GDPR対LGPD:EUとブラジルのプライバシー法比較(2026年)
EUのGDPRとブラジルのLGPD(法律第13.709/2018号)は基本原則を共有しているが、三つの重要な構造上の点で異なっている。LGPDはGDPRの6つに対し10の適法根拠を提供していること、制裁金の上限を全世界売上高ではなくブラジル国内売上高に基づいて定めていること、そしてすべての執行を30以上のDPAではなく単一の国家機関を通じて行っていることである。
EUの一般データ保護規則(GDPR)と、ブラジルの一般データ保護法(LGPD、法律第13,709/2018号)は、世界で最も重要なデータ保護の枠組みのうち二つである。LGPDはGDPRから直接着想を得ており、両法は共通の構造を有する。しかし、両者は意味のある形で異なっている。適法根拠、制裁金の体系、執行モデル、侵害通知の期限、DPOに関する要件は、いずれも異なる。
本比較は、EUとブラジル間の自由なデータ流通を可能にした2026年1月の画期的な相互十分性認定を含め、両制度間のあらゆる重要な構造上の相違点を取り上げる。
クイックアンサー:GDPRとLGPDの概観
GDPRは欧州経済領域全域に適用される。LGPDはブラジルに関連するすべてのデータ処理に適用される。両法とも中核的な原則(目的の限定、データの最小化、透明性、アカウンタビリティ)を共有し、いずれもデータ保護責任者、データ主体の権利、侵害通知、国際移転の管理を要求している。
主な違いは以下のとおりである。LGPDはより多くの適法根拠(10対6)を提供し、制裁金の上限を全世界売上高ではなくブラジル国内売上高に基づいて定め、30以上のDPAではなく単一の国家機関によって執行され、DPOの独立性に関する規則は歴史的により厳格ではなかった。2026年1月時点で、両制度は互いを十分なものとして公式に認定しており、これは両法の施行以来最大の進展である。
二つの制度の概観
| 特徴 | GDPR | LGPD |
|---|---|---|
| 管轄 | EU/EEA(加盟27か国+ノルウェー、アイスランド、リヒテンシュタイン) | ブラジル |
| 制定 | 2016年4月14日 | 2018年8月14日 |
| 施行 | 2018年5月25日 | 2020年9月18日(制裁金:2021年8月1日) |
| 執行機関 | 30以上の各国DPA+EDPB | ANPD(単一の連邦機関) |
| 適法根拠 | 6(第6条) | 10(第7条) |
| 制裁金上限 | 2,000万ユーロまたは全世界売上高の4% | ブラジル国内売上高の2%、違反1件につき5,000万レアルを上限 |
| 侵害通知 | DPAへ72時間以内 | ANPDは2営業日を推奨(拘束力のある規則は未定) |
| DPO義務 | 条件付き(公的機関、大規模監視、大規模高リスク処理) | すべてのデータ管理者(決議2/2022による限定的な中小企業の適用除外あり) |
| 相互十分性認定 | あり:EU施行決定(EU)2026/179、2026年1月27日 | あり:ANPD決議CD/ANPD第32号、2026年1月26日 |
共通のDNAと構造上の類似点
LGPDは、その基本構造を意図的にGDPRから借用した。ブラジルの立法者はGDPRを研究し、その中核的な構成要素、すなわちデータ主体の権利、管理者/処理者の役割、処理の適法根拠、機微データの特別カテゴリー、国際移転に対する制限、そして専門の監督機関を取り込んだ。
両法とも「個人データ」を、識別された、または識別され得る自然人に関するあらゆる情報を対象とする広範な定義で定めている。両法とも、より高い保護を必要とする機微データの明確なカテゴリーを認めている。両法とも、データ管理者に対し、適切な技術的・組織的セキュリティ措置の実施、高リスク処理に対する影響評価の実施、および処理活動の文書化を要求している。
実務上の結論として、GDPR準拠のプログラムはLGPD準拠のための強固な基盤となる。しかし、その差異は、GDPRプログラムだけではLGPD準拠と同義にならない程度には重要である。
適用範囲
GDPRの域外適用は設計上のものである。組織がどこで設立されているかにかかわらず、EEA域内の個人の個人データを処理するあらゆる組織に適用される。EU居住者に販売する米国拠点の電子商取引企業は、GDPRの対象となる。
