一般個人データ保護法（LGPDまたはLei Geral de Protecao de Dados Pessoais）は、2018年にブラジル政府によって可決された比較的新しい法律です。この法律は2020年9月18日に正式に施行されたが、COVID-19のパンデミックによる合併症のため、2021年8月1日まで施行されませんでした。

ブラジルでビジネスを展開し、個人データを収集する組織にとって、LGPDは広範囲に及ぶ意味を持ち、65の個別条項で、組織がどのように個人データを収集、処理、開示、消去しなければならないかを概説しています。

本記事では、LGPDとは何か、その内容や法人がどのように準拠すればよいのかについて説明します。

LGPDとは何ですか？

LGPDは、2018年5月29日にブラジル連邦政府によって可決された新しいデータ保護・プライバシー法です。この法律の目的は、個人データの処理を規制するこれまでの40のブラジル法を統一することです。

この変更に伴い、旧法の多くが更新または削除されました。LGPDは65の独立した条文で構成され、それぞれがデータ主体の権利や個人データを収集する法的根拠など、法律の異なる分野をカバーしています。また、LGPDの指導、監督、施行を担当する機関として新設された国家データ保護局（ANPD）の責任も定められています。

ブラジルで事業を展開し、オンライン・オフラインを問わず商業目的で個人データを収集しようとする組織にとって、LGPDの遵守は不可欠です。しかし、さまざまな規則や規制を理解し、LGPDが適用されるかどうかを判断することは困難です。

幸いなことに、LGPDは比較的理解しやすく、欧州連合（EU）が2018年5月25日に施行したデータ保護法である一般データ保護規則（GDPR）と多くの共通点があります。これを読めば、LGPDが制定された理由、LGPDに含まれる方針、そしてLGPDが達成したい目標について、よりよく理解できるかもしれません。両法は非常によく似ていますが、個人データ収集の法的根拠として何が認められるかなど、ブラジル独自の項目もあります。

これらの理由から、組織はGDPRとLGPDのコンプライアンスに画一的なアプローチを適用すべきではありません。

LGPDは誰に適用され、誰が免除されるのですか？

LGPDは、ブラジル国内において商業目的で個人データを収集、処理、保管する自然人、公共団体、民間企業に適用されます。また、データ処理者がブラジル国外にいる場合でも、ブラジル国内においてブラジル人および非ブラジル人の個人データを処理する者にも適用されます。また、ブラジル国内から収集した個人データを処理する者にも適用されます。

では、これは何を意味するのでしょうか？

所在地に関係なく、ブラジルで個人データ処理活動を行う場合、またはブラジルから収集したデータを処理する場合は、LGPDが適用される可能性が高いです。これは特に、データ処理が商業目的、より正確には商品またはサービスの提供または提供のためである場合に当てはまります。また、このような条件下で個人データを収集された対象者は、9つのデータ主体権によって保護されます。

データ処理業者には、LGPDが適用されない例外があります。これには、個人データを私的または非商業的な理由で処理する場合、芸術的、ジャーナリスティック、および一部の学術的な目的で処理する場合、国家安全保障、公共の安全、国防、および犯罪者の捜査と起訴に関連する活動の目的で処理する場合などが含まれます。また、処理されたデータが、EU諸国（GDPRが適用される）など、ブラジルとデータ保護法が類似している国に由来する場合、その個人または組織にはLGPDは適用されません。

このような理由から、データ処理活動が新基準に準拠するよう、LGPDに精通することが不可欠です。また、世界人口の個人データの75％がプライバシー規制によって保護されると推定されているため、これは将来的にも重要なことです。今、正しい知識を身につけることで、今後の生活がよりスムーズになるでしょう。

9つのLGPDデータ主体の権利とは何ですか？

LGPDには9つのデータ対象者の権利があります。これらは、政治的意見や宗教的信条に関係なく、対象者の権利と自由を保護するものです。

個人情報保護法（LGPD）第19条に記載されているこれらの権利は、情報主体が以下の権利を有することを確認するものです：

1. データ処理の確認
2. 自分のデータにアクセスする。
3. 不完全なデータ、正確でないデータ、古いデータを修正する。
4. 過剰で不要なデータ、法令に準拠していないデータを匿名化、ブロック、削除する。
5. 特別な要請があれば、データを別のサービス・プロバイダーや製品プロバイダーに移す。
6. 特定の状況下において、個人データを削除または利用停止する。
7. データ処理者が処理されたデータを、民間および公的機関を含む誰と共有したかについての情報を得ること。
8. 個人データの収集に同意しない場合、どのような結果になるかを知らされる。
9. 一定の条件の下で、個人データの処理に対する同意を撤回すること。

