ポルトガルRGPDスナップショット2026 — クイックリード
ポルトガルは、2019年8月8日公布の国内法Lei n.º 58/2019(LPDP)を組み合わせる形で、EUのGDPR 2016/679(RGPD)を全面的に適用しています。監督機関はCNPD(Comissão Nacional de Proteção de Dados)で、本部はリスボンにあります。ポルトガルのすべてのeコマース事業者は、準拠したクッキーバナー、ポルトガル語のプライバシーポリシー、ROPA(処理活動記録)、すべての処理者との第28条DPA、そして30日以内にデータ主体からの請求に対応し72時間以内にCNPDへ侵害を通知できる運用体制を整える必要があります。制裁金は最大2,000万ユーロまたは全世界年間売上高の4%に達し、CNPDは2018年以降、数百万ユーロ規模の制裁金を科してきました。
2026年のポルトガルにおけるデータ保護の全体像
ポルトガルにおけるeコマース事業の個人データを規律するのは、3つの法的手段と1つの監督機関です。以下のカード一覧を、各項目を詳しく読む際の手引きとしてお使いください。
RGPD — Regulamento Geral de Proteção de Dados
EU規則2016/679・2018年5月25日発効・ポルトガルを含むEU加盟27か国すべてに直接適用
Lei n.º 58/2019 — ポルトガルのLPDP
国内実施法・2019年8月8日公布・同意年齢、ビデオ監視、報道目的の処理について国内固有の規定を追加
CNPD — Comissão Nacional de Proteção de Dados
ポルトガルのデータ保護監督機関・1994年設立・本部はリスボンAv. D. Carlos I 134・議会選出の委員7名
EU GDPRエコシステム — EDPBとDPF
EDPBが各監督機関間の調和を図る・EU-米国DPF(2023年7月)が米国への移転を再び可能に
DPO / EPD — Encarregado de Proteção de Dados
大規模な監視または特別カテゴリーデータの処理を行う場合は義務・独立性を有する・連絡先はCNPD登録簿とプライバシーポリシーに掲載
越境データ移転 — SCCとDPF
標準契約条項(2021年版EU SCC)・EU-米国データプライバシーフレームワーク認証輸入者・移転影響評価(TIA)が必須
ポルトガルの店舗をCNPD対応にする準備はできていますか?
Zunaproは、同意バナー、ROPA、第28条DPA、データ主体からの請求対応ワークフロー、72時間侵害対応プレイブックを、すべてのポルトガルのマーケットプレイス連携に組み込んでいます。コンプライアンスは後付けではなくインフラです。
1. RGPDとLei 58/2019 — ポルトガルの二層構造
RGPD:1つの規則、27か国
Regulamento Geral de Proteção de Dados(RGPD)は、2016年4月27日に採択され、2018年5月25日から適用されているEU規則2016/679のポルトガル語名称です。EU規則(指令ではない)であるため、RGPDはポルトガルにおいて直接効力を持ちます。その99条は、ポルトガルに設立された管理者・処理者すべて、そしてポルトガル国内の人々に商品またはサービスを提供するEU域外の管理者(第3条2項の域外適用)を拘束します。
同じ義務は、事業者がリスボンの個人事業主であっても、ポルトの有限会社(Lda)であっても、ポルトガル向けに出荷するドイツ企業であっても、ポルトガルの消費者をターゲットとする米国のShopify事業者であっても同様に適用されます。この規則は技術中立的でリスクベースであり、高リスクの処理(プロファイリング、特別カテゴリーデータ、大規模監視)にはより重い義務が課されます。
Lei 58/2019:ポルトガルの独自層
RGPDは意図的に加盟国に50を超える「開放条項」を残しています。ポルトガルはこれらの選択肢をLei n.º 58/2019, de 8 de agosto(個人データ保護法、LPDP)を通じて行使しました。この法律はRGPDの適用開始から1年以上経ってから公布され、旧法Lei 67/98を置き換えるものです。LPDPは、RGPDに上乗せする形でポルトガル特有の規定を追加しています。
- 同意年齢 — 13歳(LPDP第16条、RGPDの標準である16歳より低い)。13歳未満の子どもについては、確認可能な親権者の同意が必要です。
- ビデオ監視制度(LPDP第19〜22条)— CCTVの標識、保存期間(デフォルト30日)、公共空間についてのCNPDへの通知。
- 報道・学術・芸術目的の処理(LPDP第24条)— データ保護と表現の自由のバランスを取るための限定的な適用除外。
- 行政違反(LPDP第37〜50条)— RGPD第83条の制裁金を補完する、ポルトガル特有の手続き規定。
Lei das Comunicações Eletrónicas — クッキーに関する規定
この枠組みを完成させる3つ目の法的手段が、EUのePrivacy指令2002/58/ECをポルトガル国内法化したLei n.º 41/2004です。第5条3項は、クッキー同意要件の法的根拠であり、クッキー、ピクセル、フィンガープリンティング、ローカルストレージ技術は、個人データを処理するかどうかにかかわらず事前の、自由意思による、情報に基づいた同意を必要とします。ポルトガルのすべてのeコマースサイトがクッキーバナーを必要とするのは、RGPD自体ではなくePrivacy法によるものです。
💡 ポルトガルのマーケットプレイス連携ガイドを読む
Amazon.es/.fr、Worten、Fnac、Continente、KuantoKuskaを、RGPD準拠の同意取得とROPA自動生成付きで連携できます。
