各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
はじめに
各国サイバーセキュリティ法令・政策動向シリーズでは中国・台湾、インド、シンガポール、メキシコ、ブラジル、米国の近年(主に2023年から2024年にかけて)におけるデジタル・サイバーセキュリティの動向および将来の見通しについて解説します。本シリーズは、グローバル展開している国内企業のIT、サイバーセキュリティ、法務部門の責任者、デジタル政策・規制動向に関心を持つ責任者を対象としています。主要国・地域で進むデジタル政府化の取り組み、セキュリティ法規制、あるいはAI規制のような最新動向を早期に把握し、対応に優先順位を付けたい、向こう数年で発生しうるリスクを理解したいという方への一助になることを目指しています。
第5回目はブラジルについての最新情報を解説します。
1. 政府のデジタル戦略、歴史※1
ブラジルのデジタル戦略、特に電子政府は、2000年に遡って、ICTの利用によって行政サービスの改善を目指しました。2000年に、省間のワークグループが国家電子政府計画(葡:Programa de Governo Eletrônico do Estado、英:State Electronic Government Program)を公表し、電子政府ポータルであるRede Governoも公開されました。さらに、同年にブラジルの情報インフラ、およびその他の必要な改善の検討を託されたICTワークグループが創設され、当時の科学技術省は情報社会計画(葡:Sociedade da Informação、英:Information Society Program)を作成しました。
2014年に、インターネット憲法と呼ばれるMarco Civil da Internetが成立し、それ以降、2016年の連邦行政のデジタルガバメント戦略、2018年のブラジルデジタル変革戦略、同年の情報セキュリティ国家政策、2021年の電子政府国家戦略、同年のAI戦略、サイバーセキュリティ戦略、5G戦略、2020年のイノベーション戦略、2024年の電子政府連邦戦略のようないくつかのデジタル変革に関する戦略が採用されています※2。
(1)2016年のデジタルガバナンス戦略
(葡:Estratégia de Governança Digital 2016-19<EGD>※3、英:Digital Governance Strategy)
EGDはシステム、インフラ、サービス、プラットフォーム(SISP)と電子政府対策の調整を目的としています。その目的を達成するため、以下の10の原則が定められ、「セキュリティやプライバシー」もその原則に含まれています。
社会ニーズ中心 |
透明性とオープン性 |
サービス能力の共有 |
簡略化 |
デジタル行政サービスの最優先 |
セキュリティやプライバシー |
国民参加かつ監視 |
プラットフォームとしての政府 |
イノベーション |
データの共有 |
(2)2018年のブラジルデジタル変革戦略
(葡:Estratégia Brasileira para a Transformação Digital<E-Digital>※4、英:Brazilian Strategy for Digital Transformation)
国連の2030アジェンダの持続可能な開発目標に基づき、デジタル生産プロセスかつデジタル環境での育成および開発、そして経済的な成長を促進する一貫したフレームワークとして2018年政令第9319号によって採用されました。E-digitalは経済における公共部門と民間部門の関係に基づきデジタル変革軸と達成軸で構成されているフレームワークです(図表1)。
図表1:デジタル変革軸(横軸)と達成軸(縦軸)
達成軸(達成)の中で「デジタル環境への信頼」にはプライバシー・バイ・デザインおよびセキュリティ・バイ・デザインの任意採用促進、個人情報保護法の制定、消費者保護の強化、未成年者の保護、サイバーセキュリティ戦略の作成とその関連する法令の統合などが含まれています。
(3)2021年の電子政府国家戦略
(葡:Estratégia Nacional de Governo Digital<ENGD>※5、Digital Government National Strategy)
ENGDは2021年3月29日の法律第14219号(電子政府法)によって規定され、全ての連邦行政機関の連携を促し、国民の行政サービスへのアクセスを簡略化することを目的としています。ENGDは10の目標を定め、4つ目の目標が「プライバシーとセキュリティキー」となっており、プライバシー、データ保護、情報セキュリティおよびサイバーセキュリティアラートを中心とし、政府の技術インフラのレジリエンス強化を目指しています。
(4)2024年の電子政府連邦戦略
(葡:Estratégia Federal de Governo Digital 2024-2027<EFDG>※6、英:Digital Government Federal Strategy)
2024年9月24日政令第12198号によって採用され、政府のデジタル変革を目的としています。EFDGとENDGは補完的関係があり、前者は行政サービスの改善を中心として政府と国民の関係に着目しています。これに対して、後者は、連邦、州、地方自治体の連携に注目し、行政サービスへのアクセス簡略化を目的としています※7。EFDGは以下に示す6原則に加え、18目標、93のイニシアチブで構成されています。
- 国民中心包括的な政府原則:国民のニーズと期待を最優先した、高品質のサービスの提供。
