インドは、データ保護に関する適切な政策の策定に向けて一歩前進しました。スリクリシュナ委員会は、元最高裁判事のB・N・スリクリシュナ氏が委員長を務め、10年2017月にインド政府から「主要なデータ保護問題の特定」のために任命されたXNUMX名からなる専門委員会で、XNUMX月末にようやく報告書と、インドにおけるデータプライバシーの法的枠組みを規定する法案草案を提出しました。
全213ページ レポート 67ページの 草案 電子情報技術省のウェブサイトで閲覧でき、インドにおけるデータ保護のあり方について詳細な洞察を提供しています。すべてはまだ理論段階であり、スリクリシュナ委員会は議会の承認を必要とする法案草案を提示したに過ぎませんが、実際に施行される政策は、おそらくこの法案から大きく逸脱することはないでしょう。こうした状況において、規模の大小を問わず、企業は分析と理解を行い、必要に応じて必要な変更を開始することが重要です。
企業にとって、以下の重要な点に留意する必要があります。
- この法案は、インドで処理されるあらゆるデータに新たな法律が適用されることを提案しています。報告書では「データ受託者」と呼んでいるデータ収集者も、インド国内に所在せずともデータ主体に影響を与える活動を行っているため、この法律の適用範囲に含まれることになります。
- データ保護局(DPA)と呼ばれる独立した規制機関が法律により設立され、法律の有効な施行に責任を持つことになります。
- 特定のデータ受託者は、DPAによって「データ処理活動の結果としてデータ主体に重大な損害を与える能力に基づき」重要なデータ受託者として分類されます。これらの重要なデータ受託者は、(i) DPAへの登録、(ii) データ保護影響評価、(iii) 記録保管、(iii) データ監査、(iv) データ処理責任者の選任といった義務を負うことになります。DPAは、他のデータ受託者にもこれらの義務を負うことを要求することができます。
- 欧州連合の 一般データ保護規制(GDPR)データ受託者には罰則が課せられ、データ主体にはデータ保護法違反に対する賠償金が支払われる場合があります。課せられる罰則金は、定められた上限額、または前会計年度の全世界売上高の一定割合のいずれか高い方となります。
- 機密性の高い個人データには、パスワード、財務データ、健康データ、公式識別子、性生活、性的指向、生体認証データおよび遺伝子データ、および個人のトランスジェンダーの状態、インターセックスの状態、カースト、部族、宗教的または政治的信念や所属を明らかにするデータが含まれます。
- 同意は個人データ処理の法的根拠となります。同意が有効であるためには、「自由意志に基づき、十分な情報に基づき、具体的かつ明確で、撤回可能であること」が求められます。
- データ受託者による個人データの処理はすべて公正かつ合理的でなければなりません。
- データ受託者にはデータの品質と保存制限に関する義務が課せられます。
- 限定された例外を条件として、データ移植の権利を法律に含める必要があります。
- 忘れられる権利が採用される可能性があり、DPA の裁定部門が特定の基準に基づいてその適用性を決定します。
- 重要と判断された個人データは、インド国内でのみ処理する必要がある。
- その他の種類の個人データ(重要でない)については、インドで少なくとも1つのコピーを保存することが義務付けられます。
- 提出された法案草案では、それに基づいて処罰される犯罪は、保釈可能と保釈不可に分類されている。
他にも様々な点がありますが、これらはインドにおける事業運営に影響を与える主要な点です。そのため、Facebook、Google、WhatsAppといった多くの多国籍企業は、インドのユーザーから収集したデータがデータ保護法に基づいて保護されることを確実にする必要があります。また、インド国内にコピーを保管することが義務付けられるため、サーバーのコストが増加する可能性があります。
もう一つの重要な点は、「重要」とみなされるデータ受託者も、今から様々なコンプライアンス対策を講じる準備を整える必要があるということです。2018年データ保護法案はまだ施行されていませんが、インドにおける将来のデータ法制の枠組みへの道筋を示すものであることは間違いありません。企業は、施行時に不意を突かれることのないよう、今から準備を進めておく必要があります。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威から包括的なセキュリティを提供します。詳細はこちら