2. CNPD — ポルトガルのデータ保護監督機関
組織概要
Comissão Nacional de Proteção de Dados(CNPD)は、ポルトガルの独立した監督機関です。Lei n.º 10/91 de 29 de abrilによって設立され、1995年のEUデータ保護指令に4年先立つ、EU域内で最も歴史のあるDPAの1つです。CNPDは共和国議会(Assembleia da República)の監督下にありながら、完全な機能的・意思決定上の独立性を有しています(RGPD第52条)。
CNPDは7名の委員で構成されます。議会が5年の再任不可の任期で選出する委員長1名と、その他6名の委員(議会選出2名、政府選出2名、共同選出2名)です。本部所在地:Avenida D. Carlos I, n.º 134, 1200-651 Lisboa。
CNPDの権限
RGPD第57〜58条とLei 58/2019により補完される権限は以下のとおりです。
- 調査権限 — 情報の要求、監査・検査の実施、処理施設・記録へのアクセス
- 是正権限 — 警告、戒告、データ主体からの請求への対応命令、訂正、消去、処理の禁止、越境データフローの停止
- 行政制裁金 — 最大2,000万ユーロまたは全世界年間売上高の4%
- 認可・助言権限 — BCR、SCC、認証メカニズムの承認、議会・政府への助言
CNPDへの連絡方法
- ウェブサイト —
cnpd.pt(決定登録簿、苦情申立フォーム、侵害通知フォーム) - 一般問い合わせ用メール —
[email protected] - 侵害通知 — cnpd.pt上の専用オンラインフォーム
- DPO登録 — オンラインフォーム、任命から30日以内に連絡先の提出が必要
他のEU監督機関との比較 — CNPDのスタイル
CNPDの執行スタイルは穏健だが技術的には厳格です。訴訟が非常に多く年間数千件の決定を出すスペインのAEPDや、大規模な制裁金の公表を行うフランスのCNILと比較すると、CNPDが出す決定の数は少ないものの、体系的な違反に焦点を当て、EDPBの一貫性メカニズムを通じて緊密に協力しています。ポルトガルのeコマースがCNPDの注意を引く経路は主に3つ、すなわちデータ主体からの苦情、義務的な侵害通知、そしてメディアや政治的な注目によって引き起こされる監査です。
🛡️ ZunaproはCNPDの要件に自動同期
ROPAテンプレート、侵害対応プレイブック、データ主体からの請求対応ワークフロー、DPO連絡先カードなど、すべてCNPDの様式とポルトガル語の消費者向け文言にあらかじめ対応済みです。
3. クッキー同意バナー — ポルトガルのすべてのサイトで義務
法的根拠
ポルトガルにおけるクッキー同意義務には、2つの補完的な法的根拠があります。EUのePrivacy指令2002/58/EC第5条3項(Lei n.º 41/2004により国内法化)と、RGPD第7条の同意要件です。両者が組み合わさることで、ユーザーが明示的に要求したサービスの提供に厳密には必要ではないクッキー、ピクセル、SDK、フィンガープリンティングスクリプト、ローカルストレージオブジェクト、または類似の追跡技術は、事前の、自由意思による、具体的、情報に基づいた明確なオプトイン同意を必要とします。
「厳密に必要」とみなされるもの
要求されたサービスに厳密に必要であるため同意が免除される狭い範囲のカテゴリーには、セッションクッキー(ログイン、カート)、CSRFトークン、ロードバランサークッキー、同意設定クッキー自体、積極的にリクエストされたコンテンツに対するマルチメディアプレーヤーの状態、ユーザーが選択したUIカスタマイズ(言語、ダークモード)があります。それ以外のもの、すなわちGA4、Meta Pixel、TikTok Pixel、Hotjar、Clarity、リターゲティング、A/Bテストクッキー、サードパーティCDNフォント、埋め込みYouTube/Vimeoプレーヤー、操作前に読み込まれるソーシャルメディアボタンなどは、設置前に明示的なオプトイン同意を必要とします。
準拠したバナーの姿
CNPDのクッキーに関するガイドライン(Orientações sobre cookies、2019/494)(2022年に更新)は、以下の最低要件を定めています。
- 第一階層では「同意する」、「拒否する」、「設定を管理」を提示する必要があります。拒否は同意と同等の目立ちやすさ(同じ色、サイズ、位置)でなければなりません。目立たない色の薄い文字による「拒否」ボタンといったダークパターンは禁止されています(EDPB)。
- 第二階層 — 非必須カテゴリーごとの詳細な切り替えスイッチで、デフォルトでオフ。
- クッキーウォールの禁止 — 拒否した場合にアクセスを拒否することは違法です(EDPBガイドライン05/2020)。
- 「閲覧の継続は同意とみなす」の禁止 — スクロールやナビゲーションは同意にあたりません。
- 同意の撤回は同意と同じくらい容易であること — 常時表示のフローティングボタンまたはフッターリンク。
- 6〜12か月ごとの再確認、RGPD第7条1項に基づく同意の監査ログ。
「拒否」ボタンの落とし穴: 2024〜2026年のCNPD監査で最も多く指摘されているのは、非対称なバナーです。目立つ緑色の「すべて同意する」ボタンの隣に、小さくグレーで下線付きの「拒否」があるパターンです。これは有効な同意を得られていないとみなされ、設置されたすべてのクッキーが執行リスクにさらされます。ZunaproのCNPD検証済み同意バナーを利用する →
同意バナーの階層 — どのカテゴリーを提示すべきか
🍪 ポルトガルのクッキー同意ガイドを読む
CNPDガイドライン2019/494の逐条解説、ダークパターンのチェックリスト、GA4向けConsent Mode v2の設定、そしてポルトガルの利用者向けにあらかじめ検証済みのZunapro内蔵同意バナーをご紹介します。