これらのデータ主体の権利の多くはGDPRと同様です。例えば、GDPRもLGPDもデータ主体に対して、通知を受ける権利、アクセスする権利、データポータビリティの権利、誤ったデータを修正する権利を与えています。しかし、LGPDには9つのデータ主体の権利があるのに対し、GDPRには8つしかありません。追加されたデータ主体の権利とは何か？データ処理者が自分のデータを誰と共有したかについての情報を得る権利です。

データ主体の権利に関して、GDPRとLGPDには他にも若干の違いがあります。例えば、GDPRには、自動化に関するものなど、特定のデータ処理活動を制限する明確な権利があります。LGPDにもこれがあります。しかし、データ収集の自動化の対象は第20条にあり、第19条に記載されているすべてのデータ主体の権利とは別のものです。

ブラジルの個人データはどのような条件で処理できますか？

ブラジルでは、組織が個人データ処理を合法的に実施できるさまざまな条件があります。これらの条件の目的は、個人データが安全かつ合法的で倫理的な理由によってのみ処理されるという信頼をデータ主体に与えることです。また、これらの条件は、個人および組織のデータ処理者が、ブラジルで、またはブラジルに関連して個人データを処理する法的根拠があるかどうかを判断するのに役立ちます。

労働者保護法第7条によれば、データ処理は以下の場合にのみ実行されます：

1. データ対象者の同意がある場合
2. 法的または規制上の義務を遵守するため
3. 公的機関が、法律または規則で定められた公共政策の遂行を支援するため
4. 研究機関が研究を実施するのを支援するため。可能な場合、対象者はデータを匿名化することができます
5. 契約または予備的手続き、特に情報主体が当事者である契約に関連する手続きを行うため
6. 仲裁、行政、司法手続きの権利を行使するため
7. 身体または生命を保護するため
8. 医療機関が行う処置を受けようとしている人の健康を保護するため
9. データ処理者の正当な利益を実現するため。ただし、そうすることによってデータ主体の基本的権利および自由が損なわれる場合を除く
10. クレジットスコアを保護するため

9つのデータ主体の権利と同様に、LGPDとGDPRには重要な違いがあります。GDPRにはデータ処理の合法的根拠が6つあるのに対し、LGPDには10個あります。LGPDに追加された特筆すべき事項として、GDPRではカバーされていない信用スコアの保護があります。両データ保護法への準拠を別々に確保するもう一つの理由があります。

LGPD vs GDPR：両者はどう違うのでしょうか？

LGPDはGDPRを忠実にモデルにしているので、この2つが似ているのは当然です。

両法はデータ主体の権利と自由を高水準で保護します。両法はデータ処理の法的正当性を概説し、データ保護当局の責任を定め、違反した場合の罰則を定めていますが、両法には重要な相違点もあります。

まず、データ主体の権利であるが、GDPRが8つであるのに対し、LGPDは9つです。GDPRはデータ主体に自動化された意思決定について人によるレビューを要求する権利を与えているが、LGPDにはありません。第二に、処理の法的根拠です。GDPRが6つであるのに対し、LGPDは10個です。LGPD独自の4つの法的根拠は、信用保護、健康保護、生命保護、研究実施機関のためのものです。

LGPDとGDPRでは、違反した場合の罰則が異なります。GDPRの違反に対する罰金は最高2,000万ユーロ（または違反者の全世界における年間売上高の4％、いずれか高い方）。LGPDの違反に対する最高罰金は、最高5,000万レアル（約920万ユーロ）、または違反者のブラジルにおける収益の2％（いずれか高い方）です。

MatomoでLGPDを遵守する6つのステップ

以下は、あなたの組織がLGPDに準拠していることを確認するための手順です。また、Matomoがどのように迅速かつ容易に準拠を支援できるかをご紹介します。

さあ、飛び込もう。

1. DPOを任命する

DPOは、データ処理者、データ主体、およびANDPと連絡を取る個人、グループ、または組織です。

不思議なことに、LGPDでは、たとえブラジル国外に居住していても、DPOを指名することができます。つまり、LGPDが適用される場合は、組織内の誰かをDPOに指名することができます。ただ、指名された人物がその職務を遂行する理解と能力を有していることを確認してください。

