ネットを拡張する：インドにおけるデータプライバシー訴訟

訴訟は往々にして、困難なプロセスと見なされます。インドの裁判所は一般に、未処理案件や係属案件が時には数十年に及ぶことから、非難の対象になっています。しかし、この訴訟の手続きを通じて、法律と、進化するビジネス環境の間のギャップが埋められていきます。

インドの2023年デジタル個人データ保護法（DPDP）がついに現実のものとなり、この新しい法律の下での訴訟は避けられないものとなります。したがって、企業は今後待ち受けるだろう課題に備えることが不可欠です。

プライバシー対データ保護

プライバシーの権利は数多くの権利や価値観を具現化したものです。一方、データ保護は、デジタル・アイデンティティに関連する法律によって定められた権利です。

インド憲法第21条の下でプライバシーの権利が基本的人権として認められていることから、この基本的人権の侵害を訴える数多くの訴訟は、第226条に基づいてそれぞれの高等裁判所に、または第32条に基づいて直接、最高裁判所に提起されると推測されます。

データ保護権の侵害と基本的なプライバシー権の侵害が同時に発生した場合は、「国家（および、その機関）による個人データの処理の正当な使用」に問題があると疑われる場合にのみ、国家に対して異議を唱えることができます。例えば、もともと補助金や給付金を提供する目的で収集された個人データが、のちに選挙期間中に政策に関する市民からのフィードバックを求めるために使用され、その結果、有権者に影響を与えた場合は、管轄の高等裁判所または最高裁判所に救済措置が求められることができるでしょう。

ただし、このような令状管轄権は、基本的なプライバシー権の行使のために民間企業を相手に発動させることはできません。民間企業に相手にした救済措置については、DPDPの下で保証された法定権利を執行する必要があり、したがって、同法で規定されたメカニズムに従わなければなりません。

データ保護委員会

データ保護委員会（DPB）は、個人データの侵害に関して調査し、罰則を科すための緩和措置や救済措置を指示する限定的な権限を与えられています。しかし、DPBが取り上げることができるのは、以下ような状況下の事例のみです。（i）個人データの侵害の通知の受領、（ii）データ主体による申し立て、（iii）中央政府または州政府からの照会、（iv）裁判所の指示、（v）仲介業者が中央政府の指示に従わない場合。

状況を単純に読むと、DPBは“suo moto（職権）”を発動する権限、すなわちDPDPの規定に反する行為を見つけた場合に、自発的に案件を取り上げる権限がないことがわかります。インド競争委員会（CCI）や中央消費者保護局などの当局は、国民や業界／市場全体に影響を及ぼす特定の行為を、職権発動によって認知する権限を与えられています。

職権発動の権限は、DPBのような当局が法律とテクノロジーの間のギャップを埋めることを可能にし、DPBの積極的な機能性を表すものでもあります。イノベーションを抑制するなどの独自の欠点があるだけでなく、DPDPの効果的な施行の機会を逃すことにもなります。

控訴審判所

電気通信紛争処理上訴裁判所（TDSAT）は、DPDPの下で控訴審判所に任じられています。他の法律では、特定の法律分野を専門に扱う審判所が別々に設置されているのに対して、TDSATはその他にも、電気通信、空港料金、Aadhar（個人識別番号）、サイバー犯罪などを扱い、将来的にはDPDPの下での紛争も、控訴機関として取り扱うことになります。

インドの審判所の構造は、専門家が関わって迅速な紛争解決を提供するという最善の意図を持っているにもかかわらず、欠員や係属案件の増加という大きな敵に直面しています。

紛争戦略

DPDPは専門的な法律であるため、ほとんどの紛争はこの法律が規定しているメカニズムによる決着、すなわちDPBを経て、その後の審判所、そして最高裁判所という上訴のルートを取ることになります。

しかし、DPDP内の異なる状況や異なる関係者によるハイブリッド・モデルも考えられます。すなわち、データ受託者／データ処理者が高等裁判所や、さらには最高裁判所に対して、DPBに指示を出すよう申し立てる場合です。

また、データ主体／データ受託者の双方がDPBの命令に対する不服を申し立てるため、高等裁判所や最高裁判所の令状管轄権を直接行使する状況もありますが、これは自然的正義の原則に反するなどの事例です。以下の表は、DPDPで利用可能な通常のメカニズムと、紛争解決の代替ルートをまとめたものです。

