Compliance & Regulationシリーズの一部
完全ガイドを読むインド DPDP 法 2023: デジタル個人データ保護のコンプライアンス
2023 年 8 月 11 日に制定されたインドの 2023 年デジタル個人データ保護法 (DPDP 法) は、プライバシー規制に対するインドのアプローチにおける画期的な変化を表しています。シュリクリシュナ司法委員会の報告書(2017年)、複数の個人データ保護法案、プライバシーを基本的権利として肯定する最高裁判所の判決(K.S.プッタスワミ判事対インド連合、2017年)を含む10年近くの立法審議を経て、インドは現在、包括的で強制力のあるデータ保護の枠組みを持っている。
DPDP 法では、「データ受託者」、「データ本人」、「同意マネージャー」などの概念が導入され、インドのデータ保護委員会 (DPBI) が執行機関として設立され、違反ごとに最大 2 億 5,000 万ルピー (約 3,000 万米ドル) の罰金が定められています。この法律は現在発効しており、その施行規則は 2025 年から 2026 年に最終化され、通知される予定です。
重要なポイント
- DPDP 法 2023 は、インドおよびインドの個人に提供されるサービスの域外でのデジタル個人データ処理に適用されます。
- 同意が主な法的根拠であり、特定の目的(雇用、訴訟手続き、公共の利益)のための「正当な使用」によって補足されます。
- 「重要なデータ受託者」は、DPIA 要件や独立したデータ監査人の任命などの強化された義務に直面しています
- インドデータ保護委員会 (DPBI) は、調査、裁定、罰則を課す権限を持つ執行機関です。
- 違反ごとの最高罰金は 2 億 5 千万ルピー (約 3,000 万ドル) です。複数の違反に対するペナルティは累積される
- 国境を越えたデータ転送は、中央政府の通知によって特に制限されている国を除き、すべての国に許可されます。
- データ本人 (個人) は、アクセス、修正、消去、指名、および苦情救済の権利を有します。
- ルールの実装 (まだ最終化されていない) では、同意通知の形式、保存期間、重要なデータの受託者基準などの主要な運用要件が指定されます。
DPDP 法 2023: フレームワークの概要
重要な用語
DPDP 法では、GDPR の影響を受けるフレームワークとは異なる独自の用語が導入されています。
- 個人データ: かかるデータによって、またはかかるデータに関連して特定できる個人に関するあらゆるデータ
- デジタル個人データ: デジタル形式の個人データ、またはその後デジタル化された非デジタル個人データ
- データ主体: 個人データが関係する個人 (GDPR の「データ主体」に相当)
- データ受託者: 単独で、または他の人たちと協力して、処理の目的と手段を決定する人物 (GDPR の「データ管理者」に相当)
- データ処理者: データ受託者に代わって個人データを処理する人
- 重要なデータ受託者 (SDF): データの量/機密性、データ本人に対するリスク、国家安全保障上の考慮事項、およびその他の基準に基づいて中央政府によって指定されるデータ受託者。
範囲
DPDP 法は以下に適用されます。
- インド国内でのデジタル個人データの処理
- インド国外でのデジタル個人データの処理 — インドのデータ主体に商品またはサービスを提供する目的の場合
免除: 個人的または家庭的な目的での処理。データ本人によって公開された個人データ、またはデータ本人が公開することが法的に義務付けられている個人データ。
財団としての同意
複数の同等の法的根拠を持つほとんどの世界的なデータ保護法とは異なり、DPDP 法は同意を主な法的根拠とし、列挙された特定のカテゴリーに対する「正当な使用」によって補完されます。これは、実用上重要な意味を持つ基本的な設計上の選択です。
同意要件
DPDP 法に基づく同意は次のとおりである必要があります。
- 無料: 強制や条件はありません
- 特定: 記載されている目的ごとに
- 情報提供: 明確な同意通知に基づく
- 無条件: 必要以上のデータの提供を条件としません
- 明確な: 明確な積極的差別是正措置
同意通知の要件 (セクション 5 および 7): 同意を求める前に、データ受託者は以下を含む通知を提供する必要があります。
- 処理される個人データの説明
- 処理の目的
- データ主体が権利を行使できる方法
- データ受託者に苦情を申し立てる方法
- DPBI への苦情申し立ての方法
通知は、英語および憲法第 8 附則で指定されている言語 (22 の公用語) で行う必要があります。これは、消費者向け企業にとって重要な運営要件です。
同意マネージャー: DPDP 法では、データ主体に代わって同意を管理する仲介者として機能する登録団体である同意マネージャーを導入しています。データ主体は、単一の同意マネージャーを通じて複数のデータ受託者にわたる同意を管理できます。これはインドの枠組みに特有の革新的な仕組みです。
正当な使用 (セクション 7)
特定の「正当な使用」については、同意なしの処理が許可されます。
