【ブラジル「データ保護」最前線】現地弁護士によるセキュリティリスク対応ガイド《前編》

ブラジルにおけるセキュリティ・インシデントとは？

個人データに関わるセキュリティ・インシデントに関して、ANPDは「セキュリティ・インシデント・コミュニケーション規則」（RCIS）を制定した。RCISでは、個人データに関わるセキュリティ・インシデントを、情報セキュリティの3要素または7要素に含まれる 機密性、完全性、可用性、真正性といった個人データの安全性を損なう有害な事象が確認されたものと定義している。この有害な事象は、自発的または偶発的な行為によって発生する可能性があり、個人データが保存されている媒体に関係なく、個人データの開示、拡散、改ざん、不当な損失、不正アクセスにつながる可能性がある。

セキュリティ・インシデントには、個人データの紛失や利用不能も含まれる。セキュリティ・インシデントの例としては、データの乗っ取り（ランサムウェア）、情報システムに保存されたデータへの不正アクセス、そしてデータ主体に関するデータの漏えいなどがある。

リスク評価について

個人データ管理者は、インシデントに起因するリスクおよびデータ対象者への影響を評価し、ANPDに報告するかどうかを決定しなければならない。これについては、ANPDは、セキュリティ・インシデントが累積的に以下の3点における閾値に達した場合にのみ報告する必要がある、としている。

• データ管理者がその発生を検知した
• データ管理者がその発生を検知した
• データ対象者に関連するリスクまたは損害を与える可能性がある

第3の閾値に関して、RCISはまた、データ保有者に関連するリスクまたは損害とみなされる対象を明確にした。RCISにより、以下の特徴を持つ個人データに関わるセキュリティ・インシデントは、ANPDおよびそのデータ対象者に報告されなければならない。

したがって、企業は、ANPDへの報告が必要かどうかを判断するため、セキュリティ・インシデントから生じるデータ主体へのリスクと影響を、法律の前提を踏まえながら評価する必要がある。

（後編に続く）