EUが一般データ保護規則（GDPR）によって個人データ保護を強化したことを受け、データ脆弱性対策実施や、ユーザープライバシーの侵害防止を求める声が世界中に広がりました。

個人データの悪用・不正使用に関する大手テクノロジー企業の一連の疑惑は、人々がデータプライバシー漏洩問題に向き合う大きな転換点となりました。それ以降、多くの法域では、規制制度の厳格化への道を開こうと、既存の法律が全面的に見直されました。

インドも例外ではなく、この領域における取り組みを行っています。

現在、この領域は、情報技術法（Information Technology Act）（IT法）、および2011年の個人情報保護（合理的なセキュリティ実務および手続ならびにセンシティブ個人データまたは情報）規則（Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011）によって規制されています。IT法第43条Aに基づき、データ主体は、センシティブ個人情報の不正開示に対して補償を請求する権利があります。72条Aは罰則であり、これに基づき、無断でセンシティブ個人情報を開示する仲介者などの個人が懲役または罰金刑を受けます。

しかしながら、こうした法律はその対象領域がかなり限定されているため、不十分であると考えられています。よって、規制制度を改革するために、2018年に包括的な法案である個人情報保護法案が策定されました。 法案の目的は、データの効果がインドのために発揮されるように、正しい統治機構を構築し、適切なデータ・インフラストラクチャを導入することです。

しかし、本法案はさまざまな議論にさらされ、すでに3度修正されました。

インド議会両院の議員で構成される両院合同委員会（Joint Parliamentary Committee：JPC）に委託されたJPC報告書が、情報保護法の修正案とともに2021年12月16日に公表されました。新法案では個人情報と非個人情報の両方を規制することを目指しており、法案の適用範囲が拡大されました。

法案の根拠に関しては、KS Puttaswamy対Union of India事件においてインド最高裁判所が定めた方針に基づいており、その方針に従って、個人のプライバシーの権利を制限するあらゆるものについては法による認可を受け、不正使用に対しては手続き上の対抗策を講じなければなりません。

本法案で最も物議を醸しているのは、事実上、政府に対しては全面的な適用除外となっていることです。第35条では、インドの主権や保全、国家安全保障、外国との友好関係、社会秩序の維持に必要な場合は、政府をあらゆる条項の適用から除外すると定めています。厳しい批判にもかかわらず、両院合同委員会（JPC）はこの条項を存続させました。

政府の監視権限を抑制するため、手続きが「公平、適正、妥当、かつ適切」でなければならない旨の説明が本条項に追加されました。適用除外にこうした限定条件が追加されたことは歓迎すべき措置ではありますが、十分ではない可能性があります。

司法による監視は、政府の独断的な行動を回避するために不可欠であり、政府による適用除外の要請は、裁判所による認可を受けなければなりません。さらに、十分な対策を提供する手続き上の広範な仕組みを、法案自体に盛り込まなければなりません。また、両院合同委員会の一部の委員が反対意見の中で提言したように、「社会秩序」という言葉は、本条項を具体的かつ狭義に定義する（narrow tailoring）ために削除されるべきです。

もう一つの問題は、本情報保護法の遵守および施行の監督を担当する情報保護庁（Data Protection Authority：DPA）に関連しています。2019年の法案に従って、閣僚および2人の閣僚レベルの官僚から成る選考委員会の推薦に基づき、DPAの全メンバーが中央政府によって任命されます。当初の条項が批判を招いたため、両院合同委員会は現在、2021年法案の委員会メンバーに司法長官を加えています。JPAの独立性を十分に保つために、司法官の参加が検討された可能性がありますが、主席判事（データプライバシーに関して注目に値する複数の判決を下した判事が望ましい）がメンバーに加わる必要があります。

データローカライゼーションに関する条項も最も議論の分かれる問題の1つです。2018年の最初の法案には、包括的なデータローカライゼーションの条項がありましたが、酷評されました。その後の修正法案では、他国からの強い反発を理由に、本条項は若干緩和されました。現在の2021年のデータ保護法案では、柔軟なローカライゼーションが規定されており、センシティブ個人情報の複製や重要データの現地での処理を義務付けています。つまり、本法案では、複製が現地に保管されていることを条件に、インド国外でのセンシティブ個人情報の移転や保管が許可されています。

センシティブ個人情報には、健康、宗教、性生活、政治理念、生物識別、遺伝、金融情報などが含まれています。当該データは、特定の条件を満たす場合、GDPRの適正な仕組みに厳密に従ってインド国外に移転することができます。しかしながら、重要データの国外移転については禁止されています。重要データはインド国内でのみ処理および保管しなければなりません。一方で、重要データの厳密な定義が待ち望まれています。従って、どのようなデータが対象となるかについては十分に明確とは言えません。

