1.はじめに
2022年11月18日、インド電子情報技術省(Ministry of Electronics and Information Technology)は、個人情報保護を包括的に定める新法である、2022年デジタル個人データ保護法案(「The Digital Personal Data Protection Bill, 2022」)(以下、「新法案」という。)を公表した。2022年12月17日まで、パブリックコメントを受け付けている。報道によると、2023年3月までに国会に提出され、可決される見込みであるとのことである。
新法案は、以下のインド電子情報技術省のウエブサイトから全文を確認することができる。
新法案は、2022年8月3日に白紙撤回となった2019年個人データ保護法案(「Personal Data Protection Bill, 2019」。以下、「旧法案」という。)に代わるものである。旧法案に関しては、国会での審議の過程で多数の修正提案が出され、インド政府は、旧法案の修正案を国会で議論し可決していくよりも、新たにシンプルな法案を策定するのが適切であると判断し、旧法案を白紙撤回した。旧法案の内容、従前の経緯等については、インド最新法令情報 -(2022年8月号)を参照されたい。
本稿では、新法案の概要につき、旧法案及び現行法であるInformation Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information)Rules, 2011(Information Technology Act, 2000の第43A条及び87条に基づき制定された規則)(以下、「IT法」という。)と比較しながらそのポイントを紹介する。
2.新法案の概要
(1) 総論
まず、新法案は、旧法案と比較すると、条項が大幅に削減され、シンプルな内容となり、原理原則を中心に規定する書きぶりとなっているのが特徴である。細かなルールは下位法令・通達等に権限移譲されており、変化の早いデジタル社会に柔軟に対応していくため、より機動的で柔軟な制度設計に変更したものと思われる。
また、インドの法律において馴染みのある“illustration”という条文の実際の適用場面を想定した例示が各所に設けられており、適用場面を具体的にイメージしながら条文を読むことができる。
(2) 適用範囲
新法案は、旧法案に存在した、個人データ(personal data)、センシティブ個人データ(sensitive personal data)、及び重大個人データ(critical personal data)という区分を廃止した。また、旧法案は、個人データ以外の情報も適用対象としていたが、新法案では、個人データ以外の情報を適用対象外としている。
さらに、個人データのうち、(a)自動的に処理されない個人データ、(b)オフラインの個人データ、(c)私的に又は家庭内で利用される個人データ、及び(d)100年以上存在している記録に含まれる個人データについても、新法案の適用対象外としている。また、匿名化された個人データに関する規定は設けられていない。
域外適用に関する規定は、旧法案と類似しており、インドのデータ主体(Data Principal)に関するプロファイリング又は同人への物品サービスの提供のために当該データ主体の個人データを処理する場合には、インド国外であっても新法案が適用される旨定めている。
(3) 同意の取得プロセスに関する規定
新法案は、個人データをデータ主体の同意により取得しようとする者は、取得しようとする個人データ及びその取得目的を明確かつ平易な言葉で、取得しようとする個人データ毎に、データ主体に対し個別に通知しなければない旨規定している。また、新法案施行前に取得された個人データについても、可及的速やかに、上記の通知をしなければならないとしている。IT法と比較して、同意取得の要件が厳格化されており、注意が必要である。
また、EU一般データ保護規則(GDPR)と同様に、同意は個別具体的なものである必要がある等、同意の有効性に関する要件も規定されている。また、個人データの提供が合理的に期待される場合(例:レストランで予約をする際に提供する名前と携帯電話番号)等、同意があったとみなされる場合について、具体例とともに列記されている。なお、上記通知義務の履行及び同意の取得が、新法案に基づいて有効に行われていることの立証責任は、個人データの取得者側にあるとされている。
なお、新法案は、政府が、データ主体が被る不利益とデータ処理により得られる利益の比較、公共の利益、及びデータ主体の合理的な期待の程度を考慮の上、公正かつ合理的であると判断した目的での個人データの取得については、下位法令・通達等に定めることで、同意があったとみなす(すなわち、個別の同意は不要)旨規定しており、この点については政府による濫用の危険性を孕むものであるため、留意する必要がある。
(4) 重要なデータ受託者(Significant Data Fiduciary)の義務
データ受託者(Data Fiduciary)に対しては、適切な技術的かつ組織的措置を講ずる義務やデータ主体の苦情を処理するための体制を整備する義務等複数の義務が規定されている。加えて、政府が指定する重要なデータ受託者には、追加的な義務として、独立の監査人による監査、インパクトアセスメント、データ保護責任者(DPO)の設置義務等が課されるが、その内容は旧法案の内容を概ね維持している。一方、新法案では、重要なデータ受託者の義務が課されるデータ処理に該当するか否かの判断基準に関し、処理されるデータの量及び機微性、データ主体への危害のリスク、民主的な選挙へのリスク等が追加される一方で、売上高(turnover)が判断基準から削除された。
(5) 国外移転とデータローカライゼーション
新法案においては、複雑なデータの国外移転に関する規定や一定の重要な個人データをインド国内でのサーバーのみで処理すべきとするデータローカライゼーションの規定が削除された。これは、旧法案に対し企業等から寄せられた批判に対応するものと思われるが、これらは全て下位法令・通達等に移譲される建付けとなっている。柔軟な制度設計を可能としている一方で、政府の裁量が大きく運用リスクのある規定であるといえる。下位法令・通達等及び運用ガイドラインの早期の整備が望まれるところである。
(6) 罰則
新法案においては、個人データ侵害(personal data breach)に対し、その重大性等に基づき、25億ルピー(本稿執筆時現在の為替換算で約42億円)までの金銭的ペナルティ(financial penalty)が予定されており、違反者の売上の最大4%を上限額とする旧法案の罰則規定と異なる。なお、旧法案に規定されていた禁固刑は削除され、金銭的ペナルティのみに統一されている。
3.日系企業への影響
経済のデジタル化がますます進み、大量の個人データを取り扱う日系企業が増える中、新法案は、データローカライゼーションといったビジネスに大打撃を与えかねない規制が削除される一方で、同意の取得要件に関する規制強化等、これまでの個人データの取扱い方法では法令違反となってしまうケースが出てくることが予測される。また、上記のとおり、下位法令・通達や運用への目配りも必要となる。
新法案は意見公募段階ではあるものの、可決される見込みであるとの報道もあることから、インドに進出する日系企業は、自社が取り扱う個人データの洗い出し及び法令遵守状況を確認するとともに、新法案の成立後速やかに新法案における要求事項を満たしているかの精査を行い適時に必要な対策を打てるよう、準備を進めておくことが望ましい。
以上
TMI総合法律事務所 インドデスク
平野正弥/白井紀充
info.indiapractice@tmi.gr.jp
インドにおける現行規制下では、外国法律事務所によるインド市場への参入やインド法に関する助言は禁止されております。インドデスクでは、一般的なマーケット情報を、日本および非インド顧客向けに提供するものです。