ブラジルで一般データ保護法(LGPD)が施行されてから多くの年が経過しても、多くの企業が依然として規則を遵守していません。 LGPDは2020年9月に施行され、ブラジル市民の個人データを保護することを目的として作られ、企業がこれらの情報を収集、保存、取り扱う方法について明確なルールを定めています。 しかし、時間が経過しているにもかかわらず、多くの企業は規範の実施にほとんど進展していません。
最近、国家データ保護局(ANPD)は、データ担当者(DPO)とも呼ばれる責任者を置いていない企業に対する監視を強化しました。 DPOの不在は主要な違反の一つであり、この専門家は企業がLGPDに準拠していることを保証するために不可欠です。 DPOは、企業、データ主体、ANPDの間の仲介者として機能し、データ保護方針の遵守を監視し、組織に最良の実践について指導する責任があります。
そしてこれらのデータは氷山の一角に過ぎない可能性があります。 実際のところ、まだ基準に従っていない企業の数は誰も知らない。 LGPDに未対応のすべての企業の正確な数値を統合した公式な調査は存在しません。独立した調査によると、一般的にはブラジル企業の60%から70%の範囲であり、特に中小企業の間でその割合が高いとされています。 大規模な場合、その割合はさらに高くなり、80%に達することもあります。
DPOの不在がなぜ問題となるのか
2024年には、ブラジルは確実に7億件を超えるサイバー犯罪者による攻撃数を超えた。 1分間にほぼ1,400件の詐欺が発生していると推定されており、もちろん企業が犯罪者の主な標的です。 ランサムウェアのような犯罪は、一般的にデータが「人質」にされ、オンラインで公開されないようにするために企業が巨額の金銭を支払わなければならないため、日常的になっています。 しかし、システム—被害者と保険会社—はいつまでこの大量の攻撃に耐えられるのか。
適切にこの質問に答えることはできません。特に、被害者自身が情報保護のために必要な措置を取らなくなる場合はなおさらです。 データ保護に専念する専門家が不足している場合や、場合によっては責任者とされる人物があまりに多くの役割を兼務しているために、その活動を満足に遂行できない場合、その状況はさらに悪化します。
責任者の任命だけでは適合のすべての課題を解決するわけではありませんが、企業がLGPDに沿った一連の実践を構築することに取り組んでいることを示しています。 しかし、その優先順位の欠如は、制裁の可能性だけでなく、実際のセキュリティインシデントのリスクにも反映されており、かなりの損失をもたらすことになる。 ANPDによる罰則は問題の一部に過ぎず、市場の信頼などの無形の損失はさらに痛手となる可能性があります。 この状況では、より厳格な監督は、法令遵守の仕組みを強化し、組織が個人のプライバシーを優先事項にするよう促すために必要な措置と見なされています。
DPO を雇うか、それともアウトソーシングするか?
フルタイムのDPOを雇うことは、常にその需要や内部リソースを割り当てる意欲があるとは限らないため、難しい作業となることがあります。
この点で、アウトソーシングは、効果的に法令を遵守したい企業にとって解決策として指摘されており、しかし、多職種のチームを維持するための大規模な体制やリソースを持たない企業にとって有効です。 専門のサービス提供者に依頼することで、企業はさまざまな市場セクターのLGPDの要件に対応できる経験豊富な専門家にアクセスできます。 さらに、外部の責任者を置くことで、企業はデータ保護を一時的な問題としてではなく、通知が届いたり漏洩が発生したりしたときだけに注意を払うのではなく、戦略に組み込まれたものとして捉えるようになります。
これにより、大規模な採用、トレーニング、タレントの維持に投資することなく、堅牢なプロセスの構築に貢献します。 データ担当者のアウトソーシングは、単に外部の人を任命するだけにとどまりません。 提供者は継続的なコンサルティングを行い、リスクのマッピングと分析を実施し、内部方針の策定を支援し、チーム向けのトレーニングを実施し、ANPDの法規制や規範の進展を監視します。
さらに、実務経験のあるチームを持つ利点もあり、学習曲線を短縮し、罰金や評判へのダメージを引き起こす可能性のある事故を防ぐのに役立ちます。
アウトソーシングされた DPO の責任はどこまで及ぶのでしょうか?
アウトソーシングは組織の法的責任を免除しないことを強調することが重要です。 企業は、収集・処理するデータの安全性を確保する責任を維持することが重要です。ブラジルの法律は、事故に対する責任が担当者だけでなく、組織全体にあることを明確にしています。
アウトソーシングが提供するのは、LGPDに沿った組織を維持するために必要な道筋を理解した専門的なサポートです。 この種のタスクを外部パートナーに委任する実践は、すでに他の国々で採用されており、そこではデータ保護がリスク管理とコーポレートガバナンスの重要なポイントとなっています。 例えば、欧州連合は一般データ保護規則(GDPR)により、多くの企業にデータ保護責任者を任命することを要求しています。 そこでは、さまざまな企業が専門のコンサルティング会社を雇用してサービスのアウトソーシングを選択し、導入しました。専門知識「家の中」のために、それ専用の部署を作る必要はありません。
担当者は、法令に従って、欠陥を報告し改善策を提案するための自主性を持つ必要があり、国際的な指針の一部は、専門家が監査能力を制限する内部圧力から解放されているべきだと示唆しています。 このサービスを提供するコンサルティング会社は、その種の独立性を保証する契約や作業方法を開発し、管理者との透明なコミュニケーションを維持し、明確なガバナンス基準を設定します。
この仕組みは、企業とその専門家の両方を保護します。専門家は、特定の業界や部門内で確立された慣行に反しても、脆弱性を指摘する自由を持つ必要があります。
ANPDの監視強化は、寛容な態度からより断固とした姿勢への移行の兆しであり、今この問題に取り組まないことを選択した者は、そう遠くない未来により重い結果に直面する可能性があります。
より安全な道を望む企業にとって、アウトソーシングはコスト、効率性、信頼性のバランスを取ることができる選択肢です。 このタイプのパートナーシップにより、内部環境のギャップを修正し、コンプライアンスのルーチンを構築することが可能です。これにより、企業は制裁だけでなく、透明性や個人データの安全性に関するリスクからも保護されます。
