GDPR

2023/8/17★寺川貴也が注目する最新NEWS TOPIC★

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~インドのデータ保護法DPDPA~

 

8月9日、インドのデータ保護法であるDPDPAが成立しました。

7月にシンガポールに行った際に「8月に成立する」という話を聞いていましたが、その通りとなりました。

インドで成立した初めての個人データ保護法で、2017年に個人データ保護法の必要性が提唱され、

2022年に法案が成立目前という状況で廃案となる等、紆余曲折をへての成立です。

施行日はまだ決まっていませんが、成立したら施工まではあまり時間がないようで、

「今すぐ準備を開始するように」というメッセージが政府からは届いているといいます。

友人のインドの専門家からは、先週から今週にかけて、DPDPA対応の問い合わせが殺到しているという話もきいています。

制裁金の最高額が250 Croreルピー、すなわち25億ルピー、日本円して40億円以上と高額に設定されていることもあり、経営陣の対応へのモチベーションも高いようです。

 

DPDPAは政府に適用されず、非政府組織を対象とした法律です。

また、ハードデータについては、デジタル化されて初めて適用されます。

域外適用があり、インド国内を対象として商品サービスを提供している場合には適用を受けます。

越境移転規制は特徴的で、いわゆる「ブラックリスト規制」と呼ばれるアプローチをとっており、

中央政府が指定するブラックリスト国に対するデジタル個人データの移転を規制することとしています。

以前規定されていたデータローカライゼーションの要件はDPDPAには見当たりません。

データ処理のための法的根拠という考え方採用されておらず、原則として同意が求められます。

ただし、命の危険がある時や雇用の目的など、同意を不要とするケースについても規定されています。

同意の要件はGDPRで定められた要件を導入しており、自由 (free)、具体的 (specific)、十分な情報を与えられた (informed) 上で、

無条件 (unconditional) かつ明瞭 (unambiguous) で、明確な肯定的行動 (clear affirmative action) を伴うものでなければならないとされています。

年少者は18歳未満と高い年齢に設定されています。年少者の個人データ処理については保護者による同意が必要です。

 

個人の権利としては、修正、補完、更新、および消去の権利と同意の撤回の権利が与えられています。

 

中国法と同様、DPDPAでは重要な情報を取り扱うデータ管理者を分けて規制しています。

重要データ受託者(significant data fiduciary) と呼ばれる政府が指定する事業者は、

DPOの任命、DPIAの実施、データ監査人の任命とデータ監査の実施といった追加の要件が求められます。

 

インドではDPDPAをきっかけに個人データ保護委員会が設立されます。

データ侵害を発生した場合は、所定の書式を用いて個人データ保護委員会に通知することが求められています。

 

概観すると、制裁金の金額は高いものの、内容としては同意の取得とその管理が対応の中心となりそうです。

従業員データについては同意が不要と考えられる他、越境移転の問題も日本の場合はないと予測されるため、セキュリティ対策を十全に行うことが大切です。

DPDPAはデータ保護に関するベースラインを定めるものなりますので、今後は個人データ保護委員会が出すガイダンスをモニターすることが重要でしょう。

また、日本法をベースに個人データ保護管理を行っている企業であれば、同意管理に力を入れるとよいでしょう。

日本法をベースとしたプライバシーポリシーの運用はおそらく不十分とみなされるため、更新が必要となります。

 

GDPRをベースとした個人データ保護管理を行っている企業であれば、データ処理目録の更新と同意管理の再調整を行うことが有効です。

データ侵害の通知先と様式の整理もしておくと良いでしょう。

越境移転規制の今後については注意を払っておくことが重要です。

データガバナンスを行えるようにデータ管理の在り方を見直す必要が生じる可能性があります。

 

私は9月22日インドバンガローのknowledgeNetでインド法について、国外の専門家という立場からお話しすることとなっています。

DPDPAについてのインド専門家による解説の他、インド国外の専門家がどういう対策を行うべきかについてディスカッションを行う場所となりますのでぜひご参加ください。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