インド電子・情報技術省(MeitY)は11月14日、2023年のDPDP法の完全施行に向けてデジタル個人データ保護(DPDP)規則2025を公布し、国民中心で革新に配慮したデータ保護枠組みを整備したと発表した。

本規則は、DPDP法が定めるデジタル個人データ保護の仕組みを具体化するもので、同意と透明性、目的の制限、データ最小化、正確性、保存期間の制限、セキュリティ確保、説明責任の七つの原則に基づく。法律はSARAL設計を採用し、平易な言葉や図解を用いて理解と遵守を容易にしている。

規則の策定にあたっては、デリー、ムンバイ、グワハティ、コルカタ、ハイデラバード、ベンガルール、チェンナイで幅広い協議が行われ、スタートアップや中小企業、業界団体、市民社会、政府部門からの意見が反映された。実施には18カ月の段階的移行期間を設け、組織の円滑な対応を可能にする。

データ受託者には、収集目的を明確に示す独立した同意通知の発行が義務付けられる。同意管理者はインド企業に限定される。また、個人データ漏洩時には、影響を受ける個人へ漏洩の性質、影響、対処措置、問い合わせ先を平易な言葉で速やかに通知する必要がある。

子どものデータ処理には検証可能な同意が必要であり、医療や教育、リアルタイム安全確保など不可欠な目的の場合のみ例外が認められる。支援を受けても法的判断が困難な障害者のデータについては、認証された法定後見人からの同意を必要とする。

重要なデータ受託者には、独立監査や影響評価、技術に対する厳格な調査などの追加義務が課される。さらに、政府が指定するデータカテゴリには、ローカリゼーションなどの制限が適用される場合がある。個人は自身のデータへのアクセス、修正、更新、消去の権利、および権利行使の代理人を指名する権利を有し、受託者は最大90日以内に対応する。

データ保護委員会は完全デジタル化され、専用プラットフォームやアプリで苦情の提出・追跡が可能となる。委員会の決定に対する不服申し立ては電気通信紛争処理・調停機関(TDSAT)が扱う。政府は本規則がプライバシー保護とイノベーション推進の両立を図るものであり、技術中立的なアプローチと十分な移行期間により、信頼性の高いデータ経済の形成を目指すとしている。

サイエンスポータルアジアパシフィック編集部