1.はじめに
2023年8月3日に国会に提出された2023年デジタル個人データ保護法案(The Digital Personal Data Protection Act, 2023)(以下「本法」という。)が、同月7日にインド下院で可決され、同月9日にインド上院で可決された。その後、同月11日に大統領の認証を受けたため、本法は正式に成立することとなった。本法の施行日は、官報で告示する日とされているが、現時点では未定である。
本法の全文は、インド電子情報技術省のウェブサイト(https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf)から確認することができる。
インドにおける個人情報保護法の経緯については、当初2019年に最初の法案(以下「2019年法案」という。)が提出されたが、約3年にわたる議論の末、2022年8月3日に白紙撤回された。そして、2022年11月18日に、当初案から大幅にシンプル化された新法案(以下「2022年法案」という。)が発表され、一定の重要な個人データをインド国内でのサーバーのみで処理すべきとするデータローカライゼーションの規定が削除されたことなどが注目された。その後、2022年法案に公開協議における議論を踏まえた修正が加えられたものが本法である。
過去の法案に関しては、これまでのインド最新法令情報でも取り上げているため、必要に応じて参照されたい。
(「インド最新法令情報」2022年8月号「インド個人情報保護法案の白紙撤回」:https://www.tmi.gr.jp/service/global/asia-pacific/2022/13844.html)
(「インド最新法令情報」2022年11月号「2022年デジタル個人データ保護法案の公表」:https://www.tmi.gr.jp/service/global/asia-pacific/2022/14124.html)
本号では、本法のうち特に日系企業への影響が大きいと思われる規定について、その概要を説明する。
2.本法の概要
(1) 総論
本法は、原理原則を中心に規定する書きぶりとなっているのが特徴であり、細かなルールは下位規範に権限移譲されている。これは、変化の早いデジタル社会に柔軟かつ機動的に対応するためであると考えられる。
また、インドの法律において馴染みのある「illustration」という条文の実際の適用場面を想定した例示が各所に設けられており、適用場面を具体的にイメージしながら条文を読むことができる。
(2) 適用範囲
本法の対象となる「個人データ」とは、「個人に関するデータであり、当該データにより又は当該データとの関連において識別可能なもの」をいうとされる。そのため、匿名化された個人データや2019年法案において適用対象とされていた個人データ以外の情報は、その対象外となる。
なお、2019年法案では、「センシティブ個人データ」や「重大個人データ」など、個人データの機密性の程度に応じた区分が設けられていたが、本法では廃止されている。
また、本法は域外適用を認めており、インド国内のデータ主体(Data Principal)に対する物品又はサービスの提供に関連して当該データ主体の個人データを処理する場合には、インド国外であっても本法が適用される。
なお、2022年法案では、データ主体に関するプロファイリング(行動予測)を行うために個人データを処理する場合も域外適用ができることとされており、これについては適用対象が不明確となるという懸念があったが、本法においては当該記載は削除された。
(3) 同意の取得プロセスに関する規定
本法は、個人データをデータ主体の同意により取得しようとする者は、取得しようとする個人データ及びその取得目的を明確かつ平易な言葉で、取得しようとする個人データ毎に、データ主体に対し個別に通知しなければない旨規定している。また、本法施行前に取得された個人データについても、可及的速やかに、上記の通知をしなければならないとしている。現行法であるIT法(Information Technology Act, 2000)と比較して、同意取得の要件が厳格化されており、注意が必要である。
また、EU一般データ保護規則(GDPR)と同様に、同意は個別具体的なものである必要がある等、同意の有効性に関する要件も規定されている。また、上記通知義務の履行及び同意の取得が、新法に基づいて有効に行われていることの立証責任は、個人データの取得者側にあるとされている。
(4) 同意に代わる「正当な使用」
本法において、医学的治療や災害救助、判決の遵守のために個人データを利用する場合などについては、「正当な使用(Legitimate Use)」に当たりデータ主体からの同意を取得する必要はないとされる。
2022年法案においては「みなし同意」というコンセプトにより、データ主体の同意なくして個人データを取得できる場合が定められていたが、本法においては、この「みなし同意」に代えて「正当な使用(Legitimate Use)」という構成により、より限定された範囲で、データ主体の同意を得ずに個人データを取得できる場合を定めるものである。
(5) データ受託者の義務
データ受託者(Data Fiduciary)に対しては、適切な技術的及び組織的な措置を講ずる義務やデータ主体の苦情を処理するための体制を整備する義務等複数の義務が規定されている。
加えて、政府が指定する重要なデータ受託者(Significant Data Fiduciaries)には、追加的な義務として、独立のデータ監査人(independent data auditor)の指名及び監査、データ保護影響評価(data protection impact assessments)、データ保護責任者(Data Protection Officer)の設置義務等が課される。
(6) 国境を越えたデータ移転
本法において、個人データをインド国外に移転させることは禁止されていないが、中央政府は個人データの移転を制限する国や地域を指定することができる旨が規定されている。
なお、2019年法案で規定されていたデータローカライゼーションの規定、すなわち複雑なデータの国外移転に関する規定や一定の重要な個人データをインド国内でのサーバーのみで処理すべきとする規定は、2022年法案以降、削除されている。しかし、本法は、下位法令・通達等で本法よりも高いデータ保護の基準を定めることを制限していないため、データローカライゼーションについて、より厳格なデータ保護の基準が定められる可能性も否定できない。
(7) データ保護委員会の創設
本法の施行に伴い、本法を所掌するデータ保護委員会(Data Protection Board)が創設されることとなっている。データ保護委員会は、本法を実施、監督する権限を有するのみならず、本法に関する紛争の審判も行うものとされる。
(8) 罰則
本法の重大な違反に対しては、最大で25億ルピー(2023年8月末時点の為替換算で約44億円)までの罰金を課すことができるとされている。
さらに、本法に基づいて制定される下位規則の違反に対しても、最大で5億ルピー(2023年8月末時点の為替換算で約9億円)までの罰金を課すことができるとされている。
3.おわりに
インドの個人情報保護法の動向については、その影響の大きさから世界的にも注目を集めてきたが、長年の議論の末ついに本法として成立した。
法制化の過程で、2019年法案で問題視されていたデータローカライゼーションに関する規定などは削除されたことから、本法はEU一般データ保護規則(GDPR)など他国の個人データ保護法との比較において、特に留意すべき条項は見当たらない。一方、本法の規定は、その具体的な内容について下位規範に委任するものが多いため、下位規範の制定の状況を引き続き注視する必要がある。
インドにおいてビジネスを行う日本企業は、本法施行前に取得された個人データについて速やかに通知を行うことや、データ受託者(Data Fiduciary)として適切な技術的かつ及び組織的な措置を講ずるといった対応が必要となるなど、短期的な業務負担が大きくなることが予想される。また、インドの個人データへのアクセスを正当化するためのガイドラインの策定などが必要となろう。
以上
TMI総合法律事務所 インド・プラクティスグループ
茂木信太郎/白井紀充/本間洵
info.indiapractice@tmi.gr.jp
※バックナンバーはこちらからご覧いただけます。
インドにおける現行規制下では、外国法律事務所によるインド市場への参入やインド法に関する助言は禁止されております。インド・プラクティスグループでは、一般的なマーケット情報を、日本及び非インド顧客向けに提供するものです。