概観

インド法上、データの移転に関する規制（すなわち、データを国内外に移転させることに対する規制）については、主要なものとして、

等が挙げられます^注1。
上記のうち、②については限定的な特定の規制業種にのみ適用される規制であること、また③については国家安全保障にかかわる規制であることから、本稿では、日系企業の事業活動一般において留意する必要がある、①の個人情報の取扱いについての規制を解説することとします。

個人情報の取扱いに関する現行規制と新法案

現行規制

近時、インドにおいても、情報・通信技術の革新により、情報の流通の利便性が飛躍的に増大しています。それに伴い、事業者に提供された個人に関する情報が不適切な管理により不当に拡散または漏洩されるリスクも増大しており、個人情報の適切な管理・保護に対しての関心は高まってきています。
本稿執筆時点である2021年12月1日現在、インドでは、2000年情報技術法（Information Technology Act, 2000）（以下、「IT法」といいます）の43A条および87条に基づいて制定されている2011年情報技術（合理的なセキュリティ実務および手続ならびにセンシティブ個人データまたは情報）規則（Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011）（以下、「2011年個人情報保護規則」といいます）が、個人情報の保護に関する主要な法令として存在しています。

しかしながら、IT法自体は、個人情報保護にフォーカスした法令というわけではなく、インドにおける情報技術産業に関する全般的な規制法であり、2011年個人情報保護規則はその施行規則の一つに過ぎません。また、IT法43A条は、事業者がセンシティブな個人情報をコンピューター処理において扱う場合の実施すべき手続等や補償のみを定めるものであり、その適用場面は限定的です。さらに、2011年個人情報保護規則の条文は全部で8条しかなく、個人情報保護のための法令としては比較的簡素な内容となっています。
そのため、上記IT法43A条と2011年個人情報保護規則による個人情報保護の枠組みは、インドにおける現在の個人情報に関するさまざまな課題を扱うには十分ではなく、欧州におけるGDPR（General Data Protection Regulation：EU一般データ保護規則）のようなより広範かつ詳細な規制の導入が必要ではないか、という意見もかねてから見られているところです。

新法案

上記1.で述べた状況を背景に、インド政府は、2017年7月、個人情報保護に関する課題および関連法令の整備について検討する専門家委員会を設置しました。
同委員会は、2018年7月27日、「A Free and Fair Digital Economy Protecting Privacy, Empowering Indians」と題する報告書を公表し、また、法案の草稿として、全112条からなる2018年個人情報保護法案（Personal Data Protection Bill, 2018）を策定し、インド政府に提出しています。なお、この2018年個人情報保護法案はあくまで「草稿」であり、インドの国会に提出された「法案」そのものではありません（後述のとおり、インドの国会に提出された「法案」は、2019年個人情報保護法案（Personal Data Protection Bill, 2019）と呼ばれる法案です）。
この2018年個人情報保護法案は、GDPRをモデルに策定されたといわれており、IT法の一部としてではなく、個人情報保護を目的とした独立の法律として、個人情報の取得、管理、提供等に関する包括的な規制を定めることを企図するものでした。

その後、2019年12月11日に、2019年個人情報保護法案（Personal Data Protection Bill, 2019）が、インドの国会の下院（ロク・サバ）に上程されました。2019年個人情報保護法案は、2018年個人情報保護法案からの修正点が多くあります。条文数は2018年個人情報保護法案よりも少ない全98条となっています。
2019年個人情報保護法案では、インドの公的機関による個人情報の取扱いも同法による規制対象とされています。この点、現行規制である2011年個人情報保護規則においては、インドの公的機関による個人情報の取扱いは規制の対象とされていないため、現行規制からの大きな変更点といえます（図表1）。
2019年個人情報保護法案は、本稿執筆時点である2021年12月1日現在も、いまだインドの国会での審議中であるため、法律としての成否は未定です。

図表1　インドの個人情報保護規制についての現行規制と新法案の比較

以下では、現行規制である2011年個人情報保護規則と2019年個人情報保護法案における一般的な越境移転規制の概要を紹介します。

2011年個人情報保護規則

「個人情報」の分類

2011年個人情報保護規則上、個人情報は、

に区別され、後者については越境移転規制は存在しない一方、前者については一定の越境移転規制が存在します。
本規則上、個人情報は、おおむね、「自然人に関する情報であって、直接または間接に、事業者にとって入手可能かまたは入手可能である蓋然性の高い情報とあわせて、個人を特定できる情報」と定義されています。そして、個人情報のうち、より慎重な扱いが求められるものとして、センシティブ個人情報という類型が定められています。センシティブ個人情報には、原則として以下の情報が該当します。

• パスワード
• 銀行口座、クレジットカード、デビットカード、そのほかの支払手段等の金融情報
• 身体、生理、精神衛生に関する状況
• 性的指向
• 診療記録・履歴
• 生体情報
• サービスの提供のため事業者に提供された上記情報に関する詳細
• 情報の取扱い、保存等のために、適法な契約等に基づいて事業者が受領した上記項目に関連する情報

越境移転規制

事業者は、インドで得たセンシティブ個人情報を、2011年個人情報保護規則と同程度の個人情報保護を講じているインド以外の国に所在する事業者に越境移転することが可能です。ただし、越境移転を行うに際しては、適法な契約の履行のために必要であること、または当該センシティブ情報の情報提供者の同意が必要とされています。
また、より一般的な規制として、越境があるかを問わず、センシティブ個人情報の第三者への開示については、当該センシティブ個人情報の提供者からの事前同意が必要とされていますが、こちらも政府当局から要求された場合や法的義務の遵守のために必要である場合には不要とされています。「法的義務」が法令上の「強行的な義務」のみを指すのか、「契約上の義務」までも含むものであるかは法令上明確にされておらず、その解釈によって、個人情報の提供者の同意が不要な場面は広くなりえます。

