2025.02.07
- 【インド】森・濱田松本法律事務所 アジアニュース/第111回「デジタル個人情報保護規則案の公表」
- 【インド】森・濱田松本法律事務所 アジアニュース/第111回「デジタル個人情報保護規則案の公表」
-
◇インド
MHM Asian Legal Insights第155号(2023年9月号)※1において、2023年8月11日に成立したデジタル個人情報保護法(Digital Personal Data Protection Act, 2023)の概要についてお知らせしていましたが、2025年1月3日に、同法に基づくデジタル個人情報保護規則案(Digital Personal Data Protection Rules, 2025:「本規則案」)がインド政府により公表されました。本規則案は2025年2月18日までパブリックコメントに付される予定です。そこで、本稿では、本規則案の概要についてご案内します。
(1) データ受託者からデータ主体への通知
デジタル個人情報保護法上、データ受託者(Data Fiduciary)は、デジタル個人情報を処理する場合には、原則としてデータ主体(Data Principal)から同意を取得する必要があり、当該同意取得にあたっては、データ主体に対する通知が必要とされています。
本規則案では、当該通知が具備すべき要件が定められており、①理解しやすく、データ受託者が共有する他の情報とは独立したものであること、②データ主体から具体的なインフォームド・コンセントを得るために必要な情報を明確かつ簡潔に説明すること(収集される個人データの項目別の説明、並びにデータ処理の具体的な目的及び当該データ処理によって提供等される製品、サービスの項目別の説明を含む)、また、③データ主体が同意を撤回し、権利を行使し、苦情を申し立てることができるよう、データ受託者のウェブサイトやアプリへのリンクを提供すること等が必要とされています(本規則案3条)
(2) データ受託者に求められるセキュリティ対策
デジタル個人情報保護法上、データ受託者は合理的なセキュリティ対策を実施することが必要とされています。本規則案では、当該セキュリティ対策の内容として、少なくとも、暗号化、難読化若しくはマスキング又は仮想トークンの使用を含む適切なセキュリティ措置を講じること、アクセス制御を行うための適切な措置を講じること、デジタル個人情報へのアクセスの可視化、不正アクセスの検出・調査等の対応等が定められています(本規則案6条)
(3) 個人データ侵害の通知
デジタル個人情報保護法上、データ受託者は、デジタル個人情報の漏えい等の侵害を認識した場合、全ての影響を受けたデータ主体に通知することとされています。本規則案では、当該通知の内容として、当該侵害の性質、範囲、タイミング及び場所、当該侵害により生じ得る結果、リスク軽減のために講じる・講じた措置の内容、データ主体が自らの利益の保護のために取り得る安全措置の内容、及びデータ主体からの問い合わせに対する責任者の連絡先情報を含める必要があることが規定されています(本規則案7条1項)。
また、データ受託者は、データ保護委員会(Data Protection Board)に対し通知を行うことも求められるところ、本規則案では、データ受託者は(a)当該侵害の性質、範囲、タイミング及び場所並びに当該違反により生じ得る影響を遅滞なく通知するとともに、(b)侵害を認識してから、72時間以内(又はデータ保護委員会により許可されている場合は当該期間内)に、侵害に至った経緯・背景・理由、リスク軽減のために実施又は提案された措置、当該侵害を生じさせた者に関する検出事項、将来の侵害を防ぐために講じた是正措置、並びにデータ主体に送信された通知内容等を通知する必要があると規定されています(本規則案7条2項)。
(4) インド国外での個人データの処理
デジタル個人情報保護法では、越境移転やデータ・ローカライゼイションに関する具体的な規制内容は定められておらず、インド中央政府がインド国外への個人情報の移転について、通達により制限することができる旨のみが規定されています。
本規則案においても、具体的な規制内容は定められていない一方で、インド国内で処理された個人情報又はインド国内のデータ主体に対する商品若しくはサービスの提供に関連してインド国外において処理された個人情報について、インド国外に移転する場合、データ受託者はインド中央政府が定める一定の要求に適合することが必要である旨が規定されています(本規則案14条)。上記のとおり、具体的な規制内容はインド中央政府により別途定められる建付けとされているため、今後も動向を見守る必要があります。
以上のほか、本規則案は、データ保護委員会の構成、データ主体の権利の行使方法、重要なデータ受託者の追加的な義務、同意の管理等を行うConsent Managerの義務等が規定されています。本規則案は現在パブリックコメントに付されているため、動向に注視していく必要があります。
(ご参考)
※1 MHM Asian Legal Insights第155号(2023年9月号)
1. インド: デジタル個人情報保護法の成立
https://www.morihamada.com/system/files/newsletters/newsletters/pdf/20230920-033806.pdf
本記事掲載URL
https://www.morihamada.com/system/files/newsletters/ja/asian-legal-insights/20250120/01.pdf
(直近記事)
○第108回【インドネシア】「フランチャイズに関する新政令の施行」
○第109回【ベトナム】「個人情報保護法案の公表」
○第110回【フィリピン】「データプライバシー法に関する国家プライバシー委員会の最近の動向」
- 【掲載元情報】
- 森・濱田松本法律事務所アジアプラクティスグループ 制作
