IT・ベンチャーの企業法務

ブラジル連邦共和国の個人情報保護法（LGPD）の概要

2025.01.27

2025.07.15

EUの一般データ保護規則（GDPR）を筆頭に、世界各国では包括的なデータ保護法が次々と制定されており、ブラジル連邦共和国の「一般データ保護法」（Lei Geral de Proteção de Dados Pessoais、以下「LGPD」）もこの国際的な潮流の中で誕生しました。LGPDは、2018年8月14日に制定された法律第13,709号であり、2020年8月に施行され、2021年8月には罰則規定の適用が開始されています。その目的は、デジタル時代における個人のプライバシーとデータ保護の基本的人権を強化し、企業に対し、個人データの収集、保管、処理方法に関する枠組と説明責任の文化を確立することにあります。

LGPDは、その多くの側面においてGDPRから影響を受けており、GDPRに準拠している企業にとっては理解しやすい共通点が多く存在します。しかし、LGPDは単なるGDPRのコピーではなく、ブラジル独自の経済的・社会的状況を反映した固有の要素も持ち合わせています。このため、GDPRへの対応経験がある日本企業であっても、LGPDに対しては追加的または異なる検討が必要です。

本記事では、ブラジルの「一般データ保護法」（LGPD）の概要と、管理者の義務と責任について解説します。

この記事の目次

日本企業にとってのブラジル個人情報保護法（LGPD）

ブラジルは南米最大の経済圏であり、多くの日本企業が事業を展開しています。LGPDは、ブラジル国内で個人データを処理する企業、ブラジル国内に所在する個人のデータを処理する企業、またはブラジル国内で収集されたデータを処理する企業のいずれにも適用され、そのデータ処理者の所在地は問わないという明確な域外適用性を持っています。

これは、日本に本社を置く企業であっても、ブラジル市場に製品やサービスをオンラインで提供している場合や、ブラジルの顧客データを取り扱っている場合、ブラジルに物理的な拠点がなくてもLGPDの適用対象となり得ることを意味します。この広範な域外適用原則より、Eコマース、SaaS、オンラインサービスなど、国境を越えてサービスを提供する多くの日本企業がLGPDの対象となり得ます。

LGPDへの不遵守は、ブラジル国内売上の最大2%または1件あたり最大5,000万レアル（約1,000万ドル）という高額な罰金に加え、違反の公表、個人データのブロック・削除、事業活動の停止といった重大な制裁に繋がり、企業の事業継続に深刻な影響を与える可能性があります。

ブラジル個人情報保護法（LGPD）の概要と適用範囲

LGPDの制定背景と目的

ブラジル連邦共和国のLGPDは、2018年8月14日に制定された法律第13,709号であり、2020年8月に施行され、2021年8月には罰則規定の適用が開始されました。この法律は、個人の自由とプライバシーという基本的人権、および個人の人格の自由な発展を保護することを目的として、デジタル手段を含む個人データの処理に関する包括的な枠組みを定めています。

LGPDの規律は、以下の7つの基本原則に基づいています (LGPD第2条)。

プライバシーの尊重
情報の自己決定権
表現、情報、コミュニケーション、意見の自由
親密性、名誉、評判の不可侵性
経済的・技術的発展とイノベーション
自由な企業活動、自由な競争、消費者保護
人権、人格の自由な発展、尊厳、市民権の行使

これらの原則は、データ処理が個人の権利と利益を尊重しつつ、経済活動の発展にも寄与するというLGPDのバランスの取れたアプローチを示しています。LGPDは、データ主体にデータに関する権利を与え、組織に個人データの適法な処理義務を課し、データ侵害の監督機関への通知を義務付け、国家監督機関を設置して法律の解釈と執行を行うという包括的な枠組みを提供します。

LGPDの適用範囲

LGPDは、その適用範囲が非常に広範であり、以下のいずれかの条件を満たす個人データの処理活動に適用されます (LGPD第3条)。

処理活動がブラジル国内で行われる場合
処理活動がブラジル国内に所在する個人のデータに起因する場合
ブラジル国内で収集されたデータが処理される場合

この適用範囲は、データ処理者の所在地を問わない「域外適用性」を有しています。これは、ブラジルに物理的な拠点がなくても、ブラジル国内の個人に商品やサービスを提供したり、ブラジル国内で個人データを収集したりする日本企業もLGPDの対象となることを意味します。

