こんにちは。今回はメキシコの個人データ保護法に基づく企業の情報管理とプライバシー通知について書かせていただきます。
メキシコにおけるデータプライバシーの法的枠組みは、2025年に歴史的な転換を迎えました。本ガイドラインは、2025年3月20日に公布され、同年11月14日に最終改正された新しい「連邦個人データ保護法(以下、本法)」に基づき、企業が遵守すべき実務的事項を解説します。
はじめに:法的枠組みの刷新と監督当局の変更
企業のコンプライアンス担当者がまず認識すべきは、2010年に公布された旧法が完全に廃止(abrogated)されたという点です。現在のデータ処理は、2025年公布の「新法」に準拠しなければなりません。
• 法律の目的: 個人のプライバシーと情報の自己決定権を保証するため、民間企業による個人データの処理を「適正、管理された、インフォームドな」ものに制限すること(第1条)。
• 監督当局の移行: 以前の独立機関(INAI)から、現在は**「反汚職・善政事務局(Secretaría Anticorrupción y Buen Gobierno)」**が、法の執行および監視を担う主務官庁(第2条XV、第38条)となっています。
• 適用除外(第1条): 以下の場合は本法の適用外となります。
1. 信用情報機関(信用情報機関規制法等が適用されるため)
2. 商業目的や公表目的のない、純粋な個人利用のための収集・保管。
• 補充規定(第4条): 本法に明文化されていない手続き上の不備については、2025年11月の改正により「連邦民事・家族訴訟法(Código Nacional de Procedimientos Civiles y Familiares)」が補完的な法律として適用されます。
企業が遵守すべきデータ管理の原則と品質
本法の下でデータを処理する「責任者(Sujetos regulados)」である企業は、第5条に規定された以下の8つの原則を遵守する法的義務を負います。
データ管理の8原則
1. 適法性(Licitud): 法令を遵守し、欺瞞や不正な手段を用いずに取得すること。
2. 目的(Finalidad): 通知した特定の目的のみに限定して処理すること。
3. 忠実性(Lealtad): 本人のプライバシーに対する妥当な期待を優先し、不利益を与えないこと。
4. 同意(Consentimiento): 原則として本人の承諾を得ること。
5. 品質(Calidad): 収集目的に照らし、データを「正確、完全、正当、最新」に保つこと(第10条)。
6. 比例性(Proporcionalidad): 目的達成に必要最小限のデータのみを扱うこと。
7. 情報(Información): プライバシー通知を通じて、処理の存在と特徴を本人に伝えること。
8. 責任(Responsabilidad): 自社および提携する第三者が本法の原則を遵守するよう、必要な措置を講じること。
保存期間と「ブロック」プロセスの実務
データが収集目的を達成した後は、直ちに削除するのではなく「ブロック(Bloqueo)」状態に移行させる必要があります(第2条III)。
• ブロックの目的: データ処理を停止しつつ、法的責任や**消滅時効(plazo de prescripción)**に対応するためにのみ保存すること(第24条)。
• 72ヶ月ルール: 契約義務の不履行に関するデータは、不履行発生から72ヶ月が経過した時点で削除しなければなりません(第10条)。
プライバシー通知(Aviso de Privacidad)の作成基準
プライバシー通知は、本人がデータ処理について十分な情報を得た上で意思決定を行うための権利を保証するものです(第14条)。
必須記載事項チェックリスト(第15条)
• 責任者の氏名(名称)および住所
• 処理対象となる個人データ(機密データの有無を明示)
• 処理の目的(同意が必要なものを区別する)
• 使用または開示を制限するためのオプションと手段
• ARCO権利を行使するためのメカニズムと手順
• 通知内容の変更を本人に通知する方法
機密性の高い個人データへの特別対応
人種、健康状態、宗教、性的指向、政治的意見などの「機密性の高い個人データ(Datos personales sensibles)」を扱う場合、企業は本人の**「明示的かつ書面による同意」**を取得しなければなりません(第8条)。これには、自筆署名(firma autógrafa)または電子署名(firma electrónica)、あるいは確立された認証メカニズムが必要です。
通知の提供方法と「簡略版」の適用条件
