2023.01.30

インド【インド】森・濱田松本法律事務所 アジアニュース／第87回「個人情報保護法の新法案の上程」

【インド】森・濱田松本法律事務所 アジアニュース／第87回「個人情報保護法の新法案の上程」

このたび、森・濱田松本法律事務所アジアプラクティスグループでは、東南・南アジア各国のリーガルニュースを集めたニュースレター、MHM Asian Legal Insights第146号（2023年1月号）を作成いたしました。今後の皆様の東南・南アジアにおける業務展開の一助となれば幸いに存じます。
 
※本レターに記載した円建て表記は、ご参照のために、各現地通貨を現在の為替レートで換算したものとなります。

◇インド： 個人情報保護法の新法案の上程

本レター第142号（2022年9月号）でお伝えしたとおり、2019年12月にインド下院（Lok Sabha）に提出された2019年個人情報保護法案（Personal Data Protection Bill, 2019：「旧法案」）は、2022年8月3日にインド政府により突如として撤回され、現地報道によれば、インド政府が新法案を上程する予定であるといわれておりました。
そして、2022年11月18日、電子情報技術省（Ministry of Electronics and Information Technology）は撤回した旧法案に代わる2022年デジタル個人情報保護法（Digital Personal Data Protection Bill, 2022：「新法案」）を上程し、同年12月17日を期限としてパブリックコメントを募りました。
本レターでは、この新法案の概要をお伝えします。

(1) 簡素化・包括化
 
新法案は、全98条からなる旧法案から大幅に条文数を削減し、全30条の構成となっており、簡素化が図られています。その一方で、新法案に沿った規則の作成権限を中央政府に与えており、今後規制の詳細を中央政府が規定することが可能な建付けとなっています。新法案が施行された場合、下位規範となる規則によってどのような規制が新設されることとなるかについては注視が必要です。
 
(2) センシティブ個人情報・重大個人情報といった分類の不採用
 
旧法案では、個人情報につき、センシティブ個人情報や重大個人情報といった分類を採用し、分類ごとに越境移転やデータ・ローカライゼイションに関する規制を個別に規定することが予定されていました。

しかし、新法案では、このセンシティブ個人情報や重大個人情報といった分類は採用されず、①オンラインで収集された個人情報と、②オフラインで収集されたがデジタル化されている個人情報を規制の適用対象とすることとされました。なお、新法案では、オンラインで収集され、デジタル化されて「いない」個人情報は規制の適用対象外と規定されているため、仮にパブリックコメントに基づいて修正されずに新法案がそのまま成立すると、これらの個人情報は引き続き個人情報保護法における保護の対象外とされる可能性があります。

また、旧法案で存在した、センシティブ個人情報や重大個人情報といった分類を前提とした当該分類ごとの越境移転やデータ・ローカライゼイションに関する規制の設定は見送られ、その代わりに、中央政府がインド国外への個人情報の移転に関する条件を設定できる旨の規定が置かれる、という建付けとなりました。
 
(3) データ主体（Data Principal）からの同意の取得
 
新法案において、Data Fiduciary（「データ受託者」）が個人情報を特定の目的のために処理するためには、対象となる個人情報を特定し、Data Principal（「データ主体」）に対して適切に説明を行った上で、データ主体からその自由な意思に基づく明確な同意を取得することが要求されています。

その上で、データ主体が同意したとみなされる状況についても規定が設けられました（いわゆる同意みなし規定）。当該規定では、データ主体が同意したとみなされる状況が列挙されており、具体的な場面の例示も記載され、読み手にとって理解しやすい工夫がなされています。
 
(4) データ受託者（Data Fiduciary）・重要データ受託者（Significant Data Fiduciary）の義務
 
新法案では、データ受託者に対して、2022年デジタル個人情報保護法の遵守義務や合理的な保護措置による個人情報の保護義務等を負わせています。さらに、中央政府が認定するSignificant Data Fiduciary（「重要データ受託者」）については、重要データ受託者を代表する「データ保護責任者（Data Protection Officer）」を置く義務や重要データ受託者の2022年デジタル個人情報保護法の遵守状況を評価する独立個人情報監査人を置く義務等の追加的な義務が課されています。

重要データ受託者に該当するか否かは、①処理する個人情報の量やセンシティブ性、個人情報保護侵害のリスクといった具体的な要素、②インドの支配性や統一性に対する潜在的な影響や国家安全や公序といった抽象的な要素も勘案された上で中央政府により決定されます。
 
(5) 罰則
 
新法案では、2022年デジタル個人情報保護法の不遵守に対し、最大で50億インドルピー（約80億円）の罰金が課される旨の罰則が置かれています。
 
その他にも、新法案では、データ主体の権利・義務、18歳未満の個人に関する情報の処理、インド情報保護委員会（Data Protection Board of India）の設置等が規定されています。

新法案が今般提出された内容で議会にて承認されて法律として施行されるか、施行されるとしても、下位規範となる規則によってどのような規制が新設されることとなるか等、その運用は未知数な部分が多いため、今後の動向を引き続き注意深く見守っていく必要があるといえます。
 
（ご参考）
本レター第142号（2022年9月号）
https://www.mhmjapan.com/content/files/00065463/20220920-112844.pdf

本レター第146号（2023年1月号）
20230120-120615.pdf (mhmjapan.com)

（直近記事）
○第84回【インドネシア】「個人情報保護法の施行」
○第85回【マレーシア】「労働法の最新動向」
○第86回【シンガポール】「暗号資産に関する規制案の公表」

前のページへ戻る