インドの情報保護構想が政策とビジネスに与える影響

2023年、「デジタル個人情報保護法2023（DPDP法）」の制定によって、インドは情報保護の新時代に突入しました。その後、政府は「デジタル穂人情報保護法令2025法案」が2025年1月に発表され、同年3月5日に関係各所との意見交換が終了しました。

DPDP法は大統領が署名して成立しましたが、施行にはいたっていません。この法律が施行されるまで、 2011年SPDIルール（機密個人データまたは情報）がインドの情報保護に適用されてきました。電子情報技術省（MeitY）は、 DPDP法や今後発表される規則に企業が対応できるように2年の移行期間を設けています。

MeitY大臣の最近の談話によると、政府は企業に対して自社のポリシーや業務をDPDP法に適応させるように求めていますが、それは一筋縄ではいかないでしょう。というのも、まだ確定していない今後の規則を通じて、 DPDP法の条項の詳細が明らかになるだけでなく、政府とデータ保護委員会（DPB）は運用上必要なことを義務付けていくことが予想されるからです。 DPDP法と各規則の成立時に、企業は自社のポリシーや業務をそれらに合わせることを求められるだけでなく、 DPDP規則草案が最終決定され、DPDP法が施行される間も、企業はSPDI規則に従うことが求められます。

2年間の移行期間を考慮すれば、ある規則を遵守し、別の規則にも従う準備を整えることは実現可能のように思えます。しかし現実は大きく異なります。SPDI規則は単にインドのデータ保護の基礎的な枠組みを提供しているだけで、厳格な要件が少なく、執行に一貫性がないことが特徴であり、DPDP法への切り替えをむつかしくしています。さらにDPDP法はDPDP規則と連動して、いくつかの点では各分野の法律に譲歩し、基本的なデータ保護の枠組みとして機能するため、特に個人データの国境を越えた送信に関して、分野別の規制が追加的またはより厳格な要件を課す可能性があります。他の規制と整合させる必要があるため、運用やロジスティクスの面で大きなハードルが生じ、特に、コンプライアンスの手順を効果的に導入・維持するためのインフラやリソースが不足しているスタートアップ企業や小規模事業体にとっては、ビジネスに影響がでる可能性があります。

DPDP 法の原則に基づくアプローチは、政策レベルと運用レベルの点で新たな課題をもたらす可能性があります。

潜在的な政策の不確実性。 DPDP法の条項は分野別の法律の要件と併せて読むと、政策の不確実性を残しています。例えば2020年、「ユーザーのデータを不正に盗み、国外に送信している」と政府は中国製のモバイルアプリを禁止しました。しかし、中国の技術への政府スタンスは、説明できない変化をおこしています。これは、MeitY大臣が最近、中国のオープンソースAIモデル「DeepSeek」をインドのサーバーでホストすることで、データセキュリティとプライバシーに関する懸念を軽減するというコメントをしたことに示されています。

DPDP法は個人情報をインド以外の国・地域へ送ることを制限しています。このような国境を越えたデータ転送が、分野別の法律で概説されている厳格な保護に準拠することを義務付けています。さらにDPDP規則案はインド内外のあらゆるデータ転送は、特に外国人、または他の国と関係のある企業へのアクセスに関して、中央政府の一般命令または特別命令で明示された制限に従わなければならないと規定しています。

DPDP法は中央政府に他の国、または地域への個人データの送信を制限する権限を与えています。この法律は、このような国境を越えたデータ送信が、分野別法律で概説されている厳格な保護を遵守することを義務付けています。DPDP規則案はさらに、インド内外のあらゆるデータ送信は、特に外国人または外国と関係のある団体へのアクセスに関して、中央政府の一般命令または特別命令で明示された制限に従わなければならないと規定しています。

しかしながら、この法律には詳細な保護措置がなく、国境を越えたデータ送信について行政の裁量に頼っているため、恣意的な意思決定や頻繁な規制変更のリスクがあります。これにより、政策の不確実性が生まれ、法的枠組みへの信頼が損なわれる可能性があります。これらの通知や変化する政策が予測不可能な可能性があるため、法令遵守上の課題が生じ、企業や利害関係者の規制リスクが高まります。