4. プライバシーポリシー — 義務であり常に最新であること
第13条の情報提供義務
RGPD第12条、第13条、第14条は、すべての管理者に対し、データ収集の瞬間にデータ主体へ広範な情報を提供することを求めています。eコマースサイトの場合、その瞬間は通常、登録、チェックアウト、ニュースレター、問い合わせ、レビューフォームなどあらゆるフォーム送信時です。実務上、この情報はプライバシーポリシー(Política de Privacidade)という単一の文書に集約され、すべてのページからリンクされ、各データ収集ポイントで再度提示されます。
最低限必要な内容
2026年にCNPDの審査に耐えうるプライバシーポリシーには、少なくとも以下が含まれます。
- 管理者の身元 — 法人名、法人番号(NIPC)、登記上の所在地、連絡先メールアドレス
- DPOの連絡先(任命されている場合)—
[email protected]のような専用メールアドレス - 処理の目的 — 詳細なリスト(注文の履行、カスタマーサービス、マーケティング、アナリティクス、不正防止、会計)
- 目的ごとの適法根拠 — RGPD第6条1項(同意、契約、法的義務、生命に関わる利益、公共の利益、正当な利益)
- 第6条1項(f)を援用する場合の正当な利益の比較衡量テスト
- 受領者 — 決済ゲートウェイ、配送業者、マーケットプレイス、クラウドホスティング、メール配信事業者
- 国際移転 — 移転先の国、仕組み(SCC/十分性認定/DPF)、保護措置へのリンク
- カテゴリーごとの保存期間(請求書10年、マーケティングは同意が有効な限り、アナリティクスは14か月)
- データ主体の権利 — CNPDへの苦情申立権を含む完全な列挙
- データ提供の法定または契約上の性質と、提供拒否の結果
- 該当する場合の自動化された意思決定とプロファイリング(ロジックと重要性を含む)
- 最終更新日とバージョン履歴
平易なポルトガル語 — RGPD第12条
RGPD第12条1項は、明確で平易な言葉による簡潔、透明、理解しやすく容易にアクセス可能なポリシーを求めています。CNPDは、ポルトガルの消費者を対象としているにもかかわらず英語のみで記載されたポリシー(Lei 58/2019第2条がポルトガル語要件を強化しています)、実際の処理者を特定せずに汎用テンプレートを使い回すポリシー、1万語に及ぶ法律用語の中に重要情報を隠すポリシー、あるいはプライバシーポリシーを利用規約と一体化してしまっているポリシーを繰り返し批判してきました。
階層型通知 — ベストプラクティス
CNPDは、EDPBの階層型通知アプローチを支持しています。冒頭の短い要約(身元、目的、権利についての1〜2段落)の後に折りたたみ可能なセクションで詳細情報を示し、さらに第13条準拠のため各フォームに「情報シート」(完全なポリシーへのリンクを含む2〜3文の収集通知)を配置する方式です。
📜 自動生成されるポルトガル語プライバシーポリシー
Zunaproは、実際のマーケットプレイス連携、決済プロバイダー、アナリティクススタックに基づいて、CNPDの審査に耐えうるポルトガル語のプライバシーポリシーを生成します。新しい処理者を接続すると自動的に更新されます。
5. DPOの任命 — いつ、どのように
DPOの任命はいつ義務になりますか?
RGPD第37条は、次の3つのシナリオでDPO(Encarregado de Proteção de Dados — EPD)を必須としています。(a)公的機関(裁判所を除く)、(b)主たる活動が定期的かつ組織的な大規模監視である場合、(c)主たる活動が特別カテゴリーデータまたは犯罪関連データの大規模処理である場合。ポルトガルのeコマースにおいて実務上の契機となるのは通常(b)です。EDPBのガイドライン(WP243 rev.01、CNPDも承認)は、「主たる活動」には給与計算のような付随的機能は含まれないこと、また「大規模」とは文脈依存(対象者数、量、期間、地理的範囲)であることを明確にしています。
実務上の契機となる例
DPOの任命が強く推奨される、または義務となる実際の閾値の例です。
- 行動セグメンテーションを伴うCRM顧客数1万人以上
- クロスデバイスマッチングを伴うMeta + Google広告 + TikTokでのライブリターゲティング
- 複数チャネル・時系列で取引履歴を追跡するロイヤルティプログラム
- 出品者と購入者のデータを同時に扱うマーケットプレイス運営者
- RGPD第9条の健康データに該当しうるデータを処理する健康・美容・薬局系eコマース
- 13歳未満向けの親権者同意フローを運用する子ども向け商品ストア
DPOの役割
RGPD第38〜39条は、DPOの職務と保護を定めています。
- 管理者、処理者、従業員に対する義務について情報提供と助言
- 研修を含む、RGPD・Lei 58/2019・社内方針への準拠状況の監視
- 第35条が適用される場合のDPIAに関する助言
- 監督機関との窓口としてCNPDとの協力
- 独立性 — 職務遂行について指示を受けず、職務遂行を理由に解任されない(第38条3項)
- 利益相反の禁止 — DPOはCEO、CMO、IT責任者、人事責任者を兼務できない
社内DPOか外部DPOか + CNPDへの登録
DPOは従業員または契約したサービスプロバイダーが務めることができます。ポルトガルの中小企業の場合、複雑さに応じて外部DPOサービスは通常月額350〜1,500ユーロ程度です。RGPD第37条7項は、管理者に対しDPOの連絡先を公開し、オンラインフォームを通じてCNPDに通知し、変更があれば30日以内に更新することを義務付けています。通知を怠ることは手続き違反となり、最大1,000万ユーロまたは売上高の2%の制裁対象となります。
