インド個人情報保護法とは 現行規制と新法案の概要

インドにおける個人情報保護に関する法令の動向

　現在のインドにおける個人情報の保護に関する主要な法令は、2000年情報技術法（Information Technology Act, 2000）（「IT法」）の43A条、87条に基づいて制定されている2011年個人情報保護規則（Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011）です。

　IT法は、インドにおける情報技術産業に関する全般的な規制法であり、2011年個人情報保護規則はその施行規則に過ぎません。

　IT法43条は、事業者がセンシティブな個人情報をコンピューター処理において扱う場合の実施すべき手続き等や補償についてのみ定めるものであり、適用場面は限定的です。また、2011年個人情報保護規則の条文は全部で8条であり、比較的簡素な内容となっています。

　一方で、多くの他の国に見られる個人情報の保護に関する関心の高まりは、インドにおいても同様に見られます。欧州におけるGDPR（General Data Protection Regulation：EU一般データ保護規則）の制定に見られるような個人情報保護に関する規制の強化を求める動きはインドにおいても高まっています。

　インド政府は、2017年7月、個人情報保護に関する問題および関連法令の整備について検討する専門家委員会（議長：B. N. Srikrishna）を設置しました。

　同委員会は、2018年7月27日、「A Free and Fair Digital Economy Protecting Privacy, Empowering Indians」と題する報告書を公表し、また、2018年個人情報保護法案（Personal Data Protection Bill, 2018）（草稿）を策定し、インド政府に提出しています。

　この2018年個人情報保護法案は、IT法の一部としてではなく、個人情報保護を目的とした独立の法律として制定されるものであり、また、全112条からなり、2011年個人情報保護規則とはまったく異なるレベルでの包括的な規制を企図するものでした。

　法案の作成にあたってはGDPRをモデルとしていると言われています。2018年個人情報保護法案はあくまで「草稿」であり、インドの議会に提出された「法案」ではありません。

　法案としては、2019年個人情報保護法案（Personal Data Protection Bill, 2019）が、2019年12月11日にインド下院（ロク・サバ）に上程されました。2018年個人情報保護法案からの修正点も少なくなく、条文数は全98条となっています。

　本稿では、現行規制である2011年個人情報保護規則の概要と2019年個人情報保護法案の概要を紹介します。なお、2019年個人情報保護法案は本稿の執筆時（2021年1月）において未だインドの議会での審議中であるため、法律としての成否は未定であり、また、内容が修正されたうえで成立することもありうることにご留意ください。

2011年個人情報保護規則

個人情報の定義

　2011年個人情報保護規則においては、個人情報は、自然人に関する情報であって、直接または間接に、事業者にとって入手可能かまたは入手可能である蓋然性の高い情報とあわせて、個人を特定できる情報とされています。

センシティブ個人情報

（1）センシティブ個人情報の例

　個人情報のうち、より慎重な扱いが求められるものとして、センシティブ個人情報という類型が定められています。センシティブ個人情報には、原則として以下のようなものが該当します。

• パスワード
• 銀行口座、クレジットカード、デビットカード、そのほかの支払手段などの金融情報
• 身体的、生理的、精神衛生に関する状況
• 性的指向
• 診療記録・履歴
• 生体情報
• サービスの提供のため事業者に提供された上記に関する詳細
• 適法な契約等に基づいて取扱い、保存等のために上記項目のもとで事業者が受領した情報

（2）センシティブ個人情報取得時の義務

　センシティブ個人情報取得時の義務としては、以下のようなものが規定されています。

• 使用目的に関する同意の取得
  同意は書面により撤回可能です。同意しない場合または同意が撤回される場合、事業者は関連する製品やサービスの提供を行わないことができます。
• 適法な目的、事業との関連性
• 目的に照らした必要性
• 下記の点に関する適切な開示のための合理的な措置の実施
  ・情報が取得されること
  ・取得目的
  ・受領予定者
  ・情報の収集者・保有者の名称・住所
• 目的に合致した期間のみの保持
• 目的外使用の禁止
• 情報提供者による訂正の機会の付与
• 合理的な情報管理措置の実施
  適切な情報管理体制を構築（ISO27001等）し、これを正しく実施していた場合には、合理的な情報管理措置を実施していたものとみられます。
• 苦情処理担当者の設置

（3）センシティブ個人情報の第三者への開示

　センシティブ個人情報の第三者への開示については、情報の提供者からの事前同意が必要です。ただし、事前に契約等で同意されている場合や法律上の命令による場合等を除きます。センシティブ個人情報を公開することは禁止されています。

（4）センシティブ個人情報の移転

　事業者は、センシティブ個人情報を本規則と同程度の保護を講じるインドまたは他の国に所在する事業者に移転することが可能です。ただし、適法な契約の履行のために必要であることまたは情報提供者の同意が必要です。

プライバシー・ポリシー

　センシティブ個人情報を含む個人情報を収集、保管等する事業者は、プライバシー・ポリシーを作成する義務があります。

2019年個人情報保護法案

個人情報の取扱い

　2019年個人情報保護法案は、「個人情報（personal data）」の「取扱い（processing）」について適用されます。

　「個人情報」は、自然人に関する情報であり、当該自然人の特定に資する情報などもこれに該当します。

　「取扱い（processing）」の定義は、収集、記録、組織、構成、保管、適応、変更、取出し、利用、配置、結合、インデックス、送信による開示、配布その他による公開、制限、削除または破壊を含むものと定義されており、かなり幅の広い概念として規定されていると言えるでしょう。

