見出し画像

インド最新法令UPDATE Vol.4:インドのデジタル個人情報保護法案(2022年版)について

三浦法律事務所/Miura & Partners

インドにおいて、電子情報技術省は2022年11月18日、デジタル個人情報保護法案(2022年版)を公表し、パブリックコメントに付しました。パブリックコメントの受付期間は、当初は2022年12月17日まででしたが、2023年1月2日まで延長されています。

デジタル個人情報保護法案(2022年版)では、新たなコンセプトとして「重要なデータ受託者」というコンセプトが設けられ、これに該当する場合にはデータ保護責任者、データ監査人を任命し、データの影響評価や監査などの対応が求められます。また、個人情報保護規制違反に対する罰則も、現行の50万インドルピー(約81万円)から最高50億インドルピー(約81億円)へと大幅に引き上げられています。

本記事では、①インドにおける個人情報保護法制の改正の動きの概要を説明した上、②インドにおける現在の個人情報保護に関する規制枠組を紹介し、③最後にインドのデジタル個人情報保護法案(2022年)の内容につき、2019年版の草案とも比較しつつ紹介します。

1. インドにおける個人情報保護法制の改正の動きの概要

(1)Puttaswami判決とデータ保護委員会の創設

インド最高裁判所(以下「最高裁」)は2017年、Justice K.S Puttaswami (Retd.) and Another Vs. Union of India and Othersの事案に関する判決を下す中でプライバシー権が基本的な権利であると認めました。この判決にしたがってインド政府は、Srikrishna元判事を議長としてデータ保護委員会を創設しました。

(2)2019年法案

データ保護委員会は2018年7月、個人データ保護法案についての草案を提出しました。その後、インド政府はパブリックコメントを募り、2019年12月、インド議会下院に改正「個人データ保護法案」(以下「2019年法案」)を提出しました。

その後、2019年法案は30名の国会合同委員会に付託され、さらなる議論と審査が行われました。国会合同委員会は報告書を提出し、2019年法案にいくつかの修正を提案しました。しかし、国会合同委員会、産業界、シンクタンク、一般市民からのフィードバックを考慮して、インド政府は2022年8月3日に2019年法案を取り下げました。

(3)2022年草案(本記事のメインテーマ)

電子情報技術省は、2022年11月18日にデジタル個人情報保護法案の草案を公表し、2022年12月17日までパブリックコメントを募集しました。その後、インド政府はコメント提出の最終期日を2023年1月2日まで延長しました。

2. インドにおける現在の個人情報保護に関する規制枠組

デジタル個人情報保護法案(2022年版)の説明に入る前に、まずはインドにおける現状の個人データに関する規制枠組みについて紹介します。

(1)総論

上記のPuttaswami判決によりプライバシー権を基本的な権利として認識されながらも、プライバシーやデータ保護に特化した法律は存在しません。
インドにおいて、データ保護に関連する法令としては、以下があります。

・ 2000年技術法
・ 2008年情報技術法(修正版)
・ 2011年情報技術規則

2000年の情報技術法(以下「技術法」)は、元々電子契約に対して法的承認を与えるために施行されたものであり、その法令には電子データを保護するための一定の規定がありました。

後に、個人データや機密性の高いデータを技術法の範囲に含めるという目的のために、インド政府は2008年の情報技術法(修正版)を導入しました。

その後、インド政府は、個人情報や機密性の高いデータの取り扱いと安全対策に特化した2011年の情報技術規則(合理的なセキュリティ慣行と手順、機密性の高い個人データや情報)(以下「技術規則」)を制定しました。
これが現状インドにおいてデータ保護と関連する法令です。

(2)現行法上の基本的なスタンス

ア 概要
現行法上、インドの個人情報保護法制では、①個人情報を通常の個人情報と機密情報とに分け、②機密情報についてのみ収集・処理・保存などに関する規制を設け、③セクターごとにも個人情報の取り扱いに関する規制(いわゆるデータローカライゼーションなど)を置いているという形となっています。以下、それぞれについて説明します。

イ 個人情報のカテゴリー(通常の個人情報と機密情報)
データ保護法は個人データを以下のようにカテゴリー分けしています。

① 個人情報とは自然人に関する情報を意味し、法人が入手可能かまたは入手する可能性がある情報と組み合わせることで、直接的または間接的にその個人を特定することができる情報を意味する。