👤 ポルトガルの販売事業者向けDPOアズアサービス
Zunaproはポルトガルのデータ保護専門家と提携し、月額350ユーロから外部DPOサービスを提供しています。CNPD登録、DPIA支援、侵害対応プレイブック、四半期ごとのコンプライアンス監査が含まれます。
6. データ主体の権利 — 運用上のSLA
ポルトガルのデータ主体が持つ8つの権利
RGPD第3章は、顧客、見込み客、サプライヤーの担当者、従業員を問わず、すべての個人に対して行使可能な一連の権利を保障しています。
- 知らされる権利(第13〜14条)— プライバシーポリシーと収集通知を通じて行使される
- アクセス権(第15条)— データが処理されているかどうかの確認、およびデータと処理状況のコピー
- 訂正権(第16条)— 不正確または不完全なデータの訂正
- 消去権(第17条、「忘れられる権利」)— 6つの根拠のいずれかに該当する場合の削除
- 処理制限権(第18条)— 検証待ちの間の一時的な「凍結」
- データポータビリティの権利(第20条)— データ主体が提供したデータの機械可読形式でのエクスポート
- 異議申立権(第21条)— ダイレクトマーケティングに対しては絶対的、その他の処理については比較衡量テスト
- 完全に自動化された意思決定の対象とされない権利(第22条)— 法的またはそれと同様に重大な効果を伴うプロファイリングを含む
対応期限 — RGPD第12条3項
管理者は30日以内に対応しなければならず、複雑さや量を理由に2か月延長できますが、延長の際は理由とともに最初の1か月以内に通知する必要があります。複数のマーケットプレイスにまたがり数千件のレコードを扱うポルトガルのeコマース事業者にとって、このSLAは運用上厳しいものです。対応漏れの多くは、Shopify、Amazon Seller Central、Worten Marketplace、メール、会計ソフトウェアに分散したデータに起因します。Zunaproのような一元化された顧客データレコードは、第15条の対応時間を数日から数分に短縮します。
本人確認と拒否
RGPD第12条6項は、合理的な疑いがある場合に限り追加の本人確認を認めています。一般的な運用としては、登録されたメールアドレスの確認や、任意で一部を伏せた本人確認書類の提出依頼が挙げられます。拒否が認められるのは、請求が明らかに根拠がないか過度である場合に限られ、管理者はそれを証明する必要があり、代わりに合理的な手数料を請求することもできます。
消去権と法定保存義務の対立
よくある運用上の緊張関係として、顧客が第17条に基づき消去を要求する一方で、管理者は請求書を10年間(付加価値税法典第52条)、会計記録を10年間(商法典第40条)保存しなければならないという状況があります。RGPD第17条3項(b)がこれを解決します。すなわち、消去は法的義務の遵守のために処理されるデータには適用されません。実務上の対応としては、マーケティング・行動データを匿名化し、請求書・会計データはアクセス制限のあるロック済みアーカイブに保存し、何を削除して何を保存したかを顧客に書面で説明することが挙げられます。
運用上のヒント: 受付日時、本人確認、検索範囲、エクスポートしたデータ、適用した非開示処理、回答の送付といった監査対応可能な記録を生成するデータ主体対応ワークフローを構築しましょう。CNPDは苦情に基づく監査の際にこの記録を要求します。Zunaproのデータ主体対応ワークフロー →
7. 個人データ侵害 — 72時間の通知期限
何が侵害に該当するか
RGPD第4条12項は、個人データ侵害を「送信、保存、その他の方法で処理された個人データの偶発的または違法な破壊、喪失、変更、無許可の開示、または無許可のアクセスをもたらすセキュリティ侵害」と定義しています。実務上、次の3つのカテゴリーは重なり合います。
- 機密性の侵害 — 無許可の開示またはアクセス(データ漏えい、ハッカーによる持ち出し、誤送信メール)
- 完全性の侵害 — データの無許可の改変(データベースの改ざん、ランサムウェアによる暗号化)
- 可用性の侵害 — データへのアクセス喪失(復旧不能なランサムウェアによるロックアウト、サーバーの破壊)
CNPDへの通知 — 第33条
侵害が発生した場合、管理者は認識してから72時間以内にCNPDへ通知しなければなりません。ただし、その侵害が自然人の権利および自由に対するリスクをもたらす可能性が低い場合を除きます。通知には次の内容を含める必要があります。
- 可能な範囲で、影響を受けたデータ主体および記録のカテゴリーとおおよその件数を含む、侵害の性質
- DPOまたはその他の窓口の氏名と連絡先
- 侵害によって想定される結果
- 侵害への対処および起こりうる悪影響の軽減のために講じられた、または提案される措置
72時間以内にすべての情報を提供できない場合は、部分的な通知でも受け付けられ、残りの情報は不当な遅延なく追って提供します。CNPDのオンライン侵害通知フォームは段階的な更新に対応しており、最初の提出は暫定通知とし、その後数日以内に詳細な更新を行うことができます。
データ主体への通知 — 第34条
侵害が権利および自由に対して高いリスクをもたらす可能性がある場合、管理者は影響を受けるデータ主体に対しても不当な遅延なく、明確なポルトガル語で、DPOの連絡先、結果、軽減策とともに侵害の内容を具体的に説明し、通知しなければなりません。第34条3項に定める3つの例外により、直接通知が免除されます。データが暗号化されており鍵が漏えいしていない場合、その後の措置により高いリスクが解消された場合、あるいは通知に不釣り合いな労力を要する場合(この場合は代わりに公的な発表が必要)です。
社内侵害登録簿と2026年版プレイブック
