デジタル個人情報保護法案、公開時点では不明瞭な点も

インド電子情報技術省はデジタル個人情報保護法案2022を公開した（2022年12月12日記事参照）。同法案は、当時多くの議論を呼んで2022年8月に撤回された個人情報保護法案2019に比べると、産業界・有識者からは一定の評価をする声が多いものの、不明瞭な部分も残しており、今後の国会における議論の動静には注視していく必要がある。

日系企業にとって、例えば、以下の点は直接の影響が生じ得る点として挙げられる。

〇第11条「重要なデータの信託者（Significant Data Fiduciary）」に課される義務。中央政府が「重要なデータ」に指定した情報に関し、それを取り扱う企業（データ信託者）はインドを拠点とするデータ保護官（Data Protection Officer）を指定しなければならないほか、「データ保護状況評価（Data Protection Impact Assessment）」を実施する義務を負うこととなる。しかし、この「重要なデータ」の定義規定が法案になく、当該データを取り扱う企業（データ信託者）に指定されるかどうかの判断記述も不明瞭だ。

〇第17条に規定するデータ信託者による個人情報の国外移転の制限。中央政府は、データ信託者が個人データを越境移転させることができる国・地域を個別に指定する。この指定については、中央政府が必要な条件を個別に評価した後、個人情報を越境移転させることができる国・地域をデータ信託者に通知することになっている。しかし、この評価基準や方法の詳細は現時点では明らかにされていない。どのような場合に、中央政府がデータ信託者による個人データの国外移転先を通知するかは不明瞭な状況にある。

（大瀧拓馬）