提供のタイミング(第16条)
原則として、データを収集する時点で提供しなければなりません。媒体は印刷物、デジタル、視覚、音声など、技術に応じた形式が認められます。
簡略版通知(Modalidad simplificada)の制限
電子手段、光学、音声、視覚、またはその他の技術を通じてデータを取得する場合に限り、簡略版の提供が認められます(第16条II)。
• 簡略版の必須項目: 上記チェックリストのI〜IV(名称、データ項目、目的、制限手段)を含み、かつ完全版(Integral)への参照先を明示すること。
直接取得しない場合の措置(第17条)
本人から直接取得しなかった場合、通知内容の変更を伝える義務があります。直接の通知が困難な場合は、規則に基づき「補償措置」を講じることが可能です。
データセキュリティと機密保持義務(第18条〜20条)
企業は、個人データの損傷、紛失、改ざん、不正アクセスを防ぐため、以下の3つの側面から安全管理措置を講じる必要があります。
1. 行政的措置: 内部規程や管理体制の整備。
2. 技術的措置: 暗号化、アクセス制御、監視システム。
3. 物理的措置: サーバー室の施錠や入退室管理。
注意点:
• 自社の重要情報と同等以上の保護レベルを維持しなければなりません。
• 権利に重大な影響を及ぼすセキュリティ侵害が発生した場合は、本人が自衛措置を講じられるよう**「直ちに(inmediato)」**本人に通知する義務があります(第19条)。
• 機密保持義務は、雇用や契約関係が終了した後も永続的に継続します(第20条)。
本人の権利(ARCO権利)への対応とコスト
本人は、アクセス(A)、訂正(R)、取り消し(C)、異議申し立て(O)の権利を行使できます。
• 対応期限(第31条):
◦ 申請受領から20日以内に決定を通知。
◦ 認められた場合、通知から15日以内に対応を完了。
• 費用の原則(第34条):
◦ ARCO権利の行使は原則として無料です。コピー代や送付実費のみ請求可能です。
◦ 再請求の制限: 同一人物が12ヶ月以内に再度申請した場合、通知内容に重大な変更がない限り、費用はUMA(測定更新単位)の3倍を超えてはなりません。
7. 違反時のペナルティ(罰則規定)
不履行があった場合、反汚職・善政事務局より以下の制裁が科されます(第59条、第63条)。
| 違反の区分 | 対象となる違反内容(例) | 制裁内容(罰金・刑期) |
|---|---|---|
| Tier 1 (第59条II) | ARCO申請への過失、データ存在の虚偽申告、通知項目の欠落等 | 100 〜 160,000 UMA の罰金 |
| Tier 2 (第59条III) | 機密保持義務違反、目的外利用、セキュリティ侵害、同意なき取得等 | 200 〜 320,000 UMA の罰金 |
| 再発・加重規定 | 違反が繰り返される場合 | 追加で 100 〜 320,000 UMA |
| 刑事罰 (第62-63条) | 営利目的の侵害、詐欺的なデータ処理 | 3ヶ月〜5年の禁錮刑 |
※注記: 機密性の高い個人データに関する違反の場合、制裁金および刑期は最大2倍に引き上げられます(第59条IV、第64条)。
企業が取り組むべきコンプライアンスのステップ
2025年11月14日の最新改正を踏まえ、企業は以下の3点を優先的に実施してください。
1. 旧法(2010年法)ベースの規定の刷新: 監督当局の名称や、補充法としての「連邦民事・家族訴訟法(第4条)」への参照を含む社内規定の更新。
2. 機密データ取得フローの見直し: 第8条に基づき、署名(自筆または電子)を必須とする厳格な同意取得体制の構築。
3. ブロック管理の徹底: 消滅時効を考慮した保存期間の設定と、期間終了後の確実な削除プロセスの確立。
新法下でのコンプライアンス維持は、単なる法的義務ではなく、メキシコ市場における企業の信頼性を担保する重要な経営課題です。
新しいブログの配信を無料で登録する
免責事項(Disclaimer)
本ブログに掲載している情報は、一般的な情報提供および教育目的で作成されたものであり、
法務、税務、会計、労務、コンプライアンスに関する個別の専門的助言を提供するものではありません。
掲載内容は可能な限り正確な情報の提供に努めておりますが、
各国の法令(特にメキシコの法務・税務・労働法等)は頻繁に改正される可能性があり、
情報の正確性・完全性・最新性を保証するものではありません。
本ブログの情報を利用したことによって生じたいかなる損害についても、
当方は一切の責任を負いかねます。
No responses yet