presented by D-QUEST GROUP

【ブラジル弁護士特別寄稿】ブラジル個人情報保護当局、国際的な個人データ移転を規制――日系企業にも対応迫る「8月23日」期限

Leopoldo Pagotto

レオポルド・パゴット(Leopold Pagotto):弁護士(ブラジル在住)
アナ・エリザ・ベルトリン・ダ・シウバ(Ana Elisa Bertolin da Silva):弁護士(ブラジル在住)

2024年8月23日、ブラジル国家個人データ保護庁(以下ANPD)は、個人データの国際移転に関する規則を定める第19号決議を公表しました。この動きは、特に本社や海外のサービスプロバイダーとデータを共有している日本の多国籍企業にとっても、極めて重要なものです。

本決議はすでに施行されており、企業は契約や社内での運用を完全に適合させるため、猶予期間として12か月が与えられています。すなわち、2025年8月23日が遵守期限であり、その期日は刻一刻と迫っているのです。

これは単なる技術的な更新にとどまらず、ブラジルの個人情報保護体制における重大な転換点であり、個人データの越境移転、社内統治構造、国際的な企業グループの業務運営にも大きな影響を及ぼす可能性があります。
以下に、本決議の主要なポイントを整理します。

1. 標準契約条項(SCCs):義務化され、法的拘束力あり

ANPDは、適切な保護水準を有しない法域への個人データ移転に適用される、公式の「標準契約条項」(Standard Contractual Clauses:以下SCCs)を策定・公表しました。これらSCCsは、決議公表から12か月以内に、該当するすべての契約に組み込まなければなりません。

日系企業においては、ブラジルを含む既存のデータ処理契約を精査のうえ、必要に応じて修正することが求められます。

2. 包括的な透明性義務

データ管理者は、国際的な個人データ移転に関する主要情報(目的、期間、方法、移転先の国など)を説明する文書を自社ウェブサイト上に掲載しなければなりません。

加えて、本人からの求めがあった場合には、SCCs全文の写しを15日以内に提供する義務があります。ブラジルで事業を展開する日系企業は、法令に準拠した迅速な対応を可能とするためのフロー整備および文書テンプレートの整備が必要になります。

3. 「国外移転」の定義の明確化

本決議は、「個人データの国外移転」に該当する行為の範囲について、これまで曖昧であった点を明確にしています。

国外に所在する法人による個人データへのアクセスまたは保存が発生する場合(クラウドサービスの利用を含む)、たとえ共有プラットフォーム上で処理が行われている場合であっても、「国外移転」に該当します。これは、人事(HR)、顧客関係管理(CRM)、サイバーセキュリティ等の機能を国外に集中管理している日系企業グループにとって特に重要な論点と言えます。

4. 拘束的企業準則(BCRs)の制度化

本決議は、多国籍企業グループが国際的な個人データ移転の合法性根拠として自社の「拘束的企業準則」(Binding Corporate Rules: 以下BCRs)を利用することを認めています。ただし、これらBCRsはANPDの承認を得なければなりません。

これは、高度なプライバシー管理体制を構築している日系企業グループにとって、法域をまたぐコンプライアンス対応を統一的に行う有効な選択肢となり得るでしょう。

ただし、承認手続は厳密かつ時間を要することが見込まれるため、早期の準備が強く推奨されます。

5. 例外的事由に基づく個別条項の承認

正当な事実上または法的理由により公式SCCsの使用が不可能な場合には、企業はANPDに対し個別条項(カスタム条項)を提出し、承認を求めることができます。

この制度によって、一定の柔軟性が認められているものの、あくまで例外的な事案に限られており、合理的かつ十分な根拠の提示が求められます。

個別条項の承認制度が設けられている点は一定の柔軟性を示すものの、12か月の遵守期限は免除されません。実務上、多くの日系企業にとっては、SCCsを基本的な遵守手段として導入することが現実的な対応策となるでしょう。

日系企業に求められる次のステップ

ANPDによって認められた12か月の猶予期間のうち、すでに月日が経過しています。国際的なデータ移転の複雑性および規制リスクを踏まえ、ブラジルに事業拠点または業務提携先を有する日系企業は、以下の措置を講じることが望ましいでしょう:

  • ブラジルから日本または第三国へのすべてのデータ移転を網羅的に把握・可視化すること
  • 契約書およびプライバシーポリシーのレビューを通じ、法的ギャップを特定すること
  • すべての該当契約にSCCsを組み込む準備を行うこと
  • 法定の透明性情報をウェブサイトに公開するための手順およびフォーマットを整備すること
  • 今後のANPDによる追加指針を注視し、監査等に備える体制を構築すること

おわりに:コンプライアンスを競争優位性に転換するために

この、ブラジルの第19号決議は、グローバルに進展するプライバシー規制の収斂傾向を反映しつつも、各国固有の要件が依然として重要であることを示しています。

高水準のプライバシー対応を実践する日系企業にとって、これは責任あるデータガバナンスへの姿勢を再確認し、対外的に示す好機となります。迅速かつ積極的に対応する企業は、制裁リスクの回避、業務効率の向上、ブラジルのステークホルダーとの信頼関係構築において優位に立つことができるでしょう。

他のコンプライアンス分野と同様に、個人情報保護における誠実性は単なるリスク回避手段ではなく、競争と規制が厳しい市場における戦略的資産となり得るのです。

(了)