どの運送会社も、自社の車両追跡パネルを見るまでは、機微な個人データなど扱っていないと考えています。地図上の一つひとつの点は、リアルタイムの自然人の位置情報です。各ドライバーには運転免許証(CNH)、CPF、労働時間、テレメトリによる生体データがあり、さらに多くの場合、薬物検査の健康データまで含まれます。各荷主である顧客は、連絡先や住所を提供し、ラストマイルでは最終受取人の氏名と電話番号までも預けます。LGPDはこの業界を例外扱いしていません——サプライチェーンの端から端まで適用されます。
これは実行可能なチェックリストであり、法律の要約ではありません。運行ディレクターが解決すべき六つのポイントを網羅しています:個人データがどこに存在するかをマッピングする、各処理を法的根拠で正当化する、リスクが高いところでリスク評価する(車両追跡はここに該当します)、保管期間を定める、技術的セキュリティを固める、そして何かが漏洩したときの対応計画を持つ。プライバシー・バイ・デザインであり、後付けの繕いではありません。
なぜ運送会社はLGPDにおいて機微なケースなのか
この業界は、まさにANPD(国家データ保護局)が最も注視するカテゴリーを集中的に扱っています。気づかないうちにすでに取り扱っているものを理解しておく価値があります:
- 自然人の位置情報。車両追跡(SASCAR、Autotrac、Omnilink、Onixsat、Cobli、Geotab)はトラックを追跡しているのではありません——トラックを運転しているドライバーを追跡しているのです。識別された個人の継続的な位置情報は個人データであり、移動履歴は生活パターンを明らかにします。
- ドライバーのデータ。CPF、CNH、写真、労働時間、行動テレメトリ(ブレーキ、速度、疲労)、そして薬物検査やASO(健康診断証明書)における機微な健康の個人データ——これには独自の、より厳格なルールがあります。
- 顧客および受取人のデータ。B2Bでは荷主の連絡先を保有し、ラストマイルでは、あなたと直接契約したことのない人々の氏名、住所、電話番号を扱います。
- 画像と音声。キャビン内カメラ(DMS/ADAS)、守衛所、コールセンターの録音。
これに加え、これらのデータは静止したままではありません:テレメトリ機器、TMS(RODOPAR)、ERP(SAP、TOTVS、Sankhya、Omie)、そして途中の各種スプレッドシートの間を移動します。一つひとつの移動が、コンプライアンスが崩れうるポイントなのです。
1. 個人データがどこに存在するかをマッピングする
見えないものは守れません。最初の項目——そして最も多くの企業が飛ばしてしまうもの——が個人データの棚卸し(ROPA、処理業務の記録)です。各フローについて、次に答えてください:
- どんなデータか?CPF、CNH、位置情報、テレメトリ、受取人の連絡先。
- 誰のものか?ドライバー、顧客、受取人、応募者。
- どこにあるか?車両追跡プラットフォーム、TMS、ERP、BI、そして——正直に言えば——どのスプレッドシートやメールか。
- どれくらいの期間か?そして誰が閲覧アクセス権を持つか。
- どこへ送られるか?保険会社、荷主、ANTT、リスク管理会社、インテグレーターとの共有。
実務上、死角となるのはほぼ必ず連携部分です:SASCARから出て、誰も文書化していないスクリプト経由でRODOPARに届くデータや、誰かがWhatsAppにエクスポートするBIレポートなどです。マッピングは同時に、存在する必要のないものを排除する機会でもあります——途中のスプレッドシートは、運用上のリスクであると同時にLGPD上のリスクなのです。
2. 各処理の法的根拠を定める
すべての処理は、第7条にある10の根拠のいずれかを必要とします。よくある誤りは、すべてを同意に依拠させることです——同意は脆弱で、撤回可能であり、雇用関係の文脈では法的に疑問があります。運送会社において、業務を実際に支える根拠は、次のものが一般的です:
- 契約の履行——荷物を追跡し、配達を完了するために受取人のデータを取り扱う。
- 法的・規制上の義務——ANTT、税務、労働に関する要件。
- 正当な利益——資産のセキュリティ、貨物盗難の防止、車両管理。ここでのルールは明確です:正当な利益には、その目的がドライバーの権利を踏みにじらないことを示す、文書化された比較衡量テスト(LIA)が必要です。
- 生命の保護——緊急事態(事故、車両の乗っ取り)において。
機微な健康データ(薬物検査、ASO)には独自の枠組みがあり、原則として正当な利益には依拠しません。各フローに正しい根拠をマッピングすることが、堅固な防御と制裁金とを分けるのです。
3. リスクが高いところでDPIAを実施する
データ保護影響評価報告書(DPIA / RIPD)は、あなたの書面によるリスク評価です。すべてに求められるわけではありません——処理が高リスクである場合に求められ(そして強く推奨され)ます。運送会社では、次の場合に該当します:
- ドライバーの位置情報の体系的かつ継続的な監視。
- 人の状態を推測する行動テレメトリや疲労検知カメラ。
- 機微な健康データの大規模な取り扱い。
優れたDPIAは、処理を記述し、必要性と比例性を評価し、データ主体へのリスクを列挙し、そして——最も重要な点として——低減措置を記録します。これは、監査においてANPDが最初に求める文書です。インシデントの前にこれを用意しておくことは、サイトのフッターにあるどんな立派なポリシーよりも価値があります。
4. 保管と廃棄のポリシーを確立する
個人データは死蔵ファイルではありません:目的を超えて保管すること自体が違反です。原則は必要性です——必要な期間だけ保持し、その後は削除または匿名化する。カテゴリーごとに明確な期限を定めてください:
