといった基本権を保護し、個人の自由な人格の発展を保護することです(LGPD 1条)。
また、LGPDの理解にあたっては、以下の2点を認識しておくことが有用と思われます。まず1点目は、本稿の執筆時点においては、LGPDに関する多くの規則がまだ制定されていないという点です。そのため、データの越境移転等に関連する規制を含め、本稿の執筆時点では規制の内容が決まっていないものも多く、今後制定される規則を注視する必要があります
そして2点目は、LGPDは、EU一般データ保護規則(General Data Protection Regulation)(以下、「GDPR」といいます)の影響を強く受けており、内容がGDPRと似ているという点です。LGPDの法案はGDPRの原則や定義に基づいて作成されており、LGPDの法案が承認された際のブラジルの下院の報告書でも、ブラジルがEUとおおむね同じ法的枠組みを採用することの重要性が強調されています。

「個人データ」とは

LGPDが保護の対象とするのは、個人データのみです。ただし、紙媒体であるか電子媒体であるか等、個人データの形式は問いません。なお、法人の情報は、LGPDでは保護されません。
また、LGPDにおいては、「個人データ」(dado pessoal)とは、識別された、または識別されうる自然人に関する情報と定義されています(LGPD 5条I号)。もっとも、LGPDでは、個人データの例は挙げられていません。また、「識別されうる自然人」が何を意味するのかについてもLGPDでは規定されていませんが、これに関してはGDPRにおける個人データの定義が参考になるものと考えられます。

個人データの「処理」

LGPDにおいて、個人データの「処理」(tratamento)とは、個人データに関するあらゆる作業と定義されています(LGPD 5条X号)。LGPDにおいては、「処理」の例として、取得、利用、アクセス、複製、保存等とともに「移転」(transferência)も明記されているため、個人データの移転にあたってもその処理に関する義務を遵守する必要があります。
そして、LGPDにおいては、データ主体の同意を取得した場合等、一定の場合に限って個人データを処理することが認められています(LGPD 7条)。
なお、LGPDにおいては、個人データの「管理者」(controlador)とは、個人データの処理に関して決定する責任を負う自然人または法人をいいます(LGPD 5条VI号)。また、個人データの「処理者」(operador)とは、管理者のために個人データを処理する自然人または法人を意味します(LGPD 5条VII号)。

ANPD等の創設

LGPDによって、国家データ保護機関(Autoridade Nacional de Proteção de Dados(以下、「ANPD」といいます)と呼ばれる、ブラジルにおける個人データ保護を担当する政府機関も創設されました。ANPDには広範な権限が認められており、その権限には

・ 法令に違反する個人データの処理を監視し、制裁を課すこと

・ 個人データ保護やプライバシーに関する規則・手続を作成・公表すること

等が含まれます(LGPD 55条-J)。
また、LGPDにより、諮問機関である国家個人データ・プライバシー保護評議会(Conselho Nacional de Proteção de Dados Pessoais e da Privacidade(以下、「CNPD」といいます)も創設されています。

段階的な施行

LGPDは、2018年から2021年にかけて段階的に施行されました。具体的には図表1のとおりです。

図表1 LGPDの施行段階

 

施行時期

施行内容

第1段階

2018年12月

ANPDおよびCNPDの創設
(ただし、ANPDが正式に業務を開始したのは2020年の後半)

第2段階

2020年9月

違反に対する罰則以外の条項

第3段階

2021年8月

違反に対する罰則に関する条項

また、ANPDは、その創設後2021年~2022年の2年間に関する規制アジェンダを公表しました。当該アジェンダにおいては、この2年間における10個の優先項目が列挙されるとともに、それらの実施時期が三つのステージに分けられています。
このうち、個人データの越境移転に関する規則の公表は第2ステージに含まれており、ANPDはその規則案の作成に向けて準備を開始したところです。ANPDは期限について言及していませんが、個人データの越境移転に関する規則も1、2年以内には公表されるものと予想されます。