情報主体と情報受託者

　情報主体（data principal）は情報が関係する自然人として定義されており、また、情報受託者（data fiduciary）は個人情報の取り扱いの目的および方法を決定する者と定義されており、それぞれGDPRのData Subject、Data Controllerに相当するものと理解されます。

　さらに、重要情報受託者（significant data fiduciary）が、より厳格な規制に服する者として想定されており、一定規模のソーシャルメディア事業者などを想定するものと理解されています。

適用範囲

　2019年個人情報保護法案においては、インド国内における個人情報の取扱い、ならびにインドの公的機関、会社、個人等による個人情報の取扱いが、基本的な適用対象とされています。

　この点、IT法のもとの2011年個人情報保護規則においては、インドの公的機関による個人情報の取扱いについては規制の対象とされていないため、現行規制からの大きな変更点と言えます。

　インド国外の者による個人情報の取扱いについても、個人情報の取扱いがインド国内において実施される事業に関連する場合等の一定の場合には適用があるとされており、いわゆる域外適用を予定した内容となっています。

センシティブ個人情報

　個人情報のうち、特に慎重な取扱いを要する個人情報をセンシティブ個人情報として区別しています。後者の取扱いについては前者より厳格な規制に服することになります。センシティブ個人情報には、以下のようなものが含まれます。

• 金融情報
• 健康状態
• 公的識別番号等
• 性・性的指向・ジェンダーに関する情報
• 身体情報、遺伝情報
• カースト・種族
• 宗教・政治的信条等、
• その他政府が指定するもの

個人情報の保護のための様々な原則・ルール

　2019年個人情報保護法案においては、個人情報の保護のための様々な原則・ルールが規定されました。主なものとして以下のものがあげられます。

• 情報の公正・合理的な取扱い
• 目的外利用の禁止
• 必要な範囲での収集
• 情報主体への告知義務
• 適切な管理義務
• 必要な範囲・期間の保管等
• 透明性や説明責任に関する制度

個人情報を同意なく取り扱うことができる場合

　個人情報の取扱いには原則として情報主体による同意が必要ですが、情報主体の同意なく取り扱うことができる場合として、以下が規定されています。

• 政府機関の一定の行為
• 生命身体にかかわる緊急医療行為、感染症などの公衆衛生に対する脅威が存する場合における措置
• 災害時等の安全確保
• 情報受託者が雇用する従業員との雇用関係にかかわる場合（センシティブ個人情報を除く）
• その他合理的な場合

個人情報に係る本人の権利に関する規定

　個人情報に係る本人には、以下の権利が認められています。

• 情報の確認に関する権利
• 情報が共有された情報受託者の識別情報にアクセスする権利
• 情報の訂正・削除に関する権利
• 一定の限度での忘れられる権利（right to be forgotten）
  情報開示制限の請求権
• データ・ポータビリティに関する権利
  自身の情報を持ち出して他に移転させるためのデータの請求権

データ・ローカライゼイション

　いわゆるデータ・ローカライゼーションについて、一般的な個人情報については規定がなく、特段の制約を受けないと理解されています。

　一方、センシティブ個人情報については、インド国外への移転は可能とされているものの、インドに保管され続けている必要があります。また、越境移転は情報主体の明示的な同意が必要であり、以下の要件のいずれかを満たす必要もあります。

• 情報保護庁（Data Protection Authority）が承認する契約またはスキームによる移転
• 特定の国、特定の企業体、国際機関に関する中央政府の承認（保護の十分性（adequate level）が要件とされています）
• 情報保護庁が特定の目的で移転を承認

　さらに、重大個人情報（critical personal data）という分類が想定されており、これに該当する個人情報の取扱いはインド国内のみで可能とされています。

　重大個人情報であっても、健康・緊急サービスに関わる場合、特定の国、特定の企業体、国際機関に関する中央政府の承認がある場合は国外移転も可能とされています。何が重大個人情報に該当するかについては、現時点でこれを定める通達などは存在していないため、不明です。

適用除外

　政府機関については、国家安全保障、犯罪の扇動の防止などのために必要な場合には、2019年個人情報保護法案における規制の適用が免除されうるものとされています。また、一定の研究、資料保存、統計等を目的とする個人情報の取扱いについて、適用が免除される場合もあります。

　さらに、情報保護庁は人工知能や機械学習その他の公共の利益に資する先進技術におけるイノベーションの促進のため、一定の規制の免除（サンドボックス）を設定することができます。

政府による匿名化情報拠出指示

　これまで見てきた個人情報を保護する観点とはやや異なる制度趣旨のものとして、中央政府は、情報保護庁と協議のうえ、匿名化された個人情報または非個人情報の拠出を情報受託者等に指示できることは特筆しておくべきでしょう。

　これらの情報は行政サービスの提供のターゲット層の絞り込みや政策立案の資料とすることが想定されています。