インド個人データ保護法案(2018年草案)の概要と日本企業に求められる対応
IT・情報セキュリティ
目次
はじめに
2018年7月27日、インドの「BN Srikrishna判事委員会」(以下、「委員会」)は、個人データ保護法案(The personal data protection Bill, 2018、以下「PDPB」または「法案」)の最初の草案を発表しました。
法令違反を犯した場合、世界売上高の4%を上限とする罰則金を課すなど、欧州一般データ保護規則(以下、「GDPR」)との類似点が多数見られる一方で、固有の要求事項も少なからず設定されており、インドに進出している日本企業にとっては気懸りな法案の1つとなっているものと思います。
本稿ではこの法案の内容を概観しますが、執筆時点でまだ未成立のものであり、今後修正が行われる可能性についてあらかじめご留意頂ければ幸いです。
法案の主なポイント
この法案では、「Data Fiduciaries(データの信託をうけた管理者、以下「管理者」)」という言葉が使われていることからもわかるように、管理者(GDPRの「Controller」と同様)とデータ主体(個人データを処理される個人。原文「Data Principal」。GDPRの「Data Subject」と同様)との間に信頼関係が構築されることを重視しています。
この法案の主なポイントを以下に記載します。
- インド居住者(データ主体)の個人データを処理する組織(データ管理者/データ処理者)に対し、透明性の維持、記録の保存、データ保護影響評価の実施、データ保護責任者の任命、データ侵害の発生を迅速に当局へ通知するなどの義務が課されます。
- 子供を含むインド居住者の個人データおよびセンシティブな個人データを処理するための法的な根拠が定義されます。法案は、当該法的根拠を明らかにする立証責任をデータ管理者に課しています。
- データ主体の権利として、GDPRにおいて定義されているデータ主体の権利と同様の「データポータビリティ権」や「消去権」などの権利が明示されており、データ管理者によって処理される自らの個人データを、データ主体が自らの意向でコントロールできるようにしています。
- 透明性と説明責任を確保するために、データ主体の個人データを処理する際に、プライバシーバイデザイン、データ主体への情報の通知、非識別化、暗号化などの措置を実施するよう、データ管理者に対する提案がなされています。
- この法案には、個人データのコピーをインドのサーバーまたはデータセンターに保存することを義務づけるデータローカライゼーション規定が盛り込まれています。重要個人情報と呼ばれる特定カテゴリーのデータ(中央政府またはインドデータ保護局(以下、「DPAI」)によって規定されます)は、インド国内にあるサーバーまたはデータセンターにおいて処理されなければなりません。
- PDPBへの不遵守が判明した個人または組織に対する罰則金が提案されています。不遵守に対しては、全世界の売上高の最大2~4%または5,000万~1億5,000万ルピー(いずれか高い方)の罰則金が科される可能性があります。さらに、データ主体の権利行使に関する対応の期限を守らなかった場合、不履行が続く間、1日につき5,000ルピー、最大100万ルピーの罰則金が科されます。
- 中央政府によるインドデータ保護局(正式名称:DPAI)および上訴審判所の設立が提案されています。専門の上訴審判所によって、問題や当局が受けた苦情を迅速に解決できるよう企図されています。
- GDPRと同様に域外適用を宣言しており、インド国内に物理的な拠点を持たない企業であっても、インドで製品やサービスを提供している企業はPDPBの規制対象となりえます。
個人データの定義
この法案における個人データの定義は以下のとおりです。
また、以下のようなデータは、取扱いにかかる本人同意の要件が厳格となるなど、追加的な配慮が必要となる「センシティブな個人データ」に区分されています。
- パスワード
- 財務データ
- 健康・医療データ
- 公的識別番号
- 性生活
- 性的指向
- 生体データ
- 遺伝子データ
- トランスジェンダーであること
- インターセックスであること
- カーストまたは部族
- 宗教的または政治的な信念または所属
- 第22条に基づき当局が定めるその他のデータカテゴリー
適用範囲
この法案では、以下のケースを適用対象と規定しています。
- インド国内で行われる個人データの取扱い
- インド法の適用を受ける機関、企業、個人によって行われる個人データの取扱い
