インドのデジタル個人データ保護法、2023 年: デジタル プライバシーのランドマーク

公開: 2023-09-21

インドの新しいデジタル個人データ保護法 (2023 年) は、個人データの収集または管理に関与するあらゆる組織または企業に適用されます。 この法律はインド国内でのデータ処理のみを対象とするものではありません。 また、インド国外で行われるデータ処理に対する権限も持っています。

急速に進化するインドのテクノロジー情勢は、2022 年のデジタル個人データ保護 (DPDP) 法案の導入とそれに続く可決により、重要なマイルストーンを達成しました。この極めて重要な法案は 7 月 5 日に連合内閣の承認を得て、モンスーン議会中に提出されました。この法案は立法プロセスを迅速に通過し、8月7日には下院(議会)、8月9日には上院(議会)の両方で承認を得た。

インド政府の官報通知に示されているように、2023 年 8 月 11 日に付与された大統領の正式な承認により、2022 年のデジタル個人データ保護法案は正式に 2023 年のデジタル個人データ保護法に移行しました。

2023 年のデジタル個人データ保護法の適用範囲はインドの国境を越えて拡大され、国外で行われる場合でもデジタル個人データの処理が含まれます。

ProcessIT Global の会長兼マネージング ディレクターである Rajarshi Bhattacharyya 氏は、この法律を欧州連合 (EU) の既存の一般データ保護規則 (GDPR) と比較しました。 同氏は、「GDPRは少し前に発表されたため、より進んでいる。 この政策はより先進的かつ包括的なものであり、インドの進歩をさらに促進することになるだろう。」

Rajarshi Bhattacharyya: サイバー レジリエンス、政府政策、データ セキュリティに関する洞察
ProcessIT Global の Rajarshi Bhattacharyya 氏が、サイバー レジリエンスの領域、政府の政策への影響、今日のデジタル環境におけるデータ セキュリティの重要な側面を詳しく掘り下げ、貴重な洞察を得ることができます。
サヤンタン モンダルスタートアップトーキー

業界団体 IAMAI と市場データ分析会社 Kantar の共同レポート「インドのインターネット レポート 2022」として知られるところによると、インドの人口の半分以上 (7 億 5,900 万人) がインターネットを積極的に利用していることが明らかになりました。レポートはまた、これらのアクティブ ユーザーのうち 3 億 9,900 万人がインドの農村部に居住しており、都市部のユーザー 3 億 6,000 万人を上回っていることも強調しています。 これは、インドにおけるインターネットの拡大が主にインドの田舎によって推進されていることを示唆しています。

新しいデータ保護法は倫理的な AI と世界的な展開を強調
事業体の義務
お客様の個人データに関するお客様の権利と義務
医療セクターは影響に備える

新しいデータ保護法は倫理的な AI と世界的な展開を強調

HaiVE の CEO、ディーピカ・ロガナサン氏は次のように述べています。「インド議会による 2023 年デジタル個人データ保護法 (DPDPA-2023) の制定を嬉しく思います。 この画期的な法律は、倫理的な AI とデータ保護に対する当社の長年にわたる取り組みと完全に一致しています。 オンプレミス AI ソリューションの既存のフレームワークが、この法律で概説されている 7 つの原則と義務をすでに厳密に遵守していることを発表できることを嬉しく思います。」

この法は、個人データの収集または管理に関与するあらゆる組織または事業に適用されます。 この組織は、処理の理由と方法を決定する組織 (データ受託者と呼ばれる) と、データ受託者の指示に基づいて処理を実行する組織 (データ処理者と呼ばれる) の 2 つのグループに分類されます。

この法律はインド国内でのデータ処理のみを対象とするものではありません。 また、インド国外で行われるデータ処理、特にインドの個人に提供される商品やサービスに関しても権限を持っています。 これは、物理的な場所に関係なく、インド居住者に商品やサービスを提供するあらゆる企業がその管轄下に入るということを意味します。

Digitap の CEO、Nageen Kommu 氏は次のように述べています。 私たちはデータを保存しません。 当社はデータ受託者であるクライアントに代わってデータを処理します。 データ処理者向けの特定のガイドラインはない場合がありますが、当社はデータ受託者が従うのと同じポリシーと手順を自発的に採用します。 顧客が同意の取り消しを希望する場合、当社は法の要件に従ってデータを確実に削除します。」

同氏はまた、同法は保管と送信時のデータセキュリティにも言及しており、インド国内でのデータのローカリゼーションを義務付けるRBIのアウトソーシング基準に対処するため、デジタップはすでに堅牢なセキュリティメカニズムを導入していると述べた。

