インドのデジタル個人データ保護法（DPDPA）を理解する

デジタル個人情報保護法はインド史上最も包括的なデータ規制であり、約15億人のプライバシーの権利を確認するものです。 これは、これまでインド国内で断片的に存在していた以下のようなデータ保護法に変わるものです。

• 2000年に制定された情報技術法のセクション43Aおよび87(2)(ob)。
• 2011年に制定された情報技術（合理的なセキュリティプラクティス、手続き及びセンシティブ個人データ又は情報）規則。

DPDPAが施行される以前、インドにはデータのプライバシーおよび保護を統一的に規定する法的枠組みはありませんでした。 それが変わり始めたのは2017年のことで、インド最高裁がプライバシーは基本的権利であるとの判決を下し、それを受けて関連法案に関する数年にわたる審議と協議が行われました。

最終的に、2023年8月11日、インドの国会下院は1週間余りの最終承認を経てDPDP法を可決しました。 その規模や私的地位に関係なく、インド国内で「デジタル個人情報」を処理するすべての事業体を対象としています。

デジタル個人情報とは？

DPDPAは注目すべき点として、その名称に「デジタル」という言葉が含まれていますが、これは意図的なものです。 他の規制とは異なり、デジタル化された個人情報に特に焦点を当てており、法律上はこれを「当該データによって、または当該データに関連して個人を識別するために使用できる個人に関するデータ」と定義しています。 これには以下が含まれます：

• 名前
• 住所
• 電話番号
• 生年月日
• Eメールアドレス
• 教育業界
• 金銭的詳細
• 医療記録
• パスワード

法的義務に基づき公開されたデータや研究目的で処理されたデータなど、いくつかの適用除外があります。

誰がDPDPA規則を遵守しなければならないのですか？

DPDPAは、インド国内において個人データを処理するあらゆる組織に適用されます。これは、以下の情報が収集された場合に該当します。

• デジタル形式、あるいは、
• デジタル化されていない状態で、その後デジタル化されたもの

さらに、他の主要な規制と同様に、この法案には域外適用の効力があります。 つまり、データ収集された場所に関係なく、インドで商品やサービスを提供するために個人データを処理するすべての企業にも適用されます。

DPDPAを順守しなかった場合、全世界の年間売上高の4％または2億5,000万インドルピー（約3,000万ドル）のいずれか高い方の罰金など、多額の罰則が科される可能性があります。

DPDPAの主要な概念、権利、要件を紹介します。

DPDPAにおける定義

DPDP法には、他の主要な規制と似ているようで異なるいくつかの独自の用語があります。 これには以下が含まれます：

• データ受託者： これには、データの収集および処理業務を担当するあらゆる事業体が含まれます。 この概念はEU一般データ保護規則（GDPR）から採用されたもので、GDPRではこの主体を 「データ管理者」と呼んでいます。
• 重要なデータ受託者（SDF）： SDFは、インド政府がデータ量、機密性、リスク、国家安全保障への影響に基づいて特に指定した受託者です。 SDFはデータ保護に関する追加要件を満たす必要があります。
• データ主体： 「データ主体」に相当するこの用語は、受託者によって個人情報を収集される個人を指します。
• 同意管理者： 同意管理者とは、データ主体の同意を透明性のあるプラットフォーム上で独自に管理、確認、撤回する権限を持つ第三者機関です。 これらの機関は、受託者が法的要件を順守しやすくするための支援を行ないます。

プライバシー権

DPDPAは、市民が自らの個人データを管理できるようにするための標準的な権利を定めています。 これらの権利はまた、データ処理規則および要求事項の主要な法的基準を定めるものです。 それには以下が含まれます。

• 個人情報にアクセスする権利： 組織は、データ主体が自身の個人情報へのアクセスを要求できる手段を提供しなければならず、その結果、透明性が確保されます。
• 削除請求権： 個人はまた、受託者に対し、いつでもデジタル個人情報の削除を要求することができます。
• 訂正請求権： データ主体は、不完全または不正確な情報の訂正または更新を要求することができます。
• データ収集に対する同意権： データ受託者は、明確かつ十分に理解された同意を取得し、個人がデータの収集と処理について認識し、同意していることを確認する必要があります。
• 苦情救済権： 個人は、自身の権利が侵害されたと考える場合、苦情を申し立て、救済を求めることができます。

コンプライアンス要件

2024年1月の報告書によると、DPDPAの施行はまだ始まっていないものの、85%のデータ受託者が、順守に向けた準備の初期段階に着手していました。 しかし、「多くの条項の実施内容を定める規則がないため、準備が妨げられている」のが実情です。

簡単に言えば、具体的な要件はまだ決まっていない状況です。 とはいえ、いくつかの大まかな義務についてはすでに確定しています。

• 同意の取得： 組織は、データを収集または処理する前に、個人から明確かつ具体的で、十分な情報に基づいた同意を得る必要があります。 そのためには、どのようなデータが収集されるのか、その収集目的、データがどのように使用されるのかを本人に通知する必要があります。
• データ収集の制限： 受託者は、特定の目的に必要なデータのみを収集することができ、それ以上の情報を取集してはなりません。
• データの正確性の確保： 企業は、収集したデータを正確かつ最新の状態に保ち、本人からの通知があった場合は、不正確な情報を修正する必要があります。 重要なことは、データ主体が情報の更新を要求できる仕組みを企業が整備しなければならないということです。
• セキュリティ対策の実施： 受託者は、適切な技術的および組織的措置を講じることにより、個人データを不正アクセス、侵害、およびその他のセキュリティリスクから保護することが法的に義務付けられています。 これには、暗号化、公開鍵基盤（PKI）、および同様の保護が含まれます。
• データ違反の通知： 対象事業者は、データ侵害が発生した場合、データ保護委員会および影響を受けた個人に通知する必要があります。 DPDPAでは、情報漏えいには不正なデータ処理、開示、改ざん、紛失、あるいはデータの守秘性、完全性、可用性を損なう行為が含まれます。
• データ保持の制限： 受託者は、法令で義務付けられている場合を除き、特定の目的のために必要な期間を超えて個人情報を保有することはできず、その保有期間に応じて情報を削除しなければなりません。

EU一般データ保護規則（GDPR）。 しかし、GDPRとはいくつかの点で異なります。

対象

• GDPR： 処理がどこで行われるかにかかわらず、EU域内の個人データの処理に適用されます。
• DPDPA： インド国内におけるデジタル個人情報の処理に適用され、その処理がインド国内の個人に対する商品またはサービスの提供に関連する場合は域外適用となります。

機微性

• GDPR： 個人情報と、より高度な保護が必要な特別なカテゴリーのデータとを区別しています。 また、さまざまな年齢制限（通常は16歳未満）の子どもを定義し、そのデータ保護に関する具体的な規定が設けられています。
• DPDPA： 個人データと機微な個人データを区別していません。 ただし、DPDPAでは子どもを18歳未満の個人と定義し、子どもに対する追跡や行動監視、ターゲティング広告の禁止など、より厳格な義務を課しています。

データ転送

• GDPR： EU域外へのデータ移転には、標準契約条項などの特定の移転メカニズムが求められます。
• DPDPA： インド政府が制限している国を除き、国境を越えたデータ移転を許可しています。

Entrustは、DPDPAの順守を簡素化し、組織全体で個人データを保護するための幅広い製品とソリューションを提供しています。