データ漏洩：ブラジル企業にとって高額な問題

2024年、そして2025年も、企業にとって個人情報と企業情報は、最も貴重な資産の一つです。そのため、これらの情報の漏洩は、技術的なリスク以上のものです。それは、企業の財務健全性と評判に深刻な影響を与えるセキュリティインシデントです。 LGPD（一般データ保護法）で規定されている罰則（最大売上高の21%、または1億5000万円を超える罰金）の潜在的な費用に加え、漏洩を受けた企業は、システム復旧にかかる費用や、ブランドイメージと顧客関係への目に見えない損害という、しばしば軽視される隠れたコストに直面します。

ブラジル企業は、データ侵害による平均損失額が、IBMが作成・発表した2024年版データ侵害コストレポートによると、1社あたり平均 675万円に達する。しかし、実際の影響はさらに大きい。機密情報の保護上の欠陥は、法的問題に加えて、顧客がより堅固なセキュリティポリシーを持つ競合企業に移行する顧客流出、事業の中断、そして危機を緩和するための緊急の広報・サイバーセキュリティ投資など、その他の損害をもたらす。

アンドersen Ballão法律事務所のデジタル法専門弁護士、Marco Zorzi氏によると、個人情報保護法（LGPD）の適用拡大と、最新のデータ処理に関する規則は、透明性とセキュリティ体制への適合を要求しています。予防は、企業の日常業務で処理されるデータの特定から始まります。つまり、どのような情報が関係し、どこに保存され、誰と共有されているかということです。「このデータの流れをマッピングするための対策を講じることで初めて、セキュリティインシデント発生時に迅速かつ効果的に対応し、予防を強化することができます。そして、これには特に法務チームとITチームの取り組みが不可欠です。」とZorzi氏は述べています。

LGPDのガイドライン違反は、罰金と警告に加えて、企業の個人データバンクを最大6ヶ月間停止させ、違反を公開し、情報処理活動を完全にまたは部分的に禁止する可能性があることに留意すべきです。

専門家の見解によると、ANPD（国民データ保護庁）の新規制において、データ保護責任者、セキュリティインシデントの報告、および国際データ移転に関する規定は、企業の責任基準を引き上げています。

ハッカー攻撃

ハッカーによる侵入から発生したデータ漏洩で、Eletropauloが責任を問われた最高裁判所第3審判決は、リスク認識と予防的な行動の緊急性を改めて強調した。

裁判所は、犯罪行為による攻撃の場合でも、企業のデータ保護義務は維持されると結論付けました。この決定は、データ保護に関する法律（LGPD）の第19条および第43条に基づいており、データ保護のための適切な技術的および管理的措置の導入を義務付けています。