【ブラジル「データ保護」最前線】現地弁護士によるセキュリティリスク対応ガイド《後編》

レオポルド・パゴット（Leopoldo Pagotto）：弁護士（ブラジル在住）
アナ・エリザ・ベルトリン・ダ・シウバ（Ana Elisa Bertolin da Silva）：弁護士（ブラジル在住）

（前編より続く）ブラジルのレオポルド・パゴット弁護士の寄稿第2弾。前編に引き続き、ブラジルのセキュリティ・インシデント事情について、特に企業のとるべき対応ガイドをお届けする。

＊

漏えいについてANPDへの報告の必要性がないケースはあるのか？

確かに、すべてのセキュリティ・インシデントを報告する必要はない。言い換えれば、漏えいしたデータがデータ主体に重大な損害を与えない場合、ANPDへの報告は不必要である可能性がある。

セキュリティ・インシデントのリスクを評価する場合、データ管理者は常に次のことを考慮する必要がある。

• データ処理活動の状況
• 影響を受けるデータ主体のカテゴリーおよび数
• 侵害されたデータの性質、カテゴリーおよび量
• データ主体にもたらされる可能性のある物理的、道義的、および評判上の損害
• 漏えいしたデータが、データ主体の特定を不可能にするような方法で保護されていたかどうか
• インシデント後に管理者が採用した緩和措置

報告不要となる可能性が高いのは、関係するデータがインターネット上で一般にアクセス可能な情報である場合である。例えば、漏えいしたデータが機密性がないもので、オンラインで広く入手可能な場合、データ主体への影響は最小限にとどまる可能性がある。そのような状況では、漏えいは個人のプライバシーや権利に実質的な影響を及ぼさない可能性が高い。ただし、一見無害に見えるデータであっても、状況によっては予期せぬ影響を及ぼしかねない場合もあることを考慮することが重要である。従って、個々のインシデントを注意深く評価し、その実害の可能性を判断すべきである。

ANPDへのセキュリティ・インシデントの報告方法とタイミング

ブラジルでセキュリティ・インシデントが発生した場合、管理者がそのインシデントが個人データに影響することを知った日から数えて3営業日以内にANPDに報告する必要がある。報告には少なくとも以下の情報を含めなければならない：

• 影響を受けた個人データの性質の説明： インシデントによって漏えいした個人データの種類を説明する
• 関係するデータ主体に関する情報： 影響を受けたデータ主体が誰であるか、また、インシデントによって影響を受けた処理活動においてデータが処理されたデータ主体の総数を詳述する
• 取り組まれた技術的およびセキュリティ対策： 商業上および産業上の秘密を尊重しつつ、採用された保護手段を知らせる
• インシデントに関連するリスク: インシデントがデータ対象者にもたらす可能性のあるリスクを指摘する
• 報告遅延の理由： 報告が直ちに行われなかった場合は、その理由を説明する
• 影響を回復または軽減するための措置： インシデントの影響を軽減するために取られた、または取られる予定の措置を記述する
• インシデントの発生日： 可能であれば、インシデントの発生日および管理者がそれを知った日を記載する
• 通信の責任者の特定： 責任者または管理者を代表する者のデータ、管理者の識別情報、およびオペレーター（該当する場合）の識別情報を記載する
• インシデントの説明：特定できる場合は、根本原因も説明する

データ保護規制を確実に遵守し、インシデントがデータ主体および組織に与える影響を最小限に抑えるためには、この手順を踏むことが必須である。

セキュリティ・インシデントの報告は、ANPDの提供する電子フォームを通じて行わなければならない。このフォームは、発生したインシデントの説明、影響を受けたデータ、インシデントの影響を回復または軽減するために講じた措置など、インシデントに関する詳細な情報を記録できるようにつくられている。フォームの提出は、ネットワーク内のSUPER – Single Electronic Process Systemを通じてオンラインで行わなければならない。

さらに、法的に保護された情報についてANPDの機密保護を要求することは、管理者の責任である。管理者は、特に機密情報や戦略的商業情報など、事業活動の機微な側面に関連するデータについて、アクセスを制限すべきデータを指定しなければならない。

ANPDが情報へのアクセス制限の必要性を適切に評価できるようにするため、管理者が機密保持要求について明確かつ詳細な正当性を示すことが不可欠である。

終わりに

個ANPDに報告する前に、企業はセキュリティ・インシデントの報告の必要性について慎重に法的評価を行い、報告しない場合のリスクも考慮しなければならない。報告を行う、あるいは行わないことには、企業のレピュテーション（評判）を含むさまざまな代償が伴うため、判断には十分な根拠が必要であろう。

（本文了）

編集部あとがき

保有、管理するデータの保護は、企業にとってますます重要な課題となっている。特に、セキュリティ・インシデントが発生した際の迅速かつ適切な対応が求められる。データ管理者は、インシデントの影響を慎重に評価し、公表するか否かの判断を下さなければならない。これは単なる法的義務にとどまらず、企業の評判や信頼の維持にも直結する。報告しないことで生じるリスクは計り知れず、一見無害なデータ漏えいでも、のちのち重大な影響を及ぼす可能性がある。

データ保護規制の遵守は、もはや選択肢ではなく、持続可能なビジネスモデルの一部として捉えるべきであり、これからの時代、サイバーセキュリティへの取り組みが、企業の競争力を左右する重要な要素となるのは言うまでもない。