インドのデジタル個人情報保護法

インドでは2023年8月にデジタル個人情報保護法が成立した。2025年3月時点で施行はされていないが、経済成長とイノベーションの進展でデジタル化が進み、デジタル上に蓄積される情報の価値が高まる中、世界標準のプライバシー保護と安全性の確保が求められている。本稿では、近く施行が見込まれる同法の概要を紹介する。

対象となる個人情報

デジタル個人情報保護法（以下「本法」という）は、デジタル形式で収集された個人情報のほか、非デジタル形式で収集された後にデジタル化された個人情報の処理も規制対象とする（本法3条（a））。また、インド国外における個人情報の処理であっても、インド国内の情報主体に対して商品・サービスを提供する目的で行われる場合は本法の適用対象となる（同条（b））。一方、個人が私的または家庭内の目的で行う処理や、法令に基づき公開が義務付けられた個人情報の処理については、本法の適用対象外とされている（同条（c））。

本法上、「個人情報」とは識別可能な個人に関するデータ（情報）を指し、「処理」とは、収集、記録、整理、構造化、保存、共有、送信による開示等を指し、情報に対して行われるあらゆる行為を広く含む。

したがって、デジタル形式で保有される個人情報を収集、記録、保存、送信などの形で取り扱う場合、本法の規制が適用される。現代においては、紙面で収集された個人情報であっても、紙のまま利用されることはほとんどなく、通常はデータとして保存・管理されることが一般的である。そのため、実務上取り扱われるほとんどの個人情報は、本法の適用対象になると考えられる。

また、他国の個人情報保護法では、一般的な個人情報に対して、健康状態や政治的信条などを「センシティブ情報」として区別し、同意取得に関する規制を強化するなど、取り扱いに差を設けていることがある。これに対し、本法では個人情報の中でセンシティブか否かの区別はなされておらず、すべて一律に「個人情報」として扱われる。

情報受託者（受領者）の同意取得義務

個人情報は、情報主体の同意がある場合、または合法的な目的のために処理することができる（本法4条）。そして、情報受託者は、情報主体に対して同意のリクエストと同時に、またはそれに先立ち、以下の事項を通知しなければならない（本法5条1項）。

① 個人情報および処理目的
② 情報主体が同意を撤回する権利を行使する方法
③ 情報主体が情報保護委員会に苦情を申し立てる方法

また、本法の施行前に情報受託者が情報主体から同意を得ていた場合は、情報受託者は合理的に実行可能な範囲で速やかに、上記①〜③の事項を情報主体に通知しなければならない（同条2項）。したがって、本法施行前に収集された個人情報についても、情報主体（顧客等）に対し、上記①〜③の事項を伝えたうえで、改めて個人情報を処理（収集、記録、保存、送信等）するための同意を得なければならない。特に、顧客の個人情報を取得することがある事業者においては、同意取得の方法を含め、本法の規制に対応したプライバシーポリシーを策定し、情報主体に提供できるよう準備しておくことが望ましい。

なお、情報主体はいつでも同意を撤回する権利を有しており、撤回の手続きは、同意を与える場合と同様に容易でなければならない（同条4項）。

情報受託者の義務

情報受託者は、自己が所有または管理する個人情報について、漏洩を防止するために合理的な安全保護措置を講じ、個人情報を保護しなければならない（本法8条5項）。

万が一漏洩が発生した場合には、情報受託者は、情報保護委員会および影響を受ける各情報主体に対し、所定の書式および方法により、当該漏洩について通知しなければならない（同条6項）。

罰則

個人情報の漏洩を防止するための合理的な安全保護措置を講じる義務に違反した場合、最大でINR25億の罰金が科される可能性がある（本法33条1項および附則）。また、漏洩発生時に情報保護委員会や情報主体への通知義務に違反した場合は、最大でINR20億の罰金が科される可能性がある（同条・附則）。

以上のとおり、本法の義務に違反した事業者には、極めて高額な罰金が科されるおそれがある。