RGPD第33条5項は、通知を必要としなかった低リスクのものも含め、すべての個人データ侵害を文書化することを求めています。認識した日時、検知の情報源、分類、範囲、対象となったカテゴリーおよび対象者数、リスク評価、通知の判断とその日時、是正措置、根本原因分析、教訓です。実行可能な72時間プレイブックの例は以下のとおりです。
- 0時間 — 検知 — アラート、即座のトリアージ、範囲の特定
- 0〜4時間 — 封じ込め — 認証情報の失効、システムの隔離、フォレンジック証跡の保全
- 4〜24時間 — リスク評価 — DPOが分析を主導し、通知の判断を行う
- 24〜48時間 — CNPDへの初期通知 cnpd.ptのフォームを通じて(暫定通知でも可)
- 48〜72時間 — 完全な通知、第34条に基づくデータ主体への通知を判断
- 3〜7日目 — 必要な場合のデータ主体への通知(メールおよび公的声明)
- 7日目以降 — 教訓の整理、登録簿の更新、CNPDへのフォローアップ
時計が動き始めるのは「認識」であり、「発生」ではありません。 数週間前に発生していたが今日初めて検知された侵害であっても、72時間の期限は検知の時点から起算されます。逆に、「何か問題があるかもしれない」という単なる疑いはまだ認識にはあたりません。侵害が発生したという合理的な確信を得て初めて時計が動き始めます。Zunaproの侵害検知・72時間プレイブック →
8. 越境データ移転 — Schrems II判決後のSCC
Schrems IIという地殻変動
2020年7月16日、EU司法裁判所はSchrems II判決(C-311/18)を下し、当時約5,000件の大西洋横断データフローを規律していたEU-米国プライバシーシールドの枠組みを無効としました。裁判所は標準契約条項(SCC)の有効性を再確認する一方で、重要な条件を追加しました。管理者は、移転先の国の法律および実務がRGPDと実質的に同等の保護を提供していることを検証しなければならず、そうでない場合は補完的な措置を講じるか、移転を中止しなければなりません。
2026年の移転ツールキット
RGPD第5章に定める5つの仕組みが、EEA域外への移転を適法に認めることができます。
- 第45条 — 十分性認定 — 現在対象となっているのは、アンドラ、アルゼンチン、カナダ(商業分野)、フェロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、韓国、スイス、英国、ウルグアイです。アイスランド、リヒテンシュタイン、ノルウェーはEEAの一部とみなされます。
- 第46条 — 適切な保護措置 — SCC、BCR、承認された行動規範、認証。
- 第47条 — 拘束的企業準則 — グループ内、主導監督機関とEDPBの承認を得たもの。
- 第49条 — 適用除外 — 明示的同意(あくまで例外的な場合に限る)、契約上の必要性、公共/生命に関わる利益。通常の業務には適用されません。
- EU-米国データプライバシーフレームワーク(DPF) — 2023年7月10日発効、プライバシーシールドを置き換えるもの。自己認証した米国輸入者(AWS、Google、Microsoft、Meta、Salesforce、HubSpot、Mailchimp、Stripe、Shopify)は第45条の十分性認定に相当する扱いを受けます。
2021年版EU SCCと移転影響評価
欧州委員会の2021年版SCC(実施決定2021/914)はモジュール式であり、管理者→管理者、管理者→処理者、処理者→処理者、処理者→管理者という4つのシナリオに対応します。旧2010年版SCCは、新規契約については2021年9月27日から、すべての契約については2022年12月27日から廃止されており、2026年時点で2010年版SCCが使われている場合は無効であり、直ちに移行する必要があります。
Schrems II判決とEDPB勧告01/2020を受け、管理者は十分性認定の対象とならないすべての移転について移転影響評価(TIA)を完成させる必要があります。移転のマッピング、仕組み(SCC/BCR/DPF)、第三国の政府アクセス法制の評価(米国の場合はFISA第702条など)、補完的措置(EU域内で保有する鍵によるデータ保管時の暗号化、仮名化)、実質的に同等な保護についての結論です。CNPDはTIAの事前提出を求めていませんが、EEA域外の処理者が関わる監査においては提出を求めます。
2026年の実践的なスタック
- クラウド(AWS / GCP / Azure) — DPF認証済み + EUリージョン。EUリージョンを優先し、DPFを代替手段として文書化する
- メール(Mailchimp、SendGrid) — DPF認証済み。BrevoのようなEU代替サービスの方が望ましい場合が多い
- アナリティクス(GA4) — DPF認証済み + Consent Mode v2 + IPアノニマイゼーション
- カスタマーサポート(Zendesk、Intercom) — DPF + EUデータレジデンシーのアドオンが利用可能
- マーケットプレイスAPI(Amazon SP-API) — 欧州の出品者アカウントについてはEU経由でルーティング
🌍 デフォルトでEUリージョンにデータを保持
Zunaproは、ポルトガルの顧客データをすべてEUリージョン(フランクフルト + リスボンのフェイルオーバー)でホストし、米国限定のサブ処理者についてはDPF認証済みのフォールバックを用意しています。ご利用のスタックに合わせたTIAテンプレートもあらかじめ用意されています。
9. CNPDの制裁金 — 最大2,000万ユーロまたは全世界売上高の4%
第83条による段階的な制裁
RGPD第83条は2段階の制裁金を定めており、CNPDは固定上限額と売上高比率のいずれか高い方を科すことができます。
| 段階 | 最大制裁金 | 対象となる違反 |
|---|---|---|
