インド「2023年デジタル個人情報保護法」がついに成立
インドの「2023年デジタル個人情報保護法」の成立についてニュースレターを発行いたしました。 PDF版は以下のリンクからご確認ください。
インド「2023年デジタル個人情報保護法」がついに成立
2023年8月11日
One Asia Lawyers 南アジアプラクティスチーム
インドの個人情報保護に関する法規制に、大きな動きがありました。
2018年の最初の草案発表から約5年、「2023年デジタル個人情報保護法(Digital Personal Data Protection Act, 2023)」[1](以下、「2023年デジタルPDPA」)が、2023年8月7日にインド国会下院(Lok Sabha)を通過、8月9日に上院(Rajya Sabha)でも可決され、同月11日に大統領の承認を得たことで、法律として成立しました[2]。
本ニューズレターでは、成立されたばかりの2023年デジタルPDPAについて、過去の法案からの大きな変更点も含めて、その内容を紹介いたします。
インドにはこれまで個人情報保護に関する包括的な法律がなく、2018年に最初の草案が起草されて依頼、長らく動向が注視されていました。
GDPRをモデルとし、現行規制よりも大幅な厳格化を目指した「2019年個人情報保護法案」[3](以下、「2019年法案」)は、2022年に廃案となっています。その後、2022年11月に「2022年デジタル個人情報保護法案(the Digital Personal Data Protection Bill, 2022)」[4]の草案(以下、「2022年草案」)が発表され、今季夏季国会(7月20日~8月11日)会期中の提出が期待されていたところでした。
なお、2019年法案の取り下げについてはこちら(2022年8月16日付ニューズレター)で解説しております。また、同法案については、過去2回取り上げてきましたので併せてご参照ください。
2021年4月9日付ニューズレター(2019年法案の概要や審議状況、可決された際のインパクトを解説)
2021年8月13日付ニューズレター(2019年法案とGDPRの相違点、企業に求められる対応を解説)
1.2023年デジタルPDPAの主な規定
2023年デジタルPDPAの特徴として簡素さ、短さが挙げられます。2019年法案が14章98条で構成されていたのに対し、新法は9章44条と、絞られた内容となっています。
また、法律名で「デジタル個人情報」と冠しているとおり、インド国内のデジタル形式の個人情報または非デジタル形式の情報をデジタル化した個人情報のみを対象としている点で、2019年法案に比して限定されたと言えます[5]。
| 2023年デジタルPDPAの適用範囲(第3条) |
|
(1)以下の場合の、インドの領域内におけるデジタル個人情報の処理 (2)インド国外のデジタル個人情報の処理が、インド国内のデータ主体に対する商品・サービスの提供活動に関連して行われる場合 個人的・家庭内目的、公開情報は本法案の適用対象外です。 |
なお、2023年デジタルPDPA上の「個人情報」は広く定義され、そのデータによって、またはそのデータに関連して識別可能な個人に関するあらゆるデータを指します[6]。
さらに特筆すべきは、個人情報の分類がない、という点です。2019年法案では、情報の秘匿性等に応じて「個人情報」、「機密性の高い個人情報」、「重要個人情報」の3つに分類され、分類に基づいた規制の強弱がありました。また、「機密性の高い個人情報」は、現行のIT法の下位規則でも規定されています。
しかしながら、新法ではこれら分類が廃止されており、これまで機密性の高い個人情報を取扱う場合に適用されていた、IT法に基づく規則[7]は、2023年デジタルPDPA施行により廃止となります(同法第44条第2項)。
個人情報を扱う企業にとっての懸念事項である通知や同意取得については、GDPR同等の義務が規定されています。現行法では機密性の高い個人情報に該当しない限り、合意取得は明文上の義務がなかったため、規制の強化となります。さらに、同法施行前に本人が同意した個人情報の処理にも遡及適用されるため、速やかに同法案に準拠した通知を行う義務が生じます。
| 2023年法案の通知・同意取得義務(第4条、5条) |
|
(1)本人の同意を得た上で、合法的な目的(lawful purpose)のためにのみ処理することができる。 (2)同意の要求時または要求前に、(i) 個人情報およびそれが処理された目的、(ii) 同意撤回の権利行使方法、(iii)当局への苦情申立て方法を明記した通知(Notice)を行うものとする。 (3)データ主体がこの法律の開始日前にその個人情報の処理について同意した場合、合理的に実行可能な限り早急に(as soon as it is reasonably practicable)、データ主体に対して、前項(i)~(iii)を通知する。 |
日本企業を含む外国企業にとって重要な問題となる越境移転規制については、中央政府が何等かの制限を設けることができる規定となっています。つまり、特別に通達がなければ通常の個人情報の処理(移転を含む)と同じプロセスで国外移転ができるものの、例えば国別や業界別、または企業の規模などに応じて国外移転の可否や義務を規定する通達が追加される可能性があり、政府の裁量が大きい設計となっています。
また、2023年デジタルPDPA、データローカライゼーションについての規定はないものの、現行IT法に基づく通達[8]が存在しており、新法上で同通達を廃止する規定はないことから、現時点では同通達による180日間の国内保管義務[9]は併存するものと見られます。ただし今後、下位法令等で国内保管義務が規定される(引き継がれる)、または規制内容が見直される可能性も残るため、引き続き注視は必要となります。
| 2023年デジタルPDPAの越境移転・データローカライゼーション(第16条、規則) |
