1.はじめに
インド電子情報技術省(Ministry of Electronics & Information Technology)は、2025年1月3日、2025年デジタル個人データ保護規則案(Digital Personal Data Protection Rules, 2025。以下「本規則案」という。)を公表し、2025年2月18日を期限とするパブリックコメントの手続を開始した。
本規則案の全文は、インド電子情報技術省のウェブサイト(https://www.meity.gov.in/writereaddata/files/259889.pdf)から確認することができる。
本規則案は、2023年8月に成立した2023年デジタル個人データ保護法(Digital Personal Data Protection Act, 2023。以下「2023年法」という。)(インド最新法令情報(2023年8月号))の施行に係る枠組みを定めるとともに、規制の詳細について定めるものである。
本号では、公表された本規則案を概説し、本規則案で示された各規制が日系企業を含む外国企業に対して与える影響について検討する。
2.本規則案の主要なポイント
本規則案に関して民間企業が留意すべき重要なポイントとしては以下のものが挙げられる。なお、データ受託者(Data Fiduciary)の義務に係る規定は本規則案の制定後に別途施行される予定である。
- データ受託者からデータ主体への通知
本規則案によれば、個人データを処理する際にデータ受託者がデータ主体(Data Principal)に対してなすべき通知には、少なくとも以下の記載が含まれなければならない。
①処理される個人データに係る説明
②当該データ処理の目的及び当該データ処理によって提供される商品、サービス又は得られる効用
また、データ主体が同意を与えた時と同様の容易さで同意を撤回する、2023年法に基づく権利を行使する、及びインドデータ保護委員会(Data Protection Board of India。以下「DPB」という。)への苦情を申し立てる、といったことが可能となるよう、上記通知にはデータ受託者のウェブサイト等へのリンク等を記載する必要がある。 - 合理的なセキュリティ対策
本規則案では、データ受託者が個人データを保護するために最低限実施しなければならない合理的なセキュリティ対策として、個人データの暗号化、アクセス制御、不正アクセス監視、データバックアップなどが挙げられた。 - 個人データの侵害に係る通知
本規則案では、個人データに対する侵害を関知したデータ受託者がデータ主体やDPBに対してなすべき通知の内容等が定められた。
データ主体に対しては、遅滞なく、①侵害に係る説明(侵害の性質、程度、時期等)、②同主体に対する潜在的な影響、③データ受託者が実施したリスク軽減措置、④データ主体に対する推奨措置、⑤データ主体からの問い合わせに対応可能な連絡先、を通知すべきものとされた。
一方、DPBに対しては、①遅滞なく、侵害に係る説明(侵害の性質、程度、時期等)を通知するとともに、②侵害を関知してから72時間以内又はDPBが定めた期限までに、(i)侵害に係る説明に関する最新の詳細な情報、(ii)侵害に至った経緯等、(ⅲ)リスク軽減のために実施した又は検討している措置、(ⅳ)侵害を起こした者に係る調査結果、(ⅴ)侵害の再発防止のために講じられた措置、(ⅵ)データ主体に対して行った通知の内容に係る報告、を通知しなければならない。 - 一定の場合の削除義務
本規則案では、インドにおいて2,000万人超の登録ユーザーを有する電子商取引プラットフォーム事業者及びSNS事業者並びに500万人超の登録ユーザーを有するオンラインゲーム事業者は、本規則案別表Ⅲで定められた目的のために個人データの処理を行っている場合、特定のデータ主体による最後の接触等から3年が経過した場合は、法令遵守に必要な場合を除き、当該個人データを消去しなければならない旨が定められた。また、データ受託者は、少なくとも消去の48時間前までに、データ主体に対し、ログイン等を行わなければ消去する旨の通知を行わなければならないとされた。 - データ処理に関する問い合わせ先
本規則案によれば、データ受託者は、ウェブサイト又はアプリケーション上、及び2023年法に基づく権利行使のためのデータ主体からの連絡への各返信において、データ保護責任者の連絡先又はデータ受託者に代わって当該データ主体のデータ処理に係る質問に回答できる者の連絡先を目立つ形で表示しなければならない。 - 児童又は法定後見人を有する障害者の個人データ処理に係る検証可能な同意
本規則案では、データ受託者は、児童又は障害者の個人データを処理する前に両親又は法定後見人から検証可能な同意の取得を確保する措置を講じるとともに、当該両親又は法定後見人として同意を行っている者の特定等のための検証措置を講じなければならない旨が定められた。
※医療機関が児童の健康保護のために医療サービスを提供する場合等、上記措置が免除される場合も規定されている。 - 重要なデータ受託者に係る追加義務
2023年法第10条1項に基づき、処理する個人データの機微度、安全保障等の要素を考慮して中央政府が指定する重要なデータ受託者(Significant Data Fiduciaries)について、本規則案は、実施すべきデータ保護影響評価や監査の頻度を毎年1回と定めるとともに、個人データの処理に使用するアルゴリズムソフトウェアがデータ主体の権利を脅かすものではないことを検証する義務を負うとした。
また、重要なデータ受託者は、中央政府が指定した個人データ及び関連トラフィックデータがインド国外に移転されないことを確保するための措置を講じなければならない。 - データ主体の権利
本規則案によれば、データ受託者は、データ主体が2023年法に基づく権利を行使するための方法等をウェブサイト又はアプリケーション上で明確に公開しなければならず、データ主体は、データ受託者に連絡して自身の個人データへのアクセス及び消去を要求できる旨が定められた。また、データ受託者は、ウェブサイト又はアプリケーション上で苦情への対応に係る期間を公開し、その期間内に対応することを確保するための必要な措置を講じなければならないとされた。 - インド国外における個人データの処理
本規則案によれば、データ受託者は、①インド国内で処理される個人データ又は②インド国内のデータ主体への商品又はサービスの提供に関連してインド国外で処理される個人データのインド国外の国等への移転に際して、外国政府又は外国政府の支配下にある主体への提供に関して中央政府が定める要件を遵守しなければならない。
3.総括
本規則案には、2023年法では規定されていなかったデータの越境移転に係る規制が盛り込まれているほか、プライバシーポリシーの記載、児童等の個人データ処理に係る同意取得時に行うべき措置等、各企業の実務に大きな影響を与える内容が多々含まれている。
インドでビジネスを行う日系企業においては、2025年2月18日のパブリックコメント終了後も本規則案に係る動向をフォローするとともに、今般明らかになった本規則案の内容を踏まえて、対応が必要となるであろう事項について準備を着実に進めて行く必要がある。
以上
TMI総合法律事務所 インド・プラクティスグループ
平野正弥/奥村文彦/國井耕太郎
info.indiapractice@tmi.gr.jp
インドにおける現行規制下では、外国法律事務所によるインド市場への参入やインド法に関する助言は禁止されております。本記事は、一般的なマーケット情報を日本および非インド顧客向けに提供するものであり、インド法に関する助言を行うものではありません。