インド新個人データ保護法案、議会に提出される


インド新個人データ保護法案、議会に提出される

12月11日、インド連邦政府は新個人データ保護法案を議会下院に提出した。同法案は、個人データの処理が許される適法根拠の限定、透明・公正・目的限定・最小・最短の原則などのデータ処理原則、遵守証明責任、個人に対する情報提供義務、個人の権利、リスクに応じたデータ保護・セキュリティ対策義務、データ侵害通知義務、越境移転の規制など、その規制内容は欧州(ヨーロッパ)のEU一般データ保護規則(GDPR)の規制内容に近い。一方で、同法案は、プライバシーポリシーを複数の公用語で提供すべきこと、年少者を対象とするプロファイリング、トラッキング、モニタリング、ターゲティングの禁止、一定のデータローカライゼーション義務などGDPRには見られない規制も含んでいる。

今回提出された法案は、2018年7月に連邦政府電子情報技術省が取りまとめた法案(2018年法案)に対していくつかの修正が加えられている。主要な修正点は以下の通りある。
(1) 個人データの定義
オンラインまたはオフラインを問わず、自然人の性質、傾向、属性、これらのデータからプロファイリングを目的として推論した内容が個人データの定義に加えられた。これにより、ネット上の閲覧履歴・行動履歴から推論され、ターゲティング広告のために利用される個人属性情報は個人データとして規制されると考えられる。
(2) 個人データ処理に同意が不要な合理的な目的の追加
個人データ処理に同意が不要な場合として、サーチエンジンを運用するために必要な場合が追加された。
(3) データローカライゼーション義務の緩和
2018年法案では、データ仲介者(data fiduciary: GDPRの「管理者」に近い概念)は、すべての個人データのコピーをインド国内に保存しなければならないとされていたが、このローカライゼーション義務の範囲がセンシティブな個人データに限定された。
(4) センシティブな個人データの越境移転
センシティブな個人データをインド国外に移転する場合、個人から同意を取得することが義務づけられた。
(5) ソーシャルメディアに対する法律
一定数以上の会員を保有し、選挙を通じた民主主義、国の安全保障、公共の秩序、国家の主権と独立に対して相当程度の影響を及ぼし得るソーシャルメディアは、「重要なデータ仲介者」(significant data fiduciary)と定義され、データ保護影響調査(DPIA)、記録保持、データ保護責任者選任、毎年の監査などが義務づけられることになった。
(6) 匿名データの提出義務

中央政府は、すべてのデータ仲介者(data fiduciary)に対して、公共サービスの効率的なターゲティングまたは証拠に基づく捜査活動を可能とすることを目的として、匿名化されたデータまたは非個人データの提出を命令することができることとされた。

新法案全体の概要については、追って本Webで伝える。

インド新個人データ保護法案:
https://platform.dataguidance.com/sites/default/files/personal-data-protection-bill-2019.pdf

関連記事