© Business & Law LLC.

ログイン

はじめに

インドでは、2023年8月、個人データ保護に関する包括的なルールを定めた「2023年デジタル個人データ保護法」(The Digital Personal Data Protection Act, 2023注1)。以下「DPDP法」という)が成立した。DPDP法は、デジタル環境における個人データの取得、利用および管理等に関する基本的な枠組みを定めたインドにおける初の包括的な個人データ保護法制であることや、インド国内のみならず、一定の場合には、個人データの処理がインド国外で行われる場合であっても適用されるということもあり、注目を集めてきた。もっとも、同法はその性質上、制度の骨格を示す抽象的な規定を中心に構成されており、個人データ保護の運用実務にかかわる細目事項は、下位規範である施行規則によって補完されることが予定されていたところ、2025年11月、「2025年デジタル個人データ保護規則」(The Digital Personal Data Protection Rules, 2025注2)。以下「DPDP規則」という)が成立した。同規則の制定により、DPDP法の運用実務が明らかになったといえ、その適用を受ける企業において行うべき対応が具体的に示されたといえる。

今回明らかとなったDPDP法およびDPDP規則の施行スケジュールによれば、インドで事業を展開する日系企業の実務に直接的な影響を及ぼす主要な規定の施行は、2027年5月とされている。比較的先のことではあり、企業側には一定の準備期間が設けられているとはいえ、自社の事業内容および個人データの取扱いの実態等を踏まえ、必要となる対応を見極めたうえで、計画的かつ着実に準備を進めていくことが求められる。

DPDP法の体系は、大枠において日本の「個人情報の保護に関する法律」(平成15年5月30日法律第57号。以下「個人情報保護法」という)やEUのGeneral Data Protection Regulation。以下「GDPR」という)と共通するところが多いものの、これらの法体系では存在しない概念や似て非なる制度もあることから、そうした違いについて十分に理解しておく必要がある。そこで、本稿では、まず、DPDP法の主要な用語の定義と関係性を整理したうえで、DPDP法およびDPDP規則の施行スケジュールを確認し、最後に、法務担当者等が押さえておくべきDPDP法制全体の構造と特徴を概観する。

DPDP法の主要な用語の定義と関係性

DPDP法の内容を正確に把握するには、DPDP法の主要な用語の定義とあわせて、その関係性を理解することが必要不可欠である。そこで、最初に、DPDP法を理解するための出発点として、DPDP法の主要な用語の定義を図表1のとおり整理した。また、かかる主要な用語の関係性は図表2のとおりである。

図表1 DPDP法の主要な用語の定義

個人データ※1
(Personal Data)

当該データによってまたは当該データに関連して識別可能な個人に関するあらゆるデータ。

データ主体※2
(Data Principal)

当該個人データが関係する個人をいい、当該個人が①未成年者※3である場合には、当該未成年者の親権者または法定後見人を含み、②障がい者※4である場合には、本人に代わって行動する法定後見人を含む。

処理※5
(Processing)

個人データに関する“処理”とは、デジタル個人データ※6に対して行われる、全部または一部の自動化された操作もしくは一連の操作をいい、収集、記録、整理、構造化、保管、適応、検索、利用、整列、結合、索引付け、共有、送信による開示または拡散その他の方法による利用可能化、制限、消去もしくは破棄等の操作を含む。

データ受託者※7
(Data Fiduciary)

単独でまたは他の者と共同して、個人データの処理の目的および手段を決定する者。

データ処理者※8
(Data Processor)

データ受託者の委託により、データ受託者に代わって、個人データを処理する者。

※1 DPDP法2条(t)。
※2 DPDP法2条(j)。
※3 “未成年者”とは、満18歳に達していない個人をいう(DPDP法2条(f))。
※4 “障がい者”とは、①長期的な身体的、精神的、知的、もしくは感覚的な障害を有する個人であって、様々な障壁との相互作用により、他者と平等に社会へ完全かつ効果的に参加することが妨げられており、かつ、十分かつ適切な支援が提供されているにもかかわらず、法的拘束力のある決定を行うことができない個人、または②自閉症、脳性麻痺、精神遅滞、もしくはこれらの状態の2つ以上の組み合わせに関連するいずれかの状態に罹患している個人であって、重度の重複障害に罹患している個人を含み、かつ、十分かつ適切な支援が提供されているにもかかわらず、法的拘束力のある決定を行うことができない個人をいう(DPDP規則11条(d))。
※5 DPDP法2条(x)。
※6 “デジタル個人データ”とは、デジタル形式の個人データをいう(DPDP法2条(n))。
※7 DPDP法2条(i)。
※8 DPDP法2条(k)。

