• Instgram
  • LinkeIn
  • Lexologoy

インドにおける「個人情報保護法案」の取り下げと今後の見通しについて

2022年08月16日(火)

インドにおける「個人情報保護法案」の取り下げと今後の見通しについてニュースレターを発行いたしました。 PDF版は以下からご確認ください。

インド「個人情報保護法案」の取り下げと今後の見通し

 

インド「個人情報保護法案」の取り下げと今後の見通し

2022年8月16日 <style=”text-align: right;”>One Asia Lawyers 南アジアプラクティスチーム

インドの個人情報保護法案は、2019年に国会に提出されてから今日まで、その厳格な規制内容が議論となってきました。直近では、2021年冬季国会において、法案の内容を審議する合同委員会による報告書が提出され、抜本的な見直しとも言える修正案および提言が多数なされていました。

これにより、法案の成立時期について不透明な状況が続いていましたが、この度、インド政府は2022年8月3日、会期中の雨季国会(Monsoon Session)において、この「2019年個人情報保護法案」を取り下げたと、同月4日に報道がなされました。

インド政府は今後、合同委員会による提言を踏まえた上で、オンライン空間を規制する包括的な法的枠組みを検討し、2023年初頭までの新法案承認を目指しているとされます。

本ニューズレターでは、同法案取り下げまでの経緯および合同委員会による提言・修正案を解説し、今後の見通しについて紹介いたします。

なお、同法案については、過去2回取り上げてきましたので併せてご参照ください。

2021年4月9日付ニューズレター(同法案の概要や審議状況、可決された際のインパクトを解説)

2021年8月13日付ニューズレター(同法案とGDPRの相違点、企業に求められる対応を解説)

1.「2019年個人情報保護法案」廃案までの経緯

2018年に最初の草案が起草された個人情報保護法案は、2019年12月に「2019年個人情報保護法案」として国会に提出されています。

その後、この法案を審査するための合同委員会に付託されたものの、審議の複数回にわたる延期などにより、約2年を経て2021年冬季国会(2021年11月29日~12月23日)において、ようやく報告書が提出されました。この542ページにわたる「2019年個人情報保護法案に関する報告書」[1]では、81の修正案の提案と12の提言を行っており、中には法律自体の抜本的な見直しも含まれています。

合同委員会による主な提言には以下が含まれます。

・Non-personal data(「非個人」情報)を適用対象に

大量のデータが個人・非個人という区別なく処理されている現代において、匿名化された個人情報を対象外とすると、匿名化や再識別化(re-identification)に関するグレーゾーンが生じる懸念があるとして、データ主体に由来するデータ、およびデータ管理者が保管するすべてのデータを監督できるよう、法案の適用対象をPersonal data(「個人」情報)に限定せず、「匿名化された個人情報を含む、非個人情報」をすべて保護の対象として追加すること(提言2、16)

・法案名称の変更

(前項を前提として)法案の名称からPersonalを削除し、“Data Protection Bill, 2021”と変更すること(提言2、13)

・越境移転規制に関する、国外の既存データの扱いの明確化

外国企業等がすでに保有している機密・重要個人情報のミラーコピーを一定期間内にインドへ持ち込むことを義務付けること(法案では、機密性の高い個人情報は一定の条件を満たす場合を除き越境移転は原則禁止、重要個人情報は越境移転禁止)(提言11)

・越境移転を認める権限に関する、中央政府の監督強化と目的の厳格化

特定のグループ内スキームに基づく越境移転を認める権限を、当局単独でなく「当局が中央政府と協議の上」とし、さらに、移転目的が公共政策や国の政策に反している場合は認められない点を追記すること(法案では、機密性の高い個人情報は原則国内保管だが、当局が承認した契約・グループ内スキームに基づく移転等は移転が認められる)(提言52)

・情報流出・侵害の報告基準の厳格化

当局に対し情報侵害を通知する基準となる“likely to cause harm”(損害を与える可能性がある場合)を削除し、報告の要否に関するデータ管理者の裁量をなくすこと、また、DPAへの通知期限をGDPR同等の「当該侵害を認知してから72時間以内」と規定すること(提言46)。※ただし、データ主体に対し侵害を通知するかどうかの判断は、依然として当局による(法案では、発生し、その侵害がデータ主体に損害を与える可能性がある(likely to cause harm)場合は、データ管理者は所定の期間内に、以下の情報を含めDPAに通知する義務を負う)

・政府機関の権限濫用防止

政府機関が法の適用免除を受けることによる悪用が懸念されるため、条件として「公平、公正、合理的、かつ比例的」な手続きに従うべきであることを明記すること(提言56)

・猶予期間の設定

法律公布後、施行開始まで24か月間の段階的な猶予期間を設けること(提言3)

そのため、同報告書を受け、法案の内容がどの程度修正されるのか、改正後の法案が提出され、成立する時期はいつなのか等、同国会後の動向が注目されていました。

このような状況下、報告書提出から8か月後の雨季国会において、同法案の取り下げが発表されました。

2.法案取り下げの背景と今後の見通し

法案の取り下げ理由について、国会資料によると、合同委員会の報告書において多数の修正案およびデジタル・エコシステムに関する「包括的な法的枠組み”comprehensive legal framework”」を含めた提言が提出されたとし、これらを考慮した上で、同法案は取り下げたものとされています。

報告書では、データ保護やデータ・プライバシーを含むデジタル・エコシステムに関する多くの問題や課題が特定されています。政府は審議と検証の結果、合同委員会による提言の一部を踏まえ、また現在の課題と将来の機会を考慮し、法律と規則を包括的に再作成する必要があると説明しています。

具体的には、政府は今後これらIT分野の問題に対処するため、2000年IT法[2]の改正、データ保護、国家によるデータガバナンスの枠組み、サイバーセキュリティ、イノベーション促進など、オンライン空間を規制する包括的な法的枠組みが検討されることが予想されます。

政府は、通常1~2月に行われる来年の予算審議国会までに新法案を承認し、法制化することを目指していると報道されています。前述の分野を扱う複数の法案が提出されるのか、一部のみとなるのかなど、どのような形で包括的な法的枠組みに適合する新たな法案が発表されるのか、より一層注視されることとなります。

 

新法案をめぐる動向や更新情報は、One Asia Lawyersのウェブサイト内「ニューズレター」をご確認ください。

https://oneasia.legal/category/letter

以上

[1] http://164.100.47.193/lsscommittee/Joint%20Committee%20on%20the%20Personal%20Data%20Protection%20Bill,%202019/17_Joint_Committee_on_the_Personal_Data_Protection_Bill_2019_1.pdf

[2] Information Technology Act, 2000