インド最新法令UPDATE Vol.4:インドのデジタル個人情報保護法案(2022年版)について
インドにおいて、電子情報技術省は2022年11月18日、デジタル個人情報保護法案(2022年版)を公表し、パブリックコメントに付しました。パブリックコメントの受付期間は、当初は2022年12月17日まででしたが、2023年1月2日まで延長されています。
デジタル個人情報保護法案(2022年版)では、新たなコンセプトとして「重要なデータ受託者」というコンセプトが設けられ、これに該当する場合にはデータ保護責任者、データ監査人を任命し、データの影響評価や監査などの対応が求められます。また、個人情報保護規制違反に対する罰則も、現行の50万インドルピー(約81万円)から最高50億インドルピー(約81億円)へと大幅に引き上げられています。
本記事では、①インドにおける個人情報保護法制の改正の動きの概要を説明した上、②インドにおける現在の個人情報保護に関する規制枠組を紹介し、③最後にインドのデジタル個人情報保護法案(2022年)の内容につき、2019年版の草案とも比較しつつ紹介します。
1. インドにおける個人情報保護法制の改正の動きの概要
(1)Puttaswami判決とデータ保護委員会の創設
インド最高裁判所(以下「最高裁」)は2017年、Justice K.S Puttaswami (Retd.) and Another Vs. Union of India and Othersの事案に関する判決を下す中でプライバシー権が基本的な権利であると認めました。この判決にしたがってインド政府は、Srikrishna元判事を議長としてデータ保護委員会を創設しました。
(2)2019年法案
データ保護委員会は2018年7月、個人データ保護法案についての草案を提出しました。その後、インド政府はパブリックコメントを募り、2019年12月、インド議会下院に改正「個人データ保護法案」(以下「2019年法案」)を提出しました。
その後、2019年法案は30名の国会合同委員会に付託され、さらなる議論と審査が行われました。国会合同委員会は報告書を提出し、2019年法案にいくつかの修正を提案しました。しかし、国会合同委員会、産業界、シンクタンク、一般市民からのフィードバックを考慮して、インド政府は2022年8月3日に2019年法案を取り下げました。
(3)2022年草案(本記事のメインテーマ)
電子情報技術省は、2022年11月18日にデジタル個人情報保護法案の草案を公表し、2022年12月17日までパブリックコメントを募集しました。その後、インド政府はコメント提出の最終期日を2023年1月2日まで延長しました。
2. インドにおける現在の個人情報保護に関する規制枠組
デジタル個人情報保護法案(2022年版)の説明に入る前に、まずはインドにおける現状の個人データに関する規制枠組みについて紹介します。
(1)総論
上記のPuttaswami判決によりプライバシー権を基本的な権利として認識されながらも、プライバシーやデータ保護に特化した法律は存在しません。
インドにおいて、データ保護に関連する法令としては、以下があります。
2000年の情報技術法(以下「技術法」)は、元々電子契約に対して法的承認を与えるために施行されたものであり、その法令には電子データを保護するための一定の規定がありました。
後に、個人データや機密性の高いデータを技術法の範囲に含めるという目的のために、インド政府は2008年の情報技術法(修正版)を導入しました。
その後、インド政府は、個人情報や機密性の高いデータの取り扱いと安全対策に特化した2011年の情報技術規則(合理的なセキュリティ慣行と手順、機密性の高い個人データや情報)(以下「技術規則」)を制定しました。
これが現状インドにおいてデータ保護と関連する法令です。
(2)現行法上の基本的なスタンス
ア 概要
現行法上、インドの個人情報保護法制では、①個人情報を通常の個人情報と機密情報とに分け、②機密情報についてのみ収集・処理・保存などに関する規制を設け、③セクターごとにも個人情報の取り扱いに関する規制(いわゆるデータローカライゼーションなど)を置いているという形となっています。以下、それぞれについて説明します。
イ 個人情報のカテゴリー(通常の個人情報と機密情報)
データ保護法は個人データを以下のようにカテゴリー分けしています。
ウ 機密情報にかかる規制
現行法上は、機密情報を保有、収集、補完、処理、取り扱いを行う法人は、データ保護法に基づき以下のことが求められます。
エ セクター別の個人情報規制
インドでは、データ保護法とは別に、データおよびプライバシーに関連する事柄を扱う分野ごとに特有の規制が存在します。以下に、そのような分野のいくつかを紹介します。
(3)適用範囲
