インド:IoT時代の個人情報保護の在り方

本稿ではデータ・エコノミー社会における「情報保護」を念頭におき、インドにおける個人情報保護法案の概要を解説するとともに、その対応策を紹介します。

本稿ではデータ・エコノミー社会における「情報保護」を念頭におき、インドにおける個人情報保護法案の概要を解説するとともに、その対応策を紹介します。

この記事は、「華南・アジア ビジネスリポート 2019年7月/8月 Vol.84」に掲載したものです。発行元である株式会社みずほ銀行の許可を得て、あずさ監査法人がウェブサイトに掲載しているものですので、他への転載・転用はご遠慮ください。

ネットワークを介し「モノ」や「情報」がつながるようになった現代(IoT時代)では、国境を越えてさまざまな情報のやり取りが行われるようになった。またデジタル技術の革新的発展(デジタル・デスラプション)により「新しい価値」が生み出され、データこそが企業に富と成長をもたらす“資源”であるとして、「データは石油だ」とまで言われるようになった。

「データ・エコノミー」と呼ばれる、蓄積された情報を事業の競争力の向上に生かす新たな経済が到来する中で、従来の企業統治やコンプライアンス・情報保護の考え方では、その貴重な情報を適切に保管し、守ることが非常に難しくなってきている。

その背景には、かつては企業や自宅に不法侵入する等、物理的に行われた「情報の侵害」が、さまざまなもの(書類、家電、情報など)がデジタル化され、またそれらがつながること(コネクト)によって、ハッカーやクラッカー(ハッキングして破壊活動を行う人)が世界中のどこからでも「情報の侵害」を行うことができるようになったことが挙げられる。つまり、単に人為的ミスを防ぐべく、法律に準拠し社内体制を整えるだけでは、企業として「情報保護」を実現することはできない。悪意の有無および内外の要因によってもたらされる漏洩リスクに対抗するためにも、デジタルテクノロジーを駆使して、サイバー被害に備える対策を早急に行う必要があると言えよう。

本稿ではデータ・エコノミー社会における「情報保護」を念頭におき、インドにおける個人情報保護法案の概要を解説するとともに、その対応策を紹介する。

1. インドにおける個人情報保護法案とその変遷

各国で個人情報保護に対する関心が高まりを見せる中、2018年7月27日にインド個人情報保護法案(Personal Data Protection Bill、以下「PDPB」)がインド連邦議会に提出された。

これまでインドでは主に電子データやオンラインコンテンツ等、コンピューター上でデータ保管されている情報に限定し取り扱いを規定した、2000年情報技術法(Information Technology Act, 2000※1、以下「IT法」)に基づき個人情報の保護が図られてきた。また電子決済の取引額の拡大を受けて、11年以降、インド準備銀行(RBI)、保険規制開発庁(IRDAI)および証券取引委員会(SEBI)と、金融セクターを中心に情報セキュリティのためのフレームワークを発表し、「情報」の保護施策を打ってきた。

今回のPDPBは、同国にとって初の包括的な個人情報保護法※2となり、すべての企業に対応を求めるものとなっている。

本法案は第1次モディ政権の最終年度に提出され、総選挙を挟み施行までに時間を要しているが、EUの一般データ保護規則(General Data Protection Regulation、以下「GDPR」)や日本の個人情報保護法の改正等の動きに見られるように、個人情報保護の強化は世界的な潮流と言える。インドでも急成長するIT産業およびデジタル取引の急拡大を背景に、本法案は第2次モディ政権における議題に上がることは間違いなく、法案最終化に向けて動きが加速していくと考えられる。

※1 09年に改訂

※2 Information Technology Act, 2000および17年の最高裁のプライバシーの権利を支持する判例等、PDPBに至るまでの変遷はあるが、包括的な法律としては、PDPBが同国初めての法規定となる

2. インド個人情報保護法案の概要

PDPBはGDPRをモデルとし、個人情報等の取得、保管および処理、国外移転のためのルール等が定められている。当該法案の概要は図1のとおりである。

図1 インド個人情報保護法案(PDPB)の概要

項目 個人情報保護法案(The Personal Data Protection Bill, 2018)
対象 インド国内に所在する法人・個人
※拠点や所在地が物理的に無くても、インド国内にて商品またはサービスを提供するすべての法人・個人にも適用される※3
定義
  • 個人情報(Personal Data)と、その取り扱い(Processing)方法について規定、定義している
  • 「個人情報」と、人種・政治的思想・医療等に関する情報等、漏洩時に重大な不利益を及ぼす「センシティブ個人情報」を区別し、センシティブ個人情報の取り扱いには、データ主体(Data Principal)の同意に特別な条件を満たす必要がある
  • 加えて、政府が別途指定する「重要個人情報」(Critical Personal Data)が規定され、取り扱いに条件が課される
データ主体の権利 情報の確認や訂正に関する権利のほか、忘れられる権利(削除権)や、損害賠償権を有する
PDPBの主な要求事項