- 統合性のある協力的政府原則:連邦、州、地方自治体の保有しているデータ、および提供されるサービスやプラットフォームの調整。
- スマートかつ革新的な政府原則:全てのアイデアや方法に対してオープンで積極的なアプローチを採用し、改善手段としてテクノロジーやデータを用いる政府。
- 信頼性のある安全な政府原則:セキュリティキーを中心とする政府と国民の安全な交流を確保する政策の採用。
- 透明性があり参加可能なオープン政府原則:全ての国民が理解し、政策の作成に参加できる、透明性かつアクセシビリティがある政府の実現。
- 効率的かつ持続可能な政府原則:共通プラットフォームとサービスによってプロセス、インフラ、調達の改善、コスト減少、そして環境保護を目指す政府の実現。
2. サイバーセキュリティ戦略、組織体制
(1)戦略
2015年に連邦行政情報と通信セキュリティおよびサイバーセキュリティ戦略(蒲:Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal、英:Information and Communication Security and Cyber Security Strategy for the Federal Goverment)が採用されました。
その後、2018年政令第9367号は連邦政府における情報の提供、完全性、機密性、および信頼性を確保する目的として、情報セキュリティ国家政策(葡:Política Nacional de Segurança da Informação<PNSI>、英:Information Security National Policy)を規定しました。PNSIはサイバーセキュリティ、組織データの物理的安全かつセキュリティ、情報の提供、完全性、機密性、および信頼性の確保に必要な総合的枠組みとして、①国家や個人の安全、②情報セキュリティに関する研究、技術的開発の促進、③情報セキュリティの法的枠組みの継続的改善、④情報セキュリティ人材の確保、⑤社会のセキュリティ文化促進、⑥公立機関が保有する情報、重要インフラ、個人情報、機密情報についての政策の作成、⑦ブラジルの文化的記憶の保護を目的としています。
また、2020年2月政令第10222号によってサイバーセキュリティ国家政策(葡:Política Nacional de Cibersegurança<PNCIBER>、英:Cybersecurity National Policy)が採用され、①国家利益最優先原則、②個人情報、プライバシー、表現の自由、その他の基本権尊重原則、③サイバー攻撃およびインシデント防止原則、④公立機関のサイバー攻撃およびインシデントへのレジリエンス原則、⑤サイバーセキュリティに関する開発および教育原則、⑥サイバーセキュリティにおける公立機関の連携原則、⑦サイバーセキュリティにおける国際協力原則が規定されています。
サイバーセキュリティ国家戦略の実行手段として、2020年にサイバーセキュリティ国家戦略(葡:Estratégia Nacional de Segurança Cibernética<E-Ciber>※8、英:Information Security National Strategy)が作成されました。
E-Ciberでは次のテーマ軸(葡:Eixos Temáticos、英;Thematic Axes)を明記しています。
1. セキュリティと保護。
2. 変化。
E-Ciberは次の戦略的目標を規定しています。
1. デジタル環境におけるブラジルの信頼性強化。
2. サイバー機器に対するレジリエンス強化。
3. 国際社会におけるブラジルのサイバーセキュリティ実績改善。
これらの目標を果たすため、以下の戦略的手段が定められています。
1. サイバーガバナンス強化。
2. 国家レベルの統一ガバナンスモデル採用。
3. 公共部門、民間部門、社会の連携環境の促進。
4. 政府保護強化。
5. 重要インフラ保護強化。
6. サイバーセキュリティの法的枠組み改善。
7. サイバーセキュリティについての革新的なソリューションの促進。
8. サイバーセキュリティの国際連携増加。
9. サイバーセキュリティについての社会理解強化。
(2)組織
大統領府内閣セキュリティーセンター(葡:Gabinete de Segurança Institucional<GSI>※9、英:Institutional Security Bureau)は大統領府に属している国家防衛、その他の安全保障に関する大統領の諮問機関、危機対応、大統領の安全確保を担当する機関であり、大統領安全局(SPR)、航空宇宙調整局(SCAE)、戦略的事情管理局(SAGAE)、情報セキュリティ・サイバーセキュリティ局(SSIC)で構成されています(図表2)※10。
図表2:大統領府内閣セキュリティーセンター
出所:Presidência da Repúblicaを基にPwCが作成
GSIの特別委員会の中に、情報セキュリティとサイバーセキュリティを担当する委員会も置かれています。情報セキュリティ国家政策の下では、情報セキュリティに関する大統領の諮問機関として情報セキュリティ管理委員会(葡:Comitê Gestor da Segurança da Informação<CGSI>※11、英:Information Security Administration Committee)が新設されました。CGSIは大統領府安全保障室、大統領府官房庁、法務・公安省、国防省、外務省、経済省、インフラ省、教育省、都市省、厚生省、労働・社会保障省、鉱山エネルギー省、通信省、科学技術革新省、環境省、地方開発省、連邦総監督省、女性・家族・人権省、大統領府総務局、大統領府政府事務局、連邦総弁護庁、ブラジル中央銀行、国立データ保護機関で構成されています※12。諮問機関として、CGSIは情報セキュリティ対策提案の議論、情報セキュリティ係組織の連携要請、特定情報セキュリティ問題に関する小委員会の創設、自主規制、公私立機関を問わず委員会の決定対象となる者の監視を託されています。