② 機密性の高い個人情報(以下「機密情報」)とは、以下に関連する情報から構成される個人情報を意味する。(a)パスワード(b)銀行やクレジットカードなどの金融情報(c)身体的、生理的、精神的な健康状態(d)性的志向(e)医療に関する記録と履歴(f)生体情報。

ウ 機密情報にかかる規制
現行法上は、機密情報を保有、収集、補完、処理、取り扱いを行う法人は、データ保護法に基づき以下のことが求められます。

① データ主体者を考慮して、機密情報を収集、取り扱いまたは保存に関して適切なプライバシーポリシーを有すること

② 機密情報の使用についてデータ主体者の同意を得ること

③ 機密情報の提供が必ずしも必要ではなく、事前になされた同意を取り消すことができるというオプションを、データ主体者に対して与えること

④ 機密情報が、合法的な目的のために、また目的のために必要な範囲においてのみ収集、使用されることを保証すること

⑤ 機密情報は必要以上の期間保持されないこと

⑥ データ主体者が、機密情報を見直し、訂正し、修正する権利を有すること

⑦ 苦情処理担当者を任命し、その詳細情報をウェブサイトで提供すること

⑧ IS/ISO/IEC 27001または当事者間で合意したその他のセキュリティ手順など、合理的なセキュリティ慣行と手順を有すること

⑨ 包括的なセキュリティポリシーを有すること

⑩ 機密情報を第三者に譲渡する前にデータ主体者の承認を得て、譲渡先がデータプライバシー法の下でのセキュリティと同レベルであることを保証すること

エ セクター別の個人情報規制
インドでは、データ保護法とは別に、データおよびプライバシーに関連する事柄を扱う分野ごとに特有の規制が存在します。以下に、そのような分野のいくつかを紹介します。

銀行・金融セクター
銀行・金融機関の分野の規制当局であるインド準備銀行(RBI)は、銀行、金融機関、仲介業者などに対して、顧客の金融・個人データに関して必要なプライバシーおよびセキュリティ対策を実施するように求める複数のパンフレット、ガイドライン、指令を発行しています。例えば、(a)RBIの「2018年の決済システムデータの保管に関する指令」のパンフレットは、全ての決済システム事業者にインド国内におけるデータ全体を保管することを義務付けており(いわゆるデータローカライゼーション)、(b)RBIの「デジタル決済セキュリティコントロールに関するマスター指令」は、企業に適切なセキュリティコントロールを求め、顧客の機密情報を保管することを禁じています。

保険
保険、再保険者、仲介業者などの分野の規制機関であるインド保険規制開発局(IRDAI)は、保険契約者の個人データを保護するための規則を発行しています。例えば「2015年のIRDAI(保険記録の保持)規則」では、全ての保険会社に対して、インドで発行された保険契約および請求の記録をインド国内に所在のデータセンターに保存することを求めています(データローカライゼーション)。

ヘルスケア
インドには、ヘルスケア領域におけるデータプライバシーに関する具体的な規制はありません。2018年、インド政府は「医療におけるデジタル情報セキュリティ法」の法案を提出し、それに対するパブリックコメントを募集しました。この法案では、以下に関していくつかの規定が設けられていました。(a)デジタルヘルスデータおよびそれに関連する事項を規制するための連邦および州レベルの電子保健当局の設置(b)デジタルヘルスデータの所有権(c)デジタルヘルスデータの収集、保存、送信および使用(d)デジタルヘルスデータのプライバシーおよび機密保持の義務(e)デジタルヘルスデータについての違反と罰則などに関するいくつかの規定がありました。しかし、法案の提出以来、法の制定に向けた進展は見られません。

(3)適用範囲

個人情報保護に関連する上記各法令は、インド国内にある「法人」にのみ適用されます。したがって、個人の機密情報がインド国外で収集、受領、処理、保存された場合には、データ保護法は適用されません。これらの法令は、そうした機密情報が既に公的な領域において利用可能である場合や、データ主体者が海外にいる場合も適用されません。