部門間の連携

同意の強制や解約詐欺のような一部の不公正な商慣行も、DPDP違反です。このような慣行については、消費者保護の観点を超えて規制する必要があります。この状況では、消費者保護庁とDPBの協力が不可欠です。2019年消費者保護法に基づいて設立された中央消費者保護庁は、データ主体が自らの権利を保護するためのプラットフォームも提供しています。この当局は、単に消費者の権利の保護に専念するだけでなく、消費者に対して、生じた損害の補償も提供しています。

この救済措置は、現在はDPDP（およびDPB）では利用できないため、データ主体（消費者）は苦情への救済を求めて、消費者保護庁に申し立てることになります。部門同士が連携することで、消費者／データ主体が適切な救済措置を受けられないままになってしまうのを防いでいます。

クロスボーダー紛争

DPBがクロスボーダー紛争を裁定する際の方法や手段は不明確ですが、国際的にはさまざまな管轄区域がコンプライアンスを確保するための方法を採用しており、そのようなコンプライアンスの違反は、それらの違反に対処するために設立された当局が取り締まりを行うことになっています。

国境を越えたデータ転送に関するコンプライアンスのコストを軽減するために、インドでは、英国や米国と同様のアプローチを採用して、それぞれのデータプライバシーの枠組みを拡張し、活用することができます。英国とEUは、自国の企業が多数進出している他国との間で、国別のデータプライバシーの枠組みを適用しています。この枠組みには、データが国境を越えた場合にさらなる訴訟を回避するために、両国の要件を満たすことを確保する追加のコンプライアンスが含まれています。

アドボカシー

アドボカシーは、一般市民や企業に対してDPDPの下でのDPBの権利、義務、機能についての認識を高める効果的な方法の一つです。CCIやインド電気通信規制庁（TRAI）のような一部の専門機関は、法律に関するキャンペーンを実施し、認識を高めるための特定の規定（およびそれに伴う当局内の独立した部門）を有しています。

さらに、データ保護コンプライアンスに関する諮問文書は、企業が法律をよりよく理解してデータを処理するのに役立つでしょう。DPDPとその規則に関するトレーニング・プログラムや認定コースを実施することで、コンプライアンスの向上が確保されるでしょう。最後に、TRAIの消費者アウトリーチ・プログラムに沿って、データ主体の苦情に対処するための同様のアウトリーチ・イニシアチブを、DPDP法の下で導入することは非常に有益といえます。これらのプログラムによって、コンプライアンスを大幅に改善し、個人データの権利の保護を強化することができるでしょう。

10の提言

• DPDPに基づく案件を扱うための独立した審問所を設立する。それが不可能な場合は、政府はDPBの命令に対する直接の控訴を扱うために、特別高等法廷の設置を検討すべきである。
• イノベーションとプライバシーのバランスを取るために、DPBに制限付きの職権発動の権限を付与する。
• 特定の法域においてデータの転送が国境を越えた場合、追加でのコンプライアンスを義務づけるプライバシーの枠組み。
• インドに拠点を置き、インドにのみ存在する企業は、データ保護の概念に比較的慣れていない。したがって、積極的なアドボカシーなしにDPDPを厳格に執行することは、法律を施行する上での最良の戦略ではない可能性がある。継続的な監視やコンプライアンスのメカニズム、最終的には、違反に対する罰則を指し示して説明することの方が、より効果的かもしれない。
• 大規模に事業を展開する企業に対しては、罰則だけでは効果的な抑止力にはならない可能性がある。繰り返し違反を行う場合には、業務停止命令、アプリケーション／ウェブサイトの停止、許認可の取り消しの方が、法律の効果的な施行につながり、法律の最終目的の達成できるのかもしれない。
• 業界にとって課題を提起するような法律上の問い合わせや質問に対して、事前に裁定を下せるように、DPBに権限を与える。
• 非物質的な損害に対して請求するための、重大性の最低基準に関する指針を、DPBが提供できるようにする。
• 政府によるデータ・ローカライゼーションの義務付けが、ローカル・データ・ストレージ・センターを設立するためのコストのせいで、企業の業務・財政効率を妨げるようなことがあってはならない。厳格なデータ保護法が存在しない場合にのみ、政府がデータ・ローカライゼーションを義務付けることが合理的だろう。
• DPDPはデータ主体への補償を規定していない。これを法律の一部として盛り込む必要がある。
• DPBに、指針や説明を発行する権限を与える必要がある。この権限は法律自体に由来しているものでなければならない。