個人データの越境移転

「データの越境移転」とは

LGPDにおいては、「データの越境移転」とは、外国または外国が加盟国である国際機関(以下、「外国等」と総称します)への個人データの移転と定義されています(LGPD 5条XV号)。
もっとも、LGPDにおいて明記されているわけではないものの、外国等への個人データのすべての移転が、LGPDにおける「データの越境移転」に該当するわけではないと考えられます。すなわち、LGPDにおいては、移転に関して2人以上の管理者または処理者の存在が前提とされているため、たとえばデータ主体から外国の管理者に個人情報が直接送信される場合には、LGPDによる個人データの越境移転の規制の対象外と思われます。また、外国に存在するサーバーを経由して同一のブラジル企業の内部で個人データをやりとりするために、外国に一時的に個人データが送信される場合等も、同様にその規制の対象外と思われます。

越境移転が認められる場合

ブラジルから外国への個人データの移転については、主としてLGPDの33条~36条で規制されています。もっとも、LGPDが定めるのは個人データの越境移転に関する規制の大枠のみであり、詳細は今後制定されるANPDの規則で定められる予定です。
そして、LGPD 33条によれば、個人データの越境移転が認められるのは同条に列挙された場合、具体的には、管理者や処理者は以下に示した場合にのみ個人データを外国へ移転することができます。

(ⅰ) 移転先となる外国等において、LGPDと同程度の個人データの保護が定められている場合(すなわち、当該外国等について十分性が認定されている場合)

(ⅱ) LGPDで定められた原則、データ主体の権利およびデータ保護の体制を確実に遵守することを、管理者が以下のいずれかの方法により申し入れ、証明する場合
a. 特定の移転のための特定の契約条項
b. 標準契約条項(cláusulas-padrão contratuais)(以下「SCC」)
c. グローバルな企業準則(拘束的企業準則)
d. シール、証明書および行動規範

(ⅲ) 国際司法共助のために、公的機関、調査機関または訴追機関の間でデータの移転が必要な場合

(ⅳ) データ主体または第三者の生命または身体の安全の保護のために移転が必要な場合

(ⅴ) ANPDが移転を承認した場合

(ⅵ) 国際的な協力合意における誓約の結果として移転が行われる場合

(ⅶ) 公共政策または公共サービスの実施のために移転が必要な場合

(ⅷ) データ主体が移転について個別的かつ明確に同意した場合。ただし、当該移転の国際的な性質について事前に情報が提供されており、かつ他の目的とは明確に区別して同意されている場合に限る。

(ⅸ) 法令上の管理者の義務を遵守するために必要な場合、データ主体の要請に従い契約の締結もしくは契約に関する準備のために必要となる場合、または法的手続、行政手続もしくは仲裁手続における通常の権利の行使のために必要な場合

十分性の認定とSCC

LGPDにおいても、管理者または処理者が個人データを外国に移転するにあたり、上記のうち、とりわけ(ⅰ)の十分性の認定と(ⅱ)b.のSCCに依拠することが想定されています
十分性の認定に関しては、ANPDが移転先となる外国等のデータ保護のレベルを評価するものとされており、その際の考慮要素として、LGPDでは以下の項目が挙げられています(LGPD 34条)。もっとも、本稿の執筆時点においては、ANPDはまだ外国等の十分性の認定を行っていません

・ 外国等における既存の法令

・ 個人データの性質

・ LGPDで定められた個人データおよびデータ主体の権利の保護に関する一般原則の遵守

・ セキュリティ対策の実施

・ 個人データ保護の権利に関する司法的かつ組織的な保証の存在

・ 移転に関するその他の個別事情

また、SCCの内容の決定や、上記(ⅱ)のその他の項目の検討も、ANPDが行うものとされています。それにあたり、ANPDは、LGPDの定める権利、保証および原則を遵守した移転に関する要件、条件および最低限の保証を考慮するとされています(LGPD 35条)。しかし、本稿の執筆時点ではまだSCCの内容等も決定されていません

