デジタル個人データ保護法が成立

インド電子情報技術省が8月3日に議会に提出したデジタル個人データ保護法2023（2023年法）が上下両院を通過し、大統領の同意をもって8月11日に成立した。個人情報保護の法整備を巡っては、2019年12月に最初の法案が下院に提出されて以降、国内外から高い関心が寄せられてきた。2022年11～12月に修正法案に対するパブリックコメント募集が行われた後（2022年12月12日記事参照）、今回の成立に至った。

同法は、インド国内の個人情報のデジタル処理に関するもので、当該データがオンラインで収集された場合と、オフラインで収集された後にデジタル化される場合に適用対象となる。主なポイントは次のとおり。

• 個人データは、個人の同意がある場合にのみ、合法的な目的のために処理することを明記した。例外として、政府による許認可に必要な場合など、特定の合法的な使用については、同意を必要としない場合があるとしている。
• データ受託者は、データの正確性を維持し、データを安全に保管し、目的が達成された際にはデータを削除する義務を負うこととなる。
• 2023年法では、情報を入手する権利、訂正・抹消を求める権利、苦情救済の権利など、個人の権利を明記した。
• 中央政府は国家の安全や公の秩序、犯罪の防止といった特定の目的のために、政府機関に対して2023年法の規定適用を免除することができるとしている。
• 中央政府は「インドデータ保護委員会（Data Protection Board of India）」を設立し、法案規定の不順に対する法的強制に関する責任を負い、実施することとしている。

なお、2019年12月の当初法案に規定され、個人情報の保管場所をインドに限定するデータローカライゼーションの強制や、データ処理機器に対する検査などについては、2023年法には含まれていない。

（大瀧拓馬、広木拓）