検索
主なテーマ一覧

【ブラジル「データ保護」最前線】現地弁護士によるセキュリティリスク対応ガイド《前編》

レオポルド・パゴット(Leopoldo Pagotto):弁護士(ブラジル在住)
アナ・エリザ・ベルトリン・ダ・シウバ(Ana Elisa Bertolin da Silva):弁護士(ブラジル在住)

ブラジル独禁改正法とカルテルの記事(前編後編)に続く、ブラジルのレオポルド・パゴット弁護士の寄稿第2弾。今回はブラジルのセキュリティ・インシデント事情について。

グローバル化が進む現代では、国外のハッキングやマルウェアによるサイバー攻撃や不正データ問題も、決して対岸の火事ではない。

ブラジルにおいても、近年、サイバー攻撃の急増が社会問題となっており、その影響は企業や個人に深刻な打撃を与えている。同国の甚大なセキュリティ・インシデント例を挙げると、まず、2020年、電力会社エネル(本社:イタリア)のブラジル支社顧客20万人以上の電話番号、社会保障番号や銀行口座番号、支払い履歴などの個人データがハッカーによって流出された事案があった。

そして、ブラジル史上最悪と言われた、同国全人口に相当する2億2300万人分もの個人情報が流出し、そのデータの中身を切り売りするデジタル犯罪が横行した事案もある。ブラジル連邦警察は「ディープウォーター作戦」と呼ばれる捜査を敢行し、2021年には、それに関与したハッカーが逮捕された。流出したデータの中には、大統領や元下院議長ら大物政治家や最高裁判事といった要人、国営石油会社ペトロブラスなどの公的機関や企業の、納税者番号、住所、車の情報等の機密情報が含まれていた。

2022年には、ブラジル保健省のシステムが不正アクセスされ、約2億2000万人のデータが漏えいしたという大規模なセキュリティ・インシデントも発生した。データには、氏名、住所のほかに、医療記録番号や医療記録が含まれていたという。

このように、人口世界第5位を誇るブラジルでは、いったん企業や政府機関のデータが流出すると、その被害は極めて甚大である。同国は、個人データの保護を目的とした新たな枠組みを整備し、欧州のGDPR(一般データ保護規則)に準じた「一般データ保護法(LGPD)」を2021年に施行、データ保護強化に向けて取り組んでいる。

本稿では、ブラジルのレオポルド・パゴット弁護士が、同法律事務所のダ・シウバ弁護士とともに、同国におけるセキュリティ・インシデントの定義、リスク評価の基準、当局への報告義務の重要性について詳しく解説する。

ブラジル・データ保護:セキュリティ・インシデント報告のタイミングは

ブラジルでは、企業や個人を標的にしたサイバー攻撃が増加し、セキュリティ・インシデントのリスクが顕著となってきている。2023年には100億回を超えるサイバー攻撃が発生し、ブラジルは世界的に最も標的とされている国のひとつとなっている。金融部門は特に脆弱で、80%の企業が何らかの形でデータ侵害に直面しており、ブラジル中央銀行が管理する決済システムのデータ・オペレーターもセキュリティ・インシデントの犠牲となった。ブラジル銀行連盟の報告書によると、2022年には金融業界だけで詐欺やサイバー攻撃により25億レアル(約630億円相当:当時)を超える損失が発生したという。さらに、医療分野ではランサムウェア攻撃(感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価を要求する不正プログラム)が70%増加し、患者の機密データが危険に晒されている。

その他、(上記リード文に挙げた)2022年に2億2300万人以上のデータ対象者の機密データが流出した「ディープウォーター作戦」、20年の、厚生省の2億2000万人以上のデータ対象者の機密データ流出、電力会社エネルの20万人以上に及ぶ個人情報流出事件が有名である。

このようなリスクが高まる中、ブラジルを含むさまざまな国や地域では、欧州と同等の規制制度を導入しようとする本格的な動きが始まった。これは、欧州GDPRの間接的な影響のひとつといえよう。実際、欧州GDPR同様の保証や保護を取り入れることで、ブラジルとEU(欧州連合)諸国間での国際的なデータ転送が簡素化されるなど、ブラジルにも一定のメリットが保証される。

