2023年デジタル個人データ保護法( DPDP法またはDPDPA-2023とも呼ばれる)は、個人の個人データを保護する権利と、合法的な目的で個人データを処理する必要性の両方を認める方法でデジタル個人データを処理することを規定するインド議会の法律である。 [ 1 ]これは、通常の「彼/彼」代名詞とは異なり、「彼女/彼女の」代名詞が使用されたインド議会の最初の法律である。[ 2 ] [ 3 ]
| 2023年デジタル個人データ保護法 | |
|---|---|
 | |
| インド議会 | |
| |
| 引用 | 2023年法律第22号 |
| 領土の範囲 | インド |
| 通り過ぎた | 国会 |
| 合格した | 2023年8月7日 |
| 通り過ぎた | ラージヤ・サバー |
| 合格した | 2023年8月9日 |
| 同意者 | インド大統領 |
| 同意した | 2023年8月11日 |
| 開始 | 2025年11月13日(法第1条第2項、第2条、第18条から第26条、第35条、第38条、第39条、第40条、第41条、第42条、第43条、および第44条第1項および第3項) 2026年11月13日(法第6条第9項及び第27条第1項第d項) 2027年5月13日(残余条項) |
| 立法史 | |
| 第一院:ローク・サバー | |
| 法案引用 | 2023年法案第113号 |
| 紹介者 | アシュヴィニ・ヴァイシュナウ電子情報技術大臣、通信大臣、鉄道大臣 |
| 初読 | 2023年8月3日 |
| キーワード | |
| 同意、データプライバシー、データ侵害 | |
| ステータス:有効 | |
タイムライン
- 2022年11月18日:電子情報技術省は、2022年デジタル個人データ保護法案を公開協議のために発表した。[ 4 ] [ 5 ]
- 2023年7月5日:内閣は2022年の法案の改訂版である2023年デジタル個人データ保護法案を承認した。 [ 6 ]
- 2023年8月3日:インド議会の下院であるLok Sabhaで2023年デジタル個人データ保護法案が提出された。[ 7 ]
- 2023年8月7日:2023年デジタル個人データ保護法案がインド下院で可決された。[ 8 ]
- 2023年8月9日:2023年デジタル個人データ保護法案がインド議会の上院であるラージヤ・サバーに提出され、可決された。 [ 9 ]
- 2023年8月11日:インド大統領は2023年デジタル個人データ保護法案に承認を与え、 2023年デジタル個人データ保護法となった。[ 10 ] [ 11 ]
- 2025年11月13日:インドデータ保護委員会の設立に関する規定が発効。[ 12 ]
背景
- 2017年8月24日、インド最高裁判所はプライバシー権に関する判決を下した。KS・プッタスワミ判事(退職)他対インド連邦政府その他事件において、最高裁判所はプライバシー権はインド憲法第21条および第3部で保護されている基本的人権であると判断した。[ 13 ]
- 判決後、インド政府はデータ保護の枠組みを構築し、インド最高裁判所のプライバシー判決を受けてデータ保護法の制定に向けて動き始めました。[ 4 ]
- 2018年12月22日、インドのデータ保護枠組みを審議する専門家委員会がBNスリクリシュナ判事の議長の下で設置された。[ 14 ]
- インド政府は専門委員会を設置し、インドのデータ保護の枠組みに関する様々な白書について意見を求めてきた。[ 15 ] [ 16 ]
- 2018年個人情報保護法案の草案が発表された。[ 17 ] [ 4 ]
- BN・スリクリシュナ判事が委員長を務める専門家委員会は、データ保護委員会の報告書を発表しました。[ 18 ] [ 4 ]
- 2018年8月14日、電子情報技術省は個人データ保護法案草案に関する意見を求めた。[ 19 ]
- 2019年12月4日、さらなる審議を経て、この法案はインド内閣省により承認されました。
- 2019年12月11日、2019年個人データ保護法案がインド下院に提出されました。
- 2019年12月11日、2019年個人データ保護法案が合同国会議員委員会に付託された。[ 20 ]
- 2021年12月16日、常任委員会は法案に関する報告書を提出した。[ 20 ]
- 2022年8月3日、2019年個人データ保護法案は撤回された。[ 21 ]
- 2022年11月18日、電子情報技術省はデータ保護枠組みの法案草案を公開協議のために公表した。[ 4 ] [ 5 ]
- 2023年8月3日、2023年デジタル個人データ保護法案が下院に提出された[ 7 ]。