LGPDは、ブラジル国内で行われる処理活動、ブラジル国内の個人への商品・サービスの提供を目的とする処理活動、またはブラジル国内で収集された個人データを伴う処理活動に適用される。GDPRと同様に、組織がブラジル国内に物理的拠点を有することを要求しない。
LGPDは営利・非営利の双方の組織に適用される。例外としては、純粋に個人的または家庭内の処理、ジャーナリズムまたは芸術目的、公共の利益のために実施される学術研究、公共の安全、国防、そして犯罪捜査が挙げられる。一つの重要な違いとして、LGPDは政府によるデータ処理に適用されるが、公的機関を金銭的制裁金の対象から除外している。政府機関は警告、違反の強制的な公表、処理の停止命令を受け得るが、民間企業に適用される5,000万レアルの金銭的制裁金は受けない。
用語の比較
| GDPRの用語 | LGPDにおける対応語 |
|---|---|
| データ主体 | Titular(本人) |
| 個人データ | Dados pessoais |
| 特別カテゴリー/機微データ | Dados pessoais sensíveis(第5条II号) |
| 管理者 | Controlador |
| 処理者 | Operador |
| データ保護責任者 | Encarregado |
| 監督機関/DPA | ANPD |
LGPDの機微個人データの定義はGDPRの特別カテゴリーとほぼ一致しているが、宗教的信条に加えて思想的信条を明示的に含み、またLGPD第14条のもとで特別な取扱いを必要とする独立した機微カテゴリーとして、子どもおよび未成年者に関するデータを扱っている点が異なる。
適法根拠:6対10
これは両制度間で最も重要な構造上の違いである。
GDPRは第6条のもとで六つの適法根拠を定めている。同意、契約履行、法的義務、生命に関する利益、公共の任務、正当な利益である。
LGPDは第7条のもとで十の適法根拠を定めている。GDPRの六つの根拠すべてを保持したうえで、さらに四つを追加している。
| 法的根拠 | GDPR | LGPD |
|---|---|---|
| 同意 | あり(第6条1項a号) | あり(第7条I号) |
| 契約履行 | あり(第6条1項b号) | あり(第7条V号) |
| 法令または規制上の義務 | あり(第6条1項c号) | あり(第7条II号) |
| 生命に関する利益 | あり(第6条1項d号) | 健康保護および生命保護のもとでカバー |
| 公共の利益/公共の任務 | あり(第6条1項e号) | あり(第7条III号) |
| 正当な利益 | あり(第6条1項f号) | あり(第7条IX号) |
| 研究機関による研究 | 公共の利益に包含 | あり、独立した根拠(第7条IV号) |
| 司法、行政または仲裁手続における権利行使 | 法的義務に包含 | あり、独立した根拠(第7条VI号) |
| 健康または生命の保護 | 生命に関する利益に包含 | あり、独立した根拠(第7条VIII号) |
| 信用保護 | 独立した根拠なし | あり、LGPD独自(第7条X号) |
信用保護の根拠はブラジル法に固有のものである。これは、ブラジルの市場における信用スコアリングおよび金融データシステムの経済的重要性を反映している。顧客データを処理して信用調査を行う金融機関は、この根拠に直接依拠できる。
健康保護の根拠は、医療専門家、医療サービス、または衛生当局による手続をカバーする。これはGDPRの生命に関する利益の例外と同様に機能するが、生命に関わる緊急事態一般ではなく、明示的に医療・衛生分野に限定されている。
機微個人データについて、GDPRは明示的な同意、または第9条2項の狭い例外のいずれかを要求している。LGPD第11条は、法的義務、公共政策、研究、権利の行使、健康保護、生命保護、または不正防止に不可欠である場合、同意なしに機微データを処理することを認めている。
データ主体の権利の比較
両制度とも、個人に対して自己の個人データに関する包括的な権利を付与しており、大きな重なりがある。
| 権利 | GDPR | LGPD |
|---|---|---|
| 処理の確認 | あり(第15条) | あり(第18条I号) |
| データへのアクセス | あり(第15条) | あり(第18条II号) |
| 訂正 | あり(第16条) | あり(第18条III号) |
| 消去/削除 | あり、「忘れられる権利」(第17条) | あり(第18条VI号) |
| データポータビリティ | あり(第20条) | あり(第18条V号) |