個人情報保護に関連する上記各法令は、インド国内にある「法人」にのみ適用されます。したがって、個人の機密情報がインド国外で収集、受領、処理、保存された場合には、データ保護法は適用されません。これらの法令は、そうした機密情報が既に公的な領域において利用可能である場合や、データ主体者が海外にいる場合も適用されません。
また、2011年8月24日にインド政府は、機密情報や個人情報の収集、保管、取引、取り扱いに関連するアウトソーシングサービスをインド国内外の法人に対して提供する法人は、データ保護法を遵守する必要がないことを明らかにしました。インド政府によるこの明言は、インドのアウトソーシング業界を大きく安堵させるものでした。
(4)罰則
技術法第43条Aは、機密情報に関する合理的なセキュリティ慣行・手順の実施と維持について、法人の怠慢により損害が生じた場合の損害賠償(補償)を定めています。罰則の対象が個人情報一般ではなく、機密情報に限定されている点が注目されます。
技術法第72条Aは、契約に基づくサービスの提供中に個人情報にアクセスし、その開示が不正な損失や利益をもたらすことを知りながら、不正な意図をもって個人情報を開示した者は、3年以下の懲役もしくは50万インドルピー(約81万円)以下の罰金、またはその両方を科されると定めています。
3. インドのデジタル個人情報保護法案(2022年)の内容
さて、以下では、本記事のメインテーマであるインドのデジタル個人情報保護法案(2022年)の内容につき、2019年版草案と比較しつつ説明します。
(1)定義
まず個別の内容を見る前に、2022年法案における重要な用語の定義を紹介します。
2022年法案では、以下の各定義が用いられています。
2022年法案の下で与えられた定義は、2019年法案よりもはるかにシンプルなものとなっています。
(2)重要なデータ受託者
インドでビジネスを行う日本企業にとって重要と思われる点として、「重要なデータ受託者」に関する規定があります。これは、2022年法案における新しい概念です。
具体的にどのような企業が「重要なデータ受託者」に該当するかは草案では定義されていませんが、大量かつ機密性の高い個人データを扱うデータ受託者がこれに該当すると思われます。インド政府は「重要なデータ受託者」の定義につき、別途通知するとされます。
重要なデータ受託者には、以下のことが求められます。
インド現法を有する日本企業は、もしインド現地法人が「重要なデータ受託者」に該当する場合は、データ保護責任者、データ監査人を任命し、データの影響評価や監査などの対応を行っていくことが必要になります。
(3)データローカライゼーション
データローカライゼーションとは、一定の個人情報・データにつき、国内での保存を要求する規制です。インドの現行法上では、データローカライゼーションは、銀行・金融や保険など一部の領域に限られています。
2019年法案では、34条において、機密個人情報の海外移転時には当該データを国内にも保存しておかなければならないと規定されており、データローカライゼーションが規定されていました。しかし、こうしたデータローカライゼーションの規定は、2022年法案では削除されています。このため、2022年法案のまま制定されれば、インドでは、一般的なデータローカライゼーションは設けられないことになります。
(4)データの海外移転
2022年法案では、インド国外へのデータの移転に関しては、インド政府がデータ受託者が個人データを移転できる国や地域、移転の条件を通知することができるものとされています。このように、2022年法案自体では、データの海外移転に関する規制は明確になっておらず、今後の施行規則の制定が待たれます。
(5)処理するための根拠
データ当事者の個人データは、本人の同意(またはみなし同意)を得た後に、合法的な目的のために本法の規定に沿ってのみ処理することができます。
(6)通知、同意、みなし同意
2022年法案は、データ受託者がデータ当事者に対して、同意を求める前または求めた時点で通知を行う義務を課しています。この通知は、(a)個人データの内容(b)個人データの処理目的、を明確に規定すべきであるとされます。さらに、情報主体は、英語またはインド憲法に規定されている22の公用語のいずれかで通知を読み、同意を与えることができるようにしなければなりません。
データ当事者の同意は、2022年法案に基づく個人データの処理の基本であり、そのような同意は、自由に与えられ、具体的で、情報に基づいた、曖昧さのないものでなければならないとされます。
2022年法案は、みなし同意についても規定しています。データ当事者は、以下のような特定の状況において(当該処理が必要な場合)、個人データの処理に同意したものとみなされます。
データ当事者は、いつでもその同意を撤回する権利を有します。ただし、そのような撤回の結果はデータ当事者のみが負担することが規定されています。データ受託者が同意を撤回した場合、合理的な期間内に当該データ当事者の個人データの処理を停止することが求められます。
