〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

ニューズレター
Newsletter

2024.11.18

ブラジル 個人データの越境移転に関する規則及びSCCを公表

執筆弁護士

<目次>
1. はじめに
2.LGPDの越境移転規制
3.本規則の概要
(1) 十分性認定(Adequacy Decision)
(2) 標準契約条項(Standard Contractual Clauses)
(3) 特定の契約条項(Specific Contractual Clauses)
(4) 拘束的企業準則(Binding Corporate Rules)
(5) その他必要な対応
4.企業における今後の対応

1. はじめに

 2024年8月23日、ブラジルのデータ保護当局であるANPDは、ブラジルの一般個人データ保護法(Lei Geral de Proteção de Dados Pessoais。以下「LGPD」といいます。)に基づく個人データの越境移転に関して、個人データの越境移転に関する規則(以下「本規則」といいます。)と標準契約条項を公表しました。
 本稿では、LGPDにおける個人データの越境移転規制を確認しつつ、本規則の概要及び本規則により今後求められる対応について解説します。

2. LGPDの越境移転規制

 LGPDでは、以下の①ないし⑨のいずれかに該当する場合に限り、個人データの越境移転が認められています(33条)。
① LGPDと同等の個人データ保護水準を有する国へ移転する場合(十分性認定)
② 管理者が、以下のいずれかの方法により、LGPDで定められた諸原則、データ主体の権利及びデータ保護の
  体制を遵守することを保証する場合
  a.    特定の移転のための特定の契約条項
  b.    標準契約条項
  c.    拘束的企業準則
  d.    認証及び行動規範
③ 国際司法共助のために、公的機関、捜査機関又は訴追機関の間で移転する場合
④ データ主体又は第三者の生命若しくは身体の保護のために移転する場合
⑤ ANPDが移転を承認した場合
⑥ 国際協定等で合意された約束に基づき必要である場合
⑦ 公共政策又は公共サービスの実施のために移転する場合
⑧ データ主体が具体的かつ明確に同意した場合
⑨ 管理者が法令上の義務を遵守するために必要な場合、データ主体が当事者である契約の締結若しくは契約の準備に必要な場合、又は司法、行政若しくは仲裁手続における権利行使に必要な場合
 
 LGPD上、十分性認定(①)が与えられた国・地域や、標準契約条項(②)の内容等の詳細についてはANPDが定めることとされており、これまで明らかではありませんでした。
 そのため、従来の対応としては、標準契約条項(②)としてEU SCC等を用いるか、データ主体の同意(⑧)を根拠とする企業が多かったのではないかと思われます。

3. 本規則の概要

 このような中、ANPDが本規則を公表したことにより、LGPDの越境移転規制についての詳細が明らかとなりました。
 本規則は、越境移転の根拠(上記2.)のうち、①と②a.ないしc.を対象としており、それぞれについて、越境移転の根拠とするためにANPD及び管理者が採るべき対応等が定められています。
 また、ANPDのウェブサイトにおいて、本規則に関するガイド及びFAQ(以下「本ガイド」といいます。)が公表されていますので、こちらも参考になります。
 以下、順に確認していくこととします。

(1) 十分性認定(Adequacy Decision)

 ANPDは、外国の個人データ保護の水準がLGPDと同等であると認める国・地域に対して十分性認定を与えることができるところ、本規則では、ANPDが十分性認定を与えるためのプロセスが定められています。
 ANPDが特定の国・地域に十分性認定を与えたときは、ANPDのウェブサイト上で公表されることとなっていますが、本稿執筆時点で十分性認定が与えられている国・地域はありません。

(2) 標準契約条項(Standard Contractual Clauses)

 ANPDが採択した標準契約条項(以下「本SCC」といいます。)は、本規則とともに公表されており、こちらのANNEX IIにて全文を確認することができます。本SCCの目次は以下のとおりです。

セクション1 総則
 第1条 当事者の特定
 第2条 目的
 第3条 再移転
 第4条 当事者の責任
セクション2 必須条項
 第5条 目的
 第6条 定義
 第7条 適用法令及びANPDの監督
 第8条 解釈
 第9条 ドッキング条項
 第10条 当事者の一般的義務
 第11条 センシティブ個人データ
 第12条 児童及び青少年の個人データ
 第13条 データの適正利用
 第14条 透明性
 第15条 データ主体の権利
 第16条 セキュリティインシデントの報告
 第17条 責任及び損害賠償
 第18条 再移転に係る保護措置
 第19条 アクセス要求通知
 第20条 処理の終了及びデータの消去
 第21条 データ処理におけるセキュリティ
 第22条 移転先国の法令
 第23条 輸入者による条項の不履行
 第24条 裁判管轄
セクション3 セキュリティ措置
セクション4 追加条項及び付属書類

