NEWS LETTER VOL.26 インド2019年個人情報保護法案に関する国会合同委員会の報告書について
- 序章:
- 本章:インド2019年個人情報保護法案(The Personal Data Protection Bill, 2019)に関する国会合同委員会の報告書について
Chapter.01序章 :
ご相談内容(注:すべてフィクション)
「わたしは、極東の、ある国に本部をもつ瞑想組織が、南アジアのある国に設立した支部団体のメンバーになっていたことがあります。
瞑想時の体勢とか呼吸法とか、そういう座禅のような縛りは一切なく、自分の脳内と心の全記憶をある1点に向かって昇華させ、その行為を反復した回数のみを主催者へ自己申告することによって、メンバーたちは次の難易度の高いステージへの昇格が許されるという独特のシステムをもっています。
その集会中は写真もメモをとることも許されず、携帯電話も持ち込み厳禁です。門外不出の訓練法なのだと感じます。
ところがある日、わたしが集会中に瞑想している姿を撮影し、団体がわたしに無断でインスタグラムに投稿していたことがわかったのですが、これは個人情報保護の観点で問題なのではないでしょうか。
わたしはメンバーになる前に、数種類の誓約書に署名しましたが、団体によるソーシャルメディアでの公表を無条件に承諾する内容がそこに記載されていたかどうかは確認していません。」
ご相談への回答(注:すべてフィクション)
「あなたの落ち度です。」
法律に守られるためには、まず法律に守られる資格があることが前提です。本章に入ります。
Chapter.02本章:インド2019年個人情報保護法案(The Personal Data Protection Bill, 2019)に関する国会合同委員会の報告書について
個人情報保護に関する議論は、2017年、インド最高裁判所が、個人のプライバシーについて、インド憲法で保護される基本的権利であると宣言し、中央政府に起業とイノベーションのための環境を改善することを促しつつ、データ保護体制を整備するよう提言をしたことから始まっています。
同宣言を受け、インド政府は個人情報保護法案草案作成のための専門委員会を設置し、2019年個人情報保護法案(The Personal Data Protection Bill, 2019)(以下、「法案」)が、2019年12月に国会合同委員会(Joint Parliamentary Committee)(以下、「委員会」)に提出されました。
その後、検討の開始より2年後の2021年12月16日、委員会により、法案に関する報告書が提言とともに提出されました。
今回は、報告書の中より、重要と思われる内容を抜粋してご紹介したいと思います。
1. 法案の対象範囲の変更:
現在、法案は、個人情報(Personal data)のみを規制しています。
しかし、委員会は、法案を非個人情報(Non-personal data:注)にも適用し、個人情報と非個人情報の両方を扱うデータ保護当局を設置することを提案しています。
注)非個人情報とは、個人を特定できる情報を含まないあらゆる情報の組み合わせのことを指します。また、以前は個人情報であったが、「匿名化」され、その情報に関連する個人を特定できないように情報を部分的に削除したものも含まれます。また、産業データベース等も非個人情報に含まれるとされています。
2. 情報侵害について:
法案は、企業に、個人情報侵害を当局へ報告する際に、本人(個人情報の所有者)のプライバシーが保護されることを義務付けています。
法案では、情報管理者は、情報侵害の当局への報告が遅れた場合、本人への損害について責任を負わなければなりません。
報告書は、さらに、本人に生じる損害やその可能性に関係なく、あらゆる種類の情報侵害(個人情報、非個人情報両方)記録保管も義務付けることを提言しています。
3. ソーシャルメディア規制:
報告書は、ソーシャルメディア・プラットフォームのより厳格な監視を提案しています。
報告書によると、ソーシャルメディア・プラットフォームは、コンテンツの受信者を選び、コンテンツへのアクセスを制御することができるため、コンテンツの発行者とみなすべきとしています。
また、検証されていないアカウントからのコンテンツに関しては、ソーシャルメディア・プラットフォームを同コンテンツの発行者として扱い、ソーシャルメディア・プラットフォームにアカウントの検証責任を負わせることを提言しています。
さらに、ソーシャルメディア・プラットフォームがインドで活動するためには、その技術を扱う親会社がインドに事務所を設置する義務を負うべきであり、メディアプラットフォーム上のコンテンツをオンライン、印刷物、その他方法に関係なく適切に規制するために、法定のメディア規制当局を設立することが推奨されています。
4. 児童の情報について:
報告書は、児童の情報を扱う情報管理者は当局に登録が必要であるとしています。情報管理者は、児童が成人する3か月前に、情報提供に対する同意をするかどうか、本人へ通知をしなければなりません。また、本人が同意を撤回しない限り、情報管理者はサービス提供を継続しなければなりません。
5. データローカライゼーション規制:
法案には情報のインド国外への移転に関する規定がありましたが、委員会は安全保障上の理由から、情報はインド国内に保管されるべきであると強く勧告しています。
報告書は、海外のサーバーに保管されているすべての機密かつ重要な個人情報は、同じ情報がインドのサーバーでも保管されなければならず、かつ、インドの企業は徐々に全ての情報の保管先をインドへ移行すべきであると提案しています。
情報の安全な保管のための適切なインフラの整備、高い運用コストをカバーするための代替決済システム、現地企業や新興企業がデータローカライゼーションに対応するための支援システムなどの側面を含む、幅広い政策を政府が各業界の規制当局と協議して作成することを提言しています。
法案は、基本的にEUのGDPRをモデルにしていますが、本報告書により、非個人情報への適用、情報のローカライズ、ソーシャルメディア・プラットフォームの規制など、独自の提言がされています。検討事項も多く、施行までにはまだ少し時間がかかりそうですが、本法案が施行されれば、プライバシーに対する意識を高め、様々な面で、強力な影響を及ぼすものとなるでしょう。
執筆者紹介About the writter
慶応義塾大学経済学部卒。日本・香港・スリランカ・インドにて、日系企業の経理・財務・総務業務に約14年従事。スリランカにてCSR業務から派生したソーシャルビジネスの起業実績もあり、経営者として管理業務実績を数多く積んでいる。2019年よりバンガロールを中心とした南アジアに強い会計・税務コンサルタントとして日系企業のインド進出を支援している。
2014年より北インドグルガオン拠点の現地日系企業で法務や総務、購買等を中心とした管理業務を経験後、インドの法務および労務分野の専門性を深めるべく2018年に当社に参画し、南インドチェンナイへ移住。現在は会社法を中心とした企業法務や、労働法に基づく人事労務関連アドバイス、インドの市場調査業務を担当。2023年3月に退職。
ニュースレターに関するご意見や、サービスに関するお問い合わせは下記よりご連絡ください。
また、NAVERまとめ等のまとめサイトへの引用を厳禁いたします。