ホーム/ローカルLLM/ローカルAIとLGPD：ブラジルのデータ保護法に違反せずにAIを使う

Privacy & Business

ローカルAIとLGPD：ブラジルのデータ保護法に違反せずにAIを使う

最終更新: 2026年6月·11分で読める·Hans Kuepper 著 · PromptQuorumの創設者、マルチモデルAIディスパッチツール · PromptQuorum

言語を選択:

🇺🇸en 🇩🇪de 🇫🇷fr 🇯🇵ja 🇨🇳zh 🇪🇸es 🇧🇷pt 🇸🇦ar 🇰🇷ko

LLMをローカルで実行すると、プロンプト、ドキュメント、応答が自社インフラ内にとどまります — 推論時に国際的なデータ移転がなく、これはクラウドAIにおけるLGPDの主要な摩擦点です。ローカルAIは自動的に準拠を保証するものではありません。依然として適法な根拠、データ主体対応のプロセス、そして（必要な場合は）DPOが必要です。これは情報提供であり、法的助言ではありません。

FGVの調査によると、主要なクラウドAIプラットフォーム7社すべて — ChatGPT、Gemini、Claude、Copilot、Grok、DeepSeek、Meta AI — がブラジルのLGPD（Lei nº 13.709/2018）に完全には準拠していません。よくある不備として、プライバシーポリシーがポルトガル語で提供されていない点があります。これはLGPDの明確な要件です。大規模言語モデルをローカルで実行すれば、推論時にプロンプトとドキュメントがブラジル国内にとどまり、国際移転の問題を根本から解消します。本ガイドでは、LGPDが求めること、クラウドAIが苦戦する理由、そしてローカルLLMがどう役立つかを説明します — これは情報提供であり、法的助言ではありません。

重要なポイント

LGPD（Lei nº 13.709/2018）はブラジルのデータ保護法で、2020年9月に施行され、2021年8月から執行されています。規制当局はANPDです。
FGVの調査によると、主要なクラウドAIプラットフォーム7社すべて（ChatGPT、Gemini、Claude、Copilot、Grok、DeepSeek、Meta AI）が14項目の基準にわたってLGPDに完全には準拠していません。
よくあるクラウドの不備：プライバシーポリシーがポルトガル語で提供されていないこと。これはLGPDの明確な要件です。
クラウドAIは推論時に通常データをブラジル国外へ移転します — LGPDはセーフガードのない国際移転を制限しています。
LLMをローカルで実行すると推論時にデータが国内にとどまり、移転問題を根本から解消します。
ローカルAIは準拠のための万能薬ではありません。依然として適法な根拠、データ主体対応プロセス、必要な場合はDPOが必要です。
これは情報提供であり、法的助言ではありません。 個別の状況についてはDPOまたは弁護士にご相談ください。

LGPDとは何か？

LGPD（Lei Geral de Proteção de Dados、Lei nº 13.709/2018）はブラジルの一般データ保護法です。2020年9月に施行され、行政制裁は2021年8月から執行可能となりました。規制当局はANPD（Autoridade Nacional de Proteção de Dados）です。

LGPDは、組織自体の所在地に関わらず、ブラジル国内の個人の個人データを処理するすべての組織に適用されます。EUのGDPRと同様に、域外適用の効力を持ちます。

AI利用に関連する中核的な義務：すべての処理活動に対する適法な根拠、データ主体の権利（アクセス、訂正、削除、ポータビリティ）、データ最小化、適切なセーフガードのない国際移転に対する制限。プライバシーポリシーはポルトガル語で提供されなければなりません。

制裁金はブラジルにおける企業の売上高の最大2%に達し、違反ごとにR$ 50百万を上限とします。これに加えて、警告、データ処理の停止、違反の公表があります。

📍 一文で説明

LGPD（Lei nº 13.709/2018）はブラジルのデータ保護法で、ANPDによって執行され、適法な根拠、データ主体の権利、そして個人データのブラジル国外への移転に対する制限を求めています。

