コンプライアンス2026年5月10日 | FlexyConsent

2026年のブラジルLGPD：ANPDの執行姿勢、Cookie同意、および出版社と広告主向け国境を越えたデータ移転ガイド

ブラジルのLei Geral de Proteção de Dados Pessoais (LGPD)は2020年9月に施行され、最初の3年間の大部分において、異例なほど優れた内容を持ちながらも執行が不均一なプライバシー法制でした。その時代は終わりました。Autoridade Nacional de Proteção de Dados (ANPD)は2024年から2025年にかけてガイダンス発行から積極的な執行へと移行し、機関の2025年サンドボックスプログラムが成熟し、2026年の国際データ移転規制がLGPDで最も曖昧な領域の一つを最終的に明確化しました。ブラジルにいるかブラジル市場を海外からサービスするかに関わらず、ブラジルのユーザーの個人データを処理するすべての出版社、広告主、またはプラットフォームにとって、2026年の環境は2023年よりも明らかに厳しくなっています。このガイドでは、現在のLGPDの状況、Cookie同意が実際に何を必要とするか、新しい規制の下で国境を越えたデータ移転がどのように機能するか、そして2026年のANPDの執行テーマを解説します。

2026年のLGPDの構造

LGPDはブラジルの主要なデータ保護法であり、その中核テキストは施行以来顕著に安定しています。変化したのは、その周囲の規制インフラです。

成熟した規制機関としてのANPD

ANPDは2021年に完全に機能し始め、最初の3年間を手続き能力の構築、ガイダンスの発行、協議の実施に費やしました。2024年までには積極的な執行に移行し、2025年までには外国プラットフォームを含む最初の重要な行政制裁を複数発動しました。2026年における機関の姿勢は、以前の軽い対応期よりも欧州の対応機関に近いものとなっています。

2026年の国境を越えたデータ移転規制

外国の出版社にとって最も重要な規制上の進展は、ANPDの国際データ移転規制であり、2025年末に最終化され、2026年に施行されました。この規制は適切性フレームワーク、ANPDが承認した標準契約条項、拘束的企業規則、および認証を導入し、これらはすべてGDPRの第V章のメカニズムと同様に機能します。この規制以前は、国境を越えたデータ移転は出版社やアドテクベンダーが通常は二国間商業取り決めを通じて対応していた、はるかに曖昧な規則群に基づいて運用されていました。2026年の制度は大幅に扱いやすくなりましたが、文書化という点では大幅に厳しくなっています。

規制対象者

LGPDは域外適用されます。収集時にブラジルに所在する個人の個人データを処理する管理者、または処理が行われる場所に関わらずブラジルから収集されたデータを処理する管理者はすべて対象となります。ローカライズされたサイトまたはブラジルのIPに対して購入したプログラマティック在庫を通じてブラジルのユーザーにサービスを提供する外国の出版社は明らかに対象であり、ANPDは2025年の複数の事例で域外適用条項を援用しました。

LGPDの下で個人データとみなされるもの

LGPDの個人データの定義は広範であり、GDPRに密接に準じています。個人データとは、識別された、または識別可能な自然人に関連する情報であり、ANPDはCookie、広告識別子、IPアドレス、デバイスフィンガープリント、および行動プロファイルが、直接的にまたは合理的な手段によって個人に結び付けることができる場合に、一貫して個人データとして扱ってきました。

センシティブな個人データ

LGPDはセンシティブカテゴリの広いリストを定めています。人種または民族的出身、宗教的信条、政治的意見、労働組合または政治組織への加入、哲学的または宗教的信念、健康、性生活、遺伝データ、および一意識別に使用される生体認証データです。センシティブな個人データの処理は、より厳格な同意要件と追加の管理者義務を引き起こします。

Cookieへの影響

通常のセッション識別子を保存するCookieは通常の個人データです。LGPDのセンシティブリストに触れるオーディエンスセグメント（健康上の関心、宗教的所属、政治的傾向）に情報を供給するCookieは、センシティブな個人データの処理であり、一般的な広告同意ではなく、強化された同意フローを必要とします。センシティブリストと重複するオーディエンスセグメントを運営する出版社は、この境界に対して特に同意フローを監査する必要があります。