| 処理の制限 | あり(第18条) | 直接相当する規定なし |
| 処理への異議 | あり(第21条) | あり(第18条IV号:匿名化、ブロック、または削除) |
| 自動意思決定の見直し | あり、人による審査を受ける権利(第22条) | あり(第20条)、ただし人による審査は明示的には要求されていない |
| 共有に関する情報 | アクセス権に含まれる | 独立した明示的な権利(第18条VII号) |
| 同意の撤回 | あり(第7条3項) | あり(第18条IX号) |
| 当局への申立て | あり | あり(第18条1項) |
注目すべき二つの違いがある。第一に、LGPDはGDPR第18条に相当する処理制限の明示的な権利を含んでいない。データ主体は匿名化、ブロック、または削除を要求できるが、紛争が解決するまで単に処理を一時停止する仕組みは存在しない。
第二に、LGPD第20条は自動意思決定の見直しを要求する権利を付与しているが、GDPR第22条とは異なり、人による審査を明示的には要求していない。ANPDの2025-2026年規制アジェンダには、自動意思決定に関する権利についての拘束力のあるガイダンスの発行が含まれているが、そのガイダンスは2026年5月時点で確定していない。
応答期限については、LGPDはデータ主体のアクセス請求に対する詳細な回答について15日間の期限を課している。GDPRは管理者に30日間(複雑な請求については3か月まで延長可能)を与えている。LGPDの短い期間は、大量の請求を扱う組織により厳しい実務上のプレッシャーを生じさせる。
監督機関:ANPD対EUの各DPA
執行体制における構造上の違いは大きい。
GDPRのもとでは、執行は30以上の各国データ保護機関に分散しており、欧州データ保護会議(EDPB)によって調整されている。複数のEU加盟国にまたがる越境処理について、「ワンストップショップ」の仕組みは、管理者のEU拠点がある国の主導DPAを指定し、他のDPAは「関係機関」として機能する。これにより、アイルランドのDPC(EU域内でMeta、Google、Appleを監督する)やフランスのCNILから画期的な制裁金が生じている。
LGPDは単一の連邦機関、すなわちANPDによって執行される。ANPDは2020年に設立され、2025年2月に完全に独立した連邦規制機関へと格上げされ、機能的、技術的、意思決定、行政、財政上の自律性を得た。この独立性はANPDを政治的圧力から保護し、制度上、ブラジル中央銀行や競争当局(CADE)と同等の地位に位置付けている。
ANPDの執行能力は、欧州で最も活発なDPAと比較すると、依然として発展途上にある。最初の重要な執行措置は2023年および2024年に生じた。2025年までにANPDの制裁金・処分の総額は約9,800万レアル(約2,000万米ドル)に達した。
制裁金の比較
両制度の制裁金体系は、規模と算定方法の両方において異なっている。
| 執行の側面 | GDPR | LGPD |
|---|---|---|
| 制裁金上限 | 2,000万ユーロまたは全世界年間売上高の4%(いずれか高い方) | 企業のブラジル国内売上高の2%、違反1件につき5,000万レアル(約1,000万米ドル)を上限 |
| 収益の算定基礎 | 全世界年間売上高 | ブラジル国内売上高のみ(グループまたはコングロマリット単位) |
| 日割り制裁金 | 一部の加盟国で利用可能 | あり(5,000万レアルの累計上限に服する) |
| 金銭以外の制裁 | 警告、処理の禁止、データ削除命令 | 警告、公表、データのブロック/削除、処理の停止 |
| 政府機関 | 大半の加盟国で制裁金の対象 | 金銭的制裁金は適用除外 |
| 個人の訴訟提起権 | 加盟国により異なる | あり、消費者保護法および民事責任法のもとで |
大規模な多国籍企業にとって、GDPRの全世界売上高4%という算定基礎は、はるかに高いリスクを生じさせる。全世界売上高100億米ドルの企業のGDPR制裁金の上限は4億米ドルに達するが、同じ企業のLGPD制裁金の上限は、全世界の規模にかかわらず約1,000万米ドルにとどまる。