2019年個人データ保護法案
電子情報技術省は、データ保護に関する問題を検討する委員会を設置した。委員会の委員長は、退職した最高裁判所判事のBN・スリクリシュナ氏が務めた。委員会は2018年7月に個人データ保護に関する法案を提出した[ 22 ]。この報告書はその後、インド政府によって数回にわたり修正され、中央内閣の承認を得た後、2019年12月11日にインド議会に法案が提出された[ 23 ]。
法案として
この法案の目的は次のとおりです。[ 24 ]
個人データに関する個人のプライバシーの保護を規定し、個人データの流れと使用方法を規定し、個人データを処理する個人と組織の間に信頼関係を構築し、個人データが処理される個人の基本的権利を保護し、データ処理における組織的および技術的措置の枠組みを作成し、ソーシャルメディア仲介、国境を越えた転送、個人データを処理する組織の説明責任、不正で有害な処理に対する救済策に関する規範を規定し、上記の目的およびこれらに関連する、またはこれらに付随する事項のためにインドのデータ保護当局を設立する。
この条約は、同意の収集、データセットの評価、データフロー、第三国への個人データの移転、匿名化されたデータや非個人データに関するその他の側面について広範な規定を設けた。[ 25 ]
批判と撤退
2019年に改訂された法案は、当初の法案の起草者であるB・N・スリクリシュナ判事から、インドを「オーウェル国家」に変えてしまう可能性があると批判された。[ 26 ]エコノミック・タイムズ紙のインタビューで、スリクリシュナ判事は「政府は主権や公共秩序を理由に、いつでも個人データや政府機関のデータにアクセスすることができる。これは危険な意味合いを持っている」と述べた。[ 26 ] [ 27 ]
ソーシャルメディア仲介者の役割は、様々な面でより厳しく規制されつつあります。ウィキメディア財団は、PDP法案が2018年の情報技術[仲介者ガイドライン(改正)規則]草案と比較して、よりましな悪となることを期待しています。[ 28 ] [ 29 ]
フォーブス・インディアは、「この法案は政府に国民のデータにアクセスする包括的な権限を与えるのではないかという懸念がある」と報じている。[ 30 ]
この法案は提出後、ミーナクシ・レキ議長率いるインド国民会議(JPC)に付託されました。利害関係者、野党、専門家からの批判を受け、2022年8月3日にインド議会から撤回されました。 [ 31 ]
2023年デジタル個人データ保護法案
標的
出典: [ 32 ]
この法案は、個人の個人データを保護する権利と、合法的な目的およびそれに関連する事項や付随する事項のためにそのような個人データを処理する必要性の両方を認める形でのデジタル個人データの処理を規定しています。
2023年デジタル個人データ保護法案は、2023年デジタル個人データ保護法の草案であり、政府は当初、2022年11月18日にデジタル個人データ保護法案2022を公表し、2023年1月2日までのパブリックコメント募集を行い、パブリックコメント募集のために公表された以前の草案の改訂版を承認し、2023年デジタル個人データ保護法案とした。[ 33 ] [ 34 ]
タイムライン、導入、そして一節
- 2022年11月18日、2022年デジタル個人データ保護法案がパブリックコメントのために公開され、コメント受付の締め切りは2022年12月17日であった。
- 2022年12月17日、電子情報技術省はパブリックコメントの受付期限を2023年1月2日まで延長した。
- 2023年7月5日、内閣は、以前に意見公募された法案の改訂版である2023年デジタル個人データ保護法案を承認した。[ 6 ]
- 2023年8月3日、インド下院において、2022年デジタル個人データ保護法案の改訂版である2023年デジタル個人データ保護法案が電子情報技術大臣のアシュウィニ・ヴァイシュナウ氏によって提出されました。
- 2023年8月7日、この法案はインド下院(Lok Sabha)で可決された。[ 35 ]その後、この法案は2023年8月9日にインド議会の上院であるRajya Sabhaに提出され、可決された。[ 36 ]
- 2023年8月11日、インドのドラウパディー・ムルム大統領は、2023年デジタル個人データ保護法案に承認を与え、2023年デジタル個人データ保護法となった。[ 10 ] [ 11 ]
概要
この法律は、デジタル個人データ(すなわち、個人を特定できるデータ)を、以下の規定によって保護する[ 1 ]。
- データ受託者(つまり、データを処理する個人、企業、政府機関)のデータ処理(つまり、個人データの収集、保管、またはその他の操作)に関する義務