2026年のLGPDの下でのCookie同意

LGPDは複数の適法な処理根拠を認めていますが、サービス提供に厳密には必要でないCookieおよび類似技術については、ANPDのガイダンスと執行が同意を実際的なベースラインとして収斂させています。

有効な同意の5つの要件

LGPDの下での同意は次の条件を満たす必要があります：

自由である — 強制なく与えられ、ユーザーが本来享受できるサービスの提供と結び付けられていない
情報に基づいている — データ主体が何のデータが、誰によって、どのような目的で、どのような結果をもって処理されるかを理解している
明確である — 明確な肯定的行為によって表現され、沈黙、事前にチェックされたボックス、またはスクロールによる同意から推定されない
特定的である — 包括的な一般同意ではなく、明確に特定された目的に結び付けられている
ハイライトされている — センシティブデータが関与するケースでは、特定のセンシティブ処理について明示的かつ別途の同意がある

準拠CMPの外観

2026年のブラジルのトラフィック向けに設定されたCMPは次のものを提示する必要があります：

非必須のCookieまたはトラッカーが起動する前の視認性の高いバナー、ブラジルのユーザーに対してデフォルトでポルトガル語（Português）で表示
Aceitar（承認）、Recusar（拒否）、Personalizar（カスタマイズ）の均等な視覚的目立ちさ — ANPDはRecusar の操作が目立ちにくいバナーデザインを特に批判しています
目的別の細かなトグル：分析、広告、パーソナライゼーション、国境を越えた移転、およびセンシティブカテゴリの処理
センシティブな個人データ処理のための独自のアクションの後ろにゲートされた、別個の明確にラベル付けされたフロー
最初の選択の後に同意を撤回するための永続的で見つけやすいメカニズム
管理者、処理者、目的、受取人、保持期間、および権利の完全な開示を含むポルトガル語のAviso de Privacidade

同意記録

管理者は誰が、いつ、どの目的について、どのインターフェースを通じて同意したかについての証拠を維持しなければなりません。ANPDはいくつかの執行措置で不十分な同意記録を指摘しており、エクスポート可能なタイムスタンプ付きログが基本的な期待事項です。

2026年の国境を越えたデータ移転制度

これは2026年が2024年と意味のある形で異なって見える分野です。ANPDの国際データ移転規制は年初に施行され、その実際の影響は外国の出版社にまだ吸収されている最中です。

新しい移転メカニズム

規制は適法な国境を越えた移転のための4つの主要な経路を提供します：

宛先の司法管轄区域またはセクターが適切な保護を提供していると認定するANPDが発行した適切性決定
GDPRのSCCと同様に機能する、ANPDが承認した標準契約条項
多国籍組織内のグループ内移転のための拘束的企業規則
標準的な経路に適合しない移転のための、ケースバイケースの特定の許可

2026年の実際的なアプローチ

ほとんどの外国の出版社にとって、2026年の実際のアプローチは、国際的な処理者とANPDが承認した標準契約条項を締結し、プライバシー通知に移転メカニズムを文書化し、標準的なメカニズムが適合しない場合にのみ同意に基づく承認で補完することです。これは、不便なCMPを生み出す移転ごとの同意ロジックに依存していた2026年以前の制度よりも大幅に簡素化されています。

これまでの適切性決定

ANPDは2026年初頭までに一握りの司法管轄区域に対して適切性決定を発行しており、リストを段階的に拡大することが期待されています。米国は2026年初頭において適切性リストに掲載されていないため、米国を拠点とするアドテクおよびアナリティクスベンダーへの移転には契約条項または別の有効なメカニズムが必要です。

データ主体の権利

LGPDはブラジルのフレームワークを通じて適用される強力な権利群を付与します：

処理の確認を得る権利
処理されたデータへのアクセス権
不完全、不正確、または古いデータの訂正を求める権利
不必要、過剰、または違法に処理されたデータの匿名化、ブロック、または削除を求める権利
別のサービスプロバイダーへのデータポータビリティの権利
同意に基づいて処理されたデータの削除を求める権利
データが共有された公的および私的な事業体についての情報を得る権利
同意を拒否する可能性とその拒否の結果についての情報を得る権利
同意を撤回する権利
不遵守がある場合に正当な利益の根拠の一つに基づいて実施される処理に異議を申し立てる権利
自動処理のみに基づいてなされた決定の審査を求める権利