LGPDはまた、処理の停止を制裁として含んでおり、多額の金銭的制裁がなくても運用上重大な影響を及ぼし得る。ANPDはMetaの事案でこの権限を行使した。2024年7月、ANPDはMetaに対し、AI訓練のためのブラジル利用者の個人データの利用を直ちに停止するよう命じ、これは不遵守の場合1日あたり5万レアルの制裁金によって裏付けられた。この停止措置は、Metaが監視付きコンプライアンス計画に合意したことを受け、2024年8月下旬までに解除された。ANPDは、MetaがAI訓練の法的根拠として正当な利益に不適切に依拠していたこと、処理の詳細に関する透明性を欠いていたこと、そして未成年者のデータを保護できていなかったことを認定した。
DPOおよびEncarregadoに関する要件
両法ともデータ保護責任者(LGPDではEncarregadoと呼ばれる)を要求しているが、その要件は大きく異なる。
GDPRのもとでは、DPOは以下の場合にのみ義務付けられる。公的機関・団体、その中核的活動が個人に対する大規模かつ組織的な監視を伴う組織、そして特別カテゴリーのデータまたは犯罪歴データを大規模に処理する組織である(第37条)。GDPRは、DPOがデータ保護法に関する専門知識を有し、独立して業務を行い、経営上層部に直接報告し、その職務の遂行を理由に解任または不利益な扱いを受けないことを定めている。
LGPDのもとでは、当初、すべてのデータ管理者は規模や処理範囲にかかわらずEncarregadoを選任することが求められていた。その後ANPDは決議CD/ANPD第2/2022号を発行し、高リスクデータを処理しない限り、小規模な処理主体(中小企業、スタートアップ、個人事業主)を当該要件から除外した。LGPDはGDPRほどの具体性をもってEncarregadoの資格を規定しておらず、独立性の要件もより緩やかである。Encarregadoは公に特定されなければならない(氏名および連絡先情報を公表しなければならない)が、取締役会への直接的な報告義務は存在しない。
実務上の隙間として、公的機関でなく大規模かつ組織的な監視を行っていない企業は、GDPR上のDPOを必要としない場合があるが、それが管理者としてブラジル居住者の個人データを処理している場合、(中小企業の適用除外に該当しない限り)依然としてLGPD上のEncarregadoを必要とし得る。
データ侵害の通知
GDPRは、管理者に対し、個人の権利にリスクをもたらす個人データ侵害を認識してから72時間以内に、所轄の監督機関に通知することを義務付けている。侵害が高いリスクをもたらす場合、影響を受ける個人には不当な遅滞なく直接通知しなければならない。
LGPD第48条は、管理者に対し、重大なリスクまたは損害を生じさせ得るセキュリティインシデントについて、ANPDおよび影響を受けるデータ主体に通知することを義務付けている。同法は固定的な通知期限を定めていない。ANPDは2営業日という「合理的な期間」を推奨しているが、これは2026年5月時点では拘束力のある法定期限ではなく、あくまでガイダンスにとどまっている。ANPDは規制アジェンダの一環として拘束力のある侵害通知規則を発行する計画を表明しているが、その規則制定は依然として保留中である。
多国籍組織にとって、実務上のアプローチは、GDPRの72時間ルールを社内標準として適用することである。GDPR通知を要するいかなる侵害も、ブラジルのデータ主体が影響を受ける場合には、同時にLGPD通知プロセスを発動させるべきである。
データ保護影響評価
両法とも影響評価に関する規定を有しているが、その発動条件とコンプライアンス体制は異なる。
GDPRは、処理が個人の権利に高いリスクをもたらす可能性がある場合、常に第35条に基づくデータ保護影響評価(DPIA)を要求する。三つのカテゴリーは常にDPIAを必要とする。プロファイリングを伴う体系的評価、機微データの大規模処理、そして公共の場所の大規模かつ組織的な監視である。管理者はDPIAを文書化し、場合によっては処理を開始する前に監督機関に相談しなければならない。
LGPD第38条は事後対応的なアプローチを採用している。ANPDはいつでも管理者に対し、個人データ保護影響報告書(RIPD)の作成を要求できる。管理者は、高リスク処理に着手する前に事前にRIPDを実施することを義務付けられていない。しかし、ANPDの2025-2026年規制アジェンダは、DPIAを新たな拘束力のある規則の優先課題として挙げており、ブラジルで事業を行う組織は、要件が義務化されるのを待つのではなく、高リスク処理についてRIPDの実施を今から開始すべきである。
国際的データ移転
2026年1月の相互十分性認定