また、2011年8月24日にインド政府は、機密情報や個人情報の収集、保管、取引、取り扱いに関連するアウトソーシングサービスをインド国内外の法人に対して提供する法人は、データ保護法を遵守する必要がないことを明らかにしました。インド政府によるこの明言は、インドのアウトソーシング業界を大きく安堵させるものでした。

(4)罰則

技術法第43条Aは、機密情報に関する合理的なセキュリティ慣行・手順の実施と維持について、法人の怠慢により損害が生じた場合の損害賠償(補償)を定めています。罰則の対象が個人情報一般ではなく、機密情報に限定されている点が注目されます。

技術法第72条Aは、契約に基づくサービスの提供中に個人情報にアクセスし、その開示が不正な損失や利益をもたらすことを知りながら、不正な意図をもって個人情報を開示した者は、3年以下の懲役もしくは50万インドルピー(約81万円)以下の罰金、またはその両方を科されると定めています。

3. インドのデジタル個人情報保護法案(2022年)の内容

さて、以下では、本記事のメインテーマであるインドのデジタル個人情報保護法案(2022年)の内容につき、2019年版草案と比較しつつ説明します。

(1)定義

まず個別の内容を見る前に、2022年法案における重要な用語の定義を紹介します。

2022年法案では、以下の各定義が用いられています。

(a)個人データとは、個人に関するデータであって、当該データまたは当該データに関連して識別可能であるものを意味する(以下「個人データ」)

(b)データ当事者とは、個人データに関連する個人を意味し、当該個人が子供の場合は、当該子供の両親または正当な後見人を含む(以下「データ当事者」)

(c)データ受託者とは、単独でまたは他の者と共同して個人データの処理の目的および手段を決定する者(以下「データ受託者」)を意味する

(d)データ処理者とは、データ受託者に代わって個人データを処理する者(以下「データ処理者」)を意味する

2022年法案の下で与えられた定義は、2019年法案よりもはるかにシンプルなものとなっています。

(2)重要なデータ受託者

インドでビジネスを行う日本企業にとって重要と思われる点として、「重要なデータ受託者」に関する規定があります。これは、2022年法案における新しい概念です。

具体的にどのような企業が「重要なデータ受託者」に該当するかは草案では定義されていませんが、大量かつ機密性の高い個人データを扱うデータ受託者がこれに該当すると思われます。インド政府は「重要なデータ受託者」の定義につき、別途通知するとされます。

重要なデータ受託者には、以下のことが求められます。

(a)苦情処理メカニズムの窓口となるデータ保護責任者を任命すること
(b)法令遵守を評価するために独立したデータ監査人を任命すること
(c)データ保護の影響評価を実施し、定期的な監査を行うことなど

インド現法を有する日本企業は、もしインド現地法人が「重要なデータ受託者」に該当する場合は、データ保護責任者、データ監査人を任命し、データの影響評価や監査などの対応を行っていくことが必要になります。

(3)データローカライゼーション

データローカライゼーションとは、一定の個人情報・データにつき、国内での保存を要求する規制です。インドの現行法上では、データローカライゼーションは、銀行・金融や保険など一部の領域に限られています。

2019年法案では、34条において、機密個人情報の海外移転時には当該データを国内にも保存しておかなければならないと規定されており、データローカライゼーションが規定されていました。しかし、こうしたデータローカライゼーションの規定は、2022年法案では削除されています。このため、2022年法案のまま制定されれば、インドでは、一般的なデータローカライゼーションは設けられないことになります。

(4)データの海外移転

2022年法案では、インド国外へのデータの移転に関しては、インド政府がデータ受託者が個人データを移転できる国や地域、移転の条件を通知することができるものとされています。このように、2022年法案自体では、データの海外移転に関する規制は明確になっておらず、今後の施行規則の制定が待たれます。

(5)処理するための根拠

データ当事者の個人データは、本人の同意(またはみなし同意)を得た後に、合法的な目的のために本法の規定に沿ってのみ処理することができます。

(6)通知、同意、みなし同意

2022年法案は、データ受託者がデータ当事者に対して、同意を求める前または求めた時点で通知を行う義務を課しています。この通知は、(a)個人データの内容(b)個人データの処理目的、を明確に規定すべきであるとされます。さらに、情報主体は、英語またはインド憲法に規定されている22の公用語のいずれかで通知を読み、同意を与えることができるようにしなければなりません。

