伝えるか、伝えないか?セキュリティインシデント後の最も重要な法的判断

目次
セキュリティインシデント発生、当局への報告は必要か?
ブラジルのLGPD(一般データ保護法)では、個人データ漏洩などのセキュリティインシデントが発生した場合、当局への報告義務が生じるケースがあります。報告すべきか否かの判断を誤ると、巨額の罰金リスクが生じるため、企業は迅速かつ正確な判断が求められます。本記事では、その判断基準と法的影響を解説します。
あなたの会社でデータ漏洩が発生した。まず何をする?パニックになる前に、法律があなたに突きつける究極の選択がある:ANPD(ブラジルデータ保護当局)に報告するか、しないか。この決断は、単なるコンプライアンスの問題ではなく、企業の命運を左右する。
新たなルール:Resolução CD/ANPD nº 15/2024
2024年、ブラジルはLGPD(一般データ保護法)の執行を強化する新規則を発表した。この決議は、セキュリティインシデントの報告に関する明確な基準と期限を定めている。もはや「様子見」は許されない。
報告すべきか否か?その判断は、ANPD公式サイトで公開されているガイドラインに基づく。しかし、法律用語を読むのは、タイルの目地を歯ブラシで掃除するのと同じくらい楽しいものだ。そこで、実務的なポイントを整理しよう。
報告義務が発生する3つの条件
以下のすべてを満たす場合、報告は必須だ:
- 個人データへの不正アクセスや偶発的な損失など、セキュリティインシデントが発生したこと。
- データ主体(顧客や従業員)にリスクをもたらす可能性があること。
- インシデントが重大であること(例:機密データの漏洩、大規模な被害)。
これらに該当しない場合でも、自主報告は推奨される。なぜなら、透明性は信頼を築くからだ。
判断を誤るとどうなるか?
報告しなかったインシデントが後日発覚した場合、制裁は厳しい。LGPDは最大で年間売上高の2%または5000万レアル(約13億円)の罰金を科す。さらに、企業の評判は地に落ちる。
一方、過剰報告も問題だ。不要な報告は当局のリソースを浪費し、企業の信用を損なう可能性がある。まさに「石橋を叩いて渡る」どころか、叩きすぎて橋を壊すようなものだ。
実務的な判断フレームワーク
以下の質問に答えることで、判断が明確になる:
- インシデントは実際に発生したか?単なる疑いではないか?
- データ主体に具体的なリスク(詐欺、差別など)はあるか?
- インシデントの規模は?影響を受けたデータの種類と量は?
- 技術的・組織的対策(暗号化など)は講じられていたか?
これらの回答が「はい」に傾くほど、報告の必要性は高まる。
最後に:行動を起こせ
法律は待ってくれない。インシデント発生から72時間以内に報告する必要がある。今すぐインシデント対応計画を見直し、ANPDへの報告手順を訓練しておこう。そして、迷ったら専門家に相談する。この決断を後悔するより、行動して後悔するほうがマシだ。
FAQ
Q1: LGPDで報告義務が生じるインシデントの基準は?
A1: 個人データの機密性、完全性、可用性に影響を与えるインシデントで、データ主体にリスクをもたらす可能性がある場合、報告義務が生じます。具体的には、不正アクセス、データ漏洩、紛失などが該当します。
Q2: 報告期限はどのくらい?
A2: インシデント発覚後、合理的な期間内に報告する必要があります。LGPDでは明確な日数は定められていませんが、迅速な対応が求められ、通常は72時間以内が推奨されています。
Q3: 報告しない場合の罰則は?
A3: 報告義務違反には、最大で年間売上高の2%または5000万レアル(約13億円)の罰金が科される可能性があります。また、事業停止命令などの行政制裁もあり得ます。

NakedPact 編集委員会
NakedPact 編集部が作成した記事です。私たちの使命は、一般市民や消費者を保護するために、日常の契約に潜む不当な条項や隠れたリスクを分析、簡素化、および明らかにすることです。

おすすめ記事
🛡️ ワンクリックで権利を守る
不当な条項に署名するリスクを避けてください。Chrome または Firefox 用の無料の NakedPact 拡張機能をインストールして、Web 上のあらゆる契約を即座に分析します。