図表2 DPDP法の主要な用語の関係性

施行スケジュール

DPDP法およびDPDP規則は、段階的な施行スケジュール注3)のもとで運用が開始される(図表3)。まず、2025年11月14日には、用語の定義およびデータ保護委員会の設立等に関する規定が施行された。次いで、2026年11月14日には同意管理者注4)の登録および義務等に関する規定が施行され、さらに、2027年5月14日にはDPDP法およびDPDP規則の実体的な枠組みに関する主要な規定が施行され、個人データの取扱いに関する規制が全面的に適用される

図表3 施行スケジュール

施行日 DPDP法 DPDP規則 概要 

1

2025年11月14日

1条2項、2条、18条~26条、35条、38条~43条ならびに44条1項および第3項

1条、2条および17条~21条

定義、データ保護委員会の設立等に関する規定

2

2026年11月14日

6条9項および27条1項(d)

4条

同意管理者の登録および義務等に関する規定

3

2027年5月14日

3条~5条、6条1項~8項および10項、7条~17条、27条(同条1項(d)を除く)、28条~34条、36条、37条ならびに44条2項

3条、5条~16条、22条および23条

DPDP法およびDPDP規則の実体的な枠組みに関する規定

DPDP法およびDPDP規則の概要

DPDP法の適用範囲注5)

DPDP法は、デジタル形式で収集された個人データまたは非デジタル形式での収集後にデジタル化された個人データが、インド国内で処理される場合に適用されるため、非デジタル形式(物理的形式)のみで保管されている個人データには適用されない。こうしたデータの形式による適用の有無は、個人情報保護法やGDPRには見られない特徴であり、大きな違いであるといえる。
また、インド国外でデジタル個人データが処理される場合であっても、その処理がインド国内のデータ主体に対する製品またはサービスの提供に関連して実施される場合には、同法が適用される
ただし、①個人的または家庭内の目的で個人が処理した個人データおよび②データ主体またはインドにおいて有効な法律に基づき個人データを公開する義務を負うその他の者により公開された個人データについては適用対象外となる。

同意取得と通知義務

(1) 同意取得

個人データを処理する場合、特定の正当な利用に該当する場合を除き、データ主体から当該個人データの処理に関して同意を取得する必要がある注6)。なお、データ主体の同意は無制限に及ぶものではなく、個人データの処理目的に照らして必要な範囲の個人データにのみ及ぶ注7)
たとえば、オンライン診療アプリを運営するY社が、同アプリをダウンロードしたX氏(個人)に対し、

① オンライン診療サービスを提供するための個人データの処理および

② 携帯電話の連絡先リストへのアクセス

について同意を求めた場合に、たとえX氏が上記①②の両方に同意したとしても、②携帯電話の連絡先リストはオンライン診療サービスの提供に必要ではないため、X氏の同意は①オンライン診療サービス提供のための個人データ処理にしか及ばないことになる。

(2) 通知義務注8)

また、同意の取得にあたっては、

① 取得する個人データの内容および当該個人データの処理目的

② 同意撤回および苦情申し立てに関する権利行使の方法ならびに

③ データ主体がデータ保護委員会に苦情を申し立てる方法

をいずれも通知することが義務づけられている。
なお、DPDP法施行前にデータ主体から個人データの処理に関して同意を取得していた場合であっても、DPDP法施行後、合理的に可能な限り速やかに上記①~③の通知を行うことが義務づけられている
たとえば、電子商取引サービスの提供者であるY社は、DPDP法施行前に、電子商取引サービス提供者であるX氏(個人)から、同社が運営するオンラインショッピングアプリにおける自身の個人データの処理につき同意を取得していた場合でも、DPDP法施行後、合理的に可能な限り速やかに、電子メール、アプリ内通知その他の効果的な方法により、個人データの内容およびその処理目的等をX氏に提供しなければならない。

特定の正当な利用

上記2.(1)で述べたとおり、個人データの処理が特定の正当な利用に該当する場合には、データ主体から同意を取得することなく個人データを処理することができる注9)。特定の正当な利用に該当する場合の具体的内容は、図表4のとおりである。

