Vol.35 : インド2022年個人情報保護法案（The Personal Data Protection Bill, 2022）

（文責：Rianna Lobo, 奥晋之介／Global Japan AAP Consulting Private Limited）

2022年8月に白紙撤回されたインド2019年個人情報保護法案（過去記事は下記リンク先を参照）の新法案がインド電子情報技術省によって2022年11月末に提出されました。当該新法案では、個人情報の詳細な定義やインド国内保管義務（中国やベトナム等の国において見られるデータローカライゼーション）については削除されていますが、主な要点については以下にご紹介いたします。

NEWS LETTER VOL.22　インド2019年個人情報保護法案:前編

NEWS LETTER VOL.23　インド2019年個人情報保護法案:後編

NEWS LETTER VOL.26　インド2019年個人情報保護法案に関する国会合同委員会の報告書について

1. 適用範囲：

本法案は以下の場合に適用されます。
1. インド国内にてオンラインで個人情報を取り扱う場合
2. インド国内にてオフラインで収集した個人情報をデジタル化して取り扱う場合
3. インド国内の個人情報提供者（*Data Principal）への商品やサービスの提供のためにインド国外で当人の個人情報が取り扱われる場合

2. 個人情報取扱同意：

データ信託者（*Data Fiduciary *個人情報を取り扱う事業者を指す）は、個人情報提供者が同意した場合、または同意したとみなされる場合に限り、個人情報を取り扱うことができます。データ信託者は個人情報提供者に対して、収集する個人情報とその取扱目的を平易な言葉で説明する必要があり、同意書については英語またはインド憲法に規定された言語で書かれている必要があります。また、同意書には情報保護責任者（*Data Protection Officer）の連絡先を記載しなければなりません。仮に本法律施行前に個人情報提供者から同意を得ていた場合でもデータ信託者は、本法律施行後に当該個人情報提供者に対して適切な通知を行う必要があります。個人情報提供者はいつでも同意を撤回することができますが、同意の撤回によって生じる不利益は個人情報提供者本人が負います。個人情報提供者が同意を撤回した場合には、データ信託者は合理的な期間内に当該個人の個人情報の取り扱いを停止する必要があります。また、個人情報提供者による同意の見直しや撤回については、インドデータ保護委員会（*Data Protection Board of India *後述）に登録された個人情報取扱同意管理者（*Consent Manager）を介して行われます。

3. みなし同意：

個人情報提供者は、下記のような場合には個人情報の取り扱いに同意したものとみなされます。
1) 個人情報提供者が自発的に個人情報をデータ信託者に提供し、それが合理的に利用される場合（例： レストランの予約のために氏名と電話番号を提供する場合）
2) 雇用に関連する理由がある場合（例：従業員が自分の出勤を記録する目的で生体認証データを雇用主と共有する場合）
3) 次のような公共の利益のためである場合

(a) ネットワークおよび情報セキュリティ
(b) 公開された個人情報の処理のための検索エンジンの運用
(c) 公開された個人情報の処理

4) 以下の事項を考慮した上で、公正かつ合理的な目的のためである場合

(a) 個人情報取扱から得られるデータ信託者の正当な利益が個人情報提供者の権利に対する悪影響を大きく上回る場合
(b) 公共の利益のためになる場合
(c) 状況から鑑みて個人情報提供者が個人情報取扱を望んでいると見做される場合

4. データ信託者（Data Fiduciary）の義務：

データ信託者は、本法律の遵守に責任を負います。データ信託者は本法律の規定を効果的に遵守するために、適切な技術的および組織的措置を講じることにより、個人情報が正確かつ完全であることを保証しなければなりません。データ信託者は、情報漏洩等を防ぐために合理的な安全措置を講じることにより、保有／管理している個人情報を保護する必要があります。違反や漏洩があった場合には、データ信託者は、インドデータ保護委員会又は影響を受ける個人情報提供者に通知しなければなりません。データ信託者と個人情報提供者との間の契約が終了した場合は、データ信託者は個人情報の保持および個人情報と当該本人との関連付けについても停止しなければなりません。また、データ信託者は、個人情報提供者からの苦情に対応する仕組みを整える必要がございます。データ信託者は個人情報提供者の同意の元であれば、当該個人情報を他のデータ信託者に移転及び共有することができます。また、情報漏洩等を防止するための合理的な安全対策を講じていなかった場合の罰則は最大25億ルピーの罰金、情報漏洩等をインドデータ保護委員会又は影響を受ける個人情報提供者に通知しなかった場合の罰則は最大20億ルピーと定められています。

5. 重要なデータ信託者（Significant Data Fiduciary）の義務：

インド政府は、インド政府が「重要なデータ（Significant Data）」に指定した情報を扱うデータ信託者を「重要なデータ信託者（Significant Data Fiduciary）」として指定できます。「重要なデータ」とは、処理されるデータ量と機密性、個人情報提供者への危害のリスク、国家主権を脅かすようなリスク、民主主義に対する脅威、国家の安全保障、公共の秩序等を考慮してインド政府が指定するデータを指します。なお、重要なデータ信託者には、インドに居住する情報保護責任者を任命すること、本法の規定を遵守していることをチェックする独立監査人を任命すること、データ保護状況評価を行うことなど、通常のデータ信託者よりも厳しい義務が課されています。重要なデータ信託者としての義務を怠った場合の罰金については最大15億ルピーと定められています。

