ASIAビジネス法務　最新アップデート

厳格化するインドの個人情報保護法制

インドには日本の個人情報保護法に当たるような、個人情報を包括的に保護する法律がありませんでしたが、2021年11月から開催されるインド国会において、個人情報保護法案が通過する可能性が高くなっています。成立すればインドでの事業に関わる日本企業に大きな影響があり得るため、本記事では同法案の概要について説明します。

現行法制の規定と新法案の適応対象概要

個人情報保護に関する現在の主要な法律として、情報技術法やその下位規則、また業界ごとの固有の規制がありますが、「機密性の高い個人情報」を取扱う事業者等の義務規定や、コンピュータ等からのデータ抽出や不正使用等に関連する規制がなされているに留まります。

これに対し、個人情報保護法案は（通常の）個人情報を取扱う際の義務や違反時の罰則がEUと同水準となっており、草案時点で市民や産業界からは懸念が示されています。法案の審議過程で規定内容の多少の変更はあり得るものの、現行法と比べて大幅な厳格化となることは確実であると言え、細則制定の段階においても議論や混乱が予想されます。

新法案の適用対象は以下の通りです。日本やASEANからオフショアでインドにサービス提供する外国企業も含まれます。

1. ① インド国内で処理（収集、開示、共有含む）された個人情報の処理
2. ② インドの政府・企業・国民、インドで設立された個人・団体による個人情報の処理
3. ③ インド国外のデータ管理者・処理者による、i)インド国内の個人に対する商品・サービス提供を行う組織的活動、ii)インド国内の個人に関するプロファイリング関連の個人情報の処理

※個人的・家庭内使用目的、研究・統計目的、個人情報処理が自動化されていない小規模事業体は、適用対象外または一部規定が免除となります。

新法案の概要と主な義務

法案では主に次のような義務が規定されています。

なお、同法案上の「個人情報」は、オンライン・オフラインを問わず個人を直接・間接的に特定できる情報を指し、「機密性の高い（Sensitive）個人情報」は、個人の金融・公的ID情報や健康情報、生体（Biometric）・遺伝子情報、宗教・政治的信念等のセンシティブな情報を意味し、カーストや部族も含まれます。

さらに、法案では、国外転送が禁止される等の一段高い規律の対象として「重要（Critical）個人情報」という概念が導入されていますが、その定義は明確になっていません。

企業に求められる対応

企業にとっては、個人情報を収集する際の本人への通知義務、処理開始前の本人同意取得義務、国外転送規制については、とりわけ実務上の影響が大きいと予想されます。

法案では、個人情報の分類に応じて、課される義務や取るべき措置のレベルが異なり、機密性の高い情報の場合、例えば本人同意は「明示的に」取得する必要があり、また国外転送の規制対象となり、原則インド国内に保管することが求められます。

そのため、まずは自社が扱う個人情報について、分類・属性の整理（その際、機微な情報は初めから取得しないよう取捨選択することも重要です）、収集・処理プロセスの把握をしておくことで、今後制定される新基準や要件に応じた運用の構築に備えるなどの対策が考えられます。

法案の施行時期は不透明であるものの、早期に対策検討を始めることで混乱を回避することが肝要と言えます。