LGPDは、オンライン・オフラインを問わず、個人データに関わるあらゆるデータ処理活動を包含し、医療、金融、技術、マーケティングなど多岐にわたる分野に影響を及ぼします。ただし、LGPDの適用外となる例外も存在します。これには、個人または家庭活動のためのデータ処理、芸術的、学術的、ジャーナリズム的、または文学的目的のためのデータ処理、公共の安全、国家防衛、または犯罪捜査のためのデータ処理、および個人を特定できない匿名化されたデータの処理などが含まれます。

LGPDにおける主要な定義

LGPDは、個人データ保護の枠組みを明確にするため、いくつかの重要な用語を定義しています。これらの定義を理解することは、コンプライアンスの第一歩となります。

個人データ（Personal Data）

LGPDにおける「個人データ」は、「特定された、または特定可能な自然人に関する情報」と広く定義されています。これには、オンライン・オフラインを問わず収集されたあらゆるデータが含まれます。例えば、氏名、生年月日、メールアドレスなどが該当しますが、LGPDは特定の識別子や特徴に限定せず、個人を特定し得るあらゆる情報を個人データとみなす可能性があるため、企業は個人に関するあらゆる情報を個人データとして取り扱うことが安全策となります。

日本の個人情報保護法（APPI）における「個人情報」も同様に、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と定義されており、他の情報と容易に照合できる場合も含まれます。両法ともに広範な定義を採用している点で共通しています。

機微な個人データ（Sensitive Personal Data）

LGPDは、「機微な個人データ」を個人データとは区別し、より高いレベルの保護を求めています。これは、「人種的または民族的出自、宗教的信念、政治的意見、労働組合への加入または宗教的、哲学的、政治的組織への所属、健康または性生活に関するデータ、遺伝子データまたは生体認証データ」に関する個人データと定義されます。機微な個人データの処理は、LGPD第11条に定められた限定された状況でのみ許可されます。

日本のAPPIでは、これに相当する概念として「要配慮個人情報」が定義されており、「人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」など、不当な差別や偏見、その他の不利益が生じないよう特に配慮を要する個人情報が該当します。APPIの要配慮個人情報には、LGPDの機微な個人データに含まれる生体認証データや遺伝子データの一部が含まれないなど、定義に若干の違いがあるため、注意が必要です。

データ主体（Data Subject）

「データ主体」とは、「個人データの処理の対象となる自然人」を指します。LGPDは、データ主体に自身の個人データに関する9つの権利を付与しており、これらの権利は公共および民間の組織に対して行使可能です。

管理者（Controller）と処理者（Processor）

LGPDでは、データ処理に関わる主要な主体として「管理者」と「処理者」を定義しています。

管理者（Controller）：個人データの処理に関する決定を行う権限を持つ自然人または法人（公法上または私法上）。
処理者（Processor）：管理者の代理として個人データを処理する自然人または法人（公法上または私法上）。

LGPDでは、管理者と処理者は情報セキュリティインシデントや不適切なデータ利用に対して連帯責任を負う可能性があるとされています。日本のAPPIでは、「個人情報取扱事業者」という包括的な用語が用いられ、データ管理者とデータ処理者の区別は明確ではありません。APPIはデータ収集者により高い説明責任を課すGDPRとは異なり、個人情報を取り扱うすべての企業を同等に扱います。この違いは、契約関係における責任分担の検討において重要となります。

データ保護責任者（DPO: Data Protection Officer）

LGPDは、個人データを処理する組織に対し、データ保護責任者（DPO）の任命を義務付けています。DPOは、管理者とデータ主体、および国家データ保護庁（ANPD）との間の連絡窓口として機能します。DPOの主な職務には、組織内でのLGPD導入プロセスの監督、データ保護コンプライアンスプログラムの組織化と監視、LGPD遵守に関する上級管理職への助言提供などが含まれます。