情報受託者(Data Fiduciaries※4)がデータ主体の利益に則して行動するよう、以下の義務を課している

  • データ管理、保管体制(プライバシー・バイ・デザイン※5)の構築
  • データ保護責任者(Data Protection Officer、「DPO」)の設置
  • データ保護リスク影響評価(Data Protection Impact Assessment、「DPIA」)の実施
  • データの侵害(情報漏えい)が発生した場合の監督機関への通知義務
  • 当該法に準拠している旨の説明責任
  • データ主体の権利への対応
  • 「重要個人情報」の、インド国内のサーバーでの保管(データローカライゼーション※6)と国外移転の制限
対応期限 当該法が施行されてから、12カ月以内
罰則 全世界売上の2~4%または5,000~1億5,000万インドルピー(以下「ルピー」)のいずれか高い方の罰金が課される(禁固刑が科される場合もある)。なお、データ主体の権利への不履行があった場合、その期間1日に対し 5,000ルピー(上限100万ルピー)が課される


※3 GDPRにおいても同様の法律対象範囲となっている。また個人の私的な行為や小規模事業者に関する例外がある

※4 GDPRではData Controllerと称される

※5 カナダ・オンタリオ州、情報プライバシーコミッショナーのアン・カブキアン博士が提唱したもので、プライバシー侵害のリスク軽減のために、個人情報や産業情報を「使用する段階」で、その保護の施策を検討するのではなく、その事前段階(Proactive)の「開発・企画・設計段階」からプライバシー対策を考慮し一貫した取り組みを行うこと

※6インターネット上のサービスなどの提供に必要なデータは、すべて当該国内に存在しなければならないという考え方に基づく、各種規制のこと

3. EUの一般データ保護規則(GDPR)との比較と、日系企業への影響

PDPBはGDPRをモデルとして素案されたことは先にも述べた通りだが、個人情報およびセンシティブ個人情報については、そのコピーをインド国内のサーバーに保存することを、「重要個人情報」(Critical Personal Data)については、保存も含む取り扱いすべてをインド国内で行うこと(国外移転の禁止)を求めるなど、データ・ローカライゼーションに関しても規定している。この重要個人情報には、氏名や住所などの一般的な個人情報も対象になるなど、GDPRよりも厳しい規制も定められている点に留意が必要である(図2)。

図2 PDPBとGDPR の比較 - 規制が強化された点

項目 PDPB GDPR
データ・ローカライゼーション
  • 個人情報およびセンシティブ個人情報は、データコピーをインド国内のサーバーまたはデータセンターで保存すれば国外移転可能
  • 重要個人情報は、原則インド国内の取り扱いのみに制限(国外移転の原則禁止)
  • 情報種別による取り扱いの差なし
  • 欧州委員会の認定国であれば域外移転可能
「センシティブ個人情報」の定義
  • より厳格に「センシティブ個人情報」が定義され、またその取り扱いについても規定(例:個人識別番号)
  • PDPBと比較すると限定的
懲罰:刑事責任と罰金
  • 情報漏洩やプライバシー侵害は、罰金に留まらず、懲役刑を伴う刑事責任を問われる可能性あり
  • 違反の種類、行為、およびその影響について定義され、個人に対しても懲罰が課される
  • 情報漏洩やプライバシー侵害にかかる刑事責任については規定なし
  • 罰金のレンジのみ規定

本法案がこのまま通過すれば、社員情報やメール等の情報を、日本のサーバー内で管理をしている企業も捕捉されることとなり、PDPBと比べてより多くの日系企業が対応に迫られると考えられる。

またPDPBでは旧来のインドにおける個人情報保護のルールから大きく飛躍し、種々の対応が求められることから、さまざまなデータを多国間で扱う企業にとってコスト負担増となる可能性が指摘されている。

