サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応

インドのデータ保護法規制の現状と企業に求められる対応

  • 2024-03-19

インドにおけるデータ保護法規制の現状

2023年8月にインドのデジタル個人情報保護法が成立しました。本法令の成立後から半年以上が経過しましたが具体的な施行日は未定となっており、引き続き動向の注視が必要です。また、インドではデジタル個人情報保護法のほか、2000年情報技術法(以下、IT法)および情報技術規則(以下、IT規則)やIT法に基づくサイバーセキュリティ規則(以下、CS規則)も施行済みとなっています。

本状況を踏まえ、インドのデータ保護法規制への対応にあたっては並立する各法令および規則の内容を包括的に把握し、デジタル個人情報保護法の施行後も見据えた対策を講じる必要があります。本インサイトでは各法令および規則の概要と企業として注意すべきポイントを解説します。

デジタル個人情報保護法への対応

デジタル個人情報保護法では「個人データ」の定義は定められている一方で、「センシティブ個人データ」の定義は定められていません。規制対象となるのは個人データがデジタル形式で収集された場合、または、非デジタル形式で収集された後にデジタル化される場合とされています。また、インド国外でデジタル形式のデータが処理される場合であっても、当該処理がインド国内の消費者に対する製品またはサービスの提供に関して実施される場合には適用されます。このため、インド国内向けにサービスを展開する幅広い日本企業も規制対象になると言えます。

図3 デジタル個人情報保護法において企業が特に注意すべき要件

本人同意の取得要件が厳格に定められていることに加え、「重要データ受託者」に対してはデータ保護責任者(DPO)の設置やデータ保護影響評価(DPIA)の実施などの追加要件が課されますが、本稿公表時点では「重要データ受託者」の該当要件は明確に公表されていません。また、インド政府としてデータ受託者によるインド国外への移転を制限することが可能な文言も法令上存在します。今後、デジタル個人情報保護法の要件が具体的に定められた規則などが発行されることが予測され、企業は施行のタイミングと併せて動向の注視が必要です。

企業に求められるインド向けのデータ保護法規制対応

デジタル個人情報保護法の施行に向けた動向が不透明であるため、これまで本格的なインド向け対応を見送っていた企業も多いと推察されます。一方でIT法に基づくCS規則をはじめ、インドでは法体系整備が進んでいるのは明白であり、今後もデジタル個人情報保護法の要件詳細を示した規則やガイドラインの発行が予想されます。特にインド向けにアプリケーションやデジタルサービスを展開している企業では、デジタル個人情報保護法施行前の現段階からシステムおよび運用状況の確認と不足箇所の整備が推奨されます。

また、CS規則への対応ではサイバーセキュリティ対策の見直しが必要となる可能性もあり、対策に時間がかかるケースも想定されます。CS規則への対応状況確認と併せ、デジタル個人情報保護法の施行に備えられるよう早期の対応が必要です。

執筆者

藤田 恭史

パートナー, PwCコンサルティング合同会社

Email

藤田 和也

マネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

本ページに関するお問い合わせ

フォーム

関連サービス