当ウェブサイトでは、サイトの利便性向上を目的に、クッキーを使用しております。 詳細はクッキーポリシーをご覧ください
また、サイト利用を継続することにより、クッキーの使用に同意するものとします。

タイ・ASEANの今がわかるビジネス経済情報誌アレイズ

ArayZロゴマーク

ASIAビジネス法務 最新アップデート

厳格化するインドの個人情報保護法制

  • この記事の掲載号をPDFでダウンロード

    メールアドレスを入力後、ダウンロードボタンをクリックください。
    PDFのリンクを送信いたします。

メールアドレスを入力後、ダウンロードボタンをクリックください。PDFのリンクを送信いたします。

    入力いただいたメールアドレス宛に、次回配信分からArayZ定期ニュースレターを自動でお送りいたします(解除可能)。個人情報の取り扱いについてはこちら

    インドには日本の個人情報保護法に当たるような、個人情報を包括的に保護する法律がありませんでしたが、2021年11月から開催されるインド国会において、個人情報保護法案が通過する可能性が高くなっています。成立すればインドでの事業に関わる日本企業に大きな影響があり得るため、本記事では同法案の概要について説明します。

    現行法制の規定と新法案の適応対象概要

    個人情報保護に関する現在の主要な法律として、情報技術法やその下位規則、また業界ごとの固有の規制がありますが、「機密性の高い個人情報」を取扱う事業者等の義務規定や、コンピュータ等からのデータ抽出や不正使用等に関連する規制がなされているに留まります。

    これに対し、個人情報保護法案は(通常の)個人情報を取扱う際の義務や違反時の罰則がEUと同水準となっており、草案時点で市民や産業界からは懸念が示されています。法案の審議過程で規定内容の多少の変更はあり得るものの、現行法と比べて大幅な厳格化となることは確実であると言え、細則制定の段階においても議論や混乱が予想されます。

    新法案の適用対象は以下の通りです。日本やASEANからオフショアでインドにサービス提供する外国企業も含まれます。

    1. ① インド国内で処理(収集、開示、共有含む)された個人情報の処理
    2. ② インドの政府・企業・国民、インドで設立された個人・団体による個人情報の処理
    3. ③ インド国外のデータ管理者・処理者による、i)インド国内の個人に対する商品・サービス提供を行う組織的活動、ii)インド国内の個人に関するプロファイリング関連の個人情報の処理
    ※個人的・家庭内使用目的、研究・統計目的、個人情報処理が自動化されていない小規模事業体は、適用対象外または一部規定が免除となります。

    新法案の概要と主な義務

    法案では主に次のような義務が規定されています。

    個人情報の収集 処理目的の制限:原則、本人が同意した目的外、必要な範囲外での収集や処理は禁止
    収集の際の通知 個人情報収集時に本人へ規定の情報を含む通知を行う
    保持制限・処理終了時の削除 処理目的に必要な期間を超えた保持は禁止、処理終了時は削除する
    本人の同意取得 個人情報の処理の開始時に本人(18歳未満の場合は保護者)の同意(「機密性の高い個人情報」の場合は明示的な同意)を得る
    削除・訂正等の要求への対応 データ主体の権利(処理状況照会、削除・訂正・開示制限等)に基づく要求には、所定期間内に応じる
    プライバシーポリシーの策定 規定の内容を含む組織内規定を策定する
    セキュリティ保護措置 暗号化、不正アクセス防止等の措置を実施する
    第三者への委託契約締結 データ処理を委託する際は契約を締結する
    苦情処理責任者の設置 苦情処理から30日以内に解決するメカニズムを具備し、責任者を任命する
    国外転送規制・データローカライゼーション 「重要個人情報」の国外転送は禁止。「機密性の高い個人情報」は原則インド国内保管とし、一定の要件を満たす場合にのみ国内保管を条件に国外転送が可能個人情報の収集・処理目的の制限:原則、本人が同意した目的外、必要な範囲外での収集や処理は禁止

    なお、同法案上の「個人情報」は、オンライン・オフラインを問わず個人を直接・間接的に特定できる情報を指し、「機密性の高い(Sensitive)個人情報」は、個人の金融・公的ID情報や健康情報、生体(Biometric)・遺伝子情報、宗教・政治的信念等のセンシティブな情報を意味し、カーストや部族も含まれます。

    さらに、法案では、国外転送が禁止される等の一段高い規律の対象として「重要(Critical)個人情報」という概念が導入されていますが、その定義は明確になっていません。

    企業に求められる対応

    企業にとっては、個人情報を収集する際の本人への通知義務、処理開始前の本人同意取得義務、国外転送規制については、とりわけ実務上の影響が大きいと予想されます。

    法案では、個人情報の分類に応じて、課される義務や取るべき措置のレベルが異なり、機密性の高い情報の場合、例えば本人同意は「明示的に」取得する必要があり、また国外転送の規制対象となり、原則インド国内に保管することが求められます。

    そのため、まずは自社が扱う個人情報について、分類・属性の整理(その際、機微な情報は初めから取得しないよう取捨選択することも重要です)、収集・処理プロセスの把握をしておくことで、今後制定される新基準や要件に応じた運用の構築に備えるなどの対策が考えられます。

    法案の施行時期は不透明であるものの、早期に対策検討を始めることで混乱を回避することが肝要と言えます。

    寄稿者プロフィール
    • 志村 公義 プロフィール写真
    • 志村 公義
      One Asia Lawyers 南西アジアプラクティス代表 (インドの提携事務所Acumen Juris法律事務所に出向中)

      2001年弁護士登録。外資系法律事務所において外資系企業への日本投資案件の法的助言を行う。その後、日系一部上場企業のアジア太平洋General Counsel、医療機器メーカーのグローバル本部(シンガポール)での法務部長等、企業内法務に約10年間従事した経験を踏まえて、ASEAN及び南アジアにおける日系企業のコンプライアンス体制構築、内部通報の導入支援、コンプライアンス監査、研修、不正対応等の対応を行う。  19年4月からインドに駐在し、インドをはじめとしたバングラデシュ、ネパール、スリランカ、パキスタン等の南西アジアの法務案件の対応を行う。21年9月には、南アジア全8ヵ国の最新法務をまとめた日本初の書籍となる『南アジアの法律実務』(中央経済社)を出版。

    • One Asia Lawyers
      One Asia Lawyersは、ブルネイを除くASEAN全域、南アジア及び東京、大阪、福岡にオフィスを有しており、日本企業向けにASEAN及び南アジア地域でのシームレスな法務アドバイザリー業務を行っております。2019年4月により南アジア、20年11月よりオーストラリア、ニュージーランドプラクティスを本格的に開始。
    • 【One Asia Lawyers 法律事務所 南アジアデスク】
      Platina Tower, MG Road, Sector 28, Gurgaon HY, India +91 74281 39456

     

    • この記事の掲載号をPDFでダウンロード

      メールアドレスを入力後、ダウンロードボタンをクリックください。
      PDFのリンクを送信いたします。

    メールアドレスを入力後、ダウンロードボタンをクリックください。PDFのリンクを送信いたします。

      入力いただいたメールアドレス宛に、次回配信分からArayZ定期ニュースレターを自動でお送りいたします(解除可能)。個人情報の取り扱いについてはこちら

      人気記事

      広告枠、料金など詳しい情報は
専用ページをご覧ください。

      広告枠、料金など詳しい情報は
      専用ページをご覧ください。

      広告掲載についてページを見る

      お電話でのお問い合わせ+66-2651-5655

      タイ・ASEANの今がわかるビジネス経済情報誌

      閉じる