「インド最新法令情報‐(2017年12月号) 個人情報保護法の制定に向けた白書の公表」

1. はじめに

インド電子情報技術省(Ministry of Electronics and Information Technology)は、2017年11月27日、「インドにおけるデータ保護の枠組みに関する専門家委員会白書」(White Paper of The Committee of Experts on A Data Protection Framework for India、以下「白書」という。)を公表した。白書は、インド政府が設置した専門家委員会(以下「委員会」という。)における検討結果に基づき、個人情報保護法における7つの基本原則(以下「基本原則」という。)を掲げている。

委員会は、基本原則に則した個人情報保護法案の策定を目指しており、早ければ、法案の策定から1年程度で法律が施行される可能性がある。本号では、基本原則の概要を解説しつつ、日系企業への影響を分析する。

2. インドにおける現状の個人情報保護制度

インドにおける個人情報保護は、主に電子データやオンラインコンテンツ等の情報の取扱いを一般的に規定する2000年情報技術法(Information Technology Act, 2000)を補完する形で、2008年に設けられた個人情報の保護に関する規則(Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011、以下「IT規則」という。)により図られている。IT規則は、個人情報を、センシティブな個人情報とそれ以外の個人情報に分類し、情報の収集、保管、移転等に関する遵守事項を定めている。なお、IT規則は、あくまでその適用対象がコンピューターで保管等されている情報に限定されている。

3. 白書の概要

(1) 個人情報・情報処理の定義

個人情報の定義は、「個人が特定できる情報又は個人に関する情報」という包括的なものとして提案されている。個人情報のうち、「センシティブな個人情報」には、健康情報、遺伝子情報、宗教的信念・所属、性的指向、人種・民族、カースト情報、金銭に関する情報が含まれるとし、これは、IT規則の内容を反映している。また、白書は、情報の収集、使用、開示など、既存のすべての情報処理を含めるために、「情報処理」という用語を幅広く定義することを示唆しており、今後のテクノロジーの発達によって生じうる新しい種類の情報処理をこの定義に含める余地をもたせている。

(2) 適用対象

個人情報保護法の適用対象には、国家機関のみならず民間も含めることが提案されている。ただし、国家機関による情報処理の場合には、正当な目的のために、一定の義務が除外され、例外が設けられることがあるとも記されている。また、IT規則と異なり、コンピューターで保管等されている情報に限定されない。

(3) インフォームド・コンセント

白書は、情報の主体となる個人の同意を得ることは、個人情報保護における国際的に重要な原則であることを認識し、個人情報の収集および使用には個人の同意が不可欠であると述べている。これまでとは異なり、当該個人が個人情報の収集および使用に同意しても、後にその同意を撤回した場合には、その意思を尊重する対応が求められることとなる。また、白書では、児童をその個人情報の不正使用の害から保護するために、親が同意する機会を効果的に保障する必要があることが強調されており、個人情報保護法案において、児童に対して有害となりそうな児童の個人情報を収集・使用することを禁止する条項を盛り込むことも示唆されている。

(4) 個人情報処理の必要最小限化

白書では、処理される個人情報は必要最小限であるべきと考えらえている。また、白書は、管理される情報の必要最小限化の基準を提案し、情報管理者へのガイダンスを提示している。

(5) 情報管理者・情報処理者の責任

白書では、「情報管理者(Data Controller)」および「情報処理者(Data Processor)」という概念を導入し、法律上の義務を創設することにより、責任の所在の明確化を図っている。

(6) 執行機関

委員会は、個人情報保護法の執行は、法律で定められた一貫した十分な権能のある機関が必要であるとの見解を示す一方、情報保護法制の施行を確実にするためには、情報保護に必要な知識が必要であり、高度に専門化した様々な機能を必要とするため、場合によっては分権化された施行体制が必要であるとの見解も示している。

(7) 罰則

白書では、抑止力を確保するため、IT規則と比べ、個人情報保護法ではより厳しい罰則を設けることが提案されている。

4. 考察

基本原則の下で、民間企業にも様々な義務が課されることとなる。特に上記(3)のインフォームド・コンセントに関連して、個人情報を収集する際の当該個人の同意はこれまでどおり必要であるが、当該個人が同意したとしても、後に撤回した場合にはそれを尊重しなければならないとされており、この点には、留意が必要である。

また、既に、IT規則において、企業のウェブサイト上にプライバシー方針を掲載することが義務付けられているが、個人情報保護法案では、プライバシー方針の内容および形式について具体的な規定が設けられる予定である。

加えて、個人情報保護法案では、違反の際の罰金についても、違反日数に比例して金額が決まる仕組みを採用し、違反者に直ちに是正措置をとらせるインセンティブを与えることも企図されている。

インドにおいては、近年、個人情報保護に対する関心が高まりつつある。2017年7月には、インドの大手携帯通信会社であるReliance Jio Infocomm Limitedから、1億人を超えるユーザーの個人情報が漏えいした可能性があると報道され、インド国内で大きな注目を集めた。このように、個人情報の漏洩などの問題を起こした企業は、法的責任を追及されるだけでなく、レピュテーションを大きく傷つけるおそれがある。

個人情報保護法が施行されることになれば、企業はより一層、きめ細かい個人情報の取扱いを行わなければならないことになるため、今後の議論を注視していく必要がある。

以上

TMI総合法律事務所 インドデスク

平野正弥/白井紀充/奥村文彦/仲居宏太郎

info.indiapractice@tmi.gr.jp

——————————————————————————–

インドにおける現行規制下では、外国法律事務所によるインド市場への参入やインド法に関する助言は禁止されております。インドデスクでは、一般的なマーケット情報を、日本及び非インド顧客向けに提供するものです。

ページの先頭へ