インド:デジタル個人情報保護規則の公表 ― 企業義務の全体像とセキュリティ保護措置の具体的義務 ―
「デジタル個人情報保護規則の公表― 企業義務の全体像とセキュリティ保護措置の具体的義務 ―」についてニューズレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。
→デジタル個人情報保護規則の公表― 企業義務の全体像とセキュリティ保護措置の具体的義務 ―
2023年8月に成立した、インド初の包括的な個人情報保護法令となる「2023年デジタル個人情報保護法(DPDP法)」[1]に関し、その運用の詳細を定めた「2025年デジタル個人情報保護規則(DPDP規則)」[2]が2025年11月14日に公表されました。これに合わせてDPDP法の段階的な施行タイムラインも公表されました。
DPDP法およびDPDP規則は3段階で施行されることとなり、個人情報の取り扱いに係る企業の義務に関連する規定は、企業の遵守のため18か月の準備期間が設けられ、2027年5月13日より施行開始となります[3]。
しかしながら、今回の公表内容ですべてがクリアになったわけではなく、「具体的な対策が見えた領域」と、「依然として今後の通知待ちとなる領域」が混在しています。
本ニュースレターでは、DPDP法における企業義務の全体像」を整理した上で、規則により明確化された具体的実務と、今後の注視が必要な事項について解説いたします。
1. DPDP法における企業の主な義務(全体像)
DPDP法において、個人情報を取り扱う企業(Data Fiduciary[4])には、主に以下の義務が課されています。今回の規則は、これらの義務の「具体的な履行方法」を定めたものです。
|
・適法な根拠に基づく処理: 本人の同意、または正当な目的(Employment purposes等)に基づく処理 |
2. 【明確化した事項】直ちに対応検討が必要なポイント
今回の規則公表により、上記の義務のうち、特に「セキュリティ対策」と「有事の対応」について具体的な基準が示されました。これらはITシステムや運用フローに直結するため、以下の点について、現行運用とのギャップ分析が急務となります。
① 合理的なセキュリティ保護措置
規則第6条(Reasonable security safeguards)において、企業が講ずべき「最低限(at the minimum)」のセキュリティ対策が具体的に例示されました。なお、自社(Data Fiduciary)だけでなく、委託先(Data Processor)における処理も管理対象となります。
(a) データの秘匿化技術の導入:適切なデータセキュリティ措置(appropriate data security measures)を講じること(例(such as):、暗号化(encryption)、難読化(obfuscation)、マスキング、バーチャルトークンの使用)
▶ 実務対応:条文上は「暗号化、難読化、マスキング等」が例示されています。これら(または同等以上の技術)を採用せずにデータ侵害が発生した場合、「合理的・適切な保護措置」を講じていなかったと判断されるリスクがあるため、実務上は、保管・通信データの暗号化や、開発・テスト環境におけるマスキング処理などの措置が強く求められます。
(b) アクセス制御の徹底:コンピュータ・リソースへの適切なアクセス制御措置
▶ 実務対応:ID管理、多要素認証導入、最小権限の原則に基づくアクセス権限の棚卸しが求められます。
(c) ログ監視と検知体制:不正アクセスの検知・調査・再発防止を可能にするための、適切なログ取得、モニタリング、およびレビューによる「可視化(Visibility)」
▶ 実務対応:ログを取るだけでなく、定期的なレビューや異常検知時のアラート体制が求められることとなります。
(d) 侵害時の事業継続・回復措置(バックアップ等):データ破壊やアクセス喪失により、機密性・完全性・可用性が侵害された場合でも、処理を継続するための措置(データバックアップ等)
▶ 実務対応:ランサムウェア対策等を想定したバックアップ体制とリストア手順の整備が含まれます。
(e) ログおよび関連データの「1年間」保存義務:不正アクセスの検知・調査・再発防止を可能にするため、当該ログおよび関連する個人データを、原則として「1年間」保持すること
▶ 実務対応:多くの企業でログ保存期間は「3ヶ月〜6ヶ月」の設定が見られますが、インドにおいては「1年」への設定変更と、それに伴うストレージ容量の確保が必要となり、コストに直結する可能性があります。
(f) 委託先との契約義務:委託先となるデータ処理者との契約において、合理的なセキュリティ保護措置を講じる旨の規定を設けること
▶ 実務対応:既存のベンダー契約(Data Processing Agreement等)を見直し、必要に応じて本規則に準拠したセキュリティ条項を追加する必要があります。
(g) 実効性を確保するための技術的・組織的対策:上記の保護措置が実効的に遵守されるための、技術的および組織的対策
▶ 実務対応:定期的なセキュリティ監査や従業員トレーニング等が該当します。
② データ漏洩時の報告期限(72時間ルール)
データ侵害(Data Breach)を認知してから「72時間以内」に、DPBおよび影響を受ける本人への報告が義務付けられました(規則第7条(2)(b))。
▶ 実務対応:金曜夜間にインシデントが発覚した場合などを想定し、誰が判断し報告を行うか、緊急時連絡体制(エスカレーションフロー)の策定が必要です。
3. 今後の見通しと未確定事項
セキュリティ要件等が明確となった一方で、日本企業にとって重要な関心事である以下の点については、今回の規則本体には詳細が含まれておらず、今後の追加通知やガイドラインによって補完される見込みです。
|
・越境移転(Cross-border transfer)の具体的規制 |
なお、今後の追加通知は、インド電子情報技術省の公式サイト上に順次公開されていく方式が採られる模様です[5]。本ニュースレター発行時点では、DPDP法および規則の条項ごとの施行タイミング(タイムフレーム)と、DPBの委員数が「4名」に決定されたことのみが通知されており、具体的な運用体制の大部分が通知ベースで追加されていくことが見込まれます。
4. 日本企業における実務上の留意点と、今からやっておくべき準備
規則第6条の要件は非常に具体的であり、IT・セキュリティ面および法務・コンプライアンス面の両面での対応が求められます。
まずはIT部門との連携の上、上記の要件について、特に「ログ保存期間1年」や暗号化等の秘匿化技術に関し、現行システムが準拠しているかの確認が強く推奨されます。
同時に、「どのデータが・どこに・何のために」あるかを可視化するデータマッピングを完了させておき、越境規制や消去義務の詳細が決まった際に即座に対応できる体制整備も必須となります。また、委託先との契約レビュー、プライバシーポリシーや同意書の改訂準備を進めつつ、今後の追加通知を注視する必要があります。
One Asia Lawyersでは、引き続きインド当局の通知をモニタリングし、実務への影響を随時発信してまいります。
以上
[1]Digital Personal Data Protection Act, 2023:
https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
[2] Digital Personal Data Protection Rules, 2025:
https://www.meity.gov.in/static/uploads/2025/11/53450e6e5dc0bfa85ebd78686cadad39.pdf
[3] DPDP法の施行タイムライン:
https://www.meity.gov.in/static/uploads/2025/11/c56ceae6c383460ca69577428d36828b.pdf
[4] GDPR等の管理者「Controller」に相当
[5]https://www.meity.gov.in/documents/act-and-policies/digital-personal-data-protection-rules-2025-gDOxUjMtQWa?pageTitle=Digital-Personal-Data-Protection-Rules-2025
