インドの個人情報保護法(DPDPA)とOneTrust
はじめに
2023年8月11日、大統領合意を受け、「Digital Personal Data Protection Act (以下、「DPDPA」)」が、官報に掲載されました。現在のところ、施行日については未定となっており、インド中央政府が官報で通達する予定となっています。
インドでは、プライバシー関連の法規制として、SPDIルール(Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011)が存在し、主に機微(センシティブ)個人情報の所有、取引、取り扱いを規定していました。
SPDIルールからDPDPAへと移行するまでの期間、インドでビジネスをする企業は、引き続き、SPDIルールをメインに現行のプライバシー規制を遵守する必要がありますが、企業は今後のDPDPAの施行を見据えて準備しておく必要があります。
今回のブログは、インドの新しいプライバシー法であるDPDPAの概要とともに、同法を遵守する上で重要な様々な機能を提供しているOneTrust ソリューションについて紹介したいと思います。
DPDPAで用いられる用語の整理
各国の法規制によって言葉や定義がかわるため、ここでは用語の定義について紹介します。
用語 | 説明 |
Consent Manager / 同意管理者 | インドデータ保護委員会に登録され、データ主体がアクセス可能で透明性のある相互運用可能なプ ラットフォームを通じて同意の付与、管理、レビュー、撤回を行うための単一の窓口となる者 。 |
Data Fiduciary / データ受託者、データ管理者 | 単独で、または他の者と共同で、個人データの処理の目的および手段を決定する者 。「受託者」という用語は、データ主体(データが処理される個人)に対する信頼と責任の立場という意味が含まれる。 受託者には、企業、会社、団体の他、個人も含まれる。 |
Data Principal / データプリンシパル、データ主体 | 個人データが関係する個人を意味し、当該個人が (i) 児童である場合は、当該児童の両親または正当な後見人を含む。(ii)障害者の場合は、障害者に代わって行動する正当な保護者を含む。データ処理者とは、データ受託者に代わって個人データを処理する者。 |
Data Processor / 処理者 | データ受託者に代わって個人データを処理する者 |
Significant Data Fiduciary / 重要データ受託者 | Sec 10に基づき、政府が以下の要因を評価し、それ基づいて通知するデータ受託者またはデータ受託者の集合: ・処理される個人データの量および機密性 ・データ主体の権利に対するリスク ・インドの主権と完全性への潜在的影響 ・選挙民主主義に対するリスク ・国家の安全 ・公序良俗 |
The Board / Data Protection Board of India | インドデータ保護委員会 |
スコープ
同法は、個人による個人的または家庭内の目的での個人データ処理については適用対象外です。
地理的適用範囲
同法は、インド国内における個人データの関連処理に適用されます。インド国外におけるデジタル個人データの処理が、インド国内の個人に対する商品またはサービスの提供に関連する場合に適用されます。
実質的な適用範囲(Material Scope)
同法は、デジタル形式で収集された個人データ、または収集時はデジタル形式ではなかったが、収集後にデジタル化された個人データの処理に適用されます。
ただし、一定の適用除外があります。例えば、通達された国家機関による処理や、データ本人に固有の決定がなされない研究、保存、統計目的の処理については、この法律のほとんどの適用対象から除外されます。また同法では、一般に公開されているデータには適用されません。
Data Principal(データ主体)の権利
個人の権利
以下の表は、データ主体に認められる権利をまとめたものです。(2024/3/1時点)
個人の権利 | GDPRとの比較 | DPDPA |
通知(情報提供)を受ける権利 Right to be informed | きわめて一貫性がある | Sec5 , 6 |
開示および自身のデータのコピーを請求する権利 Right to access | きわめて一貫性がある | Sec 11 |
訂正する権利 Right to Rectification | Data Guidance側に分類なし | Sec 12 データ主体側に検証可能な正しいデータを提供する義務あり |
個人情報を削除する権利 Right to erasure (Right to be forgotten) | きわめて一貫性がある | Sec 12 データ主体側に検証可能な正しいデータを提供する義務あり |
処理を制限する権利 Right to Restriction of Processing | 一貫性なし | 特に規定なし |
個人情報の取扱いを禁止する権利 Right to object | 一貫性なし | 特に規定なし |
データポータビリティの権利 Right to data portability | 一貫性なし | 特に規定なし |
自動意思決定に服さない権利 Right Not to be Subject to Automated Decision-Making | 一貫性なし | 法案段階のDIAには、自動化された意思決定に反対する権利あり。 |