そのような背景があり、ブラジルでは、欧州GDPRを踏襲した 「一般データ保護法」(LGPD)が承認され、2021年5月3日に全面施行された。

そして、この法律の適用を監督、実施、指導するため、ブラジル連邦行政機関のひとつである国家データ保護局(ANPD)が設置された。このANPDの主な目的は、コンプライアンス確保、データ主体の権利の保護、ブラジルにおける個人データ保護の文化の促進である。

ANPDが管轄するのは個人情報のみである。個人情報とは、特定または識別可能な個人に関連するあらゆる情報と定義される。言い換えれば、ビジネス情報や企業情報はANPDやLGPDの適用範囲外となる。

ANPDの主な責務のひとつは、セキュリティ・インシデントに対処することである。セキュリティ・インシデントが発生すると、欧州GDPRと同様に、ANPDに報告すべきかどうか、と考えるのが自然であろう。しかし、必ずしもそうとは限らず、多くの場合、ANPDへの報告を必要としない可能性がある。

ブラジルにおけるセキュリティ・インシデントとは? …
1 2

ランキング記事

【PR】【11月26日(火)14:00~開催】アンケート無料ウェビナー開催 内部通報実務者Q&Aウェビナー~アンケートから見る現場の声とその対策~【参加特典あり】
【PR】【11月26日(火)14:00~開催】アンケート無料ウェビナー開催 内部通報実務者Q&Aウェビナー~アンケートから見る現場の声とその対策~【参加特典あり】
【PR】【11月27日(水)14:00~】無料ウェビナー開催  【商標業界最前線】メタバースにおける画像・商標の保護 ~不正競争防止法改正と商標・画像保護の最新動向~
【PR】【11月27日(水)14:00~】無料ウェビナー開催  【商標業界最前線】メタバースにおける画像・商標の保護 ~不正競争防止法改正と商標・画像保護の最新動向~

ピックアップ

  1. 【米国「フロードスター」列伝#2】国際サイバー犯罪の元祖インターネットのゴッドファーザー…

    本誌「Governance Q」と公認不正検査士協会(Association of Certified Fraud Examiners=AC…

  2. 【2024年11月21日「適時開示ピックアップ」】バロックジャパン、電業社機械製作所、JR九州、BE…

    11月21日の東京株式市場は続落した。日経平均株価は前日比326円安い3万8026円で引けた。米半導体大手のエヌビディア(NVIDIA)が2…

  3. 安藤百福「素人だから飛躍できる」の巻【こんなとこにもガバナンス!#36】…

    栗下直也:コラムニスト「こんなとこにもガバナンス!」とは(連載概要ページ) 「素人だから飛躍できる」安藤百福(あんどう・ももふく、実業家) …

  4. 【《週刊》世界のガバナンス・ニュース#2】米エヌビディア、豪レゾリュート・マイニング、加バリック・ゴ…

    組閣人事報道も相次ぎ、世界がトランプ米大統領の再来前夜に揺れ動く中、世界では、どんなコーポレートガバナンスやサステナビリティ、リスクマネジメ…

  5. 鳥の目・虫の目・魚の目から見る「公益通者保護法」の再改正【遠藤元一弁護士の「ガバナンス&ロー」#5】…

    遠藤元一:弁護士(東京霞ヶ関法律事務所) 内部通報者への「不利益処分に刑事罰」構想の実効性は? 公益通報者に対して公益通報者保護法が禁止する…

  6. 【米国「フロードスター」列伝#1】「カリブ海豪華フェス」不正実行者の所業と弁明…

    さる2024年9月、テレビ朝日系バラエティー番組『しくじり先生 俺みたいになるな‼』に、見慣れぬアメリカ人が登場した。その名は、ビリー・マク…

あなたにおすすめ

【PR】内部通報サービスDQヘルプライン
【PR】日本公認不正検査士協会 ACFE
【PR】DQ反社チェックサービス