このように、現行の規制は、非センシティブ個人情報はもちろん、センシティブ個人情報についても、越境移転や第三者への開示が許容される場合の要件についての規定は簡素であり、情報提供者の同意がなくとも個人情報を開示、移転することが可能な場合が比較的緩やかに解する余地がある形で規定されているなど、GDPRや後述の2019年個人情報保護法案と比較して、かなり緩やかな規制（少なくとも緩やかな運用や解釈を許容しうる規制）となっているといえるものと思われます。

2019年個人情報保護法案

「個人情報」の分類

2011年個人情報保護規則と同じく、2019年個人情報保護法案においても、「センシティブ個人情報」と、これに該当しない「個人情報」の区別があり、後者については越境移転規制は存在しない一方、前者については一定の越境移転規制が存在します。また、同法案上は、個人情報の分類として、さらに「重大個人情報（critical personal data）」という分類が存在し、これについては原則としてインド国内のみで取り扱われるべきとされています。センシティブ個人情報と重大個人情報の関係（重複がありうるのか、どのように区別するのか等）については、現時点では明らかになっていません。

同法案上、個人情報は、おおむね「自然人に関する情報であり、当該自然人の特定に資する情報など」と定義されています。そして、個人情報のうち、特に慎重な取扱いを要する個人情報を「センシティブ個人情報」として区別しています。センシティブ個人情報の取扱いについてはそれ以外の個人情報より厳格な規制に服することになります。

2019年個人情報保護法案上のセンシティブ個人情報には、以下のようなものが含まれます。2011年個人情報保護規則上のセンシティブ個人情報とは異なる内容も含まれているため、注意が必要です。

• 金融情報
• 健康状態
• 公的識別番号等
• 性・性的指向・ジェンダーに関する情報
• 身体情報、遺伝情報
• カースト・種族
• 宗教・政治的信条等
• その他政府が指定するもの

さらに、上述のとおり、2019年個人情報保護法案では、「重大個人情報（critical personal data）」という分類が想定されていますが、何が重大個人情報に該当するかについては通達で定められる見込みであるため、法案自体が未成立の現時点においては、どのような個人情報が重大個人情報に該当することになるのかは不明です。

越境移転規制

（1） センシティブ個人情報に該当しない個人情報

センシティブ個人情報に該当しない個人情報については、越境移転に関する規定はなく、越境移転は特段制約されないと理解されています。

（2） センシティブ個人情報

センシティブ個人情報については、インド国外への移転は可能とされているものの、情報データはインド国内においても保管され続けている必要があります。したがって、たとえば、センシティブ個人情報のデータをすべてインド国外に移転し、インド国内のデータは削除する、ということはできません。また、越境移転は情報主体の明示的な同意が必要であり、かつ、以下の要件のいずれかを満たす必要があります。

• 情報保護庁（Data Protection Authority）が承認する契約またはスキームによる移転
• 特定の国、特定の企業体、国際機関に関するインド中央政府の承認（個人情報の保護の十分性（adequate level）が要件）
• 情報保護庁が特定の目的について移転を承認

センシティブ個人情報の越境移転について、当該センシティブ個人情報の提供者の同意を必須としていると解される点で、現行の2011年個人情報保護規則における規制と比べ、より厳格な規制が想定されているといえます。また、個人情報保護の十分性の認定などについては、GDPRと同様に、今後各国の当局レベルでの対話も必要になってくる可能性もあるものと考えられます。

（3） 重大個人情報

重大個人情報に該当する個人情報の取扱いは、原則としてインド国内のみで行うことが可能とされており、越境移転は「不可」とされています。
ただし、例外として、重大個人情報であっても、健康・緊急サービスにかかわる場合、特定の国、特定の企業体、国際機関に関する中央政府の承認がある場合は越境移転も可能とされています。
重大個人情報の越境移転が「可能」となる場合は極めて限定的となると見込まれており、何が重大個人情報に該当するかについて、早期に明らかにされることが望まれます。

今後の見通し

上述のとおり、2019年個人情報保護法案はいまだインドの国会での審議中であり、両院で組織される委員会（Joint Parliamentary Committee）において審議されています。報道によれば、同委員会は、同委員会における法案の検討についての最終報告書を作成したようです。同報告書は本稿執筆時点である2021年12月1日現在、未だ一般に公開されておりませんが、報道によれば、個人情報以外の情報の取扱いに関する規制も同法案の対象とすることを求めるものであるとの情報もあります。
同法案は、2019年12月にインド下院（ロク・サバ）に上程されてから、既に相当の時間が経過しています。上記のとおり、両院委員会の最終報告書は作成されたようですが、今後の法案の修正も検討されているようであり、法律として成立するか、いつ頃成立するか、関連する施行規則や通達がいつ発行されるかなどについては、本稿執筆時点である2021年12月1日現在、見通しが立っていません。

→この連載を「まとめて読む」

1. 報道によれば、後述の2019年個人情報保護法案（Personal Data Protection Bill, 2019）を審議する両院で組織される委員会（Joint Parliamentary Committee）は、同委員会における法案の検討についての最終報告書を作成したようです。同報告書は本稿執筆時点である2021年12月1日現在、いまだ一般に公開されておりませんが、報道によれば、個人情報以外の情報の取扱いに関する規制も同法案の対象とすることを求めるものであるとの情報もあります。[↩]