コンプライアンス

LGPD研修

Q: LGPDは実際に従業員研修を義務付けていますか？

LGPDは特定の研修プログラムを規定していませんが、第50条は、従業員の意識向上措置を含む適正な慣行を組織が採用すべきことを定めています。ANPDは罰則を算定する際に研修プログラムを軽減要因として考慮します。

Q: 従業員はどのくらいの頻度でLGPD研修を受けるべきですか？

ベストプラクティスでは最低でも年次研修を推奨しており、規制変更、データ侵害、処理活動の変更後には追加のセッションを推奨しています。Roleplaysでは部門や役割ごとに設定可能な再研修サイクルを設定できます。

Q: データ主体アクセス請求（DSAR）について従業員を訓練できますか？

はい。Roleplaysには、第17条から第22条に基づくすべてのデータ主体の権利を網羅するシナリオが含まれています：アクセス、訂正、削除、ポータビリティ、同意の撤回の請求。

Q: 研修の文書化はANPDの罰則の軽減にどのように役立ちますか？

ANPDは、LGPD第52条に基づき適正な慣行とガバナンスの採用を軽減要因として考慮します。完了記録と能力評価を備えた文書化された研修プログラムは、合理的な防止措置を実証します。

Q: Roleplays自体はLGPDに準拠していますか？

はい。Roleplaysはテナントごとのデータベース分離を使用し、明確な目的の限定のもとで最小限の個人データを処理し、エンタープライズ顧客にデータ処理契約を提供します。

ブラジルの一般データ保護法は、個人データを扱うすべての従業員が自らの責任を理解することを組織に求めています。RoleplaysはLGPDの意識向上を、AIを活用したシミュレーションを通じて実践的で測定可能な能力へと変えます。

デモを依頼する相談を予約する

概要

LGPD研修が重要な理由

Lei Geral de Protecao de Dados（LGPD）、すなわち法律13.709/2018は、EUのGDPRをモデルとしたブラジルの包括的なデータ保護法です。組織がブラジル国内の個人の個人データを収集、処理、保管、共有する方法を規定しています。この法律はANPD（Autoridade Nacional de Protecao de Dados）によって執行され、違反1件につき年間収益の最大2%（5,000万レアルを上限）の罰則を伴います。

LGPDは特定の研修プログラムを規定していませんが、第50条は、従業員の意識向上および研修プログラムを含む適正な慣行とガバナンス措置を組織が採用すべきことを定めています。ANPDの執行ガイダンスは、従業員がデータ保護義務を理解することを確保するための合理的な措置を講じたことを組織が実証しなければならないことを一貫して強調しており、研修はこれを実証する主要な方法です。

LGPD研修は、組織の本社の所在地に関わらず、ブラジル国内の個人の個人データを処理するあらゆる組織に適用されます。これには、個人データに触れるすべての部門が含まれます：人事（従業員記録）、マーケティング（顧客データベース）、カスタマーサービス（サポート対応）、財務（支払い情報）、IT（システム管理およびデータインフラ）。

LGPD研修が必要な対象

カスタマーサービスおよびサポートのエージェント
従業員データを扱う人事チーム
CRMアクセス権を持つマーケティングおよび営業チーム
ITスタッフおよびデータ管理者
DPOおよびプライバシー責任者

ANPD執行の実態

収益の最大2%の罰金（5,000万レアルを上限）
違反の公表
データ処理活動の停止
研修記録は軽減要因とみなされる
適正な慣行プログラムは罰則の重さを軽減する

研修領域

LGPD研修が網羅すべき内容

効果的なLGPD研修は、法律を読むことをはるかに超えるものです。従業員には、実世界のデータ保護シナリオに対処するための実践的なスキルが必要です。

従業員の意識向上とデータリテラシー

すべての従業員は、LGPD（第5条）における個人データの構成要素、個人データと機微な個人データの違い、処理の法的根拠（第7条）、データ主体の権利（第17条から第22条）を理解しなければなりません。研修は定義を超えるものでなければならず、従業員は日常業務の文脈で、メール、スプレッドシート、サポートチケット、口頭の会話のいずれに現れるかにかかわらず、個人データを認識する必要があります。