応答期限

管理者は規制の下でデータ主体の要求に15日以内に応答しなければならず、正当な場合には延長できます。これはGDPRの30日間の期限よりも厳しく、欧州のペースに合わせた外国の出版社にとって繰り返し発生する運用上のギャップとなっています。

2026年の制裁と執行姿勢

ANPDの執行活動は2024年から2025年にかけて有意義に激化しており、2026年も同様の軌道にあります。

行政制裁

LGPDは管理者の前会計年度のブラジルでの活動収益の2パーセントを上限とする行政制裁を、違反1件あたりBRL 5000万円を上限として認めています。ANPDは外国プラットフォームを含む2025年の複数の事例でその範囲の中間を使用しており、機関の制裁方法論は2024年に公表され、現在は一貫して適用されています。

その他の制裁

罰金以外に、ANPDは警告を発行し、是正措置を要求し、処理活動を部分的または完全に停止し、特定の処理操作を禁止することができます。違反の公表は定例の付随制裁であり、ブラジル市場での評判上の重みを持ちます。

執行テーマ

ANPDの2025年および2026年初頭の措置は、繰り返し発生する問題を中心に集まっています：曖昧または不在の同意バナー、ポルトガル語のプライバシー通知の欠如、新規制の下での有効なメカニズムのない国境を越えたデータ移転、および15日間の期限内にデータ主体の要求に応答しないこと。外国の出版社は4つのカテゴリすべてで指摘されています。

DPO要件

LGPDは管理者にデータ保護責任者（Encarregado de Tratamento de Dados Pessoais）を任命し、DPOの連絡先情報を公表することを義務付けています。ブラジルのデータを大規模に処理する外国の管理者は指定されたDPOを必要とし、連絡先情報はプライバシー通知で容易にアクセスできなければなりません。ANPDはいくつかの執行書簡で欠落または不アクセスなDPO連絡先情報を指摘しました。

2026年のブラジルトラフィックの監査チェックリスト

CMPバナーはAceitar、Recusar、Personalizarを均等な視覚的目立ちさでポルトガル語で提供される
同意目的は細かく、センシティブカテゴリの処理は独自の同意フローの後ろに分離されている
プライバシー通知（Aviso de Privacidade）は管理者、処理者、目的、保持期間、権利、およびDPO連絡先の完全な開示とともにポルトガル語で利用可能
国境を越えたデータ移転はANPDが承認した標準契約条項、適切性決定、BCR、または特定の許可に依存し、旧来の移転ごとの同意ロジックには依存しない
同意ログはタイムスタンプ付き、エクスポート可能で、処理期間に加えて監査可能なマージンの間保持される
データ主体の要求ワークフローは15日以内にポルトガル語でエンドツーエンドで応答できる
DPOが指定され、連絡先情報がプライバシー通知に公表されている
ベンダーリストは必要性のために見直され、国境を越えたデータ移転の表面を減らすために未使用または冗長なベンダーが削除されている
センシティブカテゴリのオーディエンスセグメントは明示的に別途取得された同意の後ろにゲートされている

2026年の見通し

ブラジルのプライバシー制度は、限られた執行力を持つ優れた法律から南北アメリカで最も要求の高い制度の一つへと成熟しました。2026年の国境を越えたデータ移転規制は最も重大な構造的ギャップを埋め、ANPDの執行姿勢は法律の目標に追いついています。GDPRレベルの同意スタックをすでに運用している出版社にとって、LGPDコンプライアンスへのギャップはアーキテクチャ的というよりは運用的です。ポルトガル語のCMPと通知、ANPDが承認した移転メカニズム、15日間の応答ペース、DPOの指定、そして幅広いセンシティブデータリストへの注意。このギャップは優先事項とすれば数週間で埋めることができます。ブラジルはラテンアメリカで最大の単一市場であるため、優先順位付けは通常すぐに成果をもたらします。2024年まで軽い対応で済む市場としてブラジルを扱っていた出版社は、2026年を大幅に費用がかかると感じており、さらに遅延する出版社は2027年がさらに悪化することに気づくでしょう。