ANPDは2024年にDPOに関するガイドラインを公表し、小規模な処理者を除くすべての管理者にDPOを正式な書面による合意に基づいて任命することを義務付けています。DPOは「自律性と独立性」を持ち、上級管理職に直接報告する権限を持つ必要があります。

日本のAPPIでは、DPOの任命は具体的に義務付けられていません。しかし、APPIの一般ガイドラインでは、個人情報の取り扱いに関する適切な安全管理措置の実施として、「個人情報取扱責任者の任命とその責任の明確化」が推奨されており、これはDPOの役割に類似しています。この違いは、日本企業がブラジルで事業を行う際に、DPOの任命が必須要件となることを意味します。

個人データ処理の法的根拠

LGPDは、個人データの処理を合法的に行うために、管理者（Controller）が確立すべき10の法的根拠（Legal Bases）を定めています (LGPD第7条)。これらの法的根拠は、GDPRの6つの法的根拠と類似点が多いものの、ブラジル独自の要素も含まれています。

同意（Consent）

「同意」は、LGPDにおける最も重要な法的根拠の一つです。LGPDにおける有効な同意は、「自由で、情報に基づき、かつ明確な意思表示」であると定義されています。書面による同意の場合、契約書内で明確に区別して記載されるべきであり、一般的な同意では無効とみなされます。また、同意は透明かつ明確な方法で情報提供された後に取得される必要があり、処理目的が変更された場合は、データ主体に事前に通知し、同意を撤回する機会を与える必要があります。データ主体はいつでも同意を撤回する権利を有します。

機微な個人データを処理する場合の同意は、より高い基準が適用され、「具体的かつ強調された」同意が求められます。

契約の履行（Performance of a Contract）

データ主体が当事者である契約の履行、またはデータ主体の要請による契約締結前の手続きのために個人データが必要な場合、その処理は合法とされます (LGPD第7条V)。

法的・規制上の義務の遵守（Compliance with Legal or Regulatory Obligation）

管理者が法的または規制上の義務を遵守するために個人データ処理が必要な場合、同意なしに処理が可能です (LGPD第7条II)。

正当な利益（Legitimate Interest）

管理者または第三者の「正当な利益」を満たすために個人データ処理が必要な場合も、法的根拠となり得ます。ただし、この場合、データ主体の個人データ保護を必要とする基本的人権と自由が優先されない場合に限られます (LGPD第7条IX)。この法的根拠は、ビッグデータ、AI、機械学習、革新的なビジネスモデルにおいて、データの新たな利用を可能にする重要な要素として認識されています。

その他の法的根拠

LGPDには、上記の他に以下の法的根拠が存在します。

公共政策の実行：法律や規制、または契約、合意書等に基づく公共政策の実行のために、行政機関によるデータ処理および共有利用が必要な場合 (LGPD第7条III)。
研究機関による研究：研究機関による研究実施のため。可能な限り個人データの匿名化を保証する必要があります (LGPD第7条IV)。
法的権利の行使：司法、行政、または仲裁手続きにおける権利の正規の行使のため (LGPD第7条VI)。
生命または身体の保護：データ主体または第三者の生命または身体の安全を保護するため (LGPD第7条VII)。
健康保護：医療専門家または医療機関による手続きにおいて、健康保護のために排他的に利用される場合 (LGPD第7条VIII)。
信用保護：信用保護のため (LGPD第7条X)。

機微な個人データについては、「正当な利益」「信用保護」「データ主体との契約」の3つの法的根拠は適用できません。ただし、機微な個人データの処理には、詐欺防止のための追加の法的根拠が存在します。

APPIの同意要件との比較

日本のAPPIでは、個人情報の取得や利用において、原則として利用目的を特定し、本人に通知または公表することが求められます (APPI第15条)。利用目的の範囲を超えて個人情報を利用する場合や、個人情報を第三者に提供する場合には、原則として本人の同意が必要です (APPI第16条、第27条)。特に、要配慮個人情報を取得する際には、原則として本人の同意が必要です。

