セキュリティ・コンプライアンス

ブラジル一般データ保護法

LGPD (Lei Geral de Proteção de Dados)

ブラジル国内の個人データ保護を規定する法律。GDPRに次ぐ厳格な規制で、データ処理企業に高い要求を課します。

LGPD ブラジル データ保護 個人情報 規制
作成日: 2025年3月1日 更新日: 2026年4月2日

LGPD(ブラジル一般データ保護法)とは

LGPD(Lei Geral de Proteção de Dados)は、ブラジルの個人データ保護を規定する連邦法です。 2018年に制定され、2020年8月に発効しました。EU圏外では最も厳格なデータ保護法とされており、GDPRと同等かそれ以上の要求を企業に課します。ブラジル国内のデータ処理に関わるすべての企業(ブラジル企業、外国企業を問わず)が対象です。

ひとことで言うと: ブラジル版GDPR。個人のプライバシーを強力に保護し、企業がデータを不当に利用することを防ぎます。違反企業には最大で企業売上の2%の罰金が課される可能性があります。

ポイントまとめ:

  • 何が対象か: ブラジル国内(またはブラジル国外の)個人データを処理するすべての企業
  • 主な要求: 個人の同意取得、データ最小化、セキュリティ対策、データ漏洩時の報告義務
  • 罰則: 行政罰で最大売上の2%、または4900万ブラジルレアル相当

適用範囲

LGPDは以下のケースに適用されます。

  1. ブラジル国内の個人データを処理する企業 — ブラジル国籍、永住権者、ブラジル領土内に拠点を置く個人のデータが対象
  2. 外国企業がブラジル市場に向けサービスを提供する場合 — 例えば、日本の企業がブラジル市民にWebサービスを販売する場合、LGPDが適用
  3. データ輸出企業 — ブラジルから他国へのデータ転送にも制限あり

ただし、例外があります。匿名化されたデータ、公開情報(新聞報道など既に公表されているデータ)、防安全や公益に関するデータ処理は適用除外です。

主な要件

LGPDで企業に課せられる主要な要件は以下の通りです。

個人の同意取得 — 個人データの処理は原則として本人の明示的な同意が必須です。「同意チェックボックスは自動的にチェックされていない状態」が要求され、企業側からの同意強要は許されません。

データの最小化 — 企業は「目的達成に必要な最小限のデータのみ」を収集すべきです。不要なデータまで集めることは禁止。

セキュリティ対策の実装 — データの暗号化、アクセス制限、定期的な脆弱性診断など、技術的・組織的なセキュリティ対策が必須です。

プライバシーポリシーの公開 — 企業が個人データをどう処理するかを、明確に公開する義務があります。

個人の権利保護 — 個人は「自分のデータが何に使われているか」を知る権利、データの削除を要求する権利(忘れられる権利)を持ちます。

データ漏洩時の通知義務 — セキュリティ侵害が発生した場合、本人および規制当局への通知が必須です。

違反した場合

LGPDに違反した企業には厳格な罰則が課されます。

行政罰 — 規制当局(National Data Protection Authority)から以下の罰金が課せられます。軽度の違反で最大50万ブラジルレアル(約1000万円)、重度の違反で最大売上の2%(または4900万ブラジルレアル相当)。複数の違反が重複すると、合算されます。

民事責任 — データ漏洩によって個人が損害を受けた場合、企業は損害賠償請求に応じる義務があります。GDPR違反時の賠償金に比べ、LGPDは個別事例での賠償判例がまだ限定的ですが、今後増加する可能性が高いです。

刑事責任 — 経営陣が意図的に法律に違反した場合(例:個人情報の盗売)、刑事罰が課される可能性があります。

業務停止命令 — 極めて重大な違反の場合、規制当局がデータ処理業務の一時停止を命じることもあります。

なぜ重要か

LGPDはブラジルだけでなく、グローバル企業にとって極めて重要です。ブラジルは南米最大の経済規模を持つ国であり、多くの国際企業がブラジル市場を対象にサービスを提供しています。LGPD対応なしには、ブラジル市場でのビジネス継続は不可能です。

また、LGPD遵守能力は、ブラジル政府の調達企業審査でも評価基準となりつつあります。官公庁との契約を望む企業は、LGPD対応を示す必要があります。

実際の活用シーン

日本のEコマース企業がブラジルに進出 ブラジル市民向けにオンラインショップを開設。顧客データベース(住所、購買履歴)はLGPD対応が必須。サイト上の利用規約を見直し、顧客のオプトイン同意を取得。データ暗号化、アクセス制限の技術対応も実装。

国際的な物流企業の配送記録 ブラジル国内での配送時に、配送先住所や配送人の個人情報を扱う。これらデータはLGPDの対象。配送人の同意なしに3次企業への転売は禁止。

クラウドベースの分析企業 ブラジル企業の顧客データを分析する場合、ブラジルの個人データとして取り扱う必要あり。EU(GDPR)とブラジル(LGPD)の規制に同時対応しなければならず、複雑性が増します。

メリットと注意点

LGPD導入による企業メリットは「個人信頼の獲得」です。個人は「自分のデータは安全に扱われている」と確信でき、企業との取引意欲が高まります。特に南米では、データプライバシーに対する関心が急速に高まっており、LGPD対応企業は競合優位を得られます。

注意点としては「コンプライアンスコストの増加」があります。個人同意取得の仕組み構築、セキュリティ対策の強化、プライバシーポリシーの定期見直しなど、多くのリソースが必要です。また、GDPRや他国の規制との同時対応により、グローバル企業の負担は非常に重くなっています。

ブラジル国内の監督体制はまだ発展途上ですが、規制当局の監視強化は確実です。過去数年で違反企業への罰金実例が増加し、企業のコンプライアンス意識も高まっています。

関連用語

よくある質問

Q: ブラジルにお客さんがいなければ、LGPDは関係ありませんか? A: いいえ。その企業のサービスがブラジル市民に向けて意図的に提供されていれば、LGPDが適用されます。例えば、オンラインショップがブラジル選択を許可したり、ブラジルをターゲット市場として広告表示していれば、その時点でLGPD対象です。

Q: GDPRとLGPDの大きな違いは何ですか? A: 基本的な考え方(個人データ保護、同意取得など)は同じですが、細部が異なります。例えば、GDPRの「忘れられる権利」はLGPDでも規定されていますが、実務的な実装方法が若干異なります。グローバル企業は両者を個別対応するのではなく、「より厳しい要求に統一」する戦略が一般的です。

Q: LGPDに違反した企業への罰金は、過去に実例がありますか? A: はい。2020年〜2024年のあいだに、複数の企業が罰金を課されています。例えば、データ流出を報告しなかった企業は数百万ブラジルレアル単位の罰金を受けています。ただし、GDPRほど「莫大な罰金」の例はまだ限定的で、今後増加する見込みです。

関連用語

GDPR

EUの包括的なデータ保護規則であるGDPRについて理解しましょう。その原則、コンプライアンス要件、データ主体の権利、そしてAIチャットボットへの影響について学びます。...

詳細を見る
用語集に戻る
×
お問い合わせ Contact