実践的シナリオ：カスタマーサービスのエージェントが、ある顧客について保有するすべての個人データを要求するメール（データ主体アクセス請求）を受け取ります。エージェントは対応方法、誰にエスカレーションすべきか、法的な期限が何かを知っているでしょうか。

データ取り扱い手順

従業員は、個人データの収集、保管、共有、削除に関する正しい手順を知っていなければなりません。これには、データ最小化の原則（第6条第3項）、目的の限定（第6条第1項）、適切な同意取得（第8条）の理解が含まれます。健康情報、生体データ、財務記録などの機微なデータを日常的に扱う部門は、LGPDがこれらのカテゴリーに対して義務付ける追加の保護に関する専門的な研修（第11条）が必要です。

実践的シナリオ：マーケティングチームが新しいキャンペーンに顧客データベースを使用したいと考えています。チームは、元の同意がこの新しい目的を網羅しているかどうかを知っているでしょうか。再同意がいつ必要かを理解しているでしょうか。

インシデント対応研修

LGPD第48条は、データ主体に「重大なリスクまたは損害」を引き起こす可能性のあるセキュリティインシデントについて、組織がANPDおよび影響を受けるデータ主体に通知することを求めています。従業員は、潜在的なデータ侵害を認識し、社内のエスカレーション手順を知り、通知の期限を理解し、インシデントを悪化させる可能性のある行動（無許可のデータ復旧の試みや許可なく公に伝えることなど）を避けるように訓練されなければなりません。

実践的シナリオ：ある従業員が、顧客のCPF番号を含む共有フォルダが誤って一般公開されたことを発見します。彼らは正しいエスカレーション経路を知り、インシデントの深刻度を明確に説明できるでしょうか。

DPOおよびプライバシーチームの責任

データ保護責任者（Encarregado、第41条）は、LGPDコンプライアンスにおいて中心的な役割を果たします。DPO研修は以下を網羅する必要があります：データ主体の請求の管理、データ保護影響評価（DPIA/RIPD）の実施、処理活動の記録（ROPA）の維持、ANPDとの連絡、組織全体のデータ保護プログラムの監督。DPOはまた、他の従業員を訓練できる能力を備えている必要があり、自身の能力開発が極めて重要です。

実践的シナリオ：ANPDが特定のデータ処理活動について正式な情報請求を送ります。DPOは関連するROPAのエントリーを見つけ、法的根拠を実証し、必要な期限内に対応できるでしょうか。

ソリューション

Roleplaysの活用方法

従業員に個人データを正しく取り扱うことを教え、ANPDコンプライアンスのためにすべての研修対話を文書化するシミュレーション。

データ取り扱いシナリオ

従業員が個人データの取り扱い方法を決定しなければならない実世界の状況をシミュレートします：顧客からの削除要求、同意の撤回、データポータビリティの要求、第三者からの共有要求。AIペルソナが顧客、同僚、さらにはANPDの代表者として振る舞い、従業員が正しい手順に従うかどうかを試します。

同意管理研修

適切な同意の取得、保管、撤回処理についてチームを訓練します。シミュレーションは、従業員がデータ処理の目的を明確に説明し、インフォームドコンセントを取得し、既存の同意が新しいユースケースを網羅していない場合を認識し、抵抗や遅延なく同意撤回の要求を処理できるかどうかを試します。

インシデント対応シミュレーション

安全な環境でデータ侵害対応を実践します。従業員は、偶発的なデータ漏洩から高度な攻撃まで、模擬セキュリティインシデントに直面し、第48条に基づく正しい識別、封じ込め、通知、文書化の手順に従わなければなりません。マネージャーは時間的プレッシャーの下でインシデント対応チームを率いる練習をします。