図表4 特定の正当な利用による処理

1 データ主体がデータ受託者に対して自発的に個人データを提供し、その個人データの使用に関して不同意を表明していない場合

2  インド政府または政府機関による補助金等のための場合

3 インド政府または政府機関による主権や安全保障等のための場合

4 法律に基づきインド政府または政府機関に対する情報開示義務を履行する場合

5 インド国内で施行されている法律に基づいて下された判決もしくは命令またはインド国外で施行されている法律に基づいて下された契約上の請求もしくは民事上の請求に関する判決もしくは命令を遵守する場合

6 データ主体またはその他の個人の生命に対する脅威もしくは健康に対する差し迫った脅威を伴う医療上の緊急事態に対応する場合

7 流行病または疾病の発生その他の公衆衛生に対する脅威が生じた際に、個人に対して医療または保健サービスを提供するための措置を講ずる場合

8 災害または公共秩序の混乱において、個人に対して安全確保、支援またはサービスの適用をするための措置を講ずる場合

9 (ⅰ)雇用目的の場合、(ⅱ)企業スパイの防止、企業秘密、知的財産もしくは機密情報の機密保持等の使用者の損失もしくは責任に対するセーフガードに関する場合または(ⅲ)従業員であるデータ主体が求めるサービスもしくは利益の提供に関する場合

データ受託者の義務注10)

(1) DPDP法等の遵守

データ受託者は、DPDP法およびDPDP規則その他DPDP法に基づき策定される規則の遵守に関して、自身の処理またはデータ処理者が自身に代わって行う処理について責任を負う。

(2) 正確性の担保

データ受託者は、自身の処理する個人データが、

① データ主体に影響を与える決定のために使用される可能性がある場合または

② 他のデータ受託者に開示される可能性がある場合

には、当該個人データの完全性、正確性および一貫性を確保しなければならない。

(3) 適切な技術的および組織的措置

データ受託者は、DPDP法およびDPDP規則その他DPDP法に基づき策定される規則遵守の実効性を確保するために、適切な技術的および組織的措置を講じなければならない。

(4) 合理的なセキュリティ対策

データ受託者は、個人データ侵害注11)を防止するために合理的なセキュリティ対策を整備することにより、自身または自身に代わって個人データを処理するデータ処理者の保有または管理下にある個人データを保護しなければならない。具体的には、個人データの暗号化、アクセス制御、不正アクセス監視、データバックアップ、ログおよび個人データの保管等のセキュリティ対策を行う義務を負う注12)

(5) 個人データ侵害時の通知

個人データの侵害が発生した場合、データ受託者は、影響を受けたデータ主体およびデータ保護委員会に対し、個人データの侵害について通知を行う義務を負う。具体的な通知義務の内容は、図表5のとおりである注13)

図表5 個人データ侵害時の通知義務の内容

通知先 義務の内容

影響を受けたデータ主体

遅滞なく、

① 侵害の内容(侵害の性質、程度、時期等)

② 侵害から生じ得るデータ主体に関する結果

③ データ受託者が実施したリスク軽減措置

④ データ主体に対する安全対策および

⑤ データ主体からの問い合わせに対応可能な連絡先

を通知しなければならない。

データ保護委員会

① 遅滞なく、侵害の内容(侵害の性質、程度、時期等)を通知するとともに、

② 侵害を認識してから72時間以内またはデータ保護委員会が定めた期限までに、

(ⅰ)侵害の内容に関する最新の詳細な情報

(ⅱ)侵害に至った経緯等

(ⅲ)リスク軽減のために実施したまたは検討している措置

(ⅳ)侵害を起こした者に関する調査結果

(ⅴ)侵害の再発防止のために講じられた措置および

(ⅵ)データ主体に対して行った報告

を通知しなければならない。

(6) 個人データの消去

(a) 削除義務

データ受託者は、個人データの保有が法律を遵守するために必要な場合を除き、データ主体が同意を撤回した時点または特定した目的が果たされなくなったと合理的に考えられる時点のいずれか早い時点において、保有する個人データを削除し、また、データ処理者に処理させるために提供した個人データを、当該データ処理者をして削除させなければならない。なお、インド国内で一定数以上の登録ユーザーを有する電子商取引事業者、ソーシャルメディア仲介業者またはオンラインゲーム仲介業者(以下「電子商取引事業者等」という)のデータ受託者は、ユーザーアカウントへのアクセス提供および仮想トークンの管理といった目的以外の目的で個人データを保有している場合には、DPDP規則別表3に定める期間の経過後、当該個人データを削除する義務を負う注14)

