2023年8月9日にインド上院でデジタル個人データ保護法が通過したというニュースがありました。インドのデジタル個人データ保護法は、大統領による署名を残すのみとなり、ほぼ成立が決まったといって良いでしょう。インドは日本企業を始め、グローバル企業にとってビジネス上の繋がりが深い国です。新たに規定されたデータ保護についてはぜひ理解しておきたいところです。
今回から2回に分けて、インドのデジタル個人データ保護法について内容を確認していきましょう。
インドのデジタル個人データ保護法はデータがオンラインで取得された場合、またはオフラインで取得されたデータをデジタル化した場合、インド国内で行われるデジタル個人データの処理に適用されます。
また、域外適用の規定もあります。域外適用とは、インド国外の組織に対してもインドの法律を適用するというものです。
少し詳しく説明しましょう。
法律は通常制定された国で適用されるものですが、データに関する法律の場合、データが容易に国境を超えて移動するという性質を持つため制定された国以外でのデータ処理についても制定された法律を適用することが行われます。例えば、日本に所在する人の個人データを中国の企業が中国で取り扱っている場合、中国の企業は中国の法律だけではなく、日本の法律(個人情報保護法)に従って日本に所在する人の個人データを取り扱わないといけない、という具合です。
インド国内に、商品やサービスを提供している場合、インド国外の組織は、インドに所在する個人のデジタル個人データ処理についてインドのデジタル個人データ保護法を遵守する義務が生じます。
デジタル個人データ保護法では、個人データの処理を行うためには個人の同意を取得しなければならないとしています。ただし、個人が自発的にデータを共有した場合や法的な義務を履行する為、命や健康に関わるような差し迫った状況、パンデミック等公衆衛生に対する対応を行う為、雇用の目的については同意を取得する必要はありません。
同意についてはいくつか条件が定められているので注意が必要です。
まず、処理の目的や個人が権利行使を行う方法、苦情を申し立てる方法といった個人データ処理についての情報を個人に対して通知してから同意を取得することが求められています。この説明は、明確かつ平易な言葉で行わなければなりません。
ちなみに、通知は英語またはインド憲法別表8で指定された言葉で提供する必要があります。
個人が同意を与えるときには、個人が自由に同意をすることができなければなりません。また、何に同意しているのかを具体的に理解していること、個人が十分理解していること、同意することを強制しないこと、個人が明確に同意する旨の意思表示をすること、といったことが求められています。
さらに、個人は同意をいつでも同意するのと同じくらいの容易さで撤回することができ、同意が撤回された場合には委託先を含め、個人データの消去を行うことが求められています。
18歳未満の個人の場合は、親または法定後見人の同意を得る必要があります。
このように、同意については非常に細かい条件が示されています。欧州のデータ保護法であるGDPRで導入された同意の要件がインドでも踏襲されているので注意が必要です。
インドのデジタル個人データ保護法では、個人データの処理の目的と手段を決める存在をデータ受託者(data fiduciary)と呼んでいます。データ受託者は欧州のGDPRでいうデータ管理者と同じ概念なので、ここではデータ管理者と呼ぶことにします。
データ管理者の義務としては、個人データの正確性と完全性の保守、個人データのセキュリティの保守、個人データ処理が不要になった場合には個人データを速やかに削除することが定められています。
データ保護責任者や個人データ影響評価についての要件も定められていますが、これは重要データ受託者 (significant data fiduciary)と呼ばれる中央政府が指定する特別な種類のデータ管理者にのみ課される義務となっています。重要データ受託者には、この他監査人を任命し、監査を行う義務も課されています。
データ管理者は委託先であるデータ処理者の個人データ処理についてもセキュリティに対する責任を負う必要があります。
さらに、データ漏えい等のデータ侵害が発生したときには、新設される個人データ保護委員会や影響を受けた個人に通知することも定められています。データ侵害通知の期限についてはまだ定められていません。
第1回のまとめ
インドのデジタル個人データ保護法は、最近のデータ保護法の傾向を反映しつつ、同意を個人データ処理の基礎とするものとなっています。
次回は個人の権利やデータ越境移転、執行措置等について紹介します。
アリババクラウドは、2018年以来インドのムンバイにデータセンターを設立し、2つのアベイラビリティゾーンを提供しています。
アリババクラウドのインドにおける活動についてはアリババクラウドのトラストセンターをご参照ください。インドの金融規制とガイドラインについてのユーザーガイドも公表しているため、ぜひご活用ください。
アリババグループのデータインテリジェンスの中枢であるアリババクラウドは、世界29のリージョンと88のアベイラビリティゾーンを展開し、世界中の数十億の企業顧客や個人にITサービスを提供しています。アリババクラウドは、運輸、銀行・投資サービス、保険、製造・天然資源、卸売業、リテールなどの各分野においてグローバル市場シェアを高め、米調査会社ガートナーが公開した最新レポートでは4年連続で売上高世界3位、アジア太平洋地域1位のIaaSプロバイダーとして認定されています。(Gartner Market Share:
IT Services, Worldwide 2022)
アリババクラウドは事業を展開する国と地域で適用される法律や規制を遵守しており、現在世界で80を超えるセキュリティとコンプライアンスの認証を取得しています。日本語で発行したホワイトペーパーやコンプライアンス活動に関する情報はJapan Trust Centerをご訪問ください。
(注:このブログは読者の方に情報提供を行うことを目的として記載しており、法的な正確性や解釈の正確性を担保するものではありません。実際のコンプライアンスにあたっては、必ずご自身で確認の上ご自身の判断でコンプライアンス対応を進めてください。アリババクラウドは内容の正確性、整合性、適用性、および信頼性について明示的か黙示的かを問わず一切の保証をしないことをここに言明します。アリババクラウドは、あらゆる組織、企業、個人が本ブログの内容を、利用、または信用することによって生じた誤りおよび金銭的損失について、一切の責任を負いません。アリババクラウドは、本ブログの内容を利用または信用することによって生じたあらゆる間接的損害、結果的損害、懲罰的損害、付随的損害について、利益損失も含め状況を問わず一切の責任を負いません。これは、アリババクラウドがそのような損害が生じる可能性について通知を受けていた場合も同様です。)
19 posts | 0 followers
FollowAlibaba Cloud Japan Compliance - August 28, 2023
Alibaba Cloud Japan Compliance - May 24, 2022
Alibaba Cloud Japan Compliance - October 29, 2021
Alibaba Cloud Japan Compliance - February 1, 2024
Alibaba Cloud Japan Compliance - September 14, 2023
Alibaba Cloud Japan Compliance - March 10, 2023
19 posts | 0 followers
FollowProvides traffic control and security protection for the Internet, virtual private cloud (VPCs), and hosts in VPCs
Learn MoreMore Posts by Alibaba Cloud Japan Compliance