MenuClose

Our Services

グローバル・プラクティス Global Practice

インド最新法令情報(2025年11月号)2025年デジタル個人データ保護規則の成立

2025/11/28

  • #インド

1.はじめに

2025年11月13日、インド電子情報技術省(Ministry of Electronics & Information Technology)から2025年デジタル個人データ保護規則(Digital Personal Data Protection Rules, 2025。以下、「本規則」という。)が公布され、成立した。
本規則の全文は、インド電子情報技術省のウェブサイト(https://www.meity.gov.in/static/uploads/2025/11/53450e6e5dc0bfa85ebd78686cadad39.pdf)から確認することができる。

本規則は、2023年8月に成立した2023年デジタル個人データ保護法(Digital Personal Data Protection Act, 2023。以下「2023年法」という。)(インド最新法令情報(2023年8月号))の施行に係る枠組みを定めるとともに、規制の詳細について定めるものである。
2025年1月3日に公表されていた規則草案(インド最新法令情報(2025年1月号))と比較すると、本規則では、同草案では規定されていなかった施行スケジュールが明記されたほかは、基本的には同草案の内容が踏襲されている。

本号では、本規則を概説し、本規則で示された各規制が日系企業を含む外国企業に対して与える影響について検討する。

 

2.本規則の主要なポイント

本規則に関して民間企業が留意すべき重要なポイントとしては以下のものが挙げられる。

(1)    施行スケジュールについて
本規則では、2023年法ないし本規則の各規定の施行スケジュールについて規定された。これによれば、規定内容に応じて、次のとおり3段階に分けて施行される。

 

施行のタイミング

主な規定

①      

本規則の成立と同時

20251113日~)
  • 定義
  • データ保護委員会(Data Protection Board of India。以下「DPB」という。)[1]の設立や運営等に関する規定

②      

本規則成立の12か月後

20261113日~)
  • 同意管理者(Consent Manager[2]の認定や義務等に関する規定

③      

本規則成立の18か月後

2027513日~)
  • データ主体(Data Principle[3]の権利に関する規定
  • データ受託者(Data Fiduciary[4]やデータ処理者(Data Processor[5]等の義務に関する規定
  • その他

(2)    データ受託者からデータ主体への通知
本規則によれば、個人データを処理する際にデータ受託者がデータ主体に対してなすべき通知には、少なくとも以下の記載が含まれなければならない。
①処理される個人データに係る説明
②当該データ処理の目的及び当該データ処理によって提供される商品、サービス又は得られる効用
また、データ主体が同意を与えた時と同様の容易さで同意を撤回する、2023年法に基づく権利を行使する、及びDPBへの苦情を申し立てる、といったことが可能となるよう、上記通知にはデータ受託者のウェブサイト等へのリンク等を記載する必要がある。

(3)    合理的なセキュリティ対策
本規則では、データ受託者が個人データを保護するために最低限実施しなければならない合理的なセキュリティ対策として、個人データの暗号化、アクセス制御、不正アクセス監視、データバックアップなどが挙げられた。

(4)    個人データの侵害に係る通知
本規則では、個人データに対する侵害を関知したデータ受託者がデータ主体やDPBに対してなすべき通知の内容等が定められた。
データ主体に対しては、遅滞なく、①侵害に係る説明(侵害の性質、程度、時期等)、②同主体に対する潜在的な影響、③データ受託者が実施したリスク軽減措置、④データ主体に対する推奨措置、⑤データ主体からの問い合わせに対応可能な連絡先、を通知すべきものとされた。
一方、DPBに対しては、①遅滞なく、侵害に係る説明(侵害の性質、程度、時期等)を通知するとともに、②侵害を関知してから72時間以内又はDPBが定めた期限までに、(i)侵害に係る説明に関する最新の詳細な情報、(ii)侵害に至った経緯等、(ⅲ)リスク軽減のために実施した又は検討している措置、(ⅳ)侵害を起こした者に係る調査結果、(ⅴ)侵害の再発防止のために講じられた措置、(ⅵ)データ主体に対して行った通知の内容に係る報告、を通知しなければならない。

(5)    一定の場合の削除義務
本規則では、インドにおいて2,000万人超の登録ユーザーを有する電子商取引プラットフォーム事業者及びSNS事業者並びに500万人超の登録ユーザーを有するオンラインゲーム事業者は、本規則別表Ⅲで定められた目的のために個人データの処理を行っている場合、特定のデータ主体による最後の接触等から3年が経過した場合は、法令遵守に必要な場合を除き、当該個人データを消去しなければならない旨が定められた。また、データ受託者は、少なくとも消去の48時間前までに、データ主体に対し、ログイン等を行わなければ消去する旨の通知を行わなければならないとされた。