💬 簡潔に説明

LGPDは、欧州のGDPRのようなプライバシー法のブラジル版です。あなたの会社がブラジル国内の人々の個人情報 — 名前、メール、書類など、誰かを特定できるもの — を扱う場合、LGPDは、それを行う法的な理由を持ち、人々が自分のデータを閲覧・削除できるようにし、そのデータを他国へ送る際には注意するよう求めています。これを執行する機関はANPDと呼ばれます。罰金はブラジルの売上高の2%、違反ごとにR$ 50百万に達することがあります。

クラウドAIがLGPDで苦戦する理由

FGV Direito Rioのテクノロジー・社会センター（同センターのPlatform Governance and Data Regulationsプロジェクトの一環）による調査は、主要な生成AIプラットフォームがLGPDの義務をどの程度満たしているかを評価しました。ChatGPT、Gemini、Claude、Copilot、Grok、DeepSeek、Meta AIを対象に14項目の基準を検証し、いずれも完全には準拠していないことが判明しました。Gemini、Claude、Meta AIが最も良い結果を示し、それぞれ14項目中10項目を満たしました。

最も一貫した不備は透明性でした。多くのプラットフォームはプライバシーポリシーをポルトガル語で提供しておらず、これはLGPDの要件に直接反します。ANPDも生成AIに関する予備調査を公表しており、この分野への規制上の関心を示しています。

第二の構造的な問題はデータの所在地です。クラウドAIサービスにプロンプトを送信すると、そのデータは通常ブラジルを離れ、海外のサーバーで処理されます。LGPDは、特定のセーフガードが適用される場合を除き、個人データの国際移転を制限しています — そのため、個人データや機微データに対して海外のクラウドAIを日常的に使用すると移転リスクが生じます。

これは法的助言ではありません。下記の表は公に観察可能なリスク要因をまとめたものです。規制対象データをいずれかのプラットフォームに委ねる前に、DPOまたは弁護士にご相談ください。

クラウドAIプラットフォーム	PTのプライバシーポリシー？	データはブラジルを離れる？	LGPDリスク
ChatGPT	なし	はい	高
Gemini	部分的*	はい	高
Claude	部分的*	はい	高
Copilot	部分的*	はい	高
DeepSeek	なし	はい	高
Grok	なし	はい	高
Meta AI	部分的*	はい	高

*「部分的」は、FGVの調査時点でのポルトガル語対応が混在または不完全であったことを反映しています。各プロバイダーに直接、現在の状況をご確認ください。7社すべてのプラットフォームが、検証された14項目のLGPD基準にわたって不備を抱えていました。この表はリスク要因をまとめたものであり、法的助言ではありません。

ローカルAIがデータ主権にどう対応するか

LLMをローカルで実行するとは、推論を自分が管理するハードウェア — ノートパソコン、ワークステーション、またはオンプレミスサーバー — で行うことを意味します。送信するプロンプト、入力するドキュメント、生成される応答は、決して自社インフラから出ません。推論時に国際的なデータ移転がなく、これによりクラウドAIにおけるLGPDの最大の摩擦点が解消されます。

手早いローカルセットアップには、OllamaがWindows、macOS、Linuxで単一のコマンドによりモデルを実行します。CPUのみのサーバーやエアギャップ環境には、llama.cppがきめ細かな制御を提供します。どちらもすべての処理をローカルに保ちます。

ローカルAIはそれ単体で完全な準拠ソリューションになるわけではありません。依然として個人データを処理するための適法な根拠、ログやデータベースに保存するあらゆるデータについてデータ主体の権利を尊重するプロセス、データ保持ポリシー、内部のデータガバナンスが必要です。規模とデータの種類が求める場合は、依然としてDPOが必要です。ローカル推論が解消するのは越境移転の問題であり、その他のLGPD上の義務を取り除くものではありません。

