個人データは、企業の「資産」ではない

2025年デジタル個人情報保護規則案は、個人の同意を最優先としています。2023年デジタル個人情報保護法（2023年DPDP法）および同規則案は、個人データの処理の目的と手段を決定するデータ受託者に対して、データの主体から明確で積極的な同意を取得した上で処理を行うことを義務付けています。組織は、同意のライフサイクル全体を通じて一貫して管理する、堅牢な同意管理システム（CMS）を導入しなければなりません。このようなシステムに具体的に求められる要件を明確にするため、電子情報技術省は最近、業務要件文書（BRD）を公表しました。

CMSは、ユーザーの同意を取得から撤回まで一貫して管理します。BRDでは、同意の取得、検証、更新、再同意、撤回を含むすべての段階で、同意が追跡可能であることを求めています。CMSは、データ主体がデジタル・ダッシュボードを通じて自身の同意にアクセスし、監視、変更できるようにしなければなりません。そのため、CMSは誰もが容易に利用でき、直感的に操作できて、アクセシビリティ要件に適合したものでなければなりません。

CMSには多くの関係者が関与します。データ主体が同意を与えたり、撤回したり、また、データ受託者がこれを受領したり、管理したりします。データ処理者は受託者の代理として、同意の範囲内でのみデータ処理を行います。DPDP制度では新たな責任主体として、データ主体と受託者との間で同意のやり取りを仲介する、登録済みの中間事業者である同意管理者（CM）を導入しています。CMは中立性を保ち、セキュリティ基準を遵守し、データ保護委員会へ登録することが義務づけられています。

DPDP制度では、同意は自由意思に基づき、特定の目的のため、十分な情報を得た上で、無条件でなされるべきです。また、明確で積極的な意思表示によって表明されなければなりません。同意の抱き合わせや曖昧な文言は、明確に禁止されています。個人は、収集される個人データのカテゴリー、処理の具体的な目的、自身の法的権利について通知を受けなければなりません。通知は明確で容易に入手できるものでなければならず、包括性とコンプライアンスを確かなものにするために、インド各地域の言語に対応していることが求められます。

DPDPの枠組みは、目的の限定とデータの最小化の原則を明記しています。データは、利用者から明示的な同意を得た目的の範囲内でのみ、収集・利用されます。CMSは、同意を特定の目的と関連付け、無許可の利用をブロックすることで、これらの原則が遵守されるよう保証します。

同意の撤回が可能で、手続きが容易であることは、基本的な原則です。DPDP法は、同意の撤回が、同意の提供時と同様に円滑に行えることを求めています。CMSは、利用者が自身の同意を円滑に撤回できるようにし、関連する処理を直ちに停止することを保証しなければなりません。タイムスタンプや目的ID、ユーザー識別情報などのメタデータは、監査のために改変不能な形で記録されなければなりません。いったん同意が撤回されたら、CMSは直ちに社内チームや外部委託処理業者など全ての関係者に、個人データの処理停止を通知しなければなりません。

CMSは、技術的機能と法的要件とを統合しなければなりません。同意の取得とは、フォームまたはインターフェースを通じてユーザーの明示的な許諾を記録することであり、明確な意思表示がなければデータ処理を開始することはできません。同意の検証では、データ処理が同意の範囲内で行われているかを確認します。データ処理の前に、CMSは有効かつ積極的同意があるかを確認する必要があります。そのような同意がない場合、処理をブロックしなければなりません。

同意の更新および再同意により、利用者は自身の同意を修正または延長することができます。目的が変更された場合、システムは利用者に通知を行い、同意の更新を求めなければなりません。継続的なコンプライアンスを確保するため、利用者には更新を促すリマインダーが送付される必要があります。すべての変更は関連するメタデータとともに記録されなければなりません。

同意の撤回がなされた場合、処理を停止し、撤回対象の目的に関連付けられたデータは削除されなければなりません。CMSは撤回インジケータを生成し、あらゆるシステムにおいて当該のやり取りと変更の状況を記録することが求められます。利用者とチームはこの撤回について、通知が行われなければなりません。

追加機能により、包括的なコンプライアンスが確保されます。これには、クッキーに関する同意管理、および、すべての同意関連の処理について、検証可能な履歴とともに改変不能な形で記録する監査ログの作成が含まれます。システムは、識別子・タイムスタンプ・アクションの種類を含む監査ログを生成しなければなりません。CMSは、苦情を記録し、参照番号を発行して解決状況を追跡できる苦情処理の機能を備えることが、法令により義務付けられています。

DPDP法では、同意とは進化するものであり、データ主体が能動的に関与するプロセスと見なされています。この試みが成功するかどうかはCMSが有効に運用されるかにかかっています。適切に構築され円滑に働くCMSは、単なる規制要件として機能するだけでなく、利用者の自律性を尊重し、成熟したデータガバナンスを実現し、関係者の信頼を高める戦略的資産となるのです。

Aman Avinav氏はPhoenix Legalのパートナーです。