4. PDPBへの対応に向けて

PDPBの成立により、個人情報等を取り扱う企業や個人は、個人情報等を保護するためのさまざまな措置を講じる必要に迫られることになる。具体的な対応を検討するにあたり、今後の施行規則やガイドラインの公表が待たれている。

一方で、欧州でのGDPR、そして日本の個人情報保護法改定時のように、法律の施行を待ち対応すればよいものではない。なぜなら、先立つ歴史があった上での改正とは異なり、インドにおいては初の個人情報保護にかかる包括的法律であるため、今までの事業運営プロセスが「情報保護」を念頭に置いたものになっていないからである。

同国で仕事をした経験のある人はその状況を認識しているだろう。名刺には必ず個人の携帯電話番号が記載されるし、マス向けの広告にも担当者の氏名および個人の連絡先が記載されている。求職者情報等はまとめて不特定多数にメールで送付されるほどだ。

個人情報保護法に先立って、RBIは今年4月、すべての決済関連データを国内のみで保管するよう関係企業に通達を出したが、期限内に完了したのは8割程度だったと言われている。当該通達はシステムの改変を伴うものであったため、要求自体が乱暴だとの声もあったが、最も情報の集約および整備が進んでいるセクターでさえ対応に苦慮する中で、PDPBの成立によってGDPRよりも高い要求がなされれば、さらなる混乱が発生することは火を見るより明らかだろう。

国内外より当該法への懸念が指摘されているものの、PDPBの個人情報保護の在り方はグローバルでの潮流を踏襲するものであり、その流れが大幅に変化することは考え難い。その中でただ悲観し、状況に飲み込まれるのを待つのではなく、現状を理解し施行に先立った計画の推進(図3)を行うことが必須だと言える。

図3 計画の推進方法

図3 計画の推進方法

5. 情報保護の在り方とその課題

既述の通り、PDPBへの対応は確かにコスト負担増が見込まれるうえ、EUのGDPRや日本の個人情報保護法よりも厳しい要求となっていることから、対応にネガティブな声が聞こえるのもやむを得ないように思える。

一方で、データ・エコノミー化が進む中で、あらゆるものが電子化されつながりを持つことで、その漏洩に対する損害は年々大きくなっている。17年にはサイバー攻撃による損害額は年間6000億米ドル※7に上ったと言われる。内部要因による情報漏洩を含めると、損害額は更に拡大するだろう。「情報」が企業に富と成長をもたらす“資源”であることを考えると、情報の流出がもたらす「将来の成長の損失」や「信用の失墜」等、企業が被る損害は計り知れない。

KPMG 2018 Global CEO Outlook Survey※8によると、CEOの47%がサイバー被害に備えるセキュリティ対策が急務の課題と考えており、またそれが事業の崩壊につながる可能性を危惧している。つまり半数近くの経営者は、データ・エコノミー社会における情報保護の重要性と緊急性を認識しているということだ。それは国の取り組みにおいても同様である。各国で情報の取り扱いに関する法律の整備とともに、セキュリティを担保する取り組みが義務化されるなど、両者は互いに関連しながら「情報保護」に向け、動きを見せている。

それらを鑑みた場合、冒頭にも述べたように、PDPBに則り個人情報保護施策を構築するだけでは不十分である。PDPBへの対応はあくまでも必要条件であり、「情報保護」の目的を網羅した十分条件にはなり得ない。情報漏洩にかかる内外の要因を排除する取り組みが出来て初めて、企業の成長を左右する「情報」を適切に「保護」する体制が整うのである。

本法案への対応を単にガバナンス・コンプライアンスの一環として義務的に実施するのではなく、企業の保有する資産である「情報」を適切に保護・管理し、そして蓄積された情報を新たな資源として、事業の競争力の向上に生かす能動的な活動として、取り組むことが望ましいと考えられる。

※7 Center for Strategic and International Studies (CSIS), 2018

※8 KPMG 2018 Global CEO Outlook Survey

執筆者

KPMGインド(デリー)
アソシエイト ディレクター
井上 ゆかり

日系コンサルティングファームにて、組織コンサルティングに従事。関連分野で講師やコメンテーターを務めた後、2010年よりインドにて日系企業に対するM&A、ビジネスアドバイザリー、リスクアドバイザリーを提供し、多くの不正事例に関連した組織・プロセス改善に携わる。日系企業のインド子会社に対するガバナンス体制構築のためのプロジェクトを中心に、インドにおける日系企業のサポート業務に携わっている。

お問合せ