- 車両追跡の履歴——地点ごとの位置情報はどれくらいの期間存在する必要があるか?運用上・法律上の期限が過ぎたら、集計または匿名化する。
- 不採用の応募者のデータ——人材プールへの同意がある場合を除き、選考プロセス後に廃棄する。
- 退職したドライバーのデータ——労働法が要求するものだけを保持し、残りは削除する。
理想的には、廃棄は自動的で、システム自体によって実行されるべきです——収集から廃棄まで、誰かがスプレッドシートを消すのを覚えているかどうかに頼らずに。「念のため」保持することは、プライバシー・バイ・デザインのまさに正反対です。
5. 技術的セキュリティを固める
LGPDは、データを「保護するに足る」技術的・管理的措置を求めています。業務に翻訳すると:
- 役割ベースのアクセス制御。ヤードを運用する人が、すべてのドライバーの位置情報履歴を見る必要はありません。常に最小権限で。
- 追跡装置、TMS、ERP間の連携も含めた、転送中および保存時の暗号化。
- ログと監査証跡。誰が、いつ、何にアクセスしたかを把握することは贅沢ではありません:それは監査において注意義務を尽くしたことを証明するものです。
- BIおよびテスト環境における匿名化と仮名化——指標パネルにCPFが必要になることはめったにありません。
- サプライヤー(処理者)の管理。車両追跡プラットフォームとインテグレーターは処理者です;契約には保護義務を定める必要があります。責任はあなたの玄関先で終わりません。
ここが、セキュリティとデータガバナンスが交わる場所であり——ペネトレーションテストが、紙の上のポリシーには見えないものを明らかにする場所です。
6. インシデント対応計画を持つ
漏洩は遠い仮定ではありません;いつ起こるかの問題です。LGPDは、インシデントが重大なリスクを生じさせうる場合に、合理的な期間内でANPDおよびデータ主体に通知することを義務づけています。計画がなければ、企業は最悪のタイミングで即興対応することになります。最低限必要なもの:
- 誰が誰を招集するか——IT、法務、データ保護責任者、経営陣の間の明確なフロー。
- 指名・公表されたデータ保護責任者(DPO)——データ主体が権利を行使するための、見える連絡窓口。
- プレッシャー下で書かずに済むよう、準備済みの通知テンプレート。
- 範囲を特定する能力——どのデータ主体の、どのデータが影響を受けたか。項目1の棚卸しがなければ、これは不可能です。
六つの項目は互いに支え合っています:マッピングがDPIAを支え、セキュリティがマッピングされたものを守り、対応計画は自社が何を持っているかを把握して初めて機能します。それはバラバラなタスクの一覧ではなく、一つのシステムなのです。
Meta Dadosが実務でこれをどう進めるか
運送会社のコンプライアンスは、ほぼ必ず同じ地点で行き詰まります:個人データが追跡装置、TMS、ERP、スプレッドシートの間に散在し、誰も全体像の地図を持っていないのです。それはまさに、私たちが二つの領域——連携エンジニアリングとサイバーセキュリティ——を結びつける領域です。
私たちのセキュリティの手法は、科学的な素養(USP博士号、ITA工学)と、イスラエルの攻撃的サイバーセキュリティの流儀(ベングリオン大学)から生まれています:攻撃者があなたを試す前に、攻撃者が試すのと同じように業務を試験します。データの領域では、マッピング(ROPA)、法的根拠の定義、高リスクフローのDPIA、自動廃棄を伴う保管ポリシー、そして連携の技術的な堅牢化——途中のスプレッドシートの根絶を含む——を行います。プライバシー・バイ・デザインであり、後付けの繕いではありません。
まずは48時間の無料診断から始めます:あなたの実際の個人データのフローを見て、具体的なリスクがどこにあるかを指摘します——曖昧な約束ではなく、経営陣が理解できる証拠とともに。
よくある質問
運送会社は本当にLGPDに適合する必要があるのか?
はい、しかも最も曝露されている業界の一つです。車両追跡は自然人の位置情報であり、ドライバーのデータには機微な健康情報(薬物検査、ASO)が含まれます。LGPDは荷主から最終受取人まで、業界の例外なく適用されます。
ドライバーの追跡はLGPDにおいて個人データとみなされるのか?
はい。識別された個人の継続的な位置情報は個人データであり、移動履歴は生活パターンを明らかにします。体系的な監視であるため、文書化された比較衡量テストを伴う正当な利益を法的根拠とすることが通常求められ、多くの場合、DPIAも必要となります。
車両を追跡するために正当な利益を使えるか?
一般的には、資産のセキュリティと貨物盗難の防止のために使えます。しかし正当な利益は自動的なものではありません:その目的がドライバーの権利を踏みにじらないことを示す書面による比較衡量テスト(LIA)と、監視に関する透明性が必要です。
車両追跡の履歴はどれくらいの期間保管できるか?
目的および法的義務に必要な期間だけです。法律に単一の期限は存在しません——あなたがカテゴリーごとに定め、文書化します。期限が過ぎたら、念のため識別可能なまま保持するのではなく、位置情報履歴を匿名化または集計することが推奨されます。
DPIAとは何か、運送会社は実施を義務づけられているのか?
DPIA(またはRIPD)は、処理のリスクを評価し、低減措置を記録する影響評価報告書です。強く推奨され、高リスクの処理——ドライバーの継続的監視や健康データの取り扱いがこれに該当します——ではしばしば求められます。監査においてANPDが最初に求める文書です。
運送会社をLGPDに適合させるにはどれくらい時間がかかるか?
成熟度と統合されたシステムの数によりますが、初期診断は48時間で完了し、具体的なリスクがどこにあるかを示します。適合は通常、段階的に進められます——マッピングと最も高リスクなフローから始め——業務を止めることなく行われます。