APPIの同意は、LGPDの「自由で、情報に基づき、かつ明確な意思表示」という厳格な要件とは異なり、特定の状況（機微な情報や国外移転など）を除いては、必ずしも明示的なオプトイン同意を要求しない場合があります。APPIは、GDPRのように「同意」や「正当な利益」といった法的根拠によってデータ収集を正当化するという概念は一般的に持ちません。この違いは、日本企業がブラジルで事業を行う際に、ブラジルのより厳格な同意要件に適合させるための追加的な措置が必要となることを示しています。

ブラジルにおけるデータ主体の権利

LGPDは、データ主体が自身の個人データに対して行使できる9つの権利を明確に定めています (LGPD第18条)。これらの権利は、GDPRのデータ主体の権利と多くの類似点を持っています。

LGPDにおけるデータ主体の9つの権利

データ主体は、管理者に対し、いつでも以下の権利を行使することができます：

処理の存在の確認：自身の個人データが処理されているかどうかの確認を求める権利。
データへのアクセス：自身の個人データにアクセスする権利。
不完全、不正確、または古いデータの修正：自身の個人データが不完全、不正確、または古い場合に、その修正を求める権利。
不要なデータ、過剰なデータ、またはLGPDに違反して処理されたデータの匿名化、ブロック、または削除：処理目的との関連性や適法性に基づいて、個人データの匿名化、ブロック、または削除を求める権利。
データポータビリティ：明示的な要請に基づき、商業上および産業上の秘密を条件として、データを別のサービスまたは製品提供者に移行させる権利。これは、データ主体が自身のデータのコピーを要求し、他のサービスプロバイダーへの移行を容易にするためのものです。
データ主体の同意に基づいて処理された個人データの削除：同意に基づいて処理された個人データについて、削除を求める権利。ただし、LGPD第16条に規定された例外が適用される場合があります。
管理者がデータを共有した公的および民間団体に関する情報：自身の個人データが共有された第三者に関する情報を得る権利。
同意を与えない可能性とその拒否の結果に関する情報：同意を与えない場合の可能性、およびその拒否がもたらす結果について知る権利。
同意の撤回：LGPD第8条第5項に従い、いつでも同意を撤回する権利。

これらの権利は、データ主体またはその法的代理人からの明示的な要請に基づいて行使されます。管理者は、要請に対して遅滞なく対応するか、対応できない場合はその理由をデータ主体に通知する必要があります。また、これらの要請はデータ主体にとって無償で対応されなければなりません。

APPIにおけるデータ主体の権利との比較

日本のAPPIにおいても、データ主体は自身の個人情報に対して以下の権利を有しています：

開示請求権（APPI第33条）：個人情報取扱事業者に対し、保有個人データの開示を求める権利。これには、第三者提供記録の開示も含まれます。
訂正等請求権（APPI第34条）：保有個人データの内容が事実と異なる場合に、訂正、追加、または削除を求める権利。
利用停止等請求権（APPI第35条）：保有個人データが利用目的の範囲を超えて取り扱われている場合、不正な手段で取得された場合、またはデータ侵害が発生した場合などに、その利用停止、消去、または第三者提供の停止を求める権利。

LGPDとAPPIのデータ主体の権利は多くの点で類似していますが、いくつかの違いも存在します。例えば、LGPDはデータ主体に匿名化の権利を特定の状況で与える一方、APPIには匿名加工情報に関する規定はありますが、データ主体が自身のデータの匿名化を直接請求する権利は明示されていません。また、LGPDは自動化された意思決定の見直しを求める権利をデータ主体に与えますが、GDPRとは異なり、そのような決定に対する人間の介入を求める権利は明示していません。

日本企業は、ブラジルのデータ主体からLGPDに基づく権利行使の要請があった場合、これらの権利を正確に理解し、迅速かつ適切に対応できる体制を構築する必要があります。特に、データポータビリティや匿名化の権利は、APPIでは同等の概念がないため、LGPD特有の要件として認識しておくべきです。

LGPDが定める管理者の義務と責任

LGPDは、個人データを取り扱う管理者（Controller）に対し、厳格な義務と責任を課しています。これらの義務は、データ保護の原則を実効的に遵守し、データ主体の権利を保護するために不可欠です。