事業体の義務

この法律は、個人データの取り扱いに関して企業が遵守しなければならないいくつかの義務を概説しています。 主な責任には次のようなものがあります。

  1. 個人データを収集する前に個人に通知し、収集されるデータ、その使用目的、および個人が持つ権利を指定します。
  2. 必要に応じて同意を得る、または正当な理由に基づく。
  3. 明示された目的に必要な個人データのみを収集します。
  4. 個人データは、意図された目的に必要な期間のみ保管し、その後削除します。
  5. 個人から提起された苦情や懸念に対処するためのメカニズムを確立する。
  6. 適切な技術的および組織的なセキュリティ対策を実施します。
  7. 個人データ侵害が発生した場合には、データ保護委員会および影響を受ける個人に通知します。
  8. 親または保護者の同意を求め、障害のある子供や個人に害を及ぼす可能性のある行動の監視、追跡、処理などの活動を控えます。
  9. インド国外への個人データの転送を指定された地域に制限する。
  10. データ保護の影響評価、定期的なデータ監査を実施し、重要なデータ受託者のデータ保護責任者と監査人を任命します。
  11. 個人データの国境を越えた転送に関する要件を遵守し、適用される免除を求める。

2023 年のデジタル個人データ保護法の義務にさらに準拠するために、HaiVE は会社のポリシーとプロセスを微調整している段階であるとロガナサン氏は述べました。 「私たちは、チームとクライアントのための包括的なガイドとして機能する、2023 年デジタル個人データ保護法コンプライアンス フレームワークを開発中です。 この枠組みはインドにおける今後のすべての取り組みに自動的に適用され、同法の規定のシームレスな遵守が確保される」と付け加えた。

お客様の個人データに関するお客様の権利と義務

個人には、個人データの取り扱いに関して法律に基づいて特定の権利が与えられています。 これらの権利には以下が含まれます。

  • アクセスする権利: 個人は、自分の個人データが処理されているかどうかを知る権利を有します。 処理されているデータの概要、処理活動の詳細 (ターゲットを絞った広告への使用など)、データが共有されているエンティティの身元 (処理者や第三者など)、共有されるデータの種類を要求できます。 。
  • 修正および消去の権利: 個人は、特にデータが他の組織と共有される場合、または意思決定に使用される場合に、不正確または誤解を招くデータを修正し、不完全なデータを完成させ、個人データを更新させる権利を有します。 また、法的遵守のために必要な場合には個人データを保持することもできますが、個人データの削除を要求することもできます(同意が基礎となっている場合は同意を撤回することもできます)。
  • 苦情救済および指名の権利: この法律は、個人が法の遵守に関して事業体に苦情を提出できるようにする苦情救済メカニズムを導入しています。 エンティティは指定された時間枠内に応答する必要があります。 対応に不満がある場合は、個人は問題をデータ保護委員会にエスカレーションできます。 さらに、個人は、自分が無能力になったり死亡したりした場合に、個人データに関する権利を行使する人を指名することができます。
  • 義務: この法律では、正確な情報の提供、なりすましの禁止、重要な情報の差し止め、データ保護委員会への虚偽の苦情の提出など、個人に対する特定の責任についても概説しています。

法案と法律: デジタル個人データ保護法、2023 年 | 2023 年 8 月 19 日

医療セクターは影響に備える

アルテミス病院医療情報部門最高技術責任者のカピル・クマール氏は、グルグラムが医療分野に及ぼす影響について懸念を表明した。 同氏は、「電子医療記録や遠隔医療などのデジタル医療技術の普及が進んでいることにより、2023年デジタル個人データ保護法は医療分野に大きな影響を与えるだろう」と述べた。

クマール氏によると、この措置は患者の機密データの収集、保管、配布を規制し、それによって個人のプライバシー権を保護することを目的としている。 同氏はまた、その重要性を強調する過去の事件にも言及した。 たとえば、2019 年には不正アクセス侵害が発生し、約 680 万人の患者と医師の健康記録が侵害されました。 同様に、2021年にインド政府ウェブサイトの侵害により、1,500人以上の住民の新型コロナウイルス感染症検査結果が暴露された。 ケーララ州では、20万人以上の患者の個人情報が誤って公開された。 この規制は、医療分野におけるデータプライバシーの擁護者として浮上しています。

この法律は、主にセキュリティ侵害の場合に特定の種類のデータ (機密性の高い個人データ) のみを限定的に保護する現行法とは大きく異なります。 対照的に、この法律は、個人に責任を課し、個人情報に対するより大きな管理と意識を与えることにより、個人データに対する広範な保護措置を提供します。

この法律は間違いなく個人のデジタル権利の保護において大幅な進歩を示していますが、その後のデータ保護委員会の規則制定と権利擁護の取り組みは、これらの権利を強化するだけでなく、データ処理のための構造化された枠組みを確立する上でも重要な役割を果たすでしょう。