これは情報提供であり、法的助言ではありません。ローカル導入は、全体的な準拠プログラムの一環として、DPOまたは法務担当者によるレビューを受けるべきです。

ブラジル企業向けの推奨セットアップ

ほとんどのブラジル企業にとって実用的でLGPDに適したローカルAIスタックは、簡単なランタイムと高性能なポルトガル語モデルを組み合わせます。モデルの選択については、ブラジルポルトガル語向けの最良のローカルLLMに関する併読ガイドをご覧ください。

ランタイム — Ollama（推奨）： Windows、macOS、Linuxでワンコマンドのインストールとモデル管理。ほとんどのチームにとって最良の出発点です。
ランタイム — LM Studio： 技術者でないユーザー向けのグラフィカルインターフェース。GGUFモデルの直接読み込みに対応します。
モデル — Qwen3 8B： 強力なブラジルポルトガル語、8GBのVRAMで動作。`ollama run qwen3:8b`。
モデル — Qwen3 14B： ニュアンスのあるポルトガル語向けの高品質、約9GBのVRAMが必要。`ollama run qwen3:14b`。
モデル — Llama 3.1 8B： 競争力のあるポルトガル語の代替、こちらもOllamaで利用可能。`ollama run llama3.1:8b`。
ハードウェア： 8GB以上のRAMを備えたマシンならCPUのみで小型モデルを実行できます。16GBのRAM（または8GB以上のVRAMを備えたGPU）で8Bモデルに実用的なインタラクティブ速度が得られ、14Bモデルには16GB以上のVRAMが必要です。

LGPDにおけるクラウドAI対ローカルLLM

以下の比較は、海外のクラウドAIサービスを使う場合と、自社インフラでローカルLLMを実行する場合との、LGPDに関連する違いに焦点を当てています。

要素	クラウドAI（ChatGPT/Gemini/Claude）	ローカルLLM（Ollama + Qwen3）
データの所在地	海外のサーバー	ブラジル国内の自社ハードウェア
ポルトガル語のプライバシーポリシー	欠落または部分的なことが多い	ドキュメントを自社で管理
国際移転リスク	高（データがブラジルを離れる）	推論時はなし
推論時のデータ管理	プロバイダーが管理	完全に自社のもの
導入コスト	初期設定は低コスト、従量課金	ハードウェアは初期費用、従量課金なし
ANPD監査への露出	高い（移転＋透明性のギャップ）	データ所在地に関しては低い
DPOの監督が必要	はい	はい（ローカルAIはこれを取り除きません）

ローカル導入はデータ所在地と移転のリスクを軽減しますが、それ自体で完全なLGPD準拠を実現するものではありません。この表は情報提供であり、法的助言ではありません。

FAQ

ローカルLLMを実行すれば、自社はLGPDに準拠しますか？

いいえ — それ単体では準拠しません。データが推論時に自社インフラから出ないため、データ所在地に大きく役立ちます。しかし、依然として処理の適法な根拠、データ主体対応のプロセス、データ保持ポリシー、必要な場合はDPOが必要です。これは情報提供であり、法的助言ではありません。

ブラジル企業がChatGPTやGeminiを使うのは違法ですか？

自動的に違法になるわけではありません。クラウドAIの利用は禁止されていませんが、組織はANPDの精査を受ける可能性があります — 特に、適切なセーフガードなしにデータを海外へ移転するサービスや、ポルトガル語のプライバシーポリシーを欠くサービスを通じて機微な個人データを処理する場合です。リスクはDPOと評価してください。

LLMをローカルで実行すると、どのデータがローカルにとどまりますか？

推論に関わるすべて：送信するプロンプト、モデルに入力するあらゆるドキュメント、そして生成される応答です。これらのいずれも処理中にマシンやサーバーから出ません。

ローカルAIを使う場合でもDPOは必要ですか？

処理の規模と扱うデータの種類によります。ローカルAIはデータ所在地の状況を簡素化しますが、DPOの義務を取り除くものではありません。個別の要件は法務担当者にご確認ください。