通知(データ主体への情報提供)
データ受託者がデータ主体に対して行う同意の要求については、全て、データ受託者は、合理的に可能な限り速やかに、上記の通知をデータ本人に提供しなければなりません。(Sec 5(1))
データ主体が本法の施行日前に個人データ処理に同意したものである場合、データ主体は、合理的に可能な限り速やかに、上記の通知をデータ主体に提供しなければなりません。(Sec 5(2))
通知内容に関する規定
通知の内容に関しては、Sec 5(1)に基づき提供される通知(すなわち、法施行後に同意を求める場合)には、以下が含まれなければなりません。
・個人データおよびその処理目的
・データ主体が同意を撤回する権利およびデータ主体からの苦情に対する対応方法(grievance redressal mechanism)、 データ主体が保護委員会に対して苦情を申し立てる方法。
同様に、Sec 5 (2)に基づき提供される通知(すなわち、データ主体が法開始日以前に同意 を与えている場合)には、以下を含めなければなりません。
・個人データおよびその処理目的
・データ主体が同意を撤回する権利および苦情処理手続きを行使する方法
・データ主体が委員会に対して苦情を申し立てる方法。
通知方法
データ主体(個人)に対して同意を求めるすべての要請について、明確かつ平易な言語でデータ主体に提示される必要があり、そのようなリクエストに英語またはインド憲法の付則別表(8th Schedule of the Indian Constitution)で指定されている公用語リストでアクセスする選択肢を提供する必要があります。(Sec 6(3)) )
また、DPO選任義務に該当する場合、データ保護担当者(DPO)のコンタクト先情報を、それ以外の場合、役員、または法律に基づく権利の行使を目的としてデータ本人からの通信に応答するようデータ受託者から権限を与えられた人物のコンタクト先情報を提供する必要があります。(Sec 6(3)) )
法的根拠
同法では、主な法的根拠として以下の2点が挙げられています。(Sec 4)
- 同意
- 特定の正当な利用(Certain Legitimate Uses)
同法は、基本的に個人データの処理について「同意」を中心とするアプローチを規定していますが、同意以外の法的根拠として、「特定の正当な利用」に基づく処理を規定しています。
「特定の目的での正当な利用」(Sec 7)とは、データ主体(個人データを収集、保存、使用する主体)が特定の目的のために自発的にデータを提供し、その使用に異議を唱えなかった場合、データ受託者(個人データを収集、保存、使用する主体)がデータ本人の同意なしに個人データを処理できる状況を指しており、例として以下の場合が挙げられます。
- 補助金、給付金、サービス、証明書、ライセンス、または許可証を提供または発行 するための国による処理
- 国の法的機能の遂行
- 国にデータを開示する法的義務の履行
- 契約上または民事上の請求に関連する場合、インドの法律または外国の法律に基づく命令または判決を遵守すること
- 生命への脅威または健康への差し迫った脅威を伴う医療緊急事態への対応(緊急医療の提供や家族への連絡など、医療上の緊急事態に対応するための個人データの処理)
- 公衆衛生が脅かされているときに、医療行為または保健サービスを提供すること
- 災害または社会秩序の崩壊時に安全を確保し、支援またはサービスを提供する場合
- 雇用に関する目的、または雇用主を損失や責任から守る目的。(雇用、業績評価、給与計算など、雇用目的のための個人データの処理)
データ主体は、いつでも同意を撤回し、個人データにアクセスし、修正し、または消去する権利を有します。
管理者の義務
重要データ受託者(SDF: Significant Data Fiduciaries)
重要データ受託者(以下、「SDF」)は、政府が以下の基準に基づいて指定するデータ受託者のカテゴリーを指します。
分類基準(Sec 10)
- 処理する個人データの量と機密性: 大量の機微な個人データを取り扱う組織は、この分類に入る可能性がある。
- データ主体への危害のリスク: データ処理が個人の権利に重大なリスクをもたらす場合、その企業はSDFに指定される可能性がある。
- 国家的または公共的利益: 政府は、より広範な利益に基づいて、事業体をSDFに分類することもできる。
- 補足的要因: 政府は、この決定を行う際に、その他の関連要因を考慮することができる。
重要データ受託者に指定された個人、企業、会社、団体については、DPDPAにてデータ受託者に課される義務の他、追加で以下の責任を負います。
重要データ受託者が追加で追う義務
- データ保護責任者(DPO)の任命
- データ保護影響評価(DPIA)の定期的な実施:データ監査を実施する独立データ監査人を任命し、同監査人は同法に従っ て重要なデータ取扱事業者のコンプライアンスを評価すること
Consent Manager(同意管理者) の設置
企業は、データ主体がアクセス可能で透明性のある相互運用可能なプラットフォームを通じて、同意の付与、管理、再確認、撤回を行えるようにするための単一の窓口として機能する「Consent Manager」と呼ばれる担当者を設置し、データ保護委員会に登録する必要があります。(Sec 6(7),(8), (9))
処理者の義務
同法では、直接的な義務はありません。