2026年1月27日、欧州委員会とブラジルは同時に相互十分性認定を採択した。EUは施行決定(EU)2026/179を採択し、第45条のもとでブラジルをGDPRと本質的に同等の水準のデータ保護を提供する国として認定した。ブラジルは、2026年1月26日付のANPD決議CD/ANPD第32号を通じてこれに応じ、LGPDのもとでEUを十分性のある法域として認定した。
実務上の帰結は、双方向において重大である。
EUからブラジルへの移転は、標準契約条項、拘束的企業準則、その他の第46条の保護措置なしに実施できるようになった。この十分性認定は、公共部門・民間部門双方の移転を対象とし、国家安全保障、防衛、犯罪捜査目的については通常どおり除外されている。
ブラジルからEUへの移転は、追加の契約上の保護措置を要することなく、ANPDの十分性認定のもとで実施できる。
この決定は4年ごとの正式な見直しに服する。EDPBの意見28/2025は概ね支持的であったが、欧州委員会に対し、ブラジルによるDPIAの実施状況、二次移転規則、透明性に関する制限、そして公的機関によるアクセスに対する保護措置の監視を継続するよう求めた。
ANPD決議CD/ANPD第19/2024号とSCCの枠組み
十分性認定以前、ブラジルからの越境移転に関する主要な枠組みは、2024年8月23日に公表されたANPD決議19/2024であった。同決議は、国際的データ移転のためのブラジル標準契約条項を定め、企業がこれを導入するための1年間の猶予期間を設定した。この猶予期間は2025年8月23日に満了し、それ以降、ブラジルから十分性のない第三国への移転にはSCCまたはその他の承認された仕組みが必要となった。
ブラジルからEUの組織への移転については、ANPDの2026年1月の十分性認定が現在SCC要件に取って代わっている。その他の法域への移転については、決議19/2024の枠組み(SCC、拘束的企業準則、または特定の契約条項)が引き続き必要な保護措置である。
EU-ブラジル間の流れのためにブラジル固有のSCCを締結した組織は、十分性の根拠を参照するよう移転文書を更新することを検討すべきである。SCCは技術的には引き続き有効だが、当該移転部分についてはもはや法的に要求されていない。
実務における執行:ANPDの実績
ANPDの最初の正式な執行措置は2023年に生じた。2024年、同当局は三つのブラジル公的機関に対して制裁を適用した。連邦区教育地域局(SEEDF)、国家社会保障院(INSS)、そして保健省である。いずれの事案も、侵害通知の不履行および不十分なセキュリティ対策に関わるものであった。これらは政府機関であるため、制裁は金銭的制裁金ではなく、警告および強制的な公表であった。
ANPDの最も注目された民間部門への措置は、2024年7月のMetaによるブラジル利用者データを用いたAI訓練の停止であった。ANPDは、Metaの更新されたプライバシーポリシーが、AI訓練の法的根拠として正当な利益に不適切に依拠しており、処理の詳細について透明性を欠き、データ主体の権利行使に障害を生じさせ、そして未成年者のデータに対する適切な保護措置を欠いていたと認定した。この停止措置は1日あたり5万レアルの制裁金によって強制された。MetaとANPDは、2024年8月下旬までに、監視付きコンプライアンス計画にMetaが合意することと引き換えに停止措置を解除する合意に達した。
2025年までに、ANPDの執行による制裁金・処分の総額は約9,800万レアルに達した。ANPDの制度的独立性(2025年2月に確保)と、公表された2026-2027年の執行優先事項は、今後より活発な執行の時期を示唆している。
最新の動向:2024-2026年の規制アジェンダ
ANPDの2026-2027年優先課題
2025年12月、ANPDは決議CD/ANPD第30号を公表し、2026-2027年の2年間の優先課題マップを定めるとともに、決議CD/ANPD第31/2025号を公表し、2025-2026年の規制アジェンダを更新した。四つの優先執行・規制分野は次のとおりである。
- データ主体の権利、特に広告目的で利用される機微データに焦点を当てる
- デジタルECA(子ども・青少年の権利に関する法律)のもとでの子どもおよび青少年の保護、年齢確認およびデフォルトでのプライバシー保護の要件を含む
- LGPDに対する公的機関の遵守、政府機関間のデータガバナンスおよび共有規則を含む
- AIおよび新興技術、AIシステムにおける個人データ利用の監督を含む
