インドの個人情報保護法案2019と審議状況について
インドの個人情報保護法案2019と審議状況についてニュースレターを発行しました。
PDF版は以下からご確認下さい。
インドの個人情報保護法案2019と審議状況について
2021年4月9日
One Asia Lawyers
南アジアプラクティスチーム
インドでは、個人情報を包括的に保護することを目的とした法案(以下、「2019年個人情報保護法案」)が、本記事執筆時点で、国会で承認されていません。現時点でのインドにおける個人情報に関する既存の法規制、個人情報保護法案の審議状況、そして可決された際のインパクトについて解説します。
※南アジア各国の個人情報保護法制については、2021年1月7日付ニュースレターをご覧ください。
1 2000年情報技術法・機密個人データ規則
本記事執筆時点において個人情報保護法は成立していないものの、 個人情報に関してインドで全く規制がないわけではありません。すなわち、個人情報保護法が成立していないから、個人情報保護に留意しなくて良いというわけではありません。
具体的には、2000年情報技術法(Information Technology Act, 2000)[1] およびその下位法令である2011年情報技術(安全措置及び手続き並びに機密個人情報)規則 [2](以下、「機密個人データ規則」)において、規制があります。金融、電気通信、医療等、産業分野ごとに存在する各規制の中で、データ取扱いに関し規定しているものがあるため、併せて確認する必要があります。
とりわけ重要なのが、以前より施行されている機密個人データ規則が機密性の高い個人情報(sensitive persona data)を特定し、その取扱いについて規定している点です。すなわち、機密性の高い個人データとは、個人を特定することができる情報のうち、以下の個人情報を指します(同規則3条)。
(ア) パスワード
(イ) 金融情報(銀行口座、カード情報等)
(ウ) 身体的、生理的及び精神衛生的状態
(エ) 性的指向
(オ) 医療記録及び履歴
(カ) 生体情報
(キ) 企業のサービス提供のために提供された上記に関する詳細情報
(ク) 適法な契約等に基づき、法人が加工または保存するために取得した上記に関する情報
このように、機密性の高い個人データを扱う場合、外国企業・インド企業に関わらず、同規則に則った措置を講じる義務を負います。具体的には、①プライバシーポリシーの策定と公開(同規則4条)、②当該データ使用目的に関する本人の同意取得(同5条1項)、③個人情報苦情処理役員(Grievance Officer)の設置と公開(同5条9項)等を含みます。
2 2019年個人情報保護法案とその審議状況
2019年12月には、個人データの保護を規定し、そのためのデータ保護局を設置することを目的として、個人情報保護法案(Personal Data Protection Bill)が議会に提出されました。この法案の内容を精査するために、国会議員(上院・下院)30名で構成される合同委員会[3]が組織され、業界各社(Facebook, Google, Airtel, Flipcart等)との会合も設けられていますが、これまでに審議が4回延期されるなどし、本原稿執筆時点でいまだ委員会報告書が国会に提出されていません。その背景としては、1)国家安全保障やテロ対策の観点から公的機関が個人の同意なくして個人情報を収集できる例外を広範に認めるべきか、2)厳格な個人情報保護がインドで現実的に可能か、といった点について、未だコンセンサスが得られていないためとも言われています。
特に、同法案35条から40条において、連邦政府は、公的機関を本法案の適用から除外する権限を有する旨の規定がなされていますが、こうした制約のないアクセス権は悪用につながる危険性があると指摘する専門家もいます。
また、41条から56条においては、個人データの管理や同法案の執行を担うデータ保護局(Data Protection Authority of India、「DPA」)の設立が規定されていますが、DPAの委員長および委員は、官房長官を含む上級公務員のみで構成され、政府が任命・解任権を有する(42条)ことから、その独立性が疑問視されています。
コロナ禍においても、インド政府が国民のプライバシーを保護する義務を十分に果たしておらず、逆に監視国家に傾きつつあるとの懸念が高まっています。インド政府は、COVID-19拡大防止対策として追跡アプリ「Aarogya Setu」を開発し、国民に使用を義務付けましたが、杜撰なデータ保護対策に批判が集中しました。アプリ使用の義務化についてはその後撤回されたものの、収集された個人データの保存先やアクセス権保有機関については不透明であるとされています。
加えて、同法案が、国会情報技術委員会(the Parliamentary Committee on Information Technology)ではなく、合同委員会に審議が付託されていることに対し、一部で反発する声もあり、世論は揺れていると言えます。
合同委員会による報告書の提出は、雨季国会(Monsoon Session:7月-9月)の第1週(2021年7月頃)となる見込みで、その報告書の内容にしたがって必要な修正を加えた法案が国会で審議される予定であるものの、数ある重要法案の中で、同法案が雨季国会中に通過する公算は高いとは言えない状況にあります。仮に雨季国会での法案成立が見送られた場合は、次の冬季国会(2021年11月-12月)での法案成立が目指されることになります。
いずれにしても、大きな修正を経ないで本法案が近く可決されると、以下に紹介するとおり、機密性の高い個人データをインド国外に移転することが原則として禁止されるなど、インドで個人データを扱う外国企業にも一定の影響が及ぶこととなり、その動向が注目されています。
同法案の主な規制には以下が含まれます。
3 個人情報のインド国外移転の厳格化
いわゆるデータローカライゼーションにかかる義務が規定されることとなります。現行の機密個人データ規則においては、機密性の高い個人データを他社(インド国内・国外問わず)等に移転することに関して、移転先が上記同等の措置を講じていることを条件に、可能とされていました(同規則7条)。一方、新法案では、機密性の高い個人情報は原則として国外移転が禁止され、当局に許可を得た場合にのみ認められるとされています。さらに、重要な個人データ(critical personal data)に関しては、インド国内でのみ処理されるものとされます(同法案33条、34条)。このため、当該データはインド国内のサーバに保存し、海外からのアクセスを制御するなどの対策を講じる必要が生じると予想されます。
4 独立データ監査人による監査義務
新法案は、EU一般データ保護規則(General Data Protection Regulation 、「GDPR」)のコンセプトをもとにしつつ、インド独自の規定として、独立データ監査人(independent data auditor)による監査を毎年受けることを義務付けています(同法案29条)。
5 罰則
新法案により規定される上記義務に違反した場合の罰則も規定されており、例えば33、34条(越境データ移転)の規定に違反した場合は、(i)1億5千万ルピー、または(ii)全会計年度の全世界売上高の4%(4% of its total worldwide turnover)のいずれか高い方が科せられることとなります(同法案57条)。また、29条(独立データ監査人による監査)の規定違反には、5千万ルピーまたは前会計年度の全世界売上高の2%のいずれか高い方が科せられます(同条)。
以上のように、現段階では施行時期が不透明ではあるものの、施行されると一定の対応が必要となるため、同法案の動向を注視するとともに、法案通り可決することを想定した社内体制の整備を進めることが薦められます。
[1] https://www.indiacode.nic.in/bitstream/123456789/1999/3/A2000-21.pdf
[2] 「Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011」https://www.wipo.int/edocs/lexdocs/laws/en/in/in098en.pdf
[3] 「Joint Committee on the Personal Data Protection Bill, 2019 」http://loksabhaph.nic.in/Committee/CommitteeInformation.aspx?comm_code=73&tab=1
以 上
本記事やご相談に関するご照会は以下までお願い致します。