前述のサイバーセキュリティ国家政策は、サイバーセキュリティの諮問機関、政策作成機関、その監視機関として国家サイバーセキュリティ委員会(葡:Comitê Nacional de Cibersegurança<CNCIBER>※13、英:National Cybersecurity Committee)を創設しました。これらの目的を果たすため、CNCIBERはPNCIBERおよびE-Ciberの改正提案、ブラジルのサイバーセキュリティ強化対策作成、サイバーインシデントの検知、予測、防止、対応、および分析手段の提案、サイバーセキュリティについての政府と社会の連携促進、サイバーセキュリティ国際連携戦略の提案、政府議会の要請に合わせたサイバーセキュリティ関連の助言を託されています。CNCIBERでは大統領府内閣セキュリティーセンターの代表が委員長とされ、大統領府官房庁、連邦総監督省、科学技術革新省、通信省、国防省、開発・商工省、教育省、財務省、公共サービス運営・イノベーション省、法務・公安省、鉱山エネルギー省、外務省、ブラジル中央銀行、国家通信局、ブラジルインターネット管理委員会、サイバーセキュリティ・基本権保障に係る市民社会機関、サイバーセキュリティに係る科学、技術、革新機関、サイバーセキュリティに係る民間部門の代表で構成されています※14。
3. その他最新動向(AI政策)
E-Digital戦略およびそれに基づいて採用された政策においてはAIの社会的かつ経済的な影響が重視され、2019年以降、AIの規制運動が行われています。2020年に、科学技術革新省はAIの研究等に関して優先順位を決め、2021年にAI戦略を公表しました。また、2019年、2020年、2021年、そして2023年にさまざまなAI規制法案が提出され、2024年12月に2023年の法案が上院で可決されました。
(1)個人情報保護法
(葡:Lei Geral de Proteção de Dados<LGPD>、英:General Data Protection Law)
欧州のGDPRと同じように2018年のLGPDは自動意思決定に関する個人の権利を定めています。ただ、GDPRと異なって、LGPD第20条は自動意思決定の禁止原則を採用せず、自動意思決定の結果に対して不服を申し立てる権利を規定しています。以上の申し立てがなされた場合、データ管理者は企業秘密を保護しつつ、意思決定プロセスの標準等を提出する義務が明記されています。2024年10月中旬、AIの訓練用の個人情報利用規制法案が提出され、2025年1月時点では議論が続いています※15。法案では16歳未満の個人情報利用禁止、同意に関するルール等が明記されています。また、ブラジルの個人情報保護委員会(ANPD)が、2024年11月6日から12月5日にかけて第20条の規制を目的として、個人情報保護とAIの関係についてのパブリックコメントを行いました※16が、2025年1月時点では結果が公開されていません。
(2)2021年のブラジルAI戦略
(葡:Estratégia Brasileira de Inteligência Artificial<EBIA>、英:Brazilian Artificial Intelligence Strategy※17)
ブラジルAI戦略は、科学技術革新省がOECDおよび他国の規制動向を参照しつつ、AIの研究、開発、イノベーション、倫理的な利用、公私立機関の連携、およびAIの採用を促進するため、2021年に公開したガイドラインです。EBIAではOECDのAI定義、および①包括的な成長かつ持続可能な開発、②人間中心の価値観および公平性、③透明性と説明可能性、④頑強性、セキュリティ、保護、そして、⑤説明責任という原則が採用されています。
目的を達成するため、EBIAは法令、規制、倫理的な利用、AIガバナンス、国際的側面という横軸に基づいて教育、労働力とトレーニング、R&Dとアントレプレナーシップ、高生産性部門での利用、公共部門での利用、公安という縦軸に着目しています(図表3)。
図表3:AI戦略の横軸と縦軸
出所:EBIAを基にPwCが作成
4. 日本企業への示唆
ブラジルのデジタル戦略は、データドリブンエコノミーや国家IoT計画などのデジタル戦略や、セキュリティ組織体制の整備など、欧米とも似たような取り組みを進め、ブラジル企業の国際化も同時に進めようとしています。今後も欧米と歩調を合わせる政策や法令の整備が進むと考えられるため、ブラジルで事業を展開する日本企業は、政策や法令の整備が進む状況を引き続き注視する必要があります。
※1 MGISP, Governo Digital Linha do Tempo,
※2 MGISP, Estratégias e Políticas Digitais,(2025年1月31日閲覧)
※3 戦略:https://www.gov.br/governodigital/pt-br/estrategia-de-governanca-digital/revisaodaestrategiadegovernancadigital20162019.pdf(2025年1月31日閲覧)
