0
会員になると、いいね!でマイページに保存できます。
共有する
2018年5月、欧州連合(EU)でEU一般データ保護規則(以下「GDPR」)が制定されたが、2020年現在、インドでもインド個人情報保護法案(Personal Data Protection Bill、以下「PDPB」)が提出され、近日可決される見込みだ。同法はインド域内の情報を扱うすべての企業に影響を及ぼすことが予想される。KPMGインドで日系企業のコンプライアンスやガバナンス整備のサポートをしているアソシエイトディレクターの井上ゆかり氏が、いまだその詳細までは明らかにされていない同法にどのように対処すれば良いか解説した。
加速する個人情報保護の動き
現在、世界各地で個人情報保護に向けた動きが加速している。井上氏は、「インドでも個人情報保護法案が突然出てきたわけではない」とし、インドにおける個人情報保護関連法規制の変遷を説明した。
インドで最初に個人情報保護が策定されたのは、1999年の保険業の監督当局からの規定発令である。これを皮切りに、2000年に主に電子データやオンラインコンテンツなどの情報の取り扱いを規定した情報技術法が施行。そして2016年には「アーダハール法」が施行された。
アーダハール(Aadhaar)法は銀行口座や税務番号、名前、住所、性別、生年月日、目の虹彩、指紋などの個人情報を登録し、銀行情報や納税情報などとリンクさせて管理するという、日本のマイナンバー制度よりも、よりセンシティブな個人情報を取扱う制度で、当該法の中にも個人情報の取扱いについて規定されている。
「現。2018年にはRBI(インド準備銀行)の通達で決算データ保管規定が制定された。この法案が施行された後、欧州の銀行等から強い反発が起こった」(井上氏)
同法案はRBI管轄下で決済システムを保有するすべての機関に適応され、全決済関連データをインド国内で保管するように求められるというものだ。通達から6カ月後の2019年10月5日までに対応しなければならなかったが、それができたのは銀行業全体の7割程度だったという。井上氏は、「情報の取扱いに対して意識の高い銀行業ですら、対応を間に合わせることができなかった」と説明する。
だからこそ、今回の個人情報保護法についても、法律化されるという確定された情報が手元に届くのを待っていては、対応が間に合わなくなる。では、個人情報保護法案に向け、具体的に何をすれば良いのか。
法律施行から準備をしても間に合わない
井上氏は、「個人情報保護法案では、保護の対象となるものに着目してほしい」と語る。
同法案が対象とするのは、インド国内・国外に所在する法人・個人で、注意すべきは拠点や所在が物理的にインドになくてもこの法律が適用されるという点だ。インドで商品またはサービスを提供したり、インドの情報主体からデータを集める場合でも適用される。情報が漏えいすると、禁錮刑あるいは罰金の制裁が与えられるという。
罰金の金額は、全世界売上の2~4%、もしくは5000万インドルピーから1億5000万インドルピーのどちらか高いほうが現時点で規定されている。
「ルールとしてはGDPRと相当分の罰則金。インドの法律の違いは禁錮刑も含むこと。禁錮刑の及ぶ範囲が、越境も含まれる可能性があることは注意してほしい」(井上氏)
なお、インドでは個人情報を「通常の個人情報」「センシティブ個人情報」「重要個人情報」と3つに分類している。センシティブ個人情報とは、財務データや健康医療情報などを含むものである。このこと自体はすでにアナウンスされているが、重要個人情報の定義については法案には明記されていない。
インドの法律は通常、閣僚や各省庁から内閣に法案が提出され、内閣決議を経て国会審議に入るが、今回の個人情報保護法案では、下院の審議において特別委員会を組成し、広く更なる議論を求めることになった。パブリック・コメントやフォーラムなどを介して得た意見を基に特別委員会が今後レポートを提出し、再度審議されることとなる。その後、閣議決定、国会での審議を経て、可決されると大統領が発令し、法律が成立する。法律の責任を持つインド情報保護局(Data Privacy Authority of India)の発足や、
法律に対してどんな準備をしなければならないのかなどの詳細は、この発令の後にアナウンスされる見込みである。
今回の新個人情報保護法も、重要個人情報の取り扱いが厳しくなるとや厳罰化等アナウンスされているが、「何が重要個人情報なのか、どんな対応が求められるのか、などの具体的な内容はアナウンスされていない」(井上氏)という。
【次ページ】PDPB、インド個人情報保護法案下の実施事項
関連タグ