(b) 通知義務

電子商取引事業者等のデータ受託者は、データ主体が自身のユーザーアカウントにログインするか、特定の目的の遂行のためにデータ受託者に連絡するか、または当該個人データの処理に関連する権利を行使しない限り、DPDP規則別表3に定める期間の経過後に当該個人データが削除されることを、削除の48時間前までにデータ主体に通知しなければならない注15)

(c) 安全保障等のための保存義務

データ受託者は、自らまたはデータ処理者を通じて行った個人データの処理に関し、安全保障等の目的のため、原則として、当該個人データ、関連するトラフィックデータおよびその他の処理ログを当該処理の日から最低1年間保有しなければならない注16)。なお、上記(a)および(b)との関係では、同意撤回等により削除義務が生じる場合であっても、安全保障等の目的のために、個人データを処理した日から最低1年間は、当該個人データ、関連するトラフィックデータおよび処理ログを保存する義務が優先して適用される

(7) 連絡先情報の公表

データ受託者は、自身のウェブサイトまたはアプリ上で、データ主体からの問い合わせ窓口の担当者の連絡先情報を公開しなければならない注17)

(8) 苦情処理メカニズムの確立

データ受託者は、データ主体の苦情を解決するための効果的なしくみ・方法を確立しなければならない。

未成年者等の個人データに関する規制

データ受託者は、教育機関による未成年者の行動監視等の一定の例外を除き注18)、未成年者等の個人データを処理する前に、親権者等の検証可能な同意を取得する必要がある注19)。具体的には、データ受託者は、親権者等から同意を取得する際に、政府が公式に発行した身元もしくは年齢にかかる情報または身元もしくは年齢に紐づけられたデジタルトークンを参照して、親権者等が特定可能な成人であることを確認する義務を負う注20)

重要データ受託者の追加的義務

中央政府は、処理される個人データの量および機微性、データ主体の権利へのリスク、安全保障ならびに公の秩序等に基づいて、特定のデータ受託者または一定の種類のデータ受託者を重要データ受託者として指定することができる注21)。重要データ受託者は、

・ データ保護責任者の選任

・ 独立データ監査人の選任

・ 定期的なデータ保護影響評価および定期的な監査

等を行う追加的義務を負う注22)

データ主体の権利

データ主体の権利として認められているものは、図表6のとおりである。

図表6 データ主体の権利

DPDP法 権利の内容

6条4項

同意を撤回する権利

11条

個人データにアクセスする権利

12条

個人データを訂正、補完、更新および削除する権利

13条

データ受託者等から苦情解決手段の提供を受ける権利

14条

死亡または心神喪失の際の権利行使者を選任する権利

個人データのインド国外への越境移転注23)

DPDP規則は、DPDP法に基づきデータ受託者が処理する個人データは、インド国外へ移転することができるとの原則を明記している。もっとも、データ受託者は、①外国または②外国の支配下にある個人もしくは団体等に対して個人データを提供する場合、中央政府が定める要件(執筆時点では未定)を遵守しなければならない。この点、中央政府が定める要件の内容により、日系企業を含む域外事業者に与える影響の有無及び大小は異なり得るため、引き続き、中央政府の動向に注視する必要がある

同意管理者

“同意管理者”とは、データ主体が同意を付与、管理、確認および撤回することを可能とするための単一の窓口として機能する者をいう。データ主体が複数のデータ受託者に対して付与した同意を一元的に把握および管理できるしくみを提供することにより、データ主体がデータ受託者ごとに異なる同意管理手続に対応することなく、自身の個人データに関する同意状況を継続的にコントロールすることが可能となり、その結果として、同意の実効性を高める役割を担うことが考えられる。同意管理者を用いた一元的な同意管理手続に関する制度の詳細は、DPDP規則4条および別表1を除いて、本稿執筆時点では未定であるが、個人情報保護法やGDPRでは見られないものであり、DPDP法制に特有のものであるため、今後の制度の整備状況に注視しておく必要がある。

制裁金

DPDP法の違反については制裁金の定めがある。違反内容ごとの制裁金の額は、図表7のとおりである注24)制裁金は、最大で日本円にして約42.5億円(1インドルピーあたり1.7円で換算)にも上るため、リスクとして十分に留意する必要がある。