※4 公式サイト:https://www.gov.br/governodigital/pt-br/estrategias-e-governanca-digital/estrategias-e-politicas-digitais/estrategia-brasileira-para-a-transformacao-digital-1(2025年1月31日閲覧)
戦略:https://www.gov.br/mcti/pt-br/centrais-de-conteudo/comunicados-mcti/estrategia-digital-brasileira/estrategiadigital.pdf(2025年1月31日閲覧)
戦略(英語):https://www.gov.br/mcti/pt-br/centrais-de-conteudo/comunicados-mcti/estrategia-digital-brasileira/digitalstrategy.pdf(2025年1月31日閲覧)
※5 公式サイト:https://www.gov.br/governodigital/pt-br/estrategias-e-governanca-digital/estrategianacional(2025年1月31日閲覧)
※6 公式サイト:https://www.gov.br/governodigital/pt-br/estrategias-e-governanca-digital/EFGD(2025年1月31日閲覧)
※7 公式サイト:https://www.gov.br/governodigital/pt-br/estrategias-e-governanca-digital/EFGD/EFGD-e-ENGD(2025年1月31日閲覧)
※8 戦略:https://www.gov.br/gsi/pt-br/ssic/estrategia-nacional-de-seguranca-cibernetica-e-ciber/e-ciber.pdf(2025年1月31日閲覧)
※9 公式サイト:https://www.gov.br/gsi/pt-br(2025年1月31日閲覧)
※10 公式サイト:https://www.gov.br/gsi/pt-br/acesso-a-informacao/institucional/organograma(2025年1月31日閲覧)
※11 公式サイト:https://www.gov.br/gsi/pt-br/colegiados-do-gsi/comite-gestor-da-seguranca-da-informacao(2025年1月31日閲覧)
※12 公式サイト:https://www.gov.br/gsi/pt-br/colegiados-do-gsi/comite-gestor-da-seguranca-da-informacao/composicao(2025年1月31日閲覧)
※13 公式サイト:https://www.gov.br/gsi/pt-br/colegiados-do-gsi/comite-nacional-de-ciberseguranca-cnciber(2025年1月31日閲覧)
※14 公式サイト:https://www.gov.br/gsi/pt-br/colegiados-do-gsi/comite-nacional-de-ciberseguranca-cnciber/composicao(2025年1月31日閲覧)
※15 公式サイト:https://www.camara.leg.br/noticias/1097433-projeto-define-regras-para-uso-de-dados-pessoais-no-treinamento-de-inteligencia-artificial/(2025年1月31日閲覧)
※16 公式サイト:https://www.gov.br/participamaisbrasil/tomada-de-subsidios-inteligencia-artificial-e-revisao-de-decisoes-automatizadas(2025年1月31日閲覧)
※17 戦略:https://www.gov.br/mcti/pt-br/acompanhe-o-mcti/transformacaodigital/arquivosinteligenciaartificial/ebia-documento_referencia_4-979_2021.pdf(2025年1月31日閲覧)
戦略(英語概要):https://www.gov.br/mcti/pt-br/acompanhe-o-mcti/transformacaodigital/arquivosinteligenciaartificial/ebia-summary_brazilian_4-979_2021.pdf(2025年1月31日閲覧)
※本稿は、早稲田大学法学学術院講師・パナマ共和国弁護士のロドリゲズ・ルベン氏に調査協力いただきました。
各国サイバーセキュリティ法令・政策動向
5 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
Loading...
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
48 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