| 中央政府は、通達により、個人情報のインド国外への移転を制限することができる。 なお、より高度な保護/制限を規定するインド現行法の適用を制限するものではない。 |
データ漏洩時の報告について、2023年デジタルPDPAでは、規制当局[10]およびデータが漏洩したすべての人に対し、通知をしなければならないとされています。他方、現行IT法に基づく前述の通達では、データ漏洩を含むインシデントの覚知後、6時間以内に当局[11]へ所定の書式にて報告するものと規定されています。前述のとおり、新法で同通達の効力について言及がないため、6時間報告義務も併存すると見られます。
| 2023年デジタルPDPAのデータ漏洩報告(第8条第6項) |
| 個人情報の漏洩が発生した場合、データ管理者(企業等)は、規制当局および影響を受ける各データ主体に対し、規定される書式および方法で当該漏洩の通知を行うものとする。 |
違反時の罰金額も大きく注目されています。現行法上の罰金は数十万ルピー程度であるため、大幅な厳格化となります。ただし、2019年法案で規定されていた禁固刑は、新法では規定されていません。「また、1.5億ルピーまたは前会計年度の全世界売上高の4%のいずれか高い方」といった売上高に応じた罰金額の設定はされていません。
| 2023年デジタルPDPAの罰則(第33条、別表) |
| データ漏洩防止のためのセキュリティ対策不履行に対しては最大25億ルピー(約45億円) データ漏洩時の通知義務の遵守違反に対しては最大20億ルピー 等 |
2023年デジタルPDPAの主な規定をまとめると以下のとおりです。
| 適用範囲 | 「デジタル形式の個人情報」、「非デジタル形式で収集され、それがデジタル化された個人情報」のみが対象 域外適用あり |
| 個人情報の分類 | 「Personal Data」以外の分類なし |
| 規制当局 | Data Protection Board(DPB) 中央政府が設立、委員の要件を規定、委員を任命、機能を規定。 |
| 通知・同意取得 | GDPR同等の義務あり 施行前に同意取得した個人情報にも速やかに通知を行う義務あり |
| 越境移転・データローカライゼーション | 中央政府が移転にかかる制限を通達する権限あり (=原則、追加通達がなければ、同法規定遵守を前提に移転は可能) 国内保管の義務に関する規定なし |
| データ漏洩時の対応 | 当局および影響を与える各データ主体に対し、通知義務あり |
| 企業の主な義務 | セキュリティ措置具備、漏洩時の報告、保持制限、情報の削除、担当者の設置、等 (GDPRベースの2019年法案と同等の義務が維持されつつも、詳細を省き記載を収斂) |
| 罰則 | 規程違反に対し、最大25億ルピーまでの罰金の規定あり 禁固刑の規定なし |
2.今後の見通し
今回、同法はインド下院のLok Sabha、上院であるRajya Sabhaの両院で可決され、その二日後に大統領の承認を得ており、法律として成立しています。
ただし、前述のとおり2023年デジタルPDPAは、特に2019年法案と比べると簡素な内容であることもあり、下位規則や通達でさらに具体的な規定が盛り込まれることも予想されます。
いずれにしても、2023年デジタルPDPAはインドでビジネスを行う企業の実務に影響が及ぶため、同法の規定遵守を想定した社内体制の迅速な構築が求められます。
個人情報保護法制をめぐる動向や更新情報は、One Asia Lawyersのウェブサイト内「ニューズレター」をご確認ください。
https://oneasia.legal/category/letter
[1] https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf
[2] https://mpa.gov.in/bills-list
[3] http://164.100.47.4/BillsTexts/LSBillTexts/Asintroduced/373_2019_LS_Eng.pdf
[4] https://www.meity.gov.in/content/digital-personal-data-protection-bill-2022
[5] 2019年法案上の個人情報の定義は次のとおり:「オンラインかオフラインかを問わず、当該自然人のアイデンティティの特性、特徴、属性、または当該特徴とその他の情報との組み合わせに基づき、直接的または間接的に識別可能な当該自然人に関するデータまたは当該自然人に関するデータをいい、プロファイリングの目的で当該データから導き出される推論も含まれるもの」
[6] 同法第2条(t) “personal data” means any data about an individual who is identifiable by or in relation to such data
[7] 2011年情報技術(安全措置及び手続き並びに機密個人データ・情報)規則(Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules), 2011)
[8] Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet (安全で信頼できるインターネットのための情報セキュリティの実践、手続、予防、対応、サイバーインシデントの報告に関連する2000年IT法第70B条(6)項に基づく通達)https://www.cert-in.org.in/PDF/CERT-In_Directions_70B_28.04.2022.pdf
[9] 同通達に基づき、企業が使用するすべてのシステムのログは、180日間インド国内に保管される必要がある。
[10] 同法に基づき設置される「Data Protection Board(データ保護委員会)」を指します。
[11] 電子情報技術省傘下機関である「Indian Computer Emergency Response Team (CERT-In)(インドコンピューター緊急対応チーム)」を指します。