(6)    データ処理に関する問い合わせ先
本規則によれば、データ受託者は、ウェブサイト又はアプリケーション上、及び2023年法に基づく権利行使のためのデータ主体からの連絡への各返信において、データ保護責任者(Data Protection Officer)[6]の連絡先又はデータ受託者に代わって当該データ主体のデータ処理に係る質問に回答できる者の連絡先を目立つ形で表示しなければならない。

    (7)    児童又は法定後見人を有する障害者の個人データ処理に係る検証可能な同意
    本規則では、データ受託者は、児童又は障害者の個人データを処理する前に両親又は法定後見人から検証可能な同意の取得を確保する措置を講じるとともに、当該両親又は法定後見人として同意を行っている者の特定等のための検証措置を講じなければならない旨が定められた。
    なお、医療機関が児童の健康保護のために医療サービスを提供する場合等、上記措置が免除される場合も規定されている。

    (8)    重要なデータ受託者に係る追加義務
    2023年法第10条第1項に基づき、処理する個人データの機微度、安全保障等の要素を考慮して中央政府が指定する「重要なデータ受託者」(Significant Data Fiduciaries)について、本規則は、実施すべきデータ保護影響評価や監査の頻度を毎年1回と定めるとともに、個人データの処理に使用するアルゴリズムソフトウェアがデータ主体の権利を脅かすものではないことを検証する義務を負うとした。
    また、重要なデータ受託者は、中央政府が指定した個人データ及び関連トラフィックデータがインド国外に移転されないことを確保するための措置を講じなければならない。

    (9)    データ主体の権利
    本規則によれば、データ受託者は、データ主体が2023年法に基づく権利を行使するための方法等をウェブサイト又はアプリケーション上で明確に公開しなければならず、データ主体は、データ受託者に連絡して自身の個人データへのアクセス及び消去を要求できる旨が定められた。また、データ受託者は、ウェブサイト又はアプリケーション上で苦情への対応に係る合理的な期間(ただし90日を超えてはならない。)を公開し、その期間内に対応することを確保するための必要な措置を講じなければならないとされた。

    (10)    個人データのインド国外への移転
    本規則は、2023年法に基づきデータ受託者が処理する個人データは、インド国外へ移転することができるとの原則を明記している。一方で、データ受託者が、外国又は外国の支配下にある個人や団体等に対して個人データを提供する場合、中央政府が定める要件を遵守しなければならないとしている。

    [1] 2023年法の遵守状況の監督、違反事案の調査、必要な是正措置の実施確保等を所掌するために新たに設立される機関。DPBの命令や指示に不服がある者は、法令に従い不服申立てを行うことができる。

    [2] DPBに登録され、アクセス可能で透明性のある相互運用可能なプラットフォームを通じてデータ主体に同意の付与、管理、レビュー、撤回を行わせるための単一の窓口として機能する者(2023年法第2条(g))。

    [3] 個人データが関係する個人。ただし、当該個人が児童である場合は、当該児童の両親又は正当な後見人を含み、当該個人が障害者の場合は、障害者に代わって行動する正当な保護者を含む(2023年法第2条(j))。

    [4] 単独又は他の者と共同で、個人データの処理の目的及び手段を決定する者(2023年法第2条(i))。

    [5] データ受託者に代わって個人データを処理する者(2023年法第2条(k))

    [6] 2023年法第10条第2(a)に基づき、重要なデータ受託者が任命する個人であり、苦情処理窓口等を担当する者。

     

    3.総括

    本規則には、2023年法では明示されていなかったデータの越境移転に関する規制が新たに盛り込まれているほか、プライバシーポリシーに記載すべき事項、児童等の個人データを処理する際の同意取得時に講じるべき措置など、企業のコンプライアンス実務に直接影響を及ぼす内容が多数含まれている。インドにおける個人情報保護法制については各業界の関心が高く、2023年法の制定段階から準備を進めていた企業も多いと考えられるが、本規則の制定により、企業が遵守すべき事項が一段と具体化されたといえる。
    本規則により明らかとなった施行スケジュールによると、インドで事業を展開する日系企業に影響を与える主要な規定は、原則として本規則成立の18か月後、すなわち2027年5月13日に施行される見込みである。日系企業としては、今回明らかになったスケジュールを踏まえ、自社の事業内容との関係で必要となる対応を着実に準備していくことが求められる。

    以上

    TMI総合法律事務所 インド・プラクティスグループ
    平野正弥白井紀充本間洵
    info.indiapractice@tmi.gr.jp

    インドにおける現行規制下では、外国法律事務所によるインド市場への参入やインド法に関する助言は禁止されております。本記事は、一般的なマーケット情報を日本および非インド顧客向けに提供するものであり、インド法に関する助言を行うものではありません。

    アジア太平洋エリア ⼀覧に戻る
    グローバル・プラクティス ⼀覧に戻る