規則の状況

LGPDに関連する規則を早急に制定する必要がある一方、とりわけ外国等の十分性の認定には長期間を要すると認識されています。そのため、ANPDは、まずはSCCの内容等、一部の項目に関する規則の制定にフォーカスすると決定しました。
そして、これらのトピックに関して、ANPDは、2022年5月から6月末にかけて一般から意見を募集する手続を行いました。その結果も参考にして、ANPDは当該規則の作成を進める予定です。当該規則の作成に関する期限は定められていないものの、近々当該規則が公表されると予想されています。

なお、ANPDの規則はまだ制定されていないとはいえ、LGPD自体は施行されているため、本稿の執筆時点においても、個人データの越境移転にあたりLGPDを遵守する必要がある点には留意が必要です。ANPDの規則がまだ制定されておらず、ブラジルにおけるSCCの内容が公表されていない現状において、ブラジルから外国に個人データを移転しようとする場合、実務上は、EUにおけるSCCを参考にすることになると思われます。今後決定されるブラジルにおけるSCCの内容も、おおむねEUにおけるSCCの内容を考慮したものになると予想されており、現時点でもEUにおけるSCCの内容を考慮するのが有益と思われます。

移転先の義務

LGPDの域外適用

外国に所在する個人または事業体による個人データの処理に対しても、LGPDが適用される場合があります。具体的には、以下のいずれかの個人データの処理に関しては、たとえ外国で行われる場合であっても、LGPDが適用されます(LGPD 3条)。

・ ブラジルで取得された個人データ

・ ブラジルに所在する個人の個人データ

・ ブラジルで商品やサービスを提供するために処理される個人データ

そのため、ブラジルに拠点等を有しない外国企業に対して個人データの越境移転が行われる場合であっても、個人データが上記のいずれかに該当する場合には移転先にLGPDが適用され、移転先が後述のような管理者の義務を負うことになります。

管理者の主要な義務

LGPDで定められている管理者の義務には、たとえば以下のようなものがあります。外国の移転先にLGPDが適用される場合は、当該移転先もこれらの義務を負います。

・ (必要な場合には)LGPDを遵守する形でデータ主体の同意を取得すること(LGPD 7条I号等)

・ 実施した個人データのすべての処理を記録すること(LGPD 37条)

・ 個人データの取得目的を変更する場合において、データ主体に通知すること(LGPD 9条2項)

・ データ保護責任者を選任すること(LGPD 41条)
※ただし、この義務は小規模な会社やスタートアップの場合には適用されない。

また、個人データの処理が完了した後、管理者等は、以下のいずれかを目的とする場合を除き、個人データを原則として消去しなければなりません(LGPD 16条)。

・ 管理者の法令上の義務の遵守

・ リサーチ機関による研究
※可能な場合には個人データを匿名化する必要がある。

・ 第三者への移転
※個人データの処理はLGPDに従う必要がある。

・ 管理者のみによる使用
※第三者が個人データにアクセスできてはならず、かつ、個人データを匿名化する必要がある。

さらに、データ主体は、自己の個人データに関してさまざまな権利を有しています(LGPD 17条以下)。この権利には、たとえば管理者に対して以下を請求し、または主張する権利も含まれます。

・ 管理者が取得した個人データへのアクセス

・ 不完全、不正確またはアップデートされていない個人データの訂正

・ 不必要な、過剰な、またはLGPDに違反して取得された個人データの匿名化、遮断または消去

・ 他のサービスまたは商品の供給者への個人データのポータビリティ
※法令が定める要件を満たす場合に限る。

・ 個人データの処理に関する同意の撤回

なお、今後ANPDの規則によって、個人データの越境移転に関して管理者等に追加の義務が課される可能性もあります。

違法な越境移転に対する制裁

行政罰

(1) 行政罰の種類

個人データの越境移転の規制を含め、LGPDに違反した場合には、管理者および処理者は、以下のような行政罰を課される可能性があります(LGPD 52条)。

・ 警告

・ 課徴金
※課徴金の額は、違反した管理者等が属する企業グループの前事業年度のブラジルにおける売上高の2%を上限とし、かつ、合計で5,000万レアル注2を上限とする

