インド「2023年デジタル個人情報保護法」成立 ー ID-POSへの影響考察

株式会社光翼(ミツバ)は、インドに日本法人の子会社として、インド現地法人の設立を進めております。

前回のブログ「プルータス スマート(Plutus Smart)その2ー Pine Labs Developer」で、インドのPOSデバイスのスタートアップである Pine Labs 社開発者向けサイト の情報を読み解いて、POS情報に顧客情報が紐づいて、オンラインマーケテイング機能の実装ができることがわかりました。

今回は、インドにおいて、2023年8月11日に成立した、「2023年デジタル個人情報保護法(Digital Personal Data Protection Act, 2023)」(以下、2023年デジタルPDPA)について、ID-POS への影響について、考察してみましょう。

2023年8月11日に成立した、「2023年デジタル個人情報保護法」については、One Asia Lawyers 南アジアプラクティスチームさんの【インド「2023 年デジタル個人情報保護法」がついに成立】の記事 に、詳細が記載がありますので、ご参照ください。

個人情報の分類がない

2019 年法案では、情報の秘匿性等に応じて「個人情報」、「機密性の高い個人情報」、「重要個人情報」の 3 つに分類され、分類に基づいた規制の強弱がありました。また、「機密性の高い個人情報」は、現行の IT 法の下位規則でも規定されています。しかしながら、新法ではこれら分類が廃止されており、これまで機密性の高い個人情報を取扱う場合に適用されていた、IT 法に基づく規則7は、2023 年デジタル PDPA 施行により廃止となります(同法第 44条第 2 項)。

通知や同意取得については、GDPR 同等の義務が規定

現行法では機密性の高い個人情報に該当しない限り、合意取得は明文上の義務がなかったため、規制の強化となります。さらに、同法施行前に本人が同意した個人情報の処理にも遡及適用されるため、速やかに同法案に準拠した通知を行う義務が生じます。

越境移転規制

中央政府が何等かの制限を設けることができる規定となっています。つまり、特別に通達がなければ通常の個人情報の処理(移転を含む)と同じプロセスで国外移転ができるものの、例えば国別や業界別、または企業の規模などに応じて国外移転の可否や義務を規定する通達が追加される可能性があり、政府の裁量が大きい設計となっています。

また、2023 年デジタル PDPA、データローカライゼーションについての規定はないものの、現行 IT 法に基づく通達8が存在しており、新法上で同通達を廃止する規定はないことから、現時点では同通達による 180 日間の国内保管義務9は併存するものと見られます。ただし今後、下位法令等で国内保管義務が規定される(引き継がれる)、または規制内容が見直される可能性も残るため、引き続き注視は必要となります。

データ漏洩時の報告

2023 年デジタル PDPA では、規制当局10およびデータが漏洩したすべての人に対し、通知をしなければならないとされています。他方、現行 IT 法に基づく前述の通達では、データ漏洩を含むインシデントの覚知後、6時間以内に当局11へ所定の書式にて報告するものと規定されています。前述のとおり、新法で同通達の効力について言及がないため、6 時間報告義務も併存すると見られます。

罰金額

データ漏洩防止のためのセキュリティ対策不履行に対しては最大 25 億ルピー(約 45 億円)
データ漏洩時の通知義務の遵守違反に対しては最大 20 億ルピー 等

現行法上の罰金は数十万ルピー程度であるため、大幅な厳格化となります。ただし、2019 年法案で規定されていた禁固刑は、新法では規定されていません。「また、1.5 億ルピーまたは前会計年度の全世界売上高の 4%のいずれか高い方」といった売上高に応じた罰金額の設定はされていません。

今 後 の 見通し

今回、同法はインド下院の Lok Sabha、上院である Rajya Sabha の両院で可決され、その二日後に大統領の承認を得ており、法律として成立しています。
ただし、前述のとおり 2023 年デジタル PDPA は、特に 2019 年法案と比べると簡素な内容であることもあり、下位規則や通達でさらに具体的な規定が盛り込まれることも予想されます。

https://oneasia.legal/wp-content/themes/standard_black_cmspro/img/d4a4fb3a597c64647d22a5c37042bdc6.pdf

プルータス スマート(Plutus Smart)その2ー Pine Labs Developer」で、インドのPOSデバイスのスタートアップである Pine Labs 社開発者向けサイト の情報を読み解いて、POS情報に顧客情報が紐づいて、オンラインマーケテイング機能の実装ができることが分かっていますが、この仕様も、「2023年デジタルPDPA」の後続の法律に影響され、仕様変更が発生していくかもしれません。

ただ、以前、私のブログで、インド版マイナンバー 「アーダール」について、書き記しました が、デジタル個人情報の扱いも、インドでは、別の発展をしていくような気がしています。😇

これから、インドは、インフラを構築していく国家なので、利便性との兼ね合いが、すごく、調整されていくような気がしています。😊

株式会社光翼(ミツバ)では、インド進出支援、インドでのPOSシステム・マーケティングシステム開発を通し、DX・GX推進 を行っております。 😇

ご興味を持たれましたら、株式会社光翼(ミツバ)のお問い合わせフォーム より、お問い合わせくださいませ。🙇

関連記事