【ブラジル「データ保護」最前線】現地弁護士によるセキュリティリスク対応ガイド《前編》

レオポルド・パゴット（Leopoldo Pagotto）：弁護士（ブラジル在住）
アナ・エリザ・ベルトリン・ダ・シウバ（Ana Elisa Bertolin da Silva）：弁護士（ブラジル在住）

ブラジル独禁改正法とカルテルの記事（前編、後編）に続く、ブラジルのレオポルド・パゴット弁護士の寄稿第2弾。今回はブラジルのセキュリティ・インシデント事情について。

グローバル化が進む現代では、国外のハッキングやマルウェアによるサイバー攻撃や不正データ問題も、決して対岸の火事ではない。

ブラジルにおいても、近年、サイバー攻撃の急増が社会問題となっており、その影響は企業や個人に深刻な打撃を与えている。同国の甚大なセキュリティ・インシデント例を挙げると、まず、2020年、電力会社エネル（本社：イタリア）のブラジル支社顧客20万人以上の電話番号、社会保障番号や銀行口座番号、支払い履歴などの個人データがハッカーによって流出された事案があった。

そして、ブラジル史上最悪と言われた、同国全人口に相当する2億2300万人分もの個人情報が流出し、そのデータの中身を切り売りするデジタル犯罪が横行した事案もある。ブラジル連邦警察は「ディープウォーター作戦」と呼ばれる捜査を敢行し、2021年には、それに関与したハッカーが逮捕された。流出したデータの中には、大統領や元下院議長ら大物政治家や最高裁判事といった要人、国営石油会社ペトロブラスなどの公的機関や企業の、納税者番号、住所、車の情報等の機密情報が含まれていた。

2022年には、ブラジル保健省のシステムが不正アクセスされ、約2億2000万人のデータが漏えいしたという大規模なセキュリティ・インシデントも発生した。データには、氏名、住所のほかに、医療記録番号や医療記録が含まれていたという。

このように、人口世界第５位を誇るブラジルでは、いったん企業や政府機関のデータが流出すると、その被害は極めて甚大である。同国は、個人データの保護を目的とした新たな枠組みを整備し、欧州のGDPR（一般データ保護規則）に準じた「一般データ保護法（LGPD）」を2021年に施行、データ保護強化に向けて取り組んでいる。

本稿では、ブラジルのレオポルド・パゴット弁護士が、同法律事務所のダ・シウバ弁護士とともに、同国におけるセキュリティ・インシデントの定義、リスク評価の基準、当局への報告義務の重要性について詳しく解説する。

＊

ブラジル・データ保護：セキュリティ・インシデント報告のタイミングは

ブラジルでは、企業や個人を標的にしたサイバー攻撃が増加し、セキュリティ・インシデントのリスクが顕著となってきている。2023年には100億回を超えるサイバー攻撃が発生し、ブラジルは世界的に最も標的とされている国のひとつとなっている。金融部門は特に脆弱で、80％の企業が何らかの形でデータ侵害に直面しており、ブラジル中央銀行が管理する決済システムのデータ・オペレーターもセキュリティ・インシデントの犠牲となった。ブラジル銀行連盟の報告書によると、2022年には金融業界だけで詐欺やサイバー攻撃により25億レアル（約630億円相当：当時）を超える損失が発生したという。さらに、医療分野ではランサムウェア攻撃（感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価を要求する不正プログラム）が70％増加し、患者の機密データが危険に晒されている。

その他、（上記リード文に挙げた）2022年に2億2300万人以上のデータ対象者の機密データが流出した「ディープウォーター作戦」、20年の、厚生省の2億2000万人以上のデータ対象者の機密データ流出、電力会社エネルの20万人以上に及ぶ個人情報流出事件が有名である。

このようなリスクが高まる中、ブラジルを含むさまざまな国や地域では、欧州と同等の規制制度を導入しようとする本格的な動きが始まった。これは、欧州GDPRの間接的な影響のひとつといえよう。実際、欧州GDPR同様の保証や保護を取り入れることで、ブラジルとEU（欧州連合）諸国間での国際的なデータ転送が簡素化されるなど、ブラジルにも一定のメリットが保証される。

そのような背景があり、ブラジルでは、欧州GDPRを踏襲した 「一般データ保護法」（LGPD）が承認され、2021年5月3日に全面施行された。

そして、この法律の適用を監督、実施、指導するため、ブラジル連邦行政機関のひとつである国家データ保護局（ANPD）が設置された。このANPDの主な目的は、コンプライアンス確保、データ主体の権利の保護、ブラジルにおける個人データ保護の文化の促進である。

ANPDが管轄するのは個人情報のみである。個人情報とは、特定または識別可能な個人に関連するあらゆる情報と定義される。言い換えれば、ビジネス情報や企業情報はANPDやLGPDの適用範囲外となる。

ANPDの主な責務のひとつは、セキュリティ・インシデントに対処することである。セキュリティ・インシデントが発生すると、欧州GDPRと同様に、ANPDに報告すべきかどうか、と考えるのが自然であろう。しかし、必ずしもそうとは限らず、多くの場合、ANPDへの報告を必要としない可能性がある。