- 州の機能: 補助金、給付金、サービス、証明書、ライセンスを提供するための州の機関による処理
- 医療上の緊急事態: 生命または差し迫った健康リスクを脅かす医療上の緊急事態の治療
- 疫病/災害: 伝染病、パンデミック、または災害への対応
- 雇用の目的: 雇用に関連する法律に基づく義務の履行または権利の行使のための処理 (雇用前審査を含む)
- 裁判所命令: 裁判所命令によって要求される処理
- 調査と統計: 不正行為の防止/検出、信用スコアリング、法的調査、統計目的のための処理 - 所定の基準内での処理
- 公正かつ合理的な目的: 中央政府が公正かつ合理的であると指定した目的のための処理
データ本人の権利
DPDP 法では、データ主体に次の権利が付与されています (第 11 条から第 14 条)。
| 右 | 説明 | メカニズム |
|---|---|---|
| アクセスする権利 | 処理されている個人データの概要、データが共有されているすべてのデータ受託者の身元、その他の所定の情報を取得します。データ受託者へのリクエスト | |
| 修正および消去の権利 | 不正確なデータを修正します。本来の目的を果たさなくなったデータ、または同意が撤回された場合はデータを消去します。データ受託者へのリクエスト | |
| 苦情救済を受ける権利 | すぐに利用できる苦情救済手段。所定の期間内に回答する | 苦情担当者の連絡先 |
| 指名する権利 | 死亡または無能力の場合に権利を行使する人を指名する | 推薦プロセス |
注目すべき欠落: DPDP 法には、GDPR と同じ形式の自動化された意思決定に対する移植性、制限、または異議に対する明示的な権利が含まれていません。中央政府の実施規則は、所定の基準を通じてこれらの一部に対処する場合があります。
対応スケジュール: 法律ではタイムラインが指定されていません。これらは規則を実施する際に規定されることが期待されています。データ受託者は、所定の期間内に苦情を承認し、別の所定の期間内に解決する必要があります。
データ受託者の義務
一般的な義務 (セクション 8)
すべてのデータ受託者は次のことを行う必要があります。
- データの正確性を維持する(完全性、正確性、目的との一貫性)
- 暗号化、アクセス制御、インシデント対応などのデータ セキュリティ保護手段を実装する
- 目的が達成された場合、または同意が撤回された場合は、個人データを削除します(法的義務により保持が必要な場合を除く)。
- データ本人に関する苦情処理担当者 (または担当者/メカニズム) を配置する
- 検証可能な保護者の同意なしに子供のデータを処理しないでください (18 歳未満の子供の場合)
- 子供の行動を追跡または監視したり、子供にターゲットを絞った広告を掲載したりしないでください。
子供のデータ保護
DPDP 法には、児童 (18 歳未満の個人) のデータに関する厳格な規定があります。
- 処理には検証可能な保護者の同意が必要です
- 追跡、行動監視、および子供に向けたターゲットを絞った広告の禁止
- 子供の健康に有害な子供のデータは処理されません
実装ルールでは、検証可能な保護者の同意のための技術的なメカニズムが指定されます。これは、消費者向けアプリにとって、UX および技術的な重要な課題です。
重要なデータ受託者 (SDF)
中央政府は、以下の要素に基づいて、特定のデータ受託者を重要なデータ受託者として指定します。
- 処理される個人データの量と機密性
- データ本人の権利に対するリスク
- インドの主権と一体性への潜在的な影響
- 選挙民主主義へのリスク
- 国家の安全
- 治安
自衛隊には追加の義務が課せられます(第 10 条)。
- データ保護影響評価 (DPIA): 高リスクの処理アクティビティに対する DPIA を実施し、文書化します。
- データ監査: 独立したデータ監査人による定期的な監査
- データ保護責任者 (DPO): インドに拠点を置く DPO を主要な管理要員として任命します
- その他の措置:中央政府の定めるところによる
SDF 指定の基準はまだ最終決定されておらず、ルールを実施することでしきい値が指定されることになります。国際的な前例に基づくと、数百万人のインドユーザーを抱えるテクノロジー企業、ソーシャルメディアプラットフォーム、大規模な電子商取引事業が候補となる可能性が高い。
国境を越えたデータ転送
DPDP 法の第 16 条では、注目すべきアプローチが採用されています。個人データは、中央政府の通知によって特に制限されている国を除くインド国外のあらゆる国に転送される場合があります。
これはポジティブリスト/ネガティブ制限アプローチです。デフォルトでは移転が許可されていますが、政府は国家安全保障、戦略、またはその他の理由で特定の国への移転を制限できます。
実際的な意味:
- 企業は転送ごとの評価なしでデータを国際的に転送できます (国の制限の対象となります)
- 中央政府は制限国のリストを公表します - 企業は制限を監視し、実施する必要があります