データ当事者の同意は、2022年法案に基づく個人データの処理の基本であり、そのような同意は、自由に与えられ、具体的で、情報に基づいた、曖昧さのないものでなければならないとされます。

2022年法案は、みなし同意についても規定しています。データ当事者は、以下のような特定の状況において(当該処理が必要な場合)、個人データの処理に同意したものとみなされます。

(a)データ当事者が自発的に個人データを提供し、かつ、そのようなデータが提供されることが合理的に予想される場合

(b)法令に基づく義務の履行、または免許証、証明書などの発行等、データ当事者の利益のための商品もしくはサービスの提供

(c)法令に基づく判決または命令を遵守

(d)医療上の緊急事態への対応

(e)医療行為

(f)雇用に関する事項

(g)自然災害、治安悪化等の際の安全の確保

(h)不正の防止・発見、信用調査、債権回収、M&Aなど、公益に資すること

(i)インド政府が規定するその他の公正かつ合理的な目的

データ当事者は、いつでもその同意を撤回する権利を有します。ただし、そのような撤回の結果はデータ当事者のみが負担することが規定されています。データ受託者が同意を撤回した場合、合理的な期間内に当該データ当事者の個人データの処理を停止することが求められます。

(7)データ受託者の義務

デジタル個人データの処理に関して、2022年法案を遵守する第一の義務はデータ受託者にあります。この義務は、データ受託者がデータ当事者、データ処理者、その他のデータ受託者と交わした契約上のいかなる取り決めにも関係なく発生します。

データ受託者の一般的な義務は以下の通りです。

(a)処理されるデジタル個人データが正確かつ完全であることを保証するために合理的な努力をすること

(b)効果的な法律の遵守を確保するために適切な技術的および組織的措置を実施すること

(c)個人情報を保護するための合理的なセキュリティ対策を講じること

(d)いかなるデータ侵害についても、インドデータ保護委員会(以下、「データ保護委員会」)および影響を受けるデータ当事者に対して、所定の方法および様式で通知すること

(e)個人情報の収集目的が終了し、保有する必要がなくなった場合、個人情報の保有を中止し、個人情報を特定するための手段を削除すること

(f)個人データの処理に関するデータ当事者からの問い合わせに対応するデータ保護責任者(重要なデータ受託者の場合のみ適用)の詳細を公表すること

(g)データ当事者の苦情に効果的に対処するための仕組みを導入すること

(h)個人データが児童のものである場合、保護者の同意を得ること。さらに、データ受託者は、児童に危害を与える可能性がある場合、児童の個人データを処理してはならない。

(8)データ当事者の権利

2022年法案によれば、データ当事者は以下の権利を有しています。

(a)データ受託者からデータ処理に関する情報を受け取り、処理されたデータおよび処理活動の概要を受け取り、個人データが共有されているデータ受託者の身元を知り、その他将来法律で規定される可能性がある情報を知ること

(b)個人情報を訂正、修正、更新、消去すること

(c)データ受託者と苦情を登録し、データ受託者の対応が十分でない場合や所定の期間内に対応されなかった場合は、データ保護委員会に苦情を申し出ること

(d)情報提供者の死亡時または代理人として、情報提供者の権利を行使する他の個人を指名すること

(9)データ当事者の義務

データ当事者は以下の義務も負っています。

(a)権利を行使する際に適用される法律を遵守すること
(b)データ受託者に対する虚偽の苦情や軽薄な苦情を登録しないこと
(c)虚偽の情報を提供したり、重要な情報を隠蔽すること
(d)検証不可能な情報を提供すること

興味深いことに、データ当事者は、この義務に違反した場合には最高で1万インドルピーの罰金を科される可能性があります。

(10)インドデータ保護委員会

2022年法案はデータ保護委員会の設立について規定しており、データ保護委員会は、データ当事者の利益を保護し、苦情を受け付け、調査を行い、当事者の意見を聞き、罰則の有無にかかわらず合理的な命令を下す権限を有するとされています。データ保護委員会を効率的に機能させるために、民事裁判所と同等の権限が付与されています。したがってデータ保護委員会は、召喚状の送付、出席の強制、宣誓による尋問、あらゆる書籍や文書の検査などの権限を有します。審査会の命令は拘束力を持ちます。委員会の命令に不服がある者は、高等裁判所に控訴することができます。

