インドで8月8日、個人データ保護に関する個人の権利と、合法的な目的と関連または付随する事項に用いる個人データを処理する必要性の両方を保護する形で、デジタル個人データの処理について規定しているデジタル個人データ保護法案(Digital Personal Data Protection Bill, 2023)が可決された。インドのAI関連のポータルサイトINDIAaiが8月10日付で伝えた。

この保護法は、データ受託者の義務、データ主体の権利と義務、権利・義務・義務違反に対する罰則を規定することにより、デジタル個人データを保護するものだ。また、データ受託者が、混乱を最小限に抑えてデータ保護法の導入を達成し、生活のしやすさ(Ease of Living)とビジネスのしやすさ(Ease of Doing Business)を向上させ、インドのデジタル経済とそのイノベーション・エコシステムを可能にすることを目指している。

同法は次の7つの主要原則に基づいて作成されている。個人データの同意・合法的かつ透明性のある利用の原則、目的制限の原則、データ最小化の原則、データ正確性の原則、保存制限の原則、合理的な安全保護の原則、説明責任の原則である。

また、同法には、SARAL(Simple, Accessible, Rational &Actionable Law:平易な言語を使用し、意味を明確にする図解を含み、但し書きを含まず、相互参照は最小限である)という特徴もある。

同法には「彼」ではなく「彼女」という言葉を使い、議会の法律制定における女性を認めている。同法は、個人に対し、処理された個人データに関する情報にアクセスする権利、データの訂正と消去の権利、苦情救済の権利、死亡または能力喪失の場合に権利を行使する人を指名する権利を与える。

影響を受けるデータ主体は、その権利を行使するために、第一にデータ受託者に働きかけることができる。さらに納得できない場合は、データ保護委員会に苦情を申し立てることも可能だ。また、同法は子どもの個人データも保護している。同法では、児童の福利を害するような処理や、追跡、行動監視、ターゲット広告を含む処理は許可されていない。

サイエンスポータルアジアパシフィック編集部