- セクター固有のローカリゼーション要件(RBI に基づく財務データ、NMC/保健省に基づく健康データ)は、DPDP 法と並行して引き続き適用されます。
現在の状況: 2026 年初頭の時点で、国別の制限通知は発行されていません。ルールを実装することで、制限リストを公開および更新するためのフレームワークが確立されます。
インドデータ保護委員会 (DPBI)
第 18 条では、DPBI を以下の権限を持つ独立した司法機関として確立します。
- データ主体からの苦情を受け取り、調査する
- 侵害の疑いについて調査を実施する
- 金銭的罰金を含む命令をパスする
- データ受託者および処理者に指示を発行する
- 政策措置を講じるために問題を中央政府に付託する
DPBI の構造: 中央政府によって任命された議長が議長を務める。メンバーにはテクノロジー、法律、公共政策の専門家が含まれています。 DPBI はまだ設立されていません。その運用準備は規則の施行と政府の任命に依存します。
調査プロセス: データ主体は、データ受託者の内部苦情処理メカニズムを使い果たした後、DPBI に苦情を申し立てることができます。 DPBI は調査、文書の要求、証人召喚、および示威行為通知の発行を行うことができます。事業体は、罰則命令の前に審理を受ける権利を有します。
罰則
DPDP 法は、罰金スケジュール (DPBI のスケジュール) を定めています。
| 違反 | 最大ペナルティ |
|---|---|
| セキュリティ保護措置を実装しないと侵害につながる | ₹250 億 (約 3,000 万ドル) |
| DPBI とデータ プリンシパルへの違反の通知の失敗 | ₹200 億 (約 2,400 万米ドル) |
| 追加の自衛隊義務の不遵守 | ₹150 億 (約 1,800 万ドル) |
| 子供のデータ保護への違反 | ₹200 億 (約 2,400 万米ドル) |
| DPBI 命令の不遵守 | ₹150 億 (約 1,800 万ドル) |
| その他の違反 | ₹50 億 (約 600 万ドル) |
ペナルティは違反ごとであり、累積する可能性があります。セキュリティ上の欠陥と通知の失敗を伴う単一のデータ侵害は、理論的には総額 ₹450 億を引き起こす可能性があります。
違反通知
セクション 8 では、データ受託者に 個人データ侵害 を DPBI (および所定の手段でデータ主体) に通知するよう義務付けています。 GDPR のリスクベースのしきい値 (「高リスクをもたらす可能性がある」のみ) とは異なり、DPDP 法では、デジタル個人データに影響を与えるすべて の侵害の通知を義務付けているようです。実装ルールでは以下を指定します。
- 通知のタイムライン ・届出の形式と内容
- 影響を受けるデータプリンシパルへの通知方法
指定されたタイムラインがない場合、ベスト プラクティスは、GDPR の 72 時間という DPBI 通知の基準に準拠し、高リスクの侵害に対して不当な遅延なくデータ プリンシパルに通知することです。
DPDP 法の施行スケジュール
2023 年 8 月: DPDP 法が制定され、大統領の承認を得た
2024: ルールの実施に関する政府の協議。関係者のフィードバック期間
2025–2026: 通知されることが期待されるルールを実装し、以下を指定します。
- 同意通知の形式と言語要件
- データの保存期間
- 自衛隊の指定基準と閾値
- 検証可能な保護者の同意メカニズム
- 同意マネージャーの登録要件
- DPBI の憲法と運営手順
- データ監査人の資格要件
現在の状況: この法律は施行されていますが、多くの運用要件はルールの実装に依存しています。企業は、ルールの展開を監視しながら、GDPR レベルの厳格さを前提としてコンプライアンス プログラムを設計する必要があります。
DPDP 法準拠チェックリスト
- 適用性分析完了 (インドの事業、インドの顧客)
- すべての処理アクティビティに対する個人データのインベントリが完了しました
- セクション 5 および 7 の要件を満たす同意通知が作成されました
- 同意メカニズムの実装 (肯定的、具体的、無条件)
- 同意通知の該当するインド言語への翻訳が予定されています
- 同意なしに処理するための分析が完了した正当な用途
- 子供のデータ識別が完了 — 親の同意メカニズムが計画されている
- データ本人権の手順を文書化 (アクセス、修正、消去、指名)
- 苦情処理担当者の指定と連絡先情報の公開
- セキュリティ保護手段の実装 (暗号化、アクセス制御、インシデント対応)
- 違反通知手順を文書化 (DPBI 報告要件に準拠)
- データの保存と削除の手順が文書化され、自動化されています
- 国境を越えた移動の評価 - 制限国リストのモニタリングが計画されている
- SDF 指定評価 — 資格を得る可能性がある場合は、追加の義務に備えます
- 高リスク処理用に確立された DPIA プロセス
- DPDP 法の義務に関する従業員トレーニングが完了しました
よくある質問
2023 年 DPDP 法は完全に施行されていますか?