| 第1段階(第83条4項) | 1,000万€または全世界年間売上高の2% | 記録(第30条)、セキュリティ(第32条)、侵害通知(第33〜34条)、DPO任命(第37〜39条)、DPIA(第35〜36条)、子どもの同意(第8条)、認証、行動規範 |
| 第2段階(第83条5項) | 2,000万€または全世界年間売上高の4% | 適法根拠(第5〜6条)、同意の要件(第7条)、特別カテゴリーデータ(第9条)、データ主体の権利(第12〜22条)、国際移転(第44〜49条)、CNPDの命令への不遵守 |
| Lei 58/2019 | ポルトガル特有の行政違反 | LPDP第37〜50条は、標識のないCCTV、報道に関する適用除外の違反など、ポルトガル特有の事項について詳細な制裁を追加 |
CNPDによる制裁金の算定方法
CNPDが考慮する第83条2項の要素は、性質・重大性・期間、故意または過失の程度、軽減のための取り組み、技術的・組織的措置、過去の違反歴、CNPDへの協力度、影響を受けたデータのカテゴリー、違反がどのように判明したか、行動規範への遵守、得られた経済的利益または回避された損失です。
CNPDの主要な制裁事例 — これまでの実績
- 430万€ — INE(国立統計院、2021年) — 第46条の保護措置を伴わない、国勢調査データの米国サブ処理者への移転。これまでで最大のポルトガルRGPD制裁金
- 125万€ — Hospital do Barreiro(2018年) — 診療記録への過剰なアクセス。医療分野はCNPDの重点分野
- 40万€ — Câmara Municipal de Lisboa(2021年) — デモ主催者の個人データの開示
- 17万€ — Banco Santander Totta(2021年) — データ主体からの請求への不適切な対応
- クッキーバナー、DPO連絡先の欠如、遅延した侵害通知に対する1万〜7.5万€規模の中小企業向け制裁金多数
制裁金を超えて — 民事責任
RGPD第82条は、財産的または非財産的損害に対する賠償請求権をデータ主体に付与しています。ポルトガルの裁判所は、不安や制御喪失といった非財産的損害について、影響を受けた対象者1人あたり500〜5,000ユーロの賠償を認め始めており、数千人の対象者に及ぶ場合、民事責任は行政制裁金をはるかに上回る可能性があります。CNPDの決定に関する報道は一貫して行われており、特にB2Cブランドにとって評判上のダメージは深刻です。
💼 サイバー保険・RGPD保険の推奨
ポルトガルの多くの商業保険会社は現在、CNPDの制裁金(保険可能な範囲)、第82条に基づく民事責任、侵害対応コストをカバーする専用のサイバー・RGPD保険を提供しています。Zunaproは審査済みのブローカーリストを公開しています。
10. 2026年版ポルトガルeコマースRGPDコンプライアンスチェックリスト
規制を実務運用に落とし込む上で最も有用なツールが、具体的なチェックリストです。以下のリストは、本ガイドで取り上げたすべての実行項目を、執行リスクの高い順にまとめたものです。
ガバナンスと文書化
- 第37条の要件に該当する場合はDPOを任命し、CNPDに登録する
- すべての目的、適法根拠、カテゴリー、保存期間、受領者、移転をカバーするROPA(第30条)を維持する
- 高リスクの処理についてはDPIA(第35条)を実施する
- すべての処理者(クラウド、メール、アナリティクス、マーケットプレイス、決済、配送業者)と第28条DPAを締結する
- EEA域外へのすべての移転についてTIAを文書化する
- 社内の侵害登録簿を維持する(第33条5項)
ユーザー向け対応
- 第13/14条の全要素をカバーする、階層化されバージョン管理されたポルトガル語プライバシーポリシーを公開する
- CNPD準拠のクッキーバナーを導入する — 対称な同意/拒否、デフォルトオフの詳細カテゴリー、常時利用可能な撤回手段
- 各フォーム(登録、チェックアウト、ニュースレター、レビュー)の収集時点で通知を表示する
- 簡単なデータ主体対応チャネルを提供する — メールおよび/またはウェブフォーム、30日以内の対応
- ダイレクトマーケティングへのオプトアウトを直ちに尊重する(第21条3項は絶対的権利)
技術的・組織的措置
- 第32条のセキュリティ要件を実装する — 保存時・通信時の暗号化、アクセス制御、管理画面へのMFA、脆弱性スキャン
- 設計段階からのデータ最小化(第25条)を適用する
- 自動削除を伴う保存ポリシーを実施する
- 可能な限り、特にアナリティクスにおいて仮名化または匿名化を行う
- 72時間侵害プレイブックを毎年机上演習でテストする
- 個人データを扱うスタッフを研修する — 最低でも年1回の更新研修
四半期ごとのコンプライアンス監査
以下をカバーする構造化された四半期監査を実施します。接続中の処理者に対するROPAの最新性、現在の処理実態に対するプライバシーポリシーのバージョン、宣言済みカテゴリーに対するクッキーバナーのスクリプトリスト、データ主体対応ログ(件数、対応時間、遅延の原因)、侵害登録簿(件数、根本原因、是正措置)、第28条DPA一覧、TIA一覧、スタッフ研修ログ、DPOの活動ログ(助言、DPIA、CNPDとのやり取り)です。
ポルトガルのRGPDコンプライアンスを1つのパネルに集約
Zunaproは、同意バナー、ROPA、第28条DPA、データ主体対応ワークフロー、侵害対応プレイブック、TIAテンプレート、CNPD形式のDPO登録簿といったRGPDのあらゆる要件を、Amazon、Worten、Fnac、Continenteのマーケットプレイス連携とあわせて1つにまとめて提供します。コンプライアンスは後付けではなくインフラです。
RGPDコンプライアンスを有効化する →ポルトガルRGPD FAQ 2026
RGPDとは何ですか。GDPRとの関係は?