処理を依頼する側のデータ受託者が、自身の代理で個人データを処理するデータ処理業者のコンプライアンスに責任を負う必要があります。
越境移転
同法に基づき、個人データは、政府によって移転が禁止されていない限り(政府が通知する移転の禁止対象国、法域リストに該当しなければ)、第三国に移転することが可能です。(Sec 16)ただし、インドの他の国内法で課されるであろうより厳格なローカライゼーション要件(データの国内保存に関する規制)は、これまでと同様に引き続き適用対象となる点にも注意が必要です。(Sec 38)
DPIA ( Data Protection Impact Assessment )
重要なデータ受託者は、一定の頻度でデータ保護影響評価(以下、「DPIA」)を実施する必要があります。DPIAの内容については、データ主体の権利およびその個人データの処理目的の説明、データ主体の権利に対するリスクの評価および管理、ならびに政府が定める当該プロセスに関するその他の事項などがプロセスに含まれます。(Sec 10(2)(j))
データ保護担当者(DPO)の選任義務
同法は、重要なデータ受託者に対し、同法に基づく苦情処理メカニズムの窓口としてインド国内にDPOを任命することを義務付けています。データ保護担当者(以下「DPO」)は、重要なデータ受託者を代表するとともに、重要なデータ受託者の組織の取締役会に対して責任を負います。(Sec 8(9))
また、DPOとは別に、データ受託者は、同法に基づく権利行使のために、データ主体からの連絡に対応する権限を付与された者、つまり「Consent Manager」を任命する必要があります。このConsent Managerは、DPO とは異なり、インド国内を拠点とする必要はなく、データ受託者の取締役会に直接報告する必要はありません。
DPO と Consent Manager
Consent Managerは、同意に関連してデータ主体とのやり取りの窓口としてデータ保護委員会に登録された個人であり、DPOは、重要なデータ受諾者に分類される企業や組織がデータ保護とプライバシーに関連する課題を監督するために任命する個人を指します。DPOは、プライバシー法令遵守を確保するために広範な役割を果たします。
データ漏洩等インシデント発生時の通知義務
個人データの漏洩が発生した場合、データ受託者は、データ保護委員会および影響を受ける各データ主体(個人)に、政府が定める書式および方法で、当該漏洩事象に関して通知しなければなりません。(Sec 8(6))
データ保持期間
同法は保存期間を定めていないが、特定された処理目的がもはや果たされていないと見なすことが合理的であるとされる時点、またはデータ本人の同意が撤回された時点のいずれか早い時点で、データは消去されるべきとされています。(Sec 8(7))
政府は、データ受託者の集合および処理目的ごとに、それらに対する保存期間を新たに規定する ことができます。(Sec 17 (5))
こどものプラバシー
同法では、「こども(Child)」を18歳未満の未成年と定義し(Sec 2(f))、データ受託者は、こどもに有害な影響を及ぼす可能性のある個人データの処理について制限されています。(Sec 9)
こども(または正当な保護者を持つ障害者)の個人データを処理する前に、データ受託者は、政府が定める方法で、当該児童または障害者の親または正当な保護者から検証可能な同意を得なければなりません。(Sec 9(1))
また、データ受託者は、子供の幸福に有害な影響を与える可能性のある個人データの処理は認められていない他(Sec 9(2))、データ受託者は、こどものトラッキングや行動監視、またはこどもを対象としたターゲティング広告は許可されていません。(Sec 9(3))
ただし、特定の種類のデータ受託者または特定の目的のための処理は、政府によってこれらの要件から免除される場合があります。さらに、これらの要件の遵守に関して、政府がその処理に関して安全性が証明可能であること(verifiably safe)を認めた場合、特定のデータ受託者について年齢基準を引き下げることができるとされています。(Sec 9(5))
ペナルティ : 制裁金
データ保護委員会は、同法の不遵守に対して、以下のように罰則を課すことができます。データ受託者だけでなく、データ主体についても義務に違反した場合、罰則があります。(Sec 33(1)および「Schedule(付則)」に規定された金額)
- 個人データの漏えいを防止するための合理的な安全保護措置を講じる義務に違反した場合:最大で25億インドルピー(約45億円)
- 個人データ漏洩を取締役会または該当するデータ所有者に報告する義務に違反した場合:最大で20億インドルピー(約36億円)
- 児童に関する追加義務違反:最大で20億インドルピー(約36億円)
- 重要なデータ義務者の追加義務違反:最大で15億インドルピー(約25億円)
- データ保護委員会が受諾した自発的な誓約に対する違反:訴訟手続が開始された違反に適用される範囲内を上限とする金額
- データ主体の義務違反:最大で1万インドルピー(約1万8千円)
- 同法に基づくその他の違反の場合:最大で5億インドルピー(約9億円)
ペナルティはインド政府の通達により、DPDPAで定められた金額の2倍にさらに改正される可能性があります。
OneTrustがサポートするDPDPAを遵守するための仕組みとは?
