2023年8月にインドにおいて包括的な個人情報保護法である2023年デジタル個人データ保護法が成立しました。当事務所は、テクノロジー及びイノベーション分野において専門性を有する現地事務所であるIkigai Lawの許諾を得て、同事務所が同法の概要について説明した記事を以下に翻訳しました（原文はこちらをご覧ください）。本記事を踏まえ、当事務所は、2023年11月16日16時からIkigai Lawと共同で同法に関するセミナーを開催いたします。セミナーの詳細及びお申込についてはこちらをご覧ください。

（以下、記事本文の翻訳です。）

2023年8月11日、インドにおいて2023年デジタル個人データ保護法が大統領の同意をもって成立しました。本頁では、この法律が私たちにとってどのような意味を持つのかを簡潔に説明しています。是非お読みください。法律の概要についてはこちらをご覧ください。

1．対象となるデータとは？

個人データ、すなわち個人を特定することができるデータです。これには、氏名、電話番号、アーダール番号（国民識別番号）、PAN（納税者番号）等の識別子が含まれます。また、ユーザの好みや選択等に関するプロファイリングデータや利用状況データも含まれます。この法律の対象となるのは「デジタル」データのみで、オフラインの記録は対象とはなりません。また非個人的なデータ（ビジネスインサイト、匿名化されたデータ等）も対象外です。

対象外のデータ：当該個人または法的義務を負う他者によって「一般に公開」されたデータ。例えば、ブロガーが自身の消費傾向をソーシャルメディアに投稿した場合など。

2．影響を受ける者とは？

デジタル個人データを処理するすべての者が対象です。処理とは、データの収集、記録、構築、保管、共有、またはデータに対するあらゆる自動化された処理をいいます。この法律は、2つの主体を認定しています。

データ受託者：処理の「目的および手段」を定義する事業者。他国ではデータ管理者とも呼ばれており、ユーザのデータについて指図する事業者を指します。データ受託者は、データが必要な理由、データの利用方法およびその保管期間を決定します。データ受託者は、ユーザのデータについて責任を負い、かつ法律に基づく説明責任を負います。
データ処理者：データ受託者のためにデータを処理する事業者。例えば、顧客のためにデータを保管するクラウドサービスプロバイダーや、銀行に代わって「本人確認（Know Your Customer （KYC））」を行うKYCサービスプロバイダーがこれにあたります。データ受託者はデータ処理者に対して処理内容を指示します。

国外事業者：インド国内で商品やサービスを「提供」している事業者は、この法律の適用対象になります。

3．この法律により、個人データの収集方法を変更する必要はある？

必要です。個人データを収集するには、データ受託者は、本人の同意を得るか、またはその収集／処理が法律で認められた一定の「合法的な用途」のためのものである必要があります。

同意：データ受託者は、ユーザに対し、収集するデータの種類、収集目的、ユーザの権利、およびデータ保護委員会（執行機関）への苦情申立の方法を通知しなければなりません。通知の内容を確認したユーザは、特定された目的のために自身のデータが処理可能であることを確認する、明確かつ積極的同意をしなければなりません。データ受託者はまた、ユーザがその同意を撤回できるようにしなければなりません。
合法的な用途：企業が法律で認められた一定の「合法的な用途」のためにデータを処理する場合は、別途同意を取得する必要はありません。これには、個人が自発的に自身のデータを特定の目的のために提供する場合、または法的義務を満たすためもしくは裁判所の命令に従うためにデータが処理される場合などの状況が含まれます。

4．この法律の施行前に収集された個人データはどうなる？

この法律の施行前に収集されたデータについては、データ受託者はデータ主体である個人に対し、処理するデータの種類、処理の目的、データ主体の権利行使の方法、およびデータ保護委員会への苦情申立の方法を記載した新たな通知を送付しなければなりません。

5．データ受託者のその他の義務とは？

(a) 組織的・技術的措置の実施
(b) 合理的な安全管理措置の採用
(c) 個人データの漏洩があった場合のデータ保護委員会および影響を受ける個人への通知
(d) 一定の状況下における個人データの正確性、完全性および一貫性の確保
(e) 収集目的達成時またはデータ主体が同意を撤回した際の個人データの消去
(f) 苦情処理の仕組みの導入
(g) ベンダーの任用は、個人データの利用方法、保護方法等を定めた契約に基づく場合に限定すること

大量のデータまたは機微データを処理するデータ受託者は、「重要データ受託者」として指定されることがあります。重要データ受託者は、(a)インドに拠点を置くデータ保護責任者の指名、(b)独立したデータ監査人の指名および定期的なデータ監査の実施、ならびに(c)定期的なデータ保護影響評価の実施が必要となります。

対応事項

▪ データマッピング（各チーム・各機能がどこで個人データと関わるかを特定）

▪ ユーザインターフェースの再検討（カスタマージャーニーのどの地点にポップアップ通知やチェックボックス、追加情報を配置するかを特定）

▪ プライバシーポリシーや通知の更新

▪ ベンダーとの取決め内容の見直し

▪ 従業員の教育（製品、取引、営業、人事等の横断的研修）

▪ 適切な責任者の任命（苦情処理担当者、「重要データ受託者」の場合のデータ保護責任者）

子供のデータの処理：子供のデータを収集する企業は、親／保護者の同意を得なければなりません。子供に対する行動のトラッキング及びモニタリング並びにターゲティング広告は禁止されています。中央政府は、これらの義務の遵守についての適用除外を定めることができます。

6．データ処理者の義務とは？

この法律はデータ処理者の具体的な義務や罰則を詳細には規定していません。データ受託者は、契約により、その義務や罰則をデータ処理者に対して転嫁することができます。そのため、データ処理者はデータ受託者との契約を入念に精査する必要があります。

7．データをインド国外に移転したり、国外で処理したりできる？

できます。ただし、インド政府は通達により一定の国々への移転を制限することができます。

8．自身の個人データに関する当該個人の権利とは？

データ主体である個人は、データ受託者に対し、処理される個人データ、処理活動、および当該個人のデータが共有されるすべての組織に関する情報を求めることができます。データ主体はまた、その情報の訂正・削除を求めることができ、自身の死亡または無能力の場合に自身に代わってその権利を行使する者を指名することもできます。企業は、データ主体が苦情救済のメカニズムを簡単に利用できるようにしなければなりません。同法は、データ主体に対しても義務を課しています。虚偽の主張や根拠のない主張をしないこと、他人の氏名や肩書などを詐称しないこと、などの義務です。

9．この法律に従わないとどうなる？

同法は、これを執行し、罰則を科すためのデータ保護委員会を設置します。データ受託者が法律に違反する場合には、データ主体はデータ保護委員会に申立を行うことができます。データ保護委員会は、違反に対して25億ルピーを上限とする罰金を科すことができます。刑事罰の規定はありません。罰則を科す際、データ保護委員会は、違反または遵守懈怠の影響を緩和するために企業が取った措置を評価します。特に、データ保護委員会は、一定の場合にデータ受託者のプラットフォームへのアクセスをブロックする命令を出すよう政府に対して依頼することができます。

10．同法の遵守までの猶予期間は？

同法には猶予期間の定めはありません。一部の要件が他の要件に先だって効力を生じる等、段階的に実施される可能性もあります。

このトピックについてより詳しくお知りになりたい方は、こちらまでご連絡ください：
contact@ikigailaw.com

お断り：このブログの内容は情報提供のみを目的としており、法的助言や法的意見と解釈されるべきものではありません。何らかの行動を起こされる場合には、事前に弁護士にご相談ください。

以上

ニューズレターのメール配信はこちら