さらに政策の不確実性を生じさせるかもしれない条項が、個人情報の漏洩がおこったときDPDP規則案の条項にあります。データ受託者は個人の漏洩が発生した場合、「遅滞なく」漏洩を被ったデータ主体、およびDPBに通知する必要があります。その後、データ受託者は72時間以内にDPBに詳細な報告書を提出する義務があります。しかし、DPDP規則案では「遅滞なく」という用語が定義されておらず、初期報告のタイムラインが明確にされていないため、CERT-In （コンピュータ緊急対応チーム） が義務付ける既存の規制と矛盾する可能性があり、特に高リスクのケースにおいて政策の不確実性や不要な重複を引き起こす可能性があります。

個人情報漏洩通知の課題。 DPDP規則案およびDPDP法では、すべての個人データ侵害をDPBおよび影響を受けたデータ主体に報告することが求められていますが、こうした侵害を報告するための基準や閾値が提供されていません。そのため、データ受託者は、どんな些細な漏洩であってもすべて報告する義務を負うことになります。この要件は、事件の性質、規模、リスクに関する指針が欠如しているため、DPBへの過剰な報告を招き、漏洩によるリスクを効果的に軽減する能力を妨げる可能性があります。さらに、この規定は、システム障害を個人情報漏洩として誤認させる可能性があり、混乱を招き、影響を受けた個人やDPBを圧倒する可能性があるため、最終的には評価の低下を引き起こす可能性があります。

個人情報漏洩通知要件は、CERT-Inのサイバーセキュリティ指令や2023年のインド電気通信法のもとで発効された2024年電気通信（テレコム・サイバーセキュリティ）規制を勘案せず、類似した情報漏洩の周知を義務付けます。この監視は、政府当局が包括的な全政府的アプローチを採用せず、個人データ侵害を報告するための単一窓口規制経路を確立しなかったことに起因しています。複数の「報告任務」は、脆弱性を軽減するどころか、むしろ悪化させる可能性があります。

あいまいなデータローカリゼーション要件。データローカライゼーションの権限は、個人データを外国政府機関に開示、または送信に関する外国法のさまざまな要件とｋウイ違う可能性があります。DPDP規則案では、重要なデータ受託者に対してデータローカライゼーション要件を提案しており、中央政府が設立した委員会の勧告に基づき、特定の個人データセットやトラフィックデータをインド国外に移転することを禁止しています。これは、厳格なデータローカライゼーション要件から離れるという政府の以前の立場からの転換を示しています。

情報請求に関する恣意的な権限。データ受託者や仲介者から情報を請求する権限が手続き上の保護措置なしに義務付けられており、インド憲法第21条で保証された基本的なプライバシー権を認めた「KS Puttaswamy（Retd）判事 & Anr対Union of India & Ors」（2017）の画期的な判決に矛盾しているように見えます。この判決では、プライバシー権を侵害するデータ開示の要求は、以下の3つの要件を満たす必要があるとされています：

1. 1. 行為が法律によって認可されていること、
   2. 行為が正当な目的のために民主的社会において必要であること、
   3. 行為が比例的であり、目的と採用された手段との間に合理的な関連性があること。

DPDP規則案およびDPDP法は、これら3つの要件を考慮しておらず、代わりに政府に広範な裁量権を与え、いかなる情報も請求できるようにしています。この権限は手続き上の保護措置や情報請求の根拠が欠如しているため、曖昧で恣意的です。DPDP法は、データ受託者や仲介者が情報請求に異議を申し立てたり、挑戦したりする選択肢や手段さえ提供していません。

DPDP規則案では、国家の安全、法定機能の遂行など、特定の目的のために情報を求めることを提案していますが、これらの目的は広範に記述されています。これにより、政府がいかなる情報も求める過剰な権限を持つことになり、個人のプライバシー権だけでなく、ビジネスのしやすさに対しても不均衡を生じさせます。

結論として、DPDP法およびDPDP規則案は専用のデータ保護法的枠組みを提供し、インドを世界的なプライバシー基準に整合させる上で重要な一歩を示していますが、多くの曖昧さや運用上の課題が残っています。これらの課題の一部はDPDP法自体に起因していますが、いくつかの問題はDPDP規則の適切な実行を通じて解決可能であり、個人のプライバシー権、安全性、イノベーション、ビジネスフレンドリーなシステムのバランスを取るために不可欠です。

ADP LAW OFFICES
B 809, ATS Bouquet, Sector 132, Noida
Uttar Pradesh 201304, India
Tel: +91 99100 31747
Email: ameet@adplawoffices.com | www.adplawoffices.com