6. 児童の個人情報の取扱い：

データ信託者が18歳未満の児童の個人情報を取扱う場合、保護者の同意を得る必要がございます。子供に危害を与える可能性のある個人情報の取扱いは禁止されています。また、児童の位置情報の追跡や行動監視及び児童を対象としたターゲティング広告を打つことは禁止されております。児童の個人情報取扱に係る義務を怠った場合の罰金は最大20億ルピーと定められています。

7. 個人情報提供者（Data Principal）の権利：

個人情報提供者は次のような権利を有する。

1) 個人情報の取扱いの有無について事業から確認を得ること
2) 取扱われている個人情報及び取扱内容の概要を得ること
3) データ信託者による移転された個人情報の移転先第三者機関の詳細及び移転された個人情報の概要を得ること
4) 個人情報を訂正・抹消する権利を有すること

データ信託者は、個人情報提供者から当人の個人情報の訂正及び削除の要請を受けた場合、データ信託者は、次の対応を取らなければならない。

a) 個人情報提供者についての不正確な又は誤解を招くような個人情報の訂正
b) 個人情報提供者についての不完全な個人情報の補完
c) 個人情報提供者の個人情報の更新
d) 法的な保持義務なく取扱目的に合致しない個人情報の消去

8. 代理人指名権：

個人情報提供者が死亡又は病気等を理由に権利行使不能となった場合に、当人の権利を本法に従って行使する代理人を指名する権利を有しています。

9. 個人情報提供者（Data Principal）の義務：

個人情報提供者は、本法の規定に基づき権利を行使する際、全ての適用法の規定を遵守することが要求されます。個人情報提供者が、虚偽情報を提供したり、重要な情報を隠したり、他人になりすますような行為は禁止されています。個人情報提供者が義務違反を行った場合には、個人情報提供者に最大で1万ルピーの罰金が課されます。

10. 個人情報の移転：

インド政府は、必要な要素を評価した後、データ信託者が個人情報を移転することができるインド国外の国または地域を、指定された条件に従って通知することができます。

11. インドデータ保護委員会（Data Protection Board of India）の設置：

法案は、インドデータ保護委員会の設置についても定めています。当該委員会は本法案の規定を執行する役割を担います。当該委員会の主な役割は、個人情報提供者からの苦情、裁判所や中央・州政府から出された指示、個人情報提供が義務を遵守しなかった場合に対処することです。当該委員会は、個人または事業者によるコンプライアンス違反が重大であると判断した場合、それぞれのケースで最高5億ルピーまでの金銭的な罰則を課す権限を有しています。

12. 免除規定：

インド政府は、利用者数や個人情報の取扱量などを基準に、特定のデータ信託者が法案の規定を遵守することを免除することができます。

まとめ：

新法案では2019年個人情報保護法案に詳細に定義されていた個人情報及び特定機微の個人情報の定義が削除されています。このことから新法案施行後は、紛争回避の観点から、同意書、契約書、プライバシーポリシー等に取扱う個人情報の内容とその目的についてしっかりと記載しておくことが重要になるかと存じます。なお、インド2019年個人情報保護法案に関する国会合同委員会の報告書では、委員会は安全保障上の理由から、情報はインド国内に保管されるべきであると強く勧告していましたが、新法案では特定の国や地域に対して個人情報の移転を認めると定めています。しかし、インド国外へのデータ転送については、然るべき評価の上、インド当局がその転送可否と条件について通知する旨の規定があり、国（例：パキスタンや中国等）によっては別途発出される通知を以て転送不可とされる可能性も高いかと存じます。また、インド政府が重要なデータ信託者を指定すると定めており、指定された事業者には通常よりも厳しいコンプライアンスが求められますが、この指定の判断基準については明確に規定されておりません。インドデータ保護委員会という機関の設置についても規定されており、法案施行後はインド電子情報技術省の動向に加えて、当該委員会の動向にも注目していく必要があるかと存じます。

NEWS LETTER VOL.26　インド2019年個人情報保護法案に関する国会合同委員会の報告書について

執筆者紹介About the writter

奥 晋之介 | Shinnosuke Oku
学生時代に2015年～2018年の３年間、在ベンガルール日本国総領事館にて在外公館派遣員として勤務。その後、インド大手ITサービス企業の日本法人に入社し、製造実行システム導入の構想策定プロジェクトへの参画や提案活動に従事。インド進出日系企業の支援に関わりたいとの想いから、2022年に当社に参画し、再びベンガルールへ移住。現在は会社法を中心とした企業法務や労務、インド市場調査業務を担当。