政府は、データローカライゼーションがどれほどインドに有益であるかについて多くの理由を説明しています。データ市場が非常に巨大であるため、データの大半は米国、アイルランドなどにあるサーバーに物理的に保存されています。現地での保存を義務付けることで、インドにおける大規模データセンターの設置につながり、ひいては現地での雇用創出を促すことにもなります。インド全土のITまたはデータ・インフラストラクチャを強化することにより、経済発展が促進され、インドを世界的なデータ処理拠点へと押し上げることができると考えられています。

データの越境移転に関するこうした保護主義的な展望は一見優れているように思えますが、実施の前に、実際の利益を計算することが重要です。こうした制度が純利益を生むかどうかを解明するには、データローカライゼーションの要件を遵守するという負担が加わることで、インドでデータに基づくサービスを提供する多くの海外企業を失うかもしれないというリスクを評価することが欠かせません。また、外国政府によるインド企業に対する報復措置の可能性も考慮に入れなければなりません。

大多数から支持されている利点として、法執行機関の能力向上があります。インドの法執行機関は、国外の法域に保管されたデータにアクセスする場合は制約を受けます。例えば、インドで発生した重大犯罪が捜査対象となり、決定的な証拠が米国を拠点とするサービスプロバイダーにある場合、インド政府は、インド・米国刑事共助条約（MLAT）に基づき提供されるデータ収集の枠組みを使用せざるを得ません。これは手間がかかり煩雑です。

米国政府は刑事共助条約に基づくこのような要請を受理する前に、裁判所命令を請求します。米国の裁判所はそのような命令を必要に応じて承認する前に、インドの要請が関連する法的要件を満たすかどうかを判断します。命令が下されると、米国のサービスプロバイダーは必要なデータを作成し、データを米国司法省と共有、法的な順守を確認してから、最終的にインドにデータを開示します。これは通常数カ月を要する非常に時間のかかる作業であり、適時にデータにアクセスできないことが原因で、捜査に支障が出る場合があります。

データローカライゼーションが強化されれば解決につながり、インドの政府機関がデータにアクセスし易くなります。ただし、それによってインドの刑事共助条約制度への依存度がどの程度下がるのかを評価、分析することが重要です。まず、執行機関が要求するデータまたは証拠の割合について検討することができます。センシティブ個人情報に限定して（また個人情報の一部の）複製を要求する柔軟なデータローカライゼーション案が採択されれば、そうしたデータについてはアクセスし易くなるでしょう。また、ローカライゼーションによって、刑事共助条約制度や、データに直接アクセスするための他国との二カ国間行政協定を補完することが期待されます。その一方で、現地での保管を義務付けることによって、こうした合意に署名するインドの適格性が損なわれ、結果的に逆効果となるリスクを評価することも重要です。

これについては多種多様な意見がさまざまな地域から寄せられています。インドを拠点とする世界的なシンクタンクであるオブザーバー・リサーチ基金研究財団（Observer Research Foundation）が近頃発表した報告書では、インドが現地保存を義務付けることで、米国の海外データ合法的使用明確化法（Clarifying Lawful Overseas Use of Data Act：CLOUD法）に基づき、米国との契約締結交渉の支障になる可能性があると論じられています（CLOUD法とは、国内のデータ関連法が相反する場合でも、「重大な犯罪」を捜査する目的で外国政府によるデータへのアクセスに関して国際的な協力への道を開く米国の授権法）。

インドがCLOUD協定を締結すると、米国を拠点とするサービスプロバイダーが保存した関連データによって犯罪を捜査する場合、そうしたデータへのアクセスに、米国の認可または裁判所命令は不要になります。そうした目的には、インドの裁判所命令が使用される可能性があります。インドの政府機関の側が、米国のサービスプロバイダーに直接働きかけ、必要なデータを要求することもできます。ただし、CLOUD法では適切性を確認するにあたって検討すべき複数の要因が挙げられています。

しかし、いずれにせよ、インドはCLOUD協定に署名することにはまだ興味を示していません。たとえ検討する場合でも、ローカライゼーションを義務付け、政府が広範な監視を行う権限を持つことで、国家の妥当性に影響を及ぼす可能性があることには留意しなければなりません。

膨大な数のインターネットユーザーを擁するインドは、グローバルデータ経済で自国の影響力を利用しようと考えています。最終的な法律が表明されたビジョンから逸脱しないようにするために、とりわけ越境移転に関する条項をはじめとする、一部の条項に関連するリスクや法案の全体論的評価を行ううえでには、本保護法案は不可欠です。

現在直面している問題の複雑さを考慮すると、重要な条項を細かく修正し、合意に達することは容易ではありません。従って、本法律が最終的に成立するまでにはまだ時間がかかる可能性があります。

LEXORBIS
709-710 Tolstoy House
15-17 Tolstoy Road
New Delhi – 110001, India
Eメール: mail@lexorbis.com

www.lexorbis.com