- データ主体(つまり、データが関係する人物)の権利と義務
- 権利、義務、責任の違反に対する金銭的罰則
- インドデータ保護委員会の設立
GDPRとの比較
2023年デジタル個人データ保護法(DPDPA)と欧州連合(EU)の一般データ保護規則(GDPR)は、類似した原則を共有していますが、重要な点で異なります。DPDPA-2023はデジタル個人データにのみ適用されますが、GDPRはあらゆる形態の個人データを対象としています。[ 37 ] GDPRとは異なり、DPDPA-2023は個人データとセンシティブ個人データを区別していません。[ 38 ]両法は個人に同様の権利を付与していますが、データ処理の法的根拠に対するアプローチが異なります。[ 37 ]
| 特徴 | 2023年デジタル個人データ保護法(DPDPA-2023) | 一般データ保護規則(GDPR) |
|---|---|---|
| 範囲 | デジタル個人データ処理を規制します。インドで商品やサービスを提供する場合の域外適用も含まれます。 | デジタルデータであろうとなかろうと、すべての個人データが対象となります。所在地に関係なく、EU 内の個人のデータを処理するあらゆる組織に適用されます。 |
| データの種類 | デジタル個人データに限定されます。 | 非デジタルデータも含めたすべての個人データをカバーします。 |
| 処理の法的根拠 | 一部の正当な使用ケース(雇用、法的義務、緊急事態など)では同意が必要です。契約上の必要性や正当な利益はこれに含まれません。 | 正当な利益、契約上の必要性、法的義務などの明確な根拠を伴う同意が必要です。 |
| データ主体の権利 | アクセス、訂正、消去、苦情処理の権利。固有の権利:データ主体が死亡または無能力になった場合、データ主体に代わって権利を行使する代理人を任命する権利。 | 通知を受ける権利、アクセスする権利、訂正する権利、消去する権利、処理を制限する権利、データの移植性に関する権利、異議を申し立てる権利、自動化された決定の対象とならない権利。 |
| 国境を越えたデータ転送 | インド政府によって制限されている管轄区域を除き許可されます。 | 適切性の決定に基づいて許可されます。 |
インドデータ保護委員会
2023年デジタル個人データ保護法第18条に基づき、インドデータ保護委員会は、個人データがプラットフォームに提供された者と、法律上の義務に違反したプラットフォームとの間の紛争を裁定する機関である。[ 39 ] [ 40 ] [ 41 ] [ 42 ] [ 43 ]
権利と規定
- 個人データへのアクセス権[ 44 ] [ 45 ]
- データの訂正および消去の権利[ 44 ] [ 45 ]
- 同意を取り消す権利[ 44 ] [ 45 ]
- 未成年者(18歳未満)に関するデータ保護に関する特別規定[ 44 ] [ 45 ]
- 違反に対する最低罰金は5億ルピー[ 44 ] [ 45 ]
- データ収集に関連する利用規約と情報は、インド憲法第8条に規定されている22の言語すべてで公開されるべきである[ 44 ] [ 45 ]
- 苦情処理の権利[ 44 ] [ 45 ]
- データ主体に代わってデータ関連の要求を管理する同意管理者を指名する権利(死亡または無能力の場合に権利を行使する人物を指名する権利)[ 44 ] [ 45 ]
- この法律は、児童の福祉に有害な、または児童の追跡、行動監視、ターゲット広告を伴う処理を許可していない[ 44 ] [ 45 ]
免除
この法律は、この法律に関連する規制から 免除[ 46 ]を設けており、それらは以下の通りである。
- 個人データの処理は、法的権利または請求を執行するために必要である[ 46 ]
- インドの裁判所、法廷、またはその他の機関が、司法機能、準司法機能、規制機能、監督機能を法律により委託されている場合、当該処理が当該機能の遂行に必要な場合に個人データを処理すること[ 46 ]
- 個人データは、インドで現在施行されている法律の違反または犯罪の防止、検出、調査、訴追を目的として処理されます[ 46 ]
- インド領外のデータ主体の個人データは、インドに拠点を置く人物がインド領外の人物と締結した契約に基づいて処理される[ 46 ]
- 処理は、2社以上の会社の和解、調整、合併、統合、分割その他の方法による会社の再建、1社以上の会社の事業の別の会社への譲渡、または1社以上の会社の分割を伴う計画に必要であり、裁判所、法廷、または現時点で施行されている法律によって権限を有するその他の当局によって承認されている[ 46 ]