DPIA、自動意思決定に関する権利、そして侵害通知の期限に関する拘束力のある規則は、いずれも発行が予定されているアジェンダに含まれている。
ブラジルのAI法案
ブラジル上院は2024年12月10日にAI法案第2338/2023号を可決し、2025年3月に下院へ送付した。同法案は、EUのAI法を密接にモデルとしたリスクベースのアプローチを採用しており、AIシステムを過度なリスク、高リスク、一般利用に分類している。同法案のもとでは、ANPDが個人データを処理するAIシステムの主たる規制当局として機能し、分野別の規制当局が並行的な役割を担う。
最終的な成立は依然として不透明である。2026年初頭時点で、下院における政治的合意はいまだ得られておらず、2026年のブラジルの選挙サイクルは2027年以前の成立の可能性を低下させている。企業は立法の進展を注視すべきだが、AI法案をコンプライアンスの基準としてまだ依拠すべきではない。
二重コンプライアンスに向けた指針
GDPRとLGPDの双方の適用を受ける組織は、両制度を重複したものではなく相互補完的なものとして扱うべきである。以下の分野は、GDPR準拠プログラムであってもLGPD固有の対応を必要とする。
適法根拠。 GDPRのマッピングとは別に、すべての処理活動についてLGPDの根拠をマッピングすること。GDPRのもとで正当な利益に依拠している活動には、より具体的なLGPDの根拠(信用保護、健康保護、研究機関による研究)が利用できる場合がある。両方を文書化すること。
DPO/Encarregado。 GDPRの条件付きDPO要件に該当しない企業であっても、決議CD/ANPD第2/2022号の中小企業適用除外に該当しない限り、LGPDのもとでEncarregadoを必要とする場合がある。Encarregadoは連絡先情報とともに公に指名されなければならない。
侵害通知。 LGPDには固定された法定期限がない。ANPDの2営業日の推奨を社内標準として扱い、GDPRの72時間ルールと並行して運用すること。
DPIA/RIPD。 LGPDがまだ要求していなくても、高リスク処理についてRIPDを事前に実施すること。ANPDはいつでもこれを要求でき、拘束力のある事前要件が近く導入される見込みである。
応答期限。 LGPDの詳細なアクセス回答に関する15日間の期限は、GDPRの30日間より短い。より厳しいLGPDの期限に合わせて、本人からの請求対応のワークフローを設定すること。
国際移転。 2026年1月27日以降、EU-ブラジル間のデータの流れは双方向で相互十分性認定の対象となっている。当該移転部分についてはSCCではなく十分性の根拠を反映するよう、処理活動の記録を更新すること。ブラジルからその他の十分性のない国への移転については、決議19/2024のSCCが引き続き必要である。
政府契約事業者。 公的機関に対する取扱いの違いは、ブラジル政府機関のために処理者として個人データを処理する企業に影響する。政府データの共有には特定の規則が適用される。
GDPRの枠組みの詳細については、EUデータプライバシー法の完全ガイドを参照されたい。ブラジルのLGPD単独については、ブラジルデータプライバシー法ガイドを参照されたい。
本稿は2026年5月時点の法状況を反映している。GDPRとLGPDはいずれも、規制ガイダンスおよび執行判断を通じて発展を続けている。組織固有の助言については、資格を有する弁護士に相談されたい。
Frequently Asked Questions
LGPDは基本的にGDPRのコピーですか。
LGPDはGDPRから大きな影響を受けているが、直接のコピーではない。両法は同じ基本原則(目的の限定、データの最小化、透明性、アカウンタビリティ)を共有しているが、いくつかの点で異なっている。LGPDはGDPRの6つに対し10の適法根拠を有し、制裁金の上限を全世界売上高の4%ではなくブラジル国内売上高の2%に定め、30以上のDPAのネットワークではなく単一の機関によって執行され、データ主体アクセス請求に対する応答期限が短い(15日対30日)。
GDPRとLGPDのどちらの制裁金が高いですか。