DPDP 法は制定され、2023 年 8 月に大統領の承認を得ました。ただし、多くの規定は、運用要件を指定する規則 (法律では規則と呼ばれます) の実施に依存しています。 2026 年初頭の時点で、施行規則は完全には通知されていません。この法律自体は施行されており、その原則と一部の義務が適用されていますが、詳細な遵守要件 (同意通知の形式、SDF 基準、DPBI 手順) は規則を待っています。企業は今すぐコンプライアンスフレームワークを準備し、ルールが公開されるたびに更新する必要があります。
DPDP 法は GDPR とどのように異なりますか?
いくつかの大きな違い: (1) DPDP 法は同意を主な根拠として使用し、「正当な使用」は限定されています。GDPR には 6 つの同等の法的根拠があります。 (2) DPDP 法はデフォルトで国境を越えた転送を許可しています (政府が制限している国は例外) — GDPR は適切な保護が存在しない限り転送を制限しています。 (3) DPDP 法には、データのポータビリティまたは処理の制限に対する明示的な権利が含まれていません。 (4) DPDP 法は、ユニークなイノベーションである同意マネージャーを導入しています。 (5) DPDP 法の罰金体系 (最高 2 億 5,000 万ルピー) は、GDPR の大手多国籍企業に対する潜在的な最高額よりも低い。 (6) DPDP 法はデジタル個人データにのみ適用されます。GDPR は形式に関係なくすべての個人データに適用されます。
重要なデータ受託者に指定される可能性があるのは誰ですか?
セクション 10 の基準では、SDF には、インドで運営されている主要なソーシャル メディア プラットフォーム、インドで相当のユーザー ベースを持つ大手電子商取引企業、機密データ (健康、金融) を大規模に処理する企業、大量の処理量を抱えるテクノロジー企業が含まれることを示唆しています。 GDPR の類似の「大規模で体系的な監視」の基準とインドの規模 (人口 14 億人) に基づいて、数百万のインド ユーザーを抱える企業、特に消費者向けインターネット、フィンテック、ヘルステック分野の企業は、SDF の可能性を評価し、義務の強化に備える必要があります。
同意マネージャーの規定とは何ですか?
同意マネージャーは、データ主体が複数のデータ受託者間で同意を付与、管理、レビュー、撤回できる相互運用可能なプラットフォームを維持する、DPBI に登録されているエンティティです。データ受託者は、同意マネージャーを通じて取得した同意に基づいて処理する責任を負います。これは、個人がデジタル エコシステム全体で同意を一元的に表示し、制御できるように設計されています。同意管理者の登録要件と技術基準は実施規則で規定されます。
DPDP 法は従業員データにどのように適用されますか?
雇用データは「正当な使用」条項 (第 7 条 (f)) を通じて扱われます。つまり、雇用 (雇用前の確認、身元調査、給与計算、福利厚生を含む) に関連する法律に基づく義務の履行または権利の行使を目的とした処理は、同意を必要とせずに正当な使用とみなされます。ただし、雇用目的を超えた従業員データには同意が必要です。施行規則により、雇用関連の正当な利用の範囲が明確になることが期待される。
依然として適用されるセクター固有のデータ ローカリゼーション要件はありますか?
はい。 DPDP 法の国境を越えた転送規定は、分野固有のローカリゼーション要件に優先するものではありません。インド準備銀行 (RBI) は、インド国内での金融データの保管を義務付けています (Payment System Data Storage Direction、2018)。国家医療委員会と保健省には、健康データのローカリゼーション要件があります。 IRDAI (保険) には、保険会社向けのデータ ローカリゼーション要件があります。規制されたセクターの企業は、DPDP 法とセクター固有の要件の両方を満たさなければなりません。
次のステップ
インドの DPDP 法は、インドで事業を展開する企業、顧客、または従業員を抱えるあらゆるビジネスにとって重要な規制の進展を表しています。ルールの実装はまだ最終段階にありますが、特に同意メカニズム、データ主体の権利、セキュリティ保護策を中心としたコンプライアンス プログラムを今構築することで、ルールが通知されたときに効率的にコンプライアンスを達成できるようになります。
ECOSIRE のテクノロジー実装チームは、企業がインド市場に合わせた DPDP 準拠のデータ アーキテクチャ、同意管理システム、プライバシー運用ワークフローを設計するのを支援します。
始めましょう: ECOSIRE サービス
免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。 DPDP 法の施行規則は保留中である。要件はルールが通知されるにつれて進化します。あなたの組織に特有のアドバイスについては、資格のあるインドの法律顧問にご相談ください。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulationのその他の記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.