 本SCCは、単一のモジュールで構成されており、EU SCCのように管理者/処理者の組み合わせに応じてモジュールを選択する必要はありません。また、EU SCCと同様、本SCCを有効に用いるためには各条項を変更してはならないとされているため、本SCCの条項をそのまま使用することとなります。
 なお、本SCCは、ANPDに届け出ることまで求められていませんが、本SCCを根拠にデータ移転を行う場合、本SCCが公表されてから12ヶ月以内、すなわち、2025年8月23日までに締結する必要があります。
 
 また、他の国・地域が採択する標準契約条項について、ANPDが本SCCと同等であると認めた場合、本SCCと同等の標準契約条項(Equivalent Standard Contractual Clauses)として、当該標準契約条項もデータ移転の根拠となります。
 そのため、例えば、EU SCCやASEAN MCCなどの標準契約条項について、今後ANPDが本SCCと同等と認めれば、当該標準契約条項もLGPDに基づく越境移転の根拠とすることができることになります。
 本稿執筆時点において、本SCCと同等であると認める標準契約条項は存在しませんが、今後、同等の標準契約条項として認められるものがあれば、本ガイド内で公表されることが予定されています。

(3) 特定の契約条項(Specific Contractual Clauses)

 本SCCを使用することができないことが証明された例外的な場合に限り、本SCC以外の特定の契約条項を越境移転の根拠として用いることができます。
 特定の契約条項は、本SCCが保証するものと同水準のデータ保護を提供するものでなければならず、特定のデータ移転の特殊な状況に適合したものでなければならなりません。
 また、添付書類とともに契約条項の全文をANPDに提出し、事前承認を得なければなりません。

(4) 拘束的企業準則(Binding Corporate Rules)

 拘束的企業準則には、少なくとも以下の内容が含まれている必要があります。
① データ移転の説明(個人データの種類、処理の方法及び目的、法的根拠、データ主体の類型など)
② データの移転先国
③ 企業グループ又はコングロマリットの体制(関係企業のリスト、処理における各企業の役割及び個人データ
  を処理する各企業の連絡先など)
④ 拘束的企業準則を遵守する企業グループ又はコングロマリットの全構成員(従業員を含む。)に対する拘束
  力の決定
⑤ 処理に関する責任の区分及び責任を負う企業の表示
⑥ 適用されるデータ主体の権利及びその行使方法の表示
⑦ 拘束的企業準則の検討プロセス及びANPDの事前承認の取得に関する規定
⑧ LGPDの諸原則、データ主体の権利及びデータ保護体制の遵守が十分であるとの保証に変更があった場合、特に、企業グループ又はコングロマリット内の企業が拘束的企業準則の遵守を妨げる外国の法的決定の対象となった場合にANPDへ通知する規定
 
 拘束的企業準則を根拠とする場合も、添付書類とともにその全文をANPDに提出し、事前承認を得なければなりません。

(5) その他必要な対応

 本規則では、本SCC、特定の契約条項、又は拘束的企業準則を越境移転の根拠とする場合に、透明性の観点から以下の措置を講じることが求められています。
a.    データ主体が要求した場合、原則として15日以内に本SCC、特定の契約条項、又は拘束的企業準則の全文へのアクセスを提供すること
b.    データ移転に関する以下の情報を、簡潔、明確、正確かつ分かりやすく、ポルトガル語でウェブサイト(専用のウェブページ又はプライバシーポリシー等)において公表すること
  ・移転の形式、期間、特定の目的
  ・移転先の国
  ・管理者の身元及び連絡先
  ・管理者によるデータの共同利用(shared use of data)及びその目的に関する情報
  ・処理を実施する代理人の責任及び採用されたセキュリティ措置
  ・データ主体の権利及びその行使の方法

4. 企業における今後の対応

 本規則の一番のポイントは、本SCCが公表されたことにあります。
 これまでは、データ主体の同意以外ですと、標準契約条項を越境移転の根拠としつつ、グループ内データ移転契約などにおいてEU SCCなどの他国の標準契約条項を適用させていた企業も少なくないのではないかと思われます。これらの企業においては、本規則の公表により、2025年8月23日までに本SCCに差し替えることを検討する必要があります。
 他方で、今後、本SCCの移行期間中に、ANPDが新たに十分性認定又は同等の標準契約条項を決定する可能性がありますので、本SCCへの移行期間を前提に、ANPDの動向を踏まえて対応することもあり得るところです。
 いずれにせよ、ブラジルの越境移転規制については、今後も詳細について動きがあると思われることから、ANPDの新たな公表を含め、注視していく必要があります。

以上