文書化されたコンプライアンス証拠

すべての研修セッションが完全な記録を生成します：誰が研修を受けたか、どのような内容が網羅されたか、いつ行われたか、どのように成績を収めたか、能力しきい値を満たしたかどうか。この文書は第50条に基づく「適正な慣行」プログラムの証拠として機能し、ANPDは罰則を評価する際にこれを軽減要因とみなします。

部門別の研修パス

部門が異なれば、扱う個人データの種類も異なり、直面するリスクも異なります。人事チームは従業員データの権利に関するシナリオを受けます。マーケティングチームは同意管理を実践します。カスタマーサービスのエージェントはデータ主体アクセス請求の処理を学びます。ITチームはデータ侵害の識別と封じ込めを訓練します。各パスには調整された評価基準があります。

ポルトガル語ネイティブの体験

LGPD研修は、従業員が理解できる言語で実施されなければなりません。Roleplaysは音声およびテキストのシミュレーションでポルトガル語をネイティブにサポートし、英語やヨーロッパポルトガル語からのぎこちない翻訳ではなく、ブラジルの法律用語（titular de dados、encarregado、tratamento de dados）を正確に反映した研修コンテンツを保証します。

FAQ

よくある質問

LGPDは実際に従業員研修を義務付けていますか？

LGPDは頻度を義務付けた特定の研修プログラムを規定していませんが、第50条は、従業員の意識向上措置を含む適正な慣行とガバナンスプログラムを組織が採用すべきことを定めています。ANPDの執行ガイダンスおよび罰則算定方法は、組織が研修プログラムを実施したかどうかを軽減要因として明示的に考慮します。実際には、LGPD研修はコンプライアンスを実証し、罰則のリスクを軽減するために不可欠です。

従業員はどのくらいの頻度でLGPD研修を受けるべきですか？

LGPDは頻度を規定していませんが、GDPRガイダンスに沿ったベストプラクティスでは、最低でも年次研修を推奨しており、重大な規制変更、データ侵害インシデント、データ処理活動の変更後には追加のセッションを推奨しています。Roleplaysでは部門や役割ごとに任意の再研修サイクルを設定でき、プラットフォームが完了を自動的に追跡します。

データ主体アクセス請求（DSAR）について従業員を訓練できますか？

はい。Roleplaysには、AIを活用したデータ主体が第17条から第22条に基づく権利を行使するシナリオが含まれています：アクセス請求、訂正請求、削除請求、データポータビリティ、同意の撤回。従業員は、請求の種類の識別、請求者の本人確認、正しい社内ワークフローの遵守、法的な期限内での対応を実践します。

研修の文書化はANPDの罰則の軽減にどのように役立ちますか？

ANPDの罰則算定規制は、「適正な慣行とガバナンスの採用」（LGPD第52条第1項第9号）を軽減要因として考慮します。完了記録、能力評価、継続的な再研修サイクルを備えた文書化された研修プログラムは、組織が違反を防止するための合理的な措置を講じたことを実証します。Roleplaysはこの文書をすべての研修セッションについて自動的に提供します。

Roleplays自体はLGPDに準拠していますか？

はい。Roleplaysはテナントごとのデータベース分離を使用し、お客様の研修データが他の顧客から完全に分離されることを保証します。プラットフォームは最小限の個人データ（従業員識別子と研修記録）を処理し、明確な目的の限定とデータ保持ポリシーを備えています。すべてのエンタープライズ顧客にはデータ処理契約（DPA）が利用可能です。

より速くコンプライアンスを達成。

ANPDが真の適正な慣行として認識する、文書化されたLGPD研修プログラムを構築しましょう。チームが実際に完了するシミュレーションから始めましょう。

デモを依頼するコンプライアンス専門家に相談する