毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2023年8月17日
  • タイトル:インドのデジタル個人情報保護法
  • メインスピーカー:データサイン 代表取締役社長 太田祐一
  • MC:ビジネスディベロッパー 宮崎洋史

紆余曲折を経てようやく成立

2023年8月、インドでデジタル個人情報保護法「Digital Personal Data Protection Act, 2023」(以下、DPDPA)が成立しました。拡大するBRICS加盟国の中でも経済力や科学技術分野で年々存在感を増すインド。同国の新たな個人情報保護法令を俯瞰してみました

DPDPAはトントン拍子に成立したわけではありません。まず2009年にインドでは生体情報(指紋と虹彩)をデータベース化する国民ID制度(Aadhaar:読み方はアーダール、アドハーなど)をスタートさせます。国民が享受する社会福祉や福利厚生制度の円滑化、行政コストの削減などが目的でしたが、プライバシー保護の不備やデータの不正利用に関するリスクが社会的に問題視されました。2017年8月にインドの最高裁判所は、個人のプライバシーはインド憲法で保障される基本的権利であるとし、政府に堅固なデータ保護の仕組みを整備するよう求めます。

2019年12月、電子情報技術省が管轄する委員会が「Personal Data Protection Bill, 2019」を下院に上程するも、プライバシー権を尊重していない、とインドのニューデリーを拠点とするプライバシー擁護団体が反対。さらにメタ、グーグル、アマゾンも懸念を表明しました。電子情報技術省は2022年11月にあらためて法案を提出、上下院での議論を経てDPDPAとして成立するに至りました。

対象はデジタル形式のデータのみ

DPDPAは全44条から構成されています。ランチタイムトークでは気になる条項をいくつか取り上げました。

DPDPA第2条によると、個人データ(personal data)とは、かかるデータによって、またはかかるデータに関連して、特定できる個人に関するあらゆるデータが該当します。そして対象とされるデータは、デジタル形式であると第3条に記されています。

「これらのデータには、故人のデータも含まれます。第14条にはデータ主体が死亡したり、権利行使能力を失ったりした場合を見越してデータ主体が、権利行使する他人を指名することができるとあります。これは生存する個人の情報を対象とする日本の個人情報保護法とも、またEUのGDPR(一般データ保護規則)とも異なる点といえます」(代表取締役社長 太田祐一)

第5条は、同意が必要な個人データの要求に対する通知を定めています。「DPDPAでは、データ主体に対してデータ受託者が同意取得の時点または事前に通知をしなければならないと明示しています」(太田)

通知内容は、求める個人データと処理の目的、権利を行使する方法、苦情を申し立てる方法です。

「第6条では、利用目的に合わないデータ主体からの同意は、同意したと見なされず無効であると定めています。さらに、当該データ主体はいつでも同意を撤回する権利を有するものとし、その容易さは、同意の容易さと同等であるものと定めており、GDPRに通じる内容です」(太田)

違反すると厳しい罰則が適用

同意が不要な特定の正当な用途は、第7条に示されています。

まずは特定の目的(買い物など)のために、データ主体が自発的にデータ受託者に個人データを提供する場合です。ほかにも、国家による所定の補助金や給付金、証明書などをデータ主体に提供や発行する場合や、インドの国家の安全の利益や公衆衛生、災害対応、企業における機密保持など雇用主を損失や責任から守ることに関連する目的などが挙げられています。

「18歳に達しない児童の個人データについては、データ受託者が児童の保護者の同意を得た場合に限り処理することを第9条で認めています。しかし、児童の幸福を害するような処理や児童の追跡、行動監視、ターゲット広告に関わる処理は許可されません」(太田)

データ受託者である企業に義務付けられているのは、データ漏洩を防止するための安全保護措置、漏洩時の対応(データ侵害通知義務)、同意撤回時に個人データを消去すること、苦情処理システムおよび問い合わせに対応する役員の設置などです(第8条)。

「厳しい罰則もあります。たとえば、データ漏洩時の対応(第8条)や児童の個人データに関する対応(第9条)を怠った場合は、最大200億ルピー(約340億円)の罰金が課されます」(太田)

なお、本法の適用除外については第17条に記されています。その1つが、インドに拠点を構える者が、インド領域外の者との間で締結した契約に従って、インド領域内にいないデータ主体の個人データを処理する場合です。もし自社が本法における「データ受託者」に該当するのか不明な際は、法務部などに確認してみるとよいでしょう。