- この処理は、金融機関からの融資または前払い金の支払いを滞納した者の財務情報および資産と負債を確認することを目的としており、この処理は、現時点で施行されているその他の法律の情報またはデータの開示に関する規定に従って行われるものとする。[ 46 ]
批判
オフラインの個人データには適用されない
この法律は、デジタルで収集されたデータと、オフラインデータがデジタル化された場合にのみ適用されます。オフラインの個人データには適用されないことは、そのようなデータの取り扱いに関する枠組みが存在しないとして批判されました。[ 47 ]
参照
参考文献
- ^ a b「2023年デジタル個人データ保護法案、2023年法案第113号」(PDF)。2024年7月18日時点のオリジナルよりアーカイブ(PDF) 。
- ^ Bhargava, Yuthika (2022年11月18日). 「データ保護法案草案は、すべての個人を指すために『彼女』と『彼女の』を使用している」 . The Hindu . ISSN 0971-751X . 2024年7月8日時点のオリジナルよりアーカイブ。 2023年8月9日閲覧。
- ^ 「2023年デジタル個人データ保護法、2023年第22号」(PDF)。The Gazette of India。2023年8月11日。2023年11月3日時点のオリジナルよりアーカイブ(PDF) 。
- ^ a b c d e「データ保護フレームワーク | インド政府電子情報技術省」www.meity.gov.in。2024年6月24日時点のオリジナルよりアーカイブ。2023年8月28日閲覧。
- ^ a b「Notice - Public Consultation on DPDP 2022_1」(PDF)www.meity.gov.in。2023年11月3日時点のオリジナルよりアーカイブ(PDF) 。 2024年10月5日閲覧。
- ^ a b「内閣、データ保護法案を承認」The Hindu、2023年7月5日。ISSN 0971-751X。2023年8月28日時点のオリジナルよりアーカイブ。2023年8月28日閲覧。
- ^ a b「2023年デジタル個人データ保護法案がLok Sabhaで導入」The Hindu、2023年8月3日。ISSN 0971-751X。2023年8月17日時点のオリジナルよりアーカイブ。 2023年8月28日閲覧。
- ^ 「データ保護法案がLok Sabhaで可決、次はRajya Sabha」Moneycontrol . 2023年8月7日. 2023年8月7日時点のオリジナルよりアーカイブ。 2023年8月7日閲覧。
- ^ Chishti, Aiman J. (2023年8月9日). 「議会、デジタル個人データ保護法案を可決」 www.livelaw.in . 2023年8月11日時点のオリジナルよりアーカイブ。2023年8月9日閲覧。
- ^ a b「インド、データ保護法を制定」Moneycontrol . 2023年8月11日. 2023年9月20日時点のオリジナルよりアーカイブ。 2023年8月11日閲覧。
- ^ a b 「デジタル個人データ保護法案、大統領承認」。エコノミック・タイムズ。2023年8月12日。ISSN 0013-0389。2024年6月15日時点のオリジナルよりアーカイブ。 2023年8月11日閲覧。
- ^ 「通知」(PDF)電子情報技術省。インド、ニューデリー:The Gazette of India。2025年11月13日。 2025年11月13日閲覧。
- ^ 「プライバシー権をめぐる裁判」(PDF)。2017年8月28日時点のオリジナル(PDF)よりアーカイブ。2023年8月9日閲覧。
- ^ 「MeitY OMによる専門委員会221217へのJS(GS)の指名」(PDF) www.meity.gov.in 2017年12月22日2024年10月5日閲覧。
- ^ 「インドのデータ保護枠組みに関するホワイトペーパーに関するパブリックコンサルテーション」(PDF)。
- ^ 「データ保護フレームワーク - ムンバイでのパブリックコンサルテーション会議」(PDF)。
- ^ 「2018年個人データ保護法案」(PDF) .
- ^ 「データ保護委員会 - 報告書」(PDF) .
- ^ 「個人情報保護法案草案に関するフィードバック」。
- ^ a b「2019年個人データ保護法案」PRS立法調査。2023年8月28日閲覧。
- ^ 「PDPBの撤退」。
- ^ 「個人情報保護法案草案」(PDF) .