図表7 違反内容ごとの制裁金の額

違反内容 制裁金

個人データ侵害を防止するための合理的なセキュリティ対策を講ずるデータ受託者の義務違反

25億ルピー以下

個人データ侵害についてのデータ保護委員会および影響を受けたデータ主体に対する通知義務の違反

20億ルピー以下

未成年者の追加的義務の違反

20億ルピー以下

重要データ受託者の追加的義務の違反

15億ルピー以下

データ主体の義務の違反

1万ルピー以下

データ保護委員会が受理した自主的誓約の不履行

関連する違反の範囲

その他のDPDP法またはDPDP規則その他DPDP法に基づき策定される規則への違反

5億ルピー以下

おわりに

DPDP法およびDPDP規則は、インドにおける個人データ保護法制の中核をなすものであり、個人データの取扱いは、そのボリュームの多寡はあれ、産業分野にかかわらず避けられないものであることを考えると、今後、インドで事業を展開する日系企業の実務に確実に影響を及ぼすことが見込まれる。もっとも、前述のとおり、主要な実体規定の施行までは一定の準備期間が設けられているため、現時点では、自社の事業内容および個人データの取扱実態等を整理したうえで、段階的に対応していくことが可能である。今後は、中央政府による追加的な通知やガイドライン等の内容を踏まえつつ、DPDP法制の全面施行を見据えた実務対応を適切な時期に講じていくことが求められよう

→この連載を「まとめて読む」

  1. インド政府法令データベース(India Code) India Code: Digital Personal Data Protection Act, 2023.[]
  2. インド政府(電子情報技術省)ウェブサイト Digital Personal Data Protection Rules 2025 | Ministry of Electronics and Information Technology.[]
  3. General Statutory Rules 843(E) notification_timeline_act.pdfおよびDPDP規則1条[]
  4. “同意管理者”とは、データ保護委員会に登録された者であって、アクセス可能で、透明性があり、相互運用可能なプラットフォームを通じて、データ主体が同意を付与、管理、確認および撤回することを可能とするための単一の窓口として機能する者をいう(DPDP法2条(g))。[]
  5. DPDP法3条。[]
  6. DPDP法4条1項。[]
  7. DPDP法6条1項。[]
  8. DPDP法5条1項および2項(a)ならびにDPDP規則3条。[]
  9. DPDP法7条。[]
  10. DPDP法8条。[]
  11. “個人データ侵害”とは、当該個人データの機密性、完全性または可用性を害する①個人データの不正処理もしくは②偶発的な開示、取得、共有、利用、改変、破壊もしくは個人データへのアクセスの喪失をいう(DPDP法2条(u))。[]
  12. DPDP規則6条。[]
  13. DPDP規則7条。[]
  14. DPDP規則8条1項。[]
  15. DPDP規則8条2項。[]
  16. DPDP規則8条3項。[]
  17. DPDP規則9条。[]
  18. DPDP法9条4項および5項ならびにDPDP規則12条。[]
  19. DPDP法9条1項。[]
  20. DPDP規則10条1項。[]
  21. DPDP法10条1項。[]
  22. DPDP法10条2項およびDPDP規則13条。[]
  23. DPDP法16条およびDPDP規則15条。[]
  24. DPDP法33条および別表。[]

岡本 直己

弁護士法人御堂筋法律事務所 パートナー弁護士

00年東京大学法学部卒業。05年弁護士登録、弁護士法人御堂筋法律事務所入所。12年ワシントン大学ロースクール(LL.M. アジア法)卒業、ケルビン・チア・パートナーシップ法律事務所(シンガポール共和国)。13年弁護士法人御堂筋法律事務所復帰。14年から15年まで事業会社へ出向。17年弁護士法人御堂筋法律事務所パートナー(現任)。東京弁護士会所属。外国法コンプライアンス、国際取引、国際紛争等の渉外法務分野に加え、M&A、データ・プライバシー、IT分野を得意とする。

御堂筋法律事務所プロフィールページはこちらから

石井 洋輔

弁護士法人御堂筋法律事務所 弁護士

14年京都大学法学部卒業。16年京都大学法科大学院修了。17年弁護士登録。18年弁護士法人御堂筋法律事務所入所。22年から24年まで事業会社法務部にて勤務(出向)。25年University of Pennsylvania Carey Law School(LL.M. with Wharton Business & Law Certificate)卒業、25年から現在までShardul Amarchand Mangaldas & Co.(インド・デリー)勤務。26年ニューヨーク州弁護士登録。主な取扱分野は、インド法務、M&A、海外進出支援、データ・プライバシー、コンプライアンス、労働問題等。インド法務に関する官公庁等のセミナー、執筆実績多数。

御堂筋法律事務所プロフィールページはこちらから