- インド国外の管理者・処理者であっても以下に該当する場合は適用
- インドにおいて実施される、ビジネスに関連して行われる個人データの取扱い
- インド国内に所在するデータ主体に対しての、商品やサービスの提供に関連するシステマティックな取扱い
- インド国内に所在するデータ主体のプロファイリングに関連する取扱い
ただし、匿名加工情報の取扱いには適用されません。
企業に求められる対応
この法案では、企業を通常の「データ管理者(Data fiduciary、以下「DF」)」と「重要データ管理者(Significant data fiduciary 、以下「SDF」)」(DPAIにより規定されます)に分類し、それぞれに次のような責務を課すとしています。
「重要データ管理者(SDF)」に適用 される責務
SDFに適用される責務は下記のとおりです。なお、SDFに該当しない管理者であっても、当局の指示により、以下の責務を課される場合があります。
(1)データ保護責任者の任命
SDFは、PDPBで定められた役割を遂行するインドにおけるデータ保護責任者(インドにSDFの事業所があるかどうかにかかわらず)を任命しなければなりません。その役割は、データ管理者に対するPDPBに基づく責務の遂行についての助言、データ主体の個人データの処理に関連する業務のモニタリング、あらゆる記録のリストの保存、DPAIの連絡先の役割、データ主体の苦情対応などです。
(2)データ保護影響評価の実施
SDFは、新技術または大規模プロファイリングに伴う処理の実行、遺伝子データや生体データなどのセンシティブな個人データの使用、あるいはデータ主体に重大な損害が及ぶリスクのあるその他の処理を予定している場合、データ主体のプライバシーにおよぶリスクの評価(データ保護影響評価、DPIA:Data Protection Impact Assessment)を行わなければなりません。
(3)記録の保存
すべてのSDFは、データのライフサイクルにおける重要な処理の正確かつ最新の記録を保存し、PDPBに基づく責務を遵守していることを証明する必要があります。
(4) 年次監査
SDFは、個人データ処理のポリシーと行為について、年に一度、独立性を有する監査人による監査を受けなければなりません。
(5)DPAIへの登録
SDFは、DPAIが規定する方法により、自らをDPAIに登録する必要があります。
「データ管理者(DF)」と「重要データ管理者(SDF)」のいずれにも適用される責務
下記はDFとSDFに適用される責務のうち、主な要求事項のみ列記しています。
(1)データ処理者との契約要件
DFおよびSDFは、自らに代わりデータ処理者にデータ主体の個人データを処理させる場合、有効な契約によらなければなりません。
(2)プライバシーバイデザイン
DFおよびSDFは、データ主体に生じうる損害を予測し、特定し、回避するようなプロセスとシステムが設計されるよう、ポリシーと対策を策定・実施する必要があります。
(3)透明性の維持
DFおよびSDFは、個人データの処理に関する一般的なポリシーについて透明性を維持し、その情報を(PDPBの規定に基づき)アクセスしやすい形式で提供するため、妥当な手段を講じる必要があります。
(4)個人データ侵害の迅速な通知
DFおよびSDFは、個人データ侵害が生じた場合、DPAIが指定する時間内でできるだけ早くDPAIに通知しなければなりません。
(5)苦情対応の仕組みの用意
すべてのDFおよびSDFは、データ主体の苦情に対し、30日以内に効率的かつ迅速に対応する適切な手順と有効な仕組みを整備する必要があります。
(6)同意の証明
個人データの処理を進めるために同意が必要な場合、DFおよびSDFはデータ主体から有効な同意を得たうえで、同意が得られたことを明示する仕組みを用意しなければなりません。
(7)データ主体による要求の支援
DFおよびSDFは、データ主体がPDPBに基づく権利を行使しやすいようにする必要があります。
DFとSDFに適用される責務の概要
| SDF | DF | |
|---|---|---|
| データ保護責任者の任命 | ◯ | − |
| データ保護影響評価の実施 | ◯ | − |
| 記録の保存 | ◯ | − |
| 年次監査 | ◯ | − |
| DPAIへの登録 | ◯ | − |
| データ処理者との契約要件 | ◯ | ◯ |
| プライバシーバイデザイン | ◯ | ◯ |
| 透明性の維持 | ◯ | ◯ |
| 個人データ侵害の迅速な通知 | ◯ | ◯ |