ポルトガル語に最も適したローカルLLMモデルはどれですか？

Qwen3 8Bがほとんどのユーザーにとって最も実用的な選択肢で、Maritaca AIのSabiá-3が最高のポルトガル語品質を提供します。併読ガイド「ブラジルポルトガル語向けの最良のローカルLLM」をご覧ください。

標準的なビジネス用ノートパソコンでローカルAIを実行できますか？

はい。Qwen3 8Bは、Ollama経由でCPUのみの場合、16GBのRAMを備えたマシンで毎秒約2〜4トークンで動作します。GPU（8GB以上のVRAM）を使うと、インタラクティブ速度は毎秒15〜20トークンに跳ね上がります。

ANPDとは何ですか？

ANPD（Autoridade Nacional de Proteção de Dados）はブラジルの国家データ保護機関で、LGPDのもとで同法を監督・執行するために設立されました。公式ガイダンスはgov.br/anpdにあります。

FGVの調査は政府の公式ガイダンスですか？

いいえ。この調査は学術機関であるFGV Direito Rioのテクノロジー・社会センターによるものです。公式ガイダンスについては、gov.br/anpdでANPDにご相談ください。

AIツールにおけるHR・従業員データについてLGPDはどうなりますか？

従業員や候補者のデータはLGPD上の個人データであり、HRの処理はしばしば機微なカテゴリを含みます。そうしたデータをクラウドAIに入力すると移転や適法な根拠の問題が生じます。ローカルAIは社内にとどめますが、依然としてガバナンスが必要です。DPOと確認してください。

LGPDはGDPRとどう比較されますか？

両者は構造を共有しています：いずれもデータ主体の権利を付与し、適法な根拠を求め、国際移転を制限します。LGPDの制裁金はブラジルの売上高の最大2%、違反ごとにR$ 50百万を上限とします — GDPRよりも名目上の上限は低いですが、ブラジルのANPDによって執行されます。

ブラジルポルトガル語向けの最良のローカルLLM（2026） — どのモデルが最良のPT-BR出力を生み、どう実行するか
Local AI and LGPD — English Version
IA Local e LGPD — Versão em Português
ローカルLLMのセキュリティとプライバシーのチェックリスト — ローカルAI導入の堅牢化
エンタープライズコンプライアンス：GDPR、HIPAA、SOC2 — ローカルLLMが他の規制枠組みにどう対応するか
ローカルLLMとは何か？
チーム向けローカルLLMセットアップ — 企業全体でローカルAIを展開する
オンプレミスとエアギャップのローカルLLM — 規制対象ワークロードのための最大限のデータ分離

出典

FGV Direito Rio, Center for Technology and Society. "Study assesses how generative AI platforms fulfill legal obligations in the processing of personal data." Platform Governance and Data Regulations project — https://portal.fgv.br/en/noticias/study-assesses-how-generative-ai-platforms-fulfill-legal-obligations-processing-personal
ANPD（Autoridade Nacional de Proteção de Dados）。生成AIに関する予備調査 — Future of Privacy Forumの分析を通じて参照、fpf.org
ブラジル。Lei nº 13.709/2018（Lei Geral de Proteção de Dados Pessoais — LGPD）。公式テキスト — planalto.gov.br

サードパーティの情報に関する注意

この記事はサードパーティのAIモデル、ベンチマーク、価格、ライセンスを参照しています。AIの状況は急速に変化しています。ベンチマークスコア、ライセンス条件、モデル名、API価格は執筆時とお読みになる時の間で変わる可能性があります。この記事に基づいてデプロイやコンプライアンスに関する決定を下す前に、各プロバイダーの公式ソース（ライセンスとベンチマークはHugging Faceのモデルカード、API価格はプロバイダーのウェブサイト、現在のGDPRとEU AI法のテキストはEUR-Lex）で最新の数値を確認してください。この記事は2026年5月時点で公開されている情報を反映しています。

ローカルLLM、独自のAPIキー、またはその両方でPromptQuorumを使用できます — バックエンドはあなたが選択します。

PromptQuorumウェイトリストに参加する →

← ローカルLLMに戻る