DPDPAをはじめ、現在のプライバシー関連法規制を遵守するには、これまでのようなマニュアルでのドキュメント管理をはじめとするやり方では不十分です。
そこで、DPDPAを遵守するのをサポートしてくれる「OneTrust」の機能について紹介します。
Consent Management (同意管理)
OneTrustの同意管理モジュールを使用することで、データ主体から適切に同意を取得し、管理できていることを証明することが可能です。
また、こどもの同意を取得する際、保護者から同意を取得および管理するための仕組みを実装することが可能です。
Incident Management(インシデント管理)
不正アクセスなど、個人情報漏洩インシデントが発生した場合、保護委員会への報告および当該事象により影響を受ける個人に通知が義務付けられています。
インシデント管理モジュールを使用することで、インドのプライバシー法を遵守するためのアクション、手順、期限などの規定やプロセスをワークフロー機能を使用して、対応プロセスに組み込むことが可能です。
PIA/DPIA Automation (プライバシー評価自動化)
重要データ受託者に分類された企業では、DPIAを実施する際にプライバシー評価自動化モジュールを利用し、プロセスを自動化し、評価によって特定されたリスクへの対応についてもシステム上で管理することが可能です。
それ以外にもチェックシートなど質問票ベースの様々な評価プロセスをこのモジュールを使用し、実現することが可能です。
Data Mapping (データマッピング)
個人情報の取扱い業務について台帳で管理しておくことで、インシデントが発生した際に素早く漏洩した個人情報の内容や関係者、共有先(委託先含む)を把握し、適切なアクションをとることが可能です。
Policy & Notice Management (ポリシーと通知の管理)
同法では、同意を取得する際、プライバシーポリシーなどを通してデータ主体に対して情報提供する必要があります。
プライバシーポリシーを適切に管理し、先述の同意管理機能と組み合わせることで、適切に同意を取得できていることをその時点のプライバシーポリシーのバージョン情報とともに管理することができます。
Privacy Rights Automation(データ主体リクエスト対応自動化)
DPDPAに加え、現在法案段階のDigital India Act, 2023 (DIA)においても、個人がプライバシーを保護する権利が設けられており、個人データを取り扱う側の企業や組織は、こうした法規制を見据え、データ主体が権利を行使できる仕組みを提供する必要があります。
データ主体リクエスト対応自動化では、データ主体からのあらゆる権利リクエストに対応するための包括的なウェブフォームからリクエストを管理するためのワークフローおよび自動化機能、さらに通知やレポート機能まで備わっています。
さいごに
今回ご紹介したインドのプライバシー法規制である「DPDPA」もそうですが、近年、様々な国においてプライバシー法規制が厳格化され、企業は、世界でビジネスを行う上でこれまで以上に個人のプライバシーを保護するための取り組みが求められる時代となっています。
弊社では、OneTrustソリューションの販売および導入支援サービスを通して、海外における子会社および関連会社のプライバシー法規制に関する対応についてもサポートしております。もし、興味のある方はご相談ください。
OneTrust は、プライバシー分野でNo.1のソリューションです。
プライバシー法規制の要求事項について包括的に対応している点が人気の理由です。
OneTrustのソリューションに興味がありましたら、
お気軽にお問い合わせください