・ 違反の公表

・ 違反が是正されるまでの個人データの遮断命令

・ 個人データの消去命令

・ 管理者が不適切な処理を改善するまで、最長6か月間のデータベースの一部利用停止命令
※さらに6か月間の延長が可能

・ 最長6か月間の個人データの処理業務の停止命令
※さらに6か月間の延長が可能

・ 個人データ処理に関する業務の一部または全部の禁止命令

さらに、上記に加えて、消費者保護法等の他の法律が定める罰則が適用される場合もあります。

(2)行政罰が課される際に考慮される要素

違法なデータの越境移転等に対して行政罰を課す場合、ANPDは、以下を含むさまざまな事情を考慮します(LGPD 52条1項)。

・ 違反や侵害された個人の権利の重大性と性質

・ 違反者が誠実であるか否か

・ 違反が繰り返されているか否か

・ 違反者が適切な運用とガバナンスの内部指針を有していたか否か

・ すみやかに違反の是正措置を講じたか否か

・ 行政罰が違反に見合ったものであるか否か

ただし、課徴金の計算方法等の詳細については、今後公表される予定です。ANPDによれば、その計算方法は客観的かつ詳細なものになる予定です。

また、ANPDは創設以来、個人データの処理を含む企業活動の実効的な監督を行っています。ただし、公表情報を見る限り、本稿の執筆時点においては、個人データの違法な越境移転またはその他のLGPD違反を理由として、ANPDが課徴金を課した事例はまだ存在しないようです。これは、現在のところ、ANPDが企業に対してベスト・プラクティスについて指導するとともに手続の変更を提案すること等により、企業と協力して対処するというスタンスで臨んでいるためと思われます。

民事責任等

個人データの違法な処理(違法な越境移転を含みます)の結果、データ主体または第三者が損害を被った場合、管理者および処理者は連帯してその損害を賠償する義務を負います(LGPD 42条以下)。また、個人データの処理により権利を侵害されたデータ主体や第三者は、消費者保護機関、裁判所、ANPD等に対してエンフォースメントを求めることもできます。

→この連載を「まとめて読む」

[注]
  1. なお、ブラジルの憲法は、日本の憲法とは異なり詳細に規定されており、改正も頻繁に行われています。[]
  2. 1レアル=25円で換算すると、125,000万円に相当します。[]

石井 淳

アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士

2005年東京大学法学部卒業、2007年東京大学法科大学院卒業。2008年弁護士登録(61期)、アンダーソン・毛利・友常法律事務所入所。2014年米国シカゴ大学(LL.M.)卒業、2015年ニューヨーク州弁護士登録。2014年チリの法律事務所であるBarros & Errázuriz Abogadosにて研修、2015年ブラジルの法律事務所であるPinheiro Neto Advogados(サンパウロオフィス)にて研修。現在多くの国における日本企業の進出や現地子会社の法務のサポート等を行うとともに、国内においては、M&Aやコーポレート案件を中心に取り扱う。ブラジル、メキシコ、その他中南米法務に関する著作多数。

ステファニー・スカンヂウジ

Stephanie Scandiuzzi
アンダーソン・毛利・友常法律事務所外国法共同事業 アソシエイト弁護士(ブラジル)

2012年サンパウロ大学(LL.B.)卒業、2018年サンパウロ大学(LL.M.)卒業。2013年ブラジルの弁護士登録。2015年ブラジルの法律事務所であるMattos Filho, Veiga Filho, Marrey Jr. and Quiroga Advogados入所。同法律事務所のサンパウロオフィスおよびニューヨークオフィスで勤務、競争法チーム所属。現在、同法律事務所よりアンダーソン・毛利・友常法律事務所外国法共同事業に出向中。