RGPD(Regulamento Geral de Proteção de Dados)は、EU一般データ保護規則2016/679(GDPR)のポルトガル語名称にすぎません。文字通り同一の規則であり、言語による呼び方が異なるだけです。
ポルトガルでは、RGPDを補完する形で2019年8月8日公布の国内実施法Lei n.º 58/2019(LPDP — 個人データ保護法)があり、ポルトガルの監督機関であるCNPD(Comissão Nacional de Proteção de Dados)がその執行を担っています。
CNPDとは何者で、どのような権限を持っていますか?
CNPD(Comissão Nacional de Proteção de Dados)は、Lei n.º 10/91によって設立されたポルトガルの独立データ保護監督機関であり、EU域内でも最も歴史のあるDPAの1つです。共和国議会の監督下にある7名の委員で構成されています。
CNPDは苦情の調査、管理者・処理者への監査、拘束力のある決定の発出を行い、重大なRGPD違反に対しては最大2,000万ユーロまたは全世界年間売上高の4%の行政制裁金を科すことができます。本部はリスボンのAvenida D. Carlos I, n.º 134にあります。
ポルトガルではクッキー同意バナーは法律で義務付けられていますか?
はい。Lei n.º 41/2004によって国内法化されたEUのePrivacy指令2002/58/EC第5条3項は、非必須クッキーを設置する前にオプトイン同意を求めています。CNPDの2019/494ガイドライン(2022年更新)は、対称的な同意/拒否、デフォルトオフの詳細カテゴリー、クッキーウォールの禁止、「閲覧の継続は同意とみなす」の禁止といった要件を詳細に定めています。
同意義務の対象外となるのは、厳密に必要なクッキー(セッション、カート、CSRF、言語設定、同意保存自体)のみです。それ以外のもの、すなわちGoogleアナリティクス、Meta Pixel、TikTok Pixel、リターゲティング、埋め込みのサードパーティコンテンツなどは、明示的な事前同意を必要とします。
ポルトガルのeコマースサイトはいつDPOを任命する必要がありますか?
RGPD第37条は、次の場合にDPO(Encarregado de Proteção de Dados — EPD)の任命を義務付けています。(a)主たる活動が個人の大規模で組織的な監視(行動追跡、プロファイリング、リターゲティング)を含む場合。(b)主たる活動が特別カテゴリーデータ(健康、生体、人種的出自など)の大規模な処理を含む場合。(c)管理者が公的機関である場合。
リターゲティング、プログラマティック広告、ロイヤルティプロファイリングを行う、または顧客記録を1万件以上処理する中堅・大規模なポルトガルのeコマース事業者は、通常これらの要件に該当し、DPOを任命してその連絡先をCNPDに登録する必要があります。外部DPOアズアサービスは月額350ユーロから広く利用可能です。
RGPDのもとでポルトガルの消費者にはどのような権利がありますか?
RGPD第15条から第22条は、データ主体に8つの権利を付与しています。アクセス権、訂正権、消去権(「忘れられる権利」)、処理の制限を求める権利、機械可読形式でのデータポータビリティの権利、処理に対する異議申立権(ダイレクトマーケティングに対しては絶対的権利)、そして法的効果を伴う完全に自動化された意思決定の対象とされない権利です。
管理者は30日以内に応答しなければならず、複雑な請求の場合は60日延長できます。請求が明らかに根拠がない、または過度である場合を除き、応答は無料です。拒否には理由を示す必要があり、CNPDに不服申立てが可能です。
72時間以内の侵害通知ルールとは何ですか?
RGPD第33条は、管理者が個人データ侵害を認識してから72時間以内にCNPDへ通知することを義務付けています。ただし、その侵害がデータ主体の権利および自由に対するリスクをもたらす可能性が低い場合を除きます。CNPDはcnpd.ptでオンライン侵害通知フォームを提供しています。
侵害が高いリスクをもたらす可能性がある場合、第34条により、影響を受けるデータ主体への不当な遅延のない直接通知も義務付けられます。72時間以内に通知しなかったこと自体もRGPD違反として制裁対象となります(最大1,000万ユーロまたは売上高の2%)。時計が動き始めるのは認識の時点であり、発生の時点ではありません。
Schrems II判決後、ポルトガルは越境データ移転をどのように扱っていますか?
EU司法裁判所によるSchrems II判決(C-311/18、2020年7月)を受け、EEA域外への個人データ移転にはRGPD第46条に基づく保護措置が必要です。ポルトガルのeコマースにおける標準的な仕組みは2021年版EU標準契約条項(実施決定2021/914)です。
米国への移転については、AWS、Google、Microsoft、Meta、Salesforce、HubSpotなどの認証を受けた輸入者に対して、EU-米国データプライバシーフレームワーク(DPF、2023年7月発効)を利用することもできます。CNPDは、管理者がEEA域外へのすべての移転について移転影響評価(TIA)を文書化することを期待しています。
RGPDのもとでのCNPDの最大制裁金はいくらですか?