大企業にとって、GDPRの最高制裁金額ははるかに高い。GDPRの制裁金は2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方に達する。LGPDの制裁金は企業のブラジル国内売上高の2%を上限とし、違反1件につき5,000万レアル(約1,000万米ドル)を上限額とする。全世界売上高50億米ドルの多国籍企業の場合、GDPRのリスクは2億米ドルに達するが、LGPDのリスクは全世界の規模にかかわらず1,000万米ドルに上限が設けられる。
LGPDはすべてのデータ処理について同意を要求していますか。
いいえ。GDPRと同様、LGPDは個人データを処理するための複数の適法根拠を定めている。LGPDは実際にはGDPRより多くの選択肢を提供しており、同意、正当な利益、契約履行、法的義務、信用保護、健康保護を含む10の適法根拠を有する。同意は数ある選択肢の一つであり、デフォルトの要件ではない。
ブラジルはEUから十分性認定を受けていますか。
はい。2026年1月27日、欧州委員会は施行決定(EU)2026/179を採択し、GDPR第45条のもとでブラジルが十分なデータ保護を提供していると正式に認定した。個人データは現在、標準契約条項その他の第46条の保護措置を経ることなく、EUからブラジルへ流通できる。ブラジルは同時にANPD決議CD/ANPD第32号を採択し、LGPDのもとでEUを十分性のあるものとして認定した。
GDPRとLGPDのコンプライアンスに同一のプライバシーポリシーを使用できますか。
単一のグローバルプライバシーポリシーで両制度に対応することは可能だが、LGPD固有の開示事項を含めなければならない。同ポリシーは、適用されるLGPDの適法根拠を参照し、連絡先情報とともにEncarregadoを明記し、15日間のアクセス応答期限を含むブラジル法上の権利を説明し、ANPDへの申立て方法を説明しなければならない。多くの多国籍企業は、法域別セクションを含む単一のポリシーを維持している。
LGPDはデータ保護影響評価を要求していますか。
デフォルトでは事前には要求していない。LGPD第38条はANPDに対し、いつでも管理者に個人データ保護影響報告書(RIPD)の作成を要求する権限を与えているが、高リスク処理を開始する前に管理者が事前にこれを実施することは義務付けていない。GDPR第35条は、一定の高リスク活動の前に事前のDPIAを要求する。ANPDの2025-2026年規制アジェンダには拘束力のある事前DPIA要件が含まれており、組織は今から高リスク処理についてRIPDの実施を開始すべきである。
ANPDのMetaに対する措置とは何でしたか。
2024年7月、ANPDはMetaに対し、AI訓練のためのブラジル利用者の個人データの利用を直ちに停止するよう命じ、不遵守の場合は1日あたり5万レアルの制裁金によって裏付けた。ANPDは、Metaの更新されたプライバシーポリシーがAI訓練の法的根拠として正当な利益に不適切に依拠しており、透明性を欠き、未成年者のデータを保護できていなかったと認定した。この停止措置は、Metaが監視付きコンプライアンス計画に合意したことを受け、2024年8月下旬までに解除された。
Sources and References
- 施行決定(EU)2026/179 - ブラジルに関するEU十分性認定(eur-lex.europa.eu).gov
- LGPD全文 - 法律第13.709/2018号(planalto.gov.br).gov
- ANPD公式サイト - 国家データ保護庁(Autoridade Nacional de Proteção de Dados)(gov.br).gov
- 欧州委員会 - データ保護の概要(commission.europa.eu).gov
- GDPR第6条 - 処理の適法性(gdpr-info.eu)
- GDPR第9条 - 特別カテゴリーのデータ(gdpr-info.eu)
- GDPR第35条 - データ保護影響評価(gdpr-info.eu)
- GDPR第37条 - DPOの指定(gdpr-info.eu)
- GDPR第33条 - 監督機関への侵害通知(gdpr-info.eu)
- 欧州委員会プレスリリース - EU・ブラジル十分性認定、2026年1月(ec.europa.eu).gov
- EDPB意見28/2025 - ブラジルに関するEU十分性認定草案(edpb.europa.eu).gov
- 米国国際貿易庁 - ブラジルの新たな国際データ移転規則(trade.gov).gov
- IAPP - ANPDが規制機関へ:ブラジルのデータ保護コンプライアンスにおける転換点(iapp.org)