インド・デジタル個人データ保護規則2025(DPDP規則)と日本企業への影響
2023年8月に国会で可決した「デジタル個人データ保護法(Digital Personal Data Protection Act, 2023:以下、DPDPAまたは本法)」は、インドにおけるデータプライバシーのあり方を根本から変革する法的基盤として注目されてきました。その実務的な詳細を規定する「規則」の策定には慎重な検討が重ねられ、2025年11月13日インド電子情報技術省(MeitY)はついに「デジタル個人データ保護規則2025(Digital Personal Data Protection Rules, 2025:以下、DPDP規則)」を官報に告示する運びとなりました。
※2023年の法案内容についてはこちらの記事(最新アップデート:インド2023年個人情報保護法案が国会で可決)をご覧ください。
規制の枠組みと施行スケジュールの全容
DPDP規則2025は、全23の条文と7つの附則から構成されています。企業への負荷を考慮し、全面適用まで最大18ヶ月の猶予期間が設けられています。
| フェーズ | 施行時期 | 主な対象事項 |
| 第1段階(即時) | 2025年11月13日 | データ保護委員会(DPB)の設立と運営規定。 |
| 第2段階(1年後) | 2026年11月13日 | 同意管理者(Consent Manager)の登録・義務化。 |
| 第3段階(18ヶ月後) | 2027年5月13日 | 全面適用。 通知・同意、漏洩報告、データ消去等の全義務。 |
1. 通知と同意:SARAL原則の徹底
SARALとはヒンディー語で「簡単」という意味になりますが、「Simple, Accessible, Rational & Actionable Law」の略語として使われており、本法の原則・設計思想として謳われています。個人データ収集時には、利用規約とは別に「独立した項目別の通知」が必要です。
- 必須項目: 収集データ項目、処理目的、権利行使方法、同意撤回の手順、苦情連絡先。
- 言語要件: 英語または憲法指定の22公用語(ヒンディー語、タミル語等)での提供およびUI上での言語選択機能の実装が必須となります。
- 撤回の容易性: 同意を与える際と同じ簡便さで撤回できるUI/UXが求められます。
2. セキュリティと漏洩報告(72時間ルール)
セキュリティと漏洩報告については、規則6・7により、すべてのデータ受託者に厳格な管理が課されます。
- 保護措置: 暗号化、アクセス制御に加え、最低1年間のアクセスログ保存が義務化されました。
- 報告義務: 漏洩等のインシデント発生の認識から「遅滞なく」第一報を、72時間以内に原因や対策を網羅した詳細レポートを委員会へ提出しなければなりません。
- CERT-In:なお、2000年情報技術法(いわゆるIT法)においてはCERT-In(サート・イン)という別のサイバーセキュリティ機関への報告義務が規定されており、漏洩等のインシデント発生の認識から6時間以内に報告する必要があります。
3. 保存制限と「48時間前通知」の課題
目的達成後、データは速やかに消去する必要がありますが、消去前の通知に留意する必要があります。
- 事前通知: データを消去する48時間前までに、データ主体へ消去の旨を通知し、かつ、消去に異議がある場合にはそれを受け付ける機会を提供しなければなりません。
- 自動化の必要性: 大規模な顧客・従業員データを抱える企業は、この通知・消去フローをシステム化する必要があります。
4. SDF(重要なデータ受託者)と子供のデータ
- SDFの追加義務: ユーザー数が2,000万人を超えるような大規模なデータを扱う「重要なデータ受託者」に指定された場合、インド居住のDPO(Data Protection Officer)の任命、年1回の外部監査、影響評価(DPIA : Data Protection Impact Assessments)が必須となります。
- 子供(18歳未満): 「検証可能な同意」が必要とあり、今後政府が認定をする同意管理者(Consent Manager)を介した手法が採用される可能性があります。単なるチェックボックスではなく、公的IDやトークンを用いた厳格な年齢確認が求められます。
5. 国際データ移転
国際移転は原則自由とする「ネガティブリスト方式」が採用されました。
- 現状: 現在、日本を含む特定の国が禁止リストに入る予定はなく、移転は可能です。
- セクター規制: ただし、中央銀行(RBI)等の分野別規制(決済データの国内保存義務等)がある場合はそちらが優先されるため留意が必要です。
6. 制裁金リスク
違反時の制裁金は非常に高額であり、経営上の重大なリスクとなります。
| 違反内容 | 制裁金上限(ルピー) |
| セキュリティ不備による漏洩 | 25億ルピー
(約45億円) |
| 漏洩通知の遅延・不履行 | 20億ルピー |
| 子供のデータ保護義務違反 | 20億ルピー |
| その他の一般的な違反 | 5億ルピー |
7. 日本企業が2027年5月までに行うべき4ステップ
- データマッピング: 旧規則下で収集済みの「レガシーデータ」を含め、保有データの所在を棚卸しする(レガシーデータについては、最新の規則に基づく再通知が必要となる見込み)。
- UI/UXの改修: SARAL原則に基づく独立した通知画面、および48時間前消去通知システムなどの再構築。
- 規約・契約の見直し: 従業員向け通知の整備と、委託先(ベンダー)とのデータ保護契約の締結 。
- インシデント体制: 72時間以内および6時間以内の報告を可能にするため、日本本社と現地法人を繋ぐ緊急時マニュアルを策定する 。
インド・デジタル個人データ保護規則2025(DPDP規則)の告示は、インドにおけるビジネスのルールが「暗黙の合意」から「明文化された権利と義務」へとシフトしていることを示しており、2027年5月の完全適用までの期間に日本本社とインド法人が一体となってガバナンスの強化に取り組むことが強く推奨されます。本件にかかるご相談がある場合には、ぜひ弊社までお気軽にお問い合わせください。
執筆者紹介About the writter
筑波大学生命環境学部卒業。大手日系企業に入社後、営業部にて日々インド人とコミュニケーションを取る職場環境に身を置き、インドをはじめ、中国、タイ等の海外子会社の経営管理業務に約4年半従事。海外子会社経営の難しさ・大変さを目の当たりにした経験から、インドへ進出する多くの日系企業をより直接的に支援したいと考え当社に参画。現在はインド税務・会計のアドバイザリー業務、およびインド市場調査業務を担当している。デリー在住。