2. データの評価

LGPD に精通し、LGPD 準拠の適格性を確認したら、データの評価に時間をかけてください。ブラジルの領土内でデータを収集する予定がある場合は、データ対象者の正確な所在地を確認する必要があります。

Matomoでこれを行うには、単に前年のカレンダーに移動します。次に、訪問者をクリックし、場所に移動し、「地域」セクションでブラジルを探します。これで、ブラジルにいるウェブ訪問者の数がわかります。

3. 個人情報保護に関する慣行の見直し

LGPDに準拠するために更新が必要になる可能性が高いため、既存のプライバシーポリシーと慣行を見直しましょう。また、データ共有や第三者との契約も見直しましょう。サービスを提供するために依存しているパートナーに、新しいポリシーを伝える必要があるかもしれません。

最後に、個人データや個人を特定できる情報（PII）を追跡する手順を見直しましょう。LGPDに準拠するために、追跡するデータの種類を変更する必要があるかもしれません。あなたが知らないうちにこのデータを追跡しているかもしれません。

4. トラッキングデータの匿名化

LGPDに基づくデータ対象者は、データの匿名性を要求する権利を有します。したがって、LGPDに準拠するためには、組織はそのような要求に対応できなければなりません。

幸いなことに、Matomo にはデータ主体のプライバシーを保護し、LGPDを遵守するのに役立つ様々なデータ匿名化技術があります。これらの技術には、以前に追跡された生データを匿名化する機能、訪問者のIPアドレスを匿名化する機能、地域、都市、国などの関連する地理位置データを匿名化する機能などがあります。

これらの機能は、Matomo の設定ページのプライバシーメニューにある「データの匿名化」タブで確認できます。Matomo のプライバシー設定の詳細については、こちらをご覧ください。

5. Cookieを使用せずにLGPDの同意法を遵守する。

Matomoを使用してデータ対象者のデータを匿名化することで、LGPD同意法を遵守することができ、ウェブサイトにクッキー同意バナーを表示する必要がなくなります。これは、Matomoがクッキーのないトラッキングウェブ分析プラットフォームであることによって可能になります。

Google Analyticsのような他のウェブ解析プラットフォームが、「独自の目的」のためにサードパーティのCookie（データの有効期限が切れるまで、または手動で削除するまで、あなたのデバイス上に残る永続的なデータ）を収集し使用するのとは異なり、Matomoは異なります。私たちは、ユニークなIPアドレスの数をカウントしたり、ブラウザフィンガープリントを実行するなど、ウェブ訪問者を識別するための代替手段を使用しています。

その結果、ウェブサイトにクッキーの同意バナーを表示する必要がなくなり、クッキーを無効にしてもウェブ訪問者を追跡できるようになります。

6. ユーザーにオプトアウトの権利を与える

LGPDの下では、データ対象者は貴社のデータ収集手続きからオプトアウトする権利を有します。このため、ウェブ訪問者がウェブサイト上でオプトアウトできるようにしてください。

Matomoでは、トラッキングからのオプトアウトフォームをウェブサイトに追加することでこれを行うことができます。これを行うには、トップメニューのコグアイコンをクリックし、設定ページをロードし、プライバシーセクションのユーザオプトアウトメニュー項目をクリックします。その後、指示に従ってMatomoのオプトアウトフォームをカスタマイズし、公開します。

MatomoでLGPDのコンプライアンスを達成

欧州のGDPRと同様に、LGPDもブラジルでビジネスを展開する組織に影響を与えます。また、両者は定義やデータ主体の権利についてはほぼ共通しているものの、センシティブデータを処理する法的根拠として何が認められるかについては異なっています。GDPRとLGPDを別々に遵守することは譲れないことであり、それぞれ2000万ユーロと920万ユーロの最高制裁金を回避するために不可欠です。

LGPDに準拠したウェブ解析プラットフォームとして、Matomoはパフォーマンスを損なうことなくデータプライバシーを優先します。ユーザーのプライバシーを尊重する、強力な LGPD 準拠のウェブ解析プラットフォームへ乗り換えましょう。

Matomoの21日間無料トライアルを今すぐご利用ください。クレジットカードは必要ありません。

免責事項

私たちは弁護士ではありませんし、そうであると主張するものでもありません。ここで提供する情報は、LGPDを紹介するためのものです。私たちは、すべてのビジネスとウェブサイトがデータプライバシーを真剣に受け止め、懸念がある場合は弁護士にこれらの問題を相談することをお勧めします。