デジタル個人情報保護法案、公開時点では不明瞭な点も

(インド)

ニューデリー発

2022年12月12日

インド電子情報技術省はデジタル個人情報保護法案2022外部サイトへ、新しいウィンドウで開きますを公開した(2022年12月12日記事参照)。同法案は、当時多くの議論を呼んで20228月に撤回された個人情報保護法案2019に比べると、産業界・有識者からは一定の評価をする声が多いものの、不明瞭な部分も残しており、今後の国会における議論の動静には注視していく必要がある。

日系企業にとって、例えば、以下の点は直接の影響が生じ得る点として挙げられる。

〇第11条「重要なデータの信託者(Significant Data Fiduciary)」に課される義務。中央政府が「重要なデータ」に指定した情報に関し、それを取り扱う企業(データ信託者)はインドを拠点とするデータ保護官(Data Protection Officer)を指定しなければならないほか、「データ保護状況評価(Data Protection Impact Assessment)」を実施する義務を負うこととなる。しかし、この「重要なデータ」の定義規定が法案になく、当該データを取り扱う企業(データ信託者)に指定されるかどうかの判断記述も不明瞭だ。

〇第17条に規定するデータ信託者による個人情報の国外移転の制限。中央政府は、データ信託者が個人データを越境移転させることができる国・地域を個別に指定する。この指定については、中央政府が必要な条件を個別に評価した後、個人情報を越境移転させることができる国・地域をデータ信託者に通知することになっている。しかし、この評価基準や方法の詳細は現時点では明らかにされていない。どのような場合に、中央政府がデータ信託者による個人データの国外移転先を通知するかは不明瞭な状況にある。

(大瀧拓馬)

(インド)

ビジネス短信 5e2cae1f3188f91d