| 苦情対応の仕組みの用意 | ◯ | ◯ |
| 同意の証明 | ◯ | ◯ |
| データ主体による要求の支援 | ◯ | ◯ |
GDPRとの比較
この法案には、GDPRの主要概念が反映されています。主な類似点を以下に列記します。
- 「適法性、公平性および透明性」、「目的の制限」、「収集の制限」、「データの品質」、「保存の制限」、「説明責任」などのGDPRの主要原則は、この法案にも組み込まれています。
- 「訂正の権利」、「確認およびアクセス」、「ポータビリティの権利」、「忘れられる権利(消去権)」など、GDPRにおけるデータ主体の主な権利は、PDPBでもデータ主体の権利として明示されています。
- データ管理者に課される処理記録の保存、データ保護影響評価の実施、データ侵害の迅速な当局通知、データ保護責任者の任命に関する責務は、GDPRにおけるデータ管理者の責務に酷似しています。
- 世界売上高の2%ないし4%という罰則金規定案は、GDPRの規定と同様です。
一方で、GDPRとは異なる固有の規定についても少なからず含まれています。そのいくつかを以下にあげます。
- 雇用に関連する従業員等の個人データの取り扱いについて、処理の法的根拠が明確に特定されています。
- データ管理者に対し、独立性を有する監査人による年1回の監査が義務づけられています。
- 内部通報制度、M&A、与信評価などの妥当な目的での処理について明記されています。
- GDPRで定義されているデータ保護責任者(DPO)の役割・責任と異なり、同法案によるDPOは、必要に応じて他の役職を兼ねることができます。利益相反を避ける責任は企業に委ねられることになります。
- 同法案の適用を受ける様々な関係者(民間企業、中央または州の省庁など)ごとに、法令違反の区分が明示されています。さらに、法令違反に対して多層的で詳述された罰則規定が定められています。
すでにGDPRへの対応を実施済みの企業であれば、インド個人データ保護法の対象となる個人データの取扱いに対しても、GDPR対応として整備した管理策を同様に適用することで、多くの法令要件に対応することが可能と考えられます。GDPRの管理策を準用した上で、次項のデータローカライゼーション対応など、インド法固有の要件に対する追加検討を行う、といった対応の進め方が効率的でしょう。
データローカライゼーションルール
この法案では、個人データの越境移転の規制に重点を置き、データ主体の個人データをインド国外へ移転する際に遵守すべき制限と条件を規定しています。インドに進出している日本のグローバル企業においても、このルールへのコンプライアンスを確保する手段について検討する必要があります。主な制限は以下の通りです。
- 個人データのコピーを少なくとも1部、インドにあるサーバーまたはデータセンターに保存すること。
- 重要個人情報(中央政府により通知される)は、インド国内のサーバーまたはデータセンターでのみ処理すること。
さらに、この法案では、個人データを越境移転できる主な条件として、以下を提案しています。(ただし、個人データが制限対象に該当するものではないことが条件となっています)。
- 移転が標準契約条項(DPAIが承認するもの)に従って行われる場合で、データ主体がそのような移転に対して同意または明示的な同意(センシティブな個人データの場合)を与えた場合
- 個人データを中央政府が認定した国へ移転する場合で、データ主体が移転に対し同意または明示的な同意(センシティブな個人データの場合)を与えた場合
- 個人データの個々の移転または1組の移転について、その必要性につき特にDPAIの承認を得た場合
また、この法案では、個人データの越境移転を必要とする緊急事態についても考慮しており、身体的な健康または救急サービスの提供のために必要な場合には、センシティブな個人データをインド国外に移転することができる、としています。
さいごに
早ければ次の冬季国会(2019年12月~)での成立もあり得る法案ですので、インドに拠点を有する日本企業では、法施行を見据えて早期に対策の検討を始めておいたほうが良いでしょう。遵守のための猶予期間は1年程度設けられる見込みですが、ITシステムの改修を含め、データ管理態勢全般を見直すには相応の時間がかかります。
13億人の巨大成長市場として再び注目を集めるインドですが、コンプライアンスの観点からもプライバシー保護の取り組みを疎かにせず、マーケットや現地従業員の信頼獲得に努めることが今後さらに重要になると考えます。
KPMGコンサルティング株式会社