「インド最新法令情報‐(2018年11月号) 個人情報保護法案の公表」

1.  はじめに

インドにおいては、包括的な個人情報保護法は存在せず、電子データについてのみ、2000年情報技術法(Information Technology Act, 2000)および関連規則(以下「IT法」という。)に基づき、個人情報の保護が図られてきた。今般、EUの一般データ保護規則(GDPR)をモデルとする個人情報保護法案(Personal Data Protection Bill)(以下「本法案」という。)がインド連邦議会に提出され、現在本法案の審議が行われている。

国境を越えて様々な情報のやり取りが行われるようになり、本法案はインドでビジネスを行う多くの日系企業の事業遂行に影響を与えうるものである。本稿では、日系企業への影響が考えられる箇所を中心に、本法案の概要を解説する。

2.  適用主体

本法案は、インド国内に所在する法人・個人のみならず、インドで商品またはサービスを提供する全ての法人・個人にも適用される(個人の私的な行為や小規模事業者に関する例外あり。)(以下「情報受託者」と総称する。)。

3.  適用対象

本法案の適用対象となる個人情報は以下の通り定義されている。

・「個人情報」とは、個人を識別可能な特徴またはかかる特徴の組み合わせにより、直接的または間接的に個人を識別可能な自然人に関する情報をいう。

・「センシティブ個人情報」とは、「個人情報」に該当する情報のうち、パスワード、金融情報、健康情報、公的識別番号、性生活、性的指向、生体情報、遺伝情報、性同一性障害、インターセックス、カースト・種族、宗教・政治的信条、その他政府が別途指定する情報をいう(IT法における「センシティブ個人情報」の定義とは若干異なり、例えば、上記のうち、公的識別番号、性同一性障害、インターセックス、宗教・政治的信条に関する情報は、IT法下の「センシティブ情報」の定義には含まれていない。)。

IT法と同様に、単なる個人情報とセンシティブ個人情報を区別し、センシティブ個人情報に対しては、単なる個人情報よりも手厚い保護が与えられている(以下、個人情報とセンシティブ個人情報を「個人情報等」と総称する。)。

なお、後述のとおり、政府が別途指定する「重要個人情報」(critical personal data)はインド国内のサーバーでのみ保管しなければならないとする、データローカライゼーションに関する規定も設けられている。

4.  個人情報等の取得ないし取り扱いが認められる場合

・個人情報等の取得時にデータ主体の同意がある場合

・法令または裁判所の命令を遵守するために必要な場合

・データ主体が契約当事者となっている労働契約の履行のために必要となる場合

さらに、センシティブ個人情報を、データ主体の同意を根拠に取り扱う場合には、以下の要件を全て満たす必要がある。

(i) 取得の目的および取り扱いによってもたらされる可能性のある結果をデータ主体に通知し、データ主体がこれらを理解して同意すること

(ii) データ主体による同意が明確であること

(iii) 取扱いの目的および取り扱う情報の種類等が特定されていること

5. 情報受託者の義務

本法案は、情報受託者がデータ主体の最善の利益に則して行動するよう、以下の義務を情報受託者に課している。

・データ主体の合理的な予想を超えないように、そのプライバシーを尊重する方法で個人情報等を取り扱うこと

・データ主体に提示された適法な目的以外で個人情報等を利用しないこと

・本法案に基づき適法に個人情報等を取り扱うこと

・取扱いの目的、取り扱う個人情報等の種類、データ主体の権利等を、当該個人情報等の取得時にデータ主体に明確にかつわかりやすい方法により通知すること

・取得した個人情報等が、正確かつ最新のものであることおよび取扱いの目的に従った個人情報等の取扱いが確保されること

・目的達成のために合理的に必要な期間のみ保持することおよび個人情報等を保持する必要性を定期的に見直すこと

・データ主体に対して、本法案を遵守していることを証明できるようにすること

6.  インド国外への個人情報等の移転が認められる場合

・標準契約条項(Standard contractual clauses, SCC)に基づく移転または本法案に基づき設置される情報保護局(Data Protection Authority, DPA)が承認した社内・企業グループ間の移転であるとき

・緊急性があり、当該情報の移転につきDPAが許可したとき 他

上記の国外移転に関する規制は、センシティブ個人情報のみでなく、通常の個人情報にも適用される。なお、現行のIT法のもとでは、センシティブ個人情報のみが国外移転規制の対象となっており、センシティブ個人情報の国外移転は、情報受託者が講じるものと同程度の合理的な安全措置(情報セキュリティマネジメントシステム(ISMS)認証の取得等)を講じる第三者に対して移転する場合に限り認められている。

7.  データローカライゼーションに関する規定

本法案は、政府が別途指定する「重要個人情報」(critical personal data)についてはインド国内のサーバーでのみ保管しなければならないとしている。これは、GDPRよりも厳しい規制であり、クラウドでデータを管理する企業等へのインパクトが極めて大きい規制であるといえる。

8.  罰則

違反の種類に応じて、全世界売上の2~4%又は5~15千万インドルピーの何れか高い方の罰金が予定されている(禁固刑が科される場合もある)。

9.  コメント

本法案が成立すると、個人情報等を取り扱う企業や個人は、個人情報等を保護するための様々な措置を講じる必要に迫られることになる。とりわけ、日系企業の観点から言えば、国外移転規制に関し、現行IT法下においても、電子化されたセンシティブ個人情報の国外移転は規制(罰則あり)されているものの、本法案においては、センシティブ個人情報にとどまらず単なる個人情報(例えば氏名や住所といったもの)が規制対象になる点で、留意が必要である。本法案がこのまま通過すれば、例えば、従業員情報を日本の本社で管理しているようなケースも捕捉されることとなり、適用対象となる企業は格段に増えると考えられる。もっとも、具体的な対応を検討するにあたり、施行規則やガイドラインの公表が待たれるところである。なお、現在IT企業等より、上記データローカライゼーションに関する規制等の導入に関し批判が出ており、本法案の内容に大幅な修正が入る可能性がある点に留意が必要である。

   以上

TMI総合法律事務所 インドデスク

平野正弥/白井紀充/宮村頼光/仲居宏太郎

info.indiapractice@tmi.gr.jp

——————————————————————————–

インドにおける現行規制下では、外国法律事務所によるインド市場への参入やインド法に関する助言は禁止されております。インドデスクでは、一般的なマーケット情報を、日本および非インド顧客向けに提供するものです。

ページの先頭へ