(11)データ侵害

2022年法案は、データ侵害が発生した場合、データ受託者が委員会と影響を受けるデータ当事者に侵害について通知することが義務づけられていると規定しています。しかし本法案では、情報漏えいの通知を発行するための期限や形式は規定されていません。

(12)適用範囲

2022年法案は、データ当事者からオンラインまたはオフラインで収集された(その後デジタル化された)インド国内のデジタル個人データの処理に対して適用されます。ただし、(a)個人データの非自動処理(b)オフラインの個人データ(c)個人使用のために個人が処理した個人データ(d)少なくとも100年間存在する記録に含まれる個人データは除外されます。

また、2022年法案は、データ処理がインド国内のデータ当事者に商品やサービスを提供する記録や活動に関連している場合には、領域を拡大して適用される可能性があります。

(13)適用除外

2022 年法案は、インドのデータ受託者またはデータ処理者が外国企業との契約に基づいて外国のデータ当事者の個人データを処理することについては明確に除外しています。また、個人情報の処理が、法的権利や請求の行使、司法または準司法的機能の遂行、法律の予防のために必要な場合は、2022年法案のいくつかの規定は適用されません。さらに、インド政府は、(処理される個人データの量と性質に基づいて)特定のデータ受託者やデータ受託者群を、法律の特定の条項の適用対象から除外する権限を付与されています。また、インド政府は、主権、統一性、安全、公共秩序の維持などの大きな利益のために、国家機関の本法律への準拠を免除することができます。

(14)罰則

2022年法案の下で、データ保護委員会には、以下のような幅広い罰則を科す権限が与えられています。

(a)コンプライアンス違反が重大な性質のものである場合:最高50億インドルピー(約81億円)までの罰金(注:現行法上の罰金は50万インドルピー(約81万円)ですので、罰則が大幅に強化されています。)

(b)児童に関する義務やデータ侵害を通知する義務を怠った場合:最高20億インドルピーまでの罰金

(c)合理的なセキュリティ保護措置を講じなかった場合:最高25億インドルピーまでの罰金

(d)重要なデータ受託者に対する付加義務の不履行:最高15億インドルピーまでの罰金

(e)データ当事者による違反:最高10,000インドルピーまでの罰金

(f) 法令遵守に関わらないその他の違反: 最高5億インドルピーまでの罰金

4. 小括

前述の通り、2022年法案に関するパブリックコメントの最終提出日は、2023年1月2日まで延長されています。

インド政府は、パブリックコメントを検討した後、2022年法案を修正し、修正後の法案をインド議会に提出し、さらなる議論、承認、そして立法府による制定を目指すこととなります。報道によると、インド政府は2022年法案を次のモンスーン議会(2023年7月~8月)中に通過させたいと考えているようです。

Authors

弁護士 井上 諒一(三浦法律事務所 パートナー)
PROFILE:2014年弁護士登録(第二東京弁護士会所属)。2015~2020年3月森・濱田松本法律事務所。2017年同事務所北京オフィスに駐在。2018~2020年3月同事務所ジャカルタデスクに常駐。2020年4月に三浦法律事務所参画。2021年1月から現職。英語のほか、インドネシア語と中国語が堪能。主要著書に『オムニバス法対応 インドネシアビジネス法務ガイド』(中央経済社、2022年)など

弁護士 Deepak Sinhmar(三浦法律事務所 カウンセル)
PROFILE:2003年インドにて弁護士登録(2020年外国法事務弁護士登録)。インドのDSK Legal、西村あさひ法律事務所にて多数の日本顧客向けにアドバイスの経験を有する。2019年1月から現職

樽田 貫人(M&Pアジア株式会社 COO)
PROFILE:2カ国(カンボジア、インドネシア)で、複数の法人立上げ経験を有する。直近の業務としては、インドネシア法人の立上げ責任者として3年間ジャカルタに駐在。東証一部、インドネシア証券取引所上場の企業とのJV設立・運営にも携わる。インドネシア語が堪能。

この記事が気に入ったらサポートをしてみませんか?