データセキュリティ対策

管理者は、個人データへの不正アクセス、偶発的または違法な破壊、損失、変更、開示、またはその他の不法な処理から保護するための「適切かつ必要なセキュリティ措置」を実施することが義務付けられています。これには、暗号化や仮名化などの技術的措置が含まれます。LGPDはセキュリティ対策に関してGDPRほど詳細な規定を設けていませんが、ANPDが具体的なガイドラインを発行する権限を有しています。企業は、データ処理活動をマッピングし、適切なセキュリティ管理策を導入して、データセキュリティを確保する必要があります。

データ侵害通知義務

セキュリティインシデントが発生し、データ主体に「重大なリスクまたは関連する損害」をもたらす可能性がある場合、管理者は国家データ保護庁（ANPD）および影響を受けたデータ主体に通知することが義務付けられています。この通知は、原則としてインシデントを認識してから「3営業日以内」に行う必要があります。

「重大なリスクまたは関連する損害」とみなされるインシデントには、機微な個人データ、子供・青少年・高齢者のデータ、金融データ、システム認証データ、法的・司法・職業上の秘密によって保護されるデータ、または大規模なデータが関与する場合が含まれます。通知には、影響を受けた個人データの性質、関与したデータ主体に関する情報、講じられたセキュリティ措置、データ主体へのリスクの説明、遅延の理由、および影響を軽減するための措置など、詳細な情報を含める必要があります。

データ保護影響評価（DPIA）

LGPDは、特定の処理活動のリスクを評価するために、管理者に対しデータ保護影響評価（DPIA）の実施を義務付けています。ただし、GDPRがDPIAの実施が必要な場合や評価対象となる側面を詳細に規定しているのに対し、LGPDはANPDがDPIAの実施時期を決定する可能性があると述べるに留まり、評価基準に関する詳細は不足しています。ANPDは、特に高リスクの処理活動についてDPIAの利用を規制する予定です。企業は、ANPDからの要求に応じてDPIAを提供できるよう準備しておく必要があります。

記録保持義務

LGPDは、組織に対し、特に正当な利益に基づいて行われる処理活動について、データ処理活動の適切な記録を保持することを義務付けています。管理者は、ANPDやデータ主体に通知されなかったインシデントを含むセキュリティインシデントの記録を最低5年間保持する必要があります。この記録には、インシデントの発生日時、状況の概要、影響を受けたデータの性質とカテゴリ、影響を受けたデータ主体の数、リスク評価、および是正措置などが含まれます。

LGPDにおける国際データ移転の規制

LGPDは、個人データの第三国または国際機関への移転に制限を設けており、特定の条件が満たされた場合にのみ移転を許可しています (LGPD第33条)。これは、データ主体がブラジル国内に所在する場合でも、そのデータが国外で処理される場合にLGPDが適用されるという域外適用原則と密接に関連しています。

LGPDにおける国際データ移転の原則とメカニズム

LGPDは、以下のいずれかの条件が満たされる場合に国際データ移転を許可しています：

十分性認定（Adequacy Decisions）：国家データ保護庁（ANPD）が、当該国または国際機関がブラジル法と同等のデータ保護レベルを有すると認定した場合。現時点では、ANPDによる十分性認定は発行されていません。
標準契約条項（Standard Contractual Clauses: SCCs）：ANPDが事前に定義した契約条項を、既存の契約に組み込むことで、データ保護レベルを確保する方法。これらの条項は、変更なしに完全に採用される必要があり、2025年8月22日までに既存の契約に組み込むか、独立した合意書として締結する必要があります。
拘束的企業準則（Binding Corporate Rules: BCRs）：同一グループまたは企業コングロマリット内の組織が、国際的な個人データ移転を規制するために採用する内部規則のセット。これらの規則はANPDの事前承認が必要であり、グループ内の全企業がLGPDのデータ保護レベルを遵守することを保証します。
特定の契約条項（Specific Contractual Clauses）：標準契約条項の利用が不可能な例外的な状況で、ANPDの事前承認を得て使用できるカスタマイズされた条項。
その他のセーフガード：認証、行動規範など。