RGPD第83条は2つの段階を定めています。手続き上の違反(記録、セキュリティ、侵害通知、DPO)については最大1,000万ユーロまたは全世界年間売上高の2%。実体的な違反(適法根拠、同意、データ主体の権利、国際移転)については最大2,000万ユーロまたは全世界年間売上高の4%です。上限額と割合のいずれか高い方が適用されます。
CNPDはこれまで、保護措置のない米国への移転を理由に2021年にINE(国立統計院)へ430万ユーロ、Hospital do Barreiroへ125万ユーロなど、数百万ユーロ規模の制裁金を科してきたほか、クッキーバナーやデータ主体対応をめぐる一連の中小企業向け制裁金も科しています。
ポルトガルのeコマースサイトには書面によるプライバシーポリシーが必要ですか?
はい。RGPD第12条、第13条、第14条は、管理者がデータ主体に対し、処理に関する包括的な情報を提供することを義務付けています。具体的には、管理者およびDPOの身元、目的および適法根拠、受領者、国際移転先の国、保存期間、CNPDへの苦情申立権を含むデータ主体の権利です。
プライバシーポリシーは明確で平易なポルトガル語(Lei 58/2019第2条が言語要件を強化)で記載し、利用規約とは分離し、すべてのページから容易にアクセスできるようにし(フッターリンクが標準)、新しい処理者が追加されたり新しい目的が加わったりするたびに更新する必要があります。汎用のコピー&ペーストのテンプレートは、CNPDの監査で頻繁に不合格となります。
RGPDのもとで顧客データはどのくらいの期間保存する必要がありますか?
RGPDはデータの最小化と保存の制限(第5条1項(c)〜(e))を求めています。ポルトガルのeコマースにおける保存期間は多層的です。請求書データは10年間(付加価値税法典第52条)、会計記録は10年間(商法典第40条)、マーケティング同意は同意が有効である限り無期限だが定期的な再確認が必要、ウェブアナリティクスは通常14〜26か月、CCTV映像は最大30日間(CNPD決定7680/2014)です。
各カテゴリーは処理活動記録(RGPD第30条)に文書化し、プライバシーポリシーにも明示する必要があります。第17条に基づく消去は法定保存義務に優先しません。請求書については、削除するのではなくロック済みアーカイブに保存します。
2026年、ポルトガルでGoogleアナリティクスは合法ですか?
はい、適切な保護措置を講じれば合法です。Schrems II判決後、複数のEU監督機関(オーストリア、フランス、イタリア)は標準的なGA3の実装を違法と判断しました。Googleアナリティクス4(GA4)にEU-米国データプライバシーフレームワーク認証(2023年7月発効)とIPアドレスの匿名化を組み合わせれば、現在ポルトガルでも防御可能な運用となります。CNPDはGA4を禁止していません。
ベストプラクティスとしては、Consent Mode v2、IPアノニマイゼーションの有効化、厳密に必要でない場合のGoogleシグナルの無効化、そして移転影響評価の文書化を伴うGA4の導入が挙げられます。EUリージョンでのGTM SSを用いたサーバーサイドタグ付けは、移転リスクをさらに低減します。PlausibleやMatomoのようなEU限定の代替サービスを使えば、この問題自体を完全に解消できます。
データ管理者とデータ処理者の違いは何ですか?
RGPD第4条によれば、管理者(responsável pelo tratamento)は処理の目的および手段を決定する主体であり、通常はeコマース事業者自身です。処理者(subcontratante)は、文書化された指示に基づき管理者の代わりにデータを処理する主体であり、通常はクラウドホスティング事業者、メール配信事業者、マーケットプレイス、決済ゲートウェイなどの供給者です。
RGPD第28条は、すべての処理活動について管理者と処理者の間で書面によるデータ処理契約(DPA)を締結することを求めています。Amazonなどのマーケットプレイスや主要なSaaSベンダーは標準DPAを公開していますが、小規模なポルトガルの事業者は、しばしば個別対応のポルトガル語DPAを必要とします。管理者と処理者はいずれも、コンプライアンス違反があればRGPD第83条の制裁対象となります。
同意の代わりに正当な利益という適法根拠を使うことはできますか?
場合によっては可能です。RGPD第6条1項(f)は、文書化された3段階の比較衡量テストを経た場合に限り、正当な利益に基づく処理を認めています。(1)利益が正当であること、(2)処理が必要であること、(3)その利益がデータ主体の権利によって上回られないこと、です。
これは不正防止、社内管理業務、ネットワークセキュリティ、一部のB2Bダイレクトマーケティングには機能します。しかし、クッキー・トラッカーには機能せず(ePrivacyが優先される)、特別カテゴリーデータにも、異議申立てを行った相手へのマーケティングにも機能しません。比較衡量テストはROPAに文書化する必要があります。
顧客がCNPDに苦情を申し立てた場合、何が起こりますか?
CNPDは案件をオープンし、通常10〜20営業日以内に書面による意見を求めて管理者に連絡し、文書(ROPA、プライバシーポリシー、データ主体対応ログ、侵害登録簿、DPA)の提出を求める場合があり、書面または現地での調査を実施します。手続きは、却下、警告、是正命令、または行政制裁金のいずれかで終了します。
協力的な姿勢と、実証可能なコンプライアンス体制は、制裁金の可能性を大幅に減らします。ZunaproのRGPDコンソールは、要求に応じてCNPDが受理可能なポルトガル語形式のあらゆる標準文書を作成します。
ワンクリックでポルトガルのeコマースをRGPD対応に
CNPD準拠のクッキー同意バナー・ポルトガル語プライバシーポリシー・ROPA・第28条DPA・データ主体対応ワークフロー・72時間侵害対応プレイブック・TIAテンプレート・DPO連絡先カード。Zunaproのすべてのポルトガルマーケットプレイス連携に組み込まれています。法務テック系のデモも不要、長期契約も不要です。
🛡️ RGPDコンプライアンスを有効化する →