- ^ 「2019年個人データ保護法案」PRS立法調査。2023年8月28日閲覧。
- ^ 「2019年個人データ保護法案」(PDF)。2019年12月21日時点のオリジナルよりアーカイブ(PDF) 。 2019年12月21日閲覧。
- ^ 「新たなデータ体制の到来:データ慣行の再検討、Sameer Avasarala、Anirban Mohapatra、Arun Prabhu」。2022年9月28日時点のオリジナルよりアーカイブ。 2022年8月22日閲覧。
- ^ a b Mandavia, Megha (2019年12月12日). 「個人データ保護法案はインドを『オーウェル国家』に変えかねない:BN・スリクリシュナ判事」 . The Economic Times . 2020年1月31日時点のオリジナルよりアーカイブ。 2019年12月21日閲覧。
- ^ 「2019年個人データ保護法案に関する当初のコメント」Dvara Research、2020年1月17日。2020年4月11日時点のオリジナルよりアーカイブ。 2020年1月20日閲覧。
- ^ Agarwal, Surabhi (2019年12月27日). 「Wikimedia flags worried on data law」 . The Economic Times . 2020年3月30日時点のオリジナルよりアーカイブ。 2019年12月28日閲覧。
- ^ 「2018年情報技術[仲介者ガイドライン(改正)規則]草案」PRSIndia、2019年1月30日。2020年1月2日時点のオリジナルよりアーカイブ。 2020年1月2日閲覧。
- ^ 「個人データ保護法案はインド人のプライバシーにとって深刻な脅威となる可能性がある」 Forbes India . 2019年12月17日時点のオリジナルよりアーカイブ。 2019年12月21日閲覧。
- ^ 「データ保護法案撤回:包括的なデータ保護枠組みへの障害」lakshmisri.com . 2023年8月28日閲覧。
- ^ 「2023年デジタル個人データ保護法案」PRS立法調査。2024年1月8日閲覧。
- ^ 「2023年デジタル個人データ保護法案」PRS立法調査。2023年8月28日閲覧。
- ^ 「デジタルデータ保護法案に関する意見提出期限延長」 The Hindu、2022年12月17日。ISSN 0971-751X 。 2023年8月28日閲覧。
- ^ 「Lok Sabha、2023年デジタル個人データ保護法案を可決」。エコノミック・タイムズ。2023年8月7日。ISSN 0013-0389。2023年8月28日閲覧。
- ^ 「2023年デジタル個人データ保護法案、ラージヤ・サバーで可決:主要ポイント」タイムズ・オブ・インディア、2023年8月11日。ISSN 0971-8257。2023年8月28日閲覧。
- ^ a b「インドの2023年デジタル個人データ保護法とGDPRの比較」(PDF)。Latham & Watkins LLP。2023年12月。 2024年7月11日閲覧。
- ^ 「インドの新しいデータ保護法:GDPRとの違い、そして国際企業にとっての意味とは?」ハーバート・スミス・フリーヒルズ。2023年10月10日。 2024年7月11日閲覧。
- ^ Ganguly, Shirsha (2023年8月30日). 「データ保護委員会は規制当局ではなく裁定機関として機能するとMoS ITが明言」 thelogicalindian.com . 2023年9月6日閲覧。
- ^ PTI (2023年8月9日). 「政府は10ヶ月以内に新たなデータ保護法を施行する予定」 . BQ Prime . 2023年8月28日閲覧。
- ^ 「独占記事:デジタル競争に関する新法は大手IT企業を規制する可能性が高い。アシュウィニ・ヴァイシュナウIT大臣がデータ保護法案について語る」。エコノミック・タイムズ。 2023年8月28日閲覧。
- ^ Ganesan, Aarathi (2023年11月2日). 「インドデータ保護委員会:構成とその影響」 . MediaNama . 2024年1月8日閲覧。
- ^ Ganesan, Aarathi (2022年11月19日). 「2022年データ保護法案におけるデータ保護委員会の役割」 . MediaNama . 2024年1月8日閲覧。
- ^ a b c d e f g h i G, Sandeep (2024年1月4日). 「2023年デジタル個人データ保護法に基づくプライバシー通知」 . Bar and Bench - Indian Legal news . 2024年1月8日閲覧。
- ^ a b c d e f g h i「2023年デジタル個人データ保護法の解読」 www.ey.com . 2024年1月8日閲覧。
- ^ a b c d e f g「2023年デジタル個人データ保護法の解読」 Moneylife NEWS & VIEWS 2024年1月8日閲覧。
- ^ 「データ保護法:説明責任と同意に焦点を当てるが、オフラインデータも同等に扱う必要がある」 Financialexpress 、 2023年10月8日。 2024年1月8日閲覧。
