NEWS LETTER VOL.23 インド2019年個人情報保護法案:後編
- インド2019年個人情報保護法案(The Personal Data Protection Bill, 2019)後編
Chapter.02本章:インド2019年個人情報保護法案(The Personal Data Protection Bill, 2019)後編
前回に続き、インド議会で検討中の「2019年個人情報保護法案(The Personal Data Protection Bill, 2019)以下、『法案』」について、後編として法案の重要なポイントをご紹介します。
情報提供制限における本人の権利について
本人は、以下の条件下において、自分の個人情報の開示を制限または停止する権利を有します。
- 個人情報提供の目的(サービス提供等)が完了した場合
- 本人が情報提供に対する同意を撤回した場合
- 本法案の規定または現行の法律に違反している場合
本人による依頼
本人は、情報管理者に直接または同意管理者(consent manager)(注1)を介して、書面で情報提供への同意や撤回等に関連する依頼を送ることができ、情報管理者は、当該依頼の受領を通知しなければなりません。
そして、個人情報を完成または更新するために、手数料を課すことはできません。
情報管理者が本人からの依頼を拒否する場合は、本人にその理由を書面で説明しなければなりません。
また、本人は、拒否されたことに対して当局に苦情を申し立てる権利があります。情報管理者は、依頼に応じることによって他の個人情報提供者の権利が害される可能性がある場合、依頼に応じない権利を有します。
本人が同意管理者を介して情報管理者に同意を与えたり、またはその同意を撤回した場合、当該同意または撤回は本人によって直接伝達されたとみなされます。
- (注1)同意管理者(consent manager):アクセス可能で透明性があり、相互運用可能なプラットフォームを通じて、本人が同意の獲得、撤回、レビュー、管理をする情報管理者のことを指します。
透明性および説明責任
情報管理者は、以下の事項を含む、プライバシー・バイ・デザイン(注2)に基づいたポリシーを作成することが求められます。
- 本人への危害を予測、特定、回避するための管理、組織、商習慣および技術システム
- 情報管理者の義務
- 個人情報を処理する際に使用される、商業的に認められた、または認証されている基準に準じた技術
- 事業の正当な利益、プライバシーを損なうことなく技術革新を行う事
- 個人情報の収集から削除までのプライバシー保護
- 透明性のある方法での個人情報の処理
- 情報処理の各段階における本人の利益
情報管理者は、当該ポリシーを当局に提出し、認証を受けることができます。
ポリシーが認証された後は、情報管理者および当局のウェブサイトで公表する必要があります。
- (注2)プライバシー・バイ・デザイン:システムやプロセスを、構築段階から保守段階まで、プライバシー保護措置を多面的に考慮して取り組むことを指します。1990年代にカナダのAnn Cavoukian博士が提唱した概念です。
すべての情報管理者および情報処理者は、下記を含むセキュリティ保護措置の実施と当該措置に対する定期的なレビューが求められます。
- 非識別化方法および暗号化
- 個人情報の完全性の保護
- 個人データの誤用、不正アクセス、改変、開示、破損の防止
個人情報侵害の通知
情報管理者は、処理された個人情報の侵害が発生し、本人に損害を与える可能性がある場合、可能な限り速やかに当局に通知することが求められます。
通知内容には、侵害の対象となる個人情報の性質、影響を受ける本人の数、侵害の起こり得る結果、および情報管理者が取るべき是正措置が含まれなければなりません。
通知を受領した後、当局は、本人に生じる可能性のある損害の重大性を評価して、当該侵害への本人への通知および損害を軽減するために本人による対応が必要か判断します。当局は、情報管理者に対し、適切な是正措置を取ること、および個人データ侵害についての詳細をウェブサイトに目立つように掲載することを命令する権限を持ちます。
さらに、当局は、個人データ侵害の詳細を当局ウェブサイトに掲載することもできます。
データ保護の影響評価(data protection impact assessment)
新技術、大規模なプロファイリング、または特定機微の個人情報(前編参照:遺伝情報や生体情報など)の使用、または本人に重大な損害を与えるリスクを伴う処理を行う場合、重要情報管理者(significant data fiduciary)によって、以下を含む、データ保護の影響評価が行われなければなりません。
- 予定の処理作業、処理の目的、および処理される個人情報の性質の詳細
- 個人データの処理が本人に引き起こされる可能性のある損害の評価
- 損害のリスクを管理、最小化、緩和、または除去するための対応
また、データ保護の影響評価が完了した時点で、当該評価を更にレビューし、その結果を当局に提出する情報保護責任者の任命も求められます。
上記の評価およびレビューに基づき、当局は情報処理が本人に害を及ぼす可能性があるかどうかを判断し、必要に応じて条件を課します。
個人データのインド国外への移転
特定機微の個人情報については、本人が明示的に同意し、かつ当局が承認した契約またはグループ内スキームに基づいて移転する場合には、インド国外に移転することができますが、引き続きインド国内でも保管される必要があります。
当局は、そのような個人情報の国外移転を含む契約またはスキームを、本人の個人情報に対する権利を保護するための規定が含まれている場合には、承認するものとし、個人情報の国外移転において契約またはスキームの規定が遵守されないことにより生じた損害について、情報管理者に責任を負わせるものとしています。
さらに、中央政府が特定の外国に対して、下記の判断を下した場合、個人情報の移転を許可する権限を持ちます。
- 国内での適用法および国際協定に基づいて適切な個人情報保護措置をとっている
- インドからの情報の移転が、管轄権を持つ当局による関連法の施行に不利益を与えない
- 情報の移転が特定の目的のために必要であると判断された場合
重要個人情報 (critical personal data)
本法案では、「重要個人情報 (critical personal data)」という用語が導入されています。
この用語は定義がされていませんが、法案では、重要な個人情報は、医療サービスまたは緊急サービスの提供に従事する個人や団体に対して、緊急を要する場合、または、特定の外国への移転で、その移転が安全に影響を及ぼしたり、不利益を与えない場合には、インド国外に移転することが認められるものとしています。
執筆者紹介About the writter
2014年より北インドグルガオン拠点の現地日系企業で法務や総務、購買等を中心とした管理業務を経験後、インドの法務および労務分野の専門性を深めるべく2018年に当社に参画し、南インドチェンナイへ移住。現在は会社法を中心とした企業法務や、労働法に基づく人事労務関連アドバイス、インドの市場調査業務を担当。2023年3月に退職。
ニュースレターに関するご意見や、サービスに関するお問い合わせは下記よりご連絡ください。
また、NAVERまとめ等のまとめサイトへの引用を厳禁いたします。