ANPDは、2024年8月23日に国際データ移転に関する新たな規制（決議第19/2024号）を発行し、これらのメカニズムに関する詳細なガイダンスを提供しています。企業は、すべての個人データ移転をマッピングし、LGPDの原則に準拠していることを確認し、適切な法的根拠と国際データ移転メカニズムを評価する必要があります。

LGPDの執行と罰則

LGPDの執行は、ブラジル国家データ保護庁（Autoridade Nacional de Proteção de Dados、以下「ANPD」）によって行われます。ANPDは2021年8月に罰則規定の適用を開始して以来、その執行活動を活発化させています。

国家データ保護庁（ANPD）の役割と権限

ANPDは、LGPDの解釈、規制の発行、データ主体からの苦情の受付、違反の疑いのある組織への調査、および違反が確認された場合の罰則の適用を行う権限を持つ国家監督機関です。ANPDは、その規制アジェンダを通じて、AI、生体認証、データ主体の権利、DPIAの規制など、新たな分野に焦点を当てています。

罰則の種類と具体的な執行事例

LGPDに違反した場合、企業は以下の種類の罰則に直面する可能性があります：

警告：是正措置のための期限付きで発行される最初の執行段階。
単純な罰金（Simple Fines）：前年度のブラジル国内売上の最大2%（税抜き）、または1件あたり最大5,000万レアル（約1,000万ドル）を上限とする罰金。
日次罰金（Daily Fines）：設定された期間内にLGPD規制を遵守しない場合に課される日ごとの罰金。これも5,000万レアルを上限とします。
違反の公表（Public Disclosure of the Violation）：違反の詳細を公に開示する措置。企業の評判と消費者からの信頼に深刻な損害を与える可能性があります。
個人データのブロックまたは削除（Blocking or Deletion of Personal Data）：コンプライアンスが回復するまで個人データへのアクセスを一時的または恒久的にブロックしたり、削除を要求したりする措置。
活動の部分的または全面的禁止（Partial or Total Prohibition of Activities）：違反の重大性に応じて、個人データ処理活動を全面的または部分的に禁止する措置。
損害賠償（Compensation for Damages）：不遵守によってデータ主体に生じた損害に対する賠償を要求される可能性。

具体的な執行事例として、下記があります。

Telekall Infoservice (2023年)：ANPDによる初の制裁事例。法的根拠なしの個人データ処理、DPOの任命義務違反、調査妨害により、合計14,400レアル（約2,960ドル）の罰金とDPO任命の是正命令が課されました。これは、中小企業もLGPDの罰則の対象となることを示しています。
国家社会保障庁 (2024年)：不適切な暗号化とアクセス制御により年金受給者の機微なデータが漏洩。罰金ではなく、違反の公表とISO 27001認証の取得を含む是正命令が下されました。
医療セクター監査 (2024年)：監査対象病院の40%が侵害対応計画や患者記録の暗号化を欠如。15機関に対し合計1,200万レアル（約240万ドル）の罰金と、年次侵入テストおよび職員研修の義務付けが命じられました。

ANPDは2023年から2025年にかけて、合計約9,800万レアル（約2,000万ドル）の罰金を科しており、医療、金融、AI関連技術企業が特に厳しく監視されています。

まとめ

ブラジル連邦共和国の個人情報保護法（LGPD）は、その広範な適用範囲、厳格な義務、そして高額な罰則により、ブラジルで事業を展開する、またはブラジルの個人データを扱う日本企業にとって、極めて重要な法的枠組みとなっています。

LGPDはEUのGDPRと多くの共通点を持つ一方で、ブラジル独自の経済・社会状況を反映した特有の要件も有しており、GDPRへの対応経験がある企業であっても、LGPD固有の規定への理解と対策が不可欠です。特に、DPOの任命義務、データ侵害通知の迅速性、および高額な罰金は、日本の個人情報保護法（APPI）と比較してもより厳格な対応を求めています。

モノリス法律事務所の取扱分野：国際法務・ブラジル連邦共和国