(7)データ受託者の義務
デジタル個人データの処理に関して、2022年法案を遵守する第一の義務はデータ受託者にあります。この義務は、データ受託者がデータ当事者、データ処理者、その他のデータ受託者と交わした契約上のいかなる取り決めにも関係なく発生します。
データ受託者の一般的な義務は以下の通りです。
(8)データ当事者の権利
2022年法案によれば、データ当事者は以下の権利を有しています。
(9)データ当事者の義務
データ当事者は以下の義務も負っています。
興味深いことに、データ当事者は、この義務に違反した場合には最高で1万インドルピーの罰金を科される可能性があります。
(10)インドデータ保護委員会
2022年法案はデータ保護委員会の設立について規定しており、データ保護委員会は、データ当事者の利益を保護し、苦情を受け付け、調査を行い、当事者の意見を聞き、罰則の有無にかかわらず合理的な命令を下す権限を有するとされています。データ保護委員会を効率的に機能させるために、民事裁判所と同等の権限が付与されています。したがってデータ保護委員会は、召喚状の送付、出席の強制、宣誓による尋問、あらゆる書籍や文書の検査などの権限を有します。審査会の命令は拘束力を持ちます。委員会の命令に不服がある者は、高等裁判所に控訴することができます。
(11)データ侵害
2022年法案は、データ侵害が発生した場合、データ受託者が委員会と影響を受けるデータ当事者に侵害について通知することが義務づけられていると規定しています。しかし本法案では、情報漏えいの通知を発行するための期限や形式は規定されていません。
(12)適用範囲
2022年法案は、データ当事者からオンラインまたはオフラインで収集された(その後デジタル化された)インド国内のデジタル個人データの処理に対して適用されます。ただし、(a)個人データの非自動処理(b)オフラインの個人データ(c)個人使用のために個人が処理した個人データ(d)少なくとも100年間存在する記録に含まれる個人データは除外されます。
また、2022年法案は、データ処理がインド国内のデータ当事者に商品やサービスを提供する記録や活動に関連している場合には、領域を拡大して適用される可能性があります。
(13)適用除外
2022 年法案は、インドのデータ受託者またはデータ処理者が外国企業との契約に基づいて外国のデータ当事者の個人データを処理することについては明確に除外しています。また、個人情報の処理が、法的権利や請求の行使、司法または準司法的機能の遂行、法律の予防のために必要な場合は、2022年法案のいくつかの規定は適用されません。さらに、インド政府は、(処理される個人データの量と性質に基づいて)特定のデータ受託者やデータ受託者群を、法律の特定の条項の適用対象から除外する権限を付与されています。また、インド政府は、主権、統一性、安全、公共秩序の維持などの大きな利益のために、国家機関の本法律への準拠を免除することができます。
(14)罰則
2022年法案の下で、データ保護委員会には、以下のような幅広い罰則を科す権限が与えられています。
4. 小括
前述の通り、2022年法案に関するパブリックコメントの最終提出日は、2023年1月2日まで延長されています。
インド政府は、パブリックコメントを検討した後、2022年法案を修正し、修正後の法案をインド議会に提出し、さらなる議論、承認、そして立法府による制定を目指すこととなります。報道によると、インド政府は2022年法案を次のモンスーン議会(2023年7月~8月)中に通過させたいと考えているようです。
Authors
弁護士 井上 諒一(三浦法律事務所 パートナー)
PROFILE:2014年弁護士登録(第二東京弁護士会所属)。2015~2020年3月森・濱田松本法律事務所。2017年同事務所北京オフィスに駐在。2018~2020年3月同事務所ジャカルタデスクに常駐。2020年4月に三浦法律事務所参画。2021年1月から現職。英語のほか、インドネシア語と中国語が堪能。主要著書に『オムニバス法対応 インドネシアビジネス法務ガイド』(中央経済社、2022年)など
弁護士 Deepak Sinhmar(三浦法律事務所 カウンセル)
PROFILE:2003年インドにて弁護士登録(2020年外国法事務弁護士登録)。インドのDSK Legal、西村あさひ法律事務所にて多数の日本顧客向けにアドバイスの経験を有する。2019年1月から現職
樽田 貫人(M&Pアジア株式会社 COO)
PROFILE:2カ国(カンボジア、インドネシア)で、複数の法人立上げ経験を有する。直近の業務としては、インドネシア法人の立上げ責任者として3年間ジャカルタに駐在。東証一部、インドネシア証券取引所上場の企業とのJV設立・運営にも携わる。インドネシア語が堪能。
この記事が気に入ったらサポートをしてみませんか?