2018年個人データ保護法案（インド）

「2018年個人データ保護法案」は、スリクリシュナ委員会によって起草されたインドの画期的な法案草案です。EUのGDPRに匹敵する包括的なデータ保護体制の確立を目的としていました。この法案は、「データ受託者」（GDPRの管理者に相当）や「データ主体」（個人）といった主要な概念を導入し、データポータビリティ権や忘れられる権利などの重要な権利を個人に付与しました。GDPR第35条および第37条を反映し、高リスク処理に対する「データ保護影響評価」（DPIA）の実施と「データ保護責任者」（DPO）の任命を義務付けています。最終的に制定はされませんでしたが、その原則は後の「2023年デジタル個人データ保護法」の基礎となり、企業のリスク管理において重要な参照点となっています。

本法案は草案であるものの、その原則は企業のリスク管理、特にインドで事業展開する企業にとって極めて実践的な指針となります。具体的な導入手順は以下の通りです。1. **データマッピングとギャップ分析の実施**：ISO/IEC 27701などのフレームワークを参考に、保有するインド国民の個人データを棚卸しし、データフローを可視化します。これにより、同意取得メカニズムや国境を越えるデータ移転におけるコンプライアンス上のギャップを特定します。2. **ガバナンス体制の構築**：法案の要求に基づき、データ保護責任者（DPO）を任命し、データ侵害通知やデータ主体からの権利行使要求（DSAR）に対応する手順を策定します。これにより、監査対応能力を90%以上向上させることが可能です。3. **プライバシー・バイ・デザインの導入**：暗号化や仮名化といった技術的管理策をシステム設計の初期段階から組み込み、プライバシー侵害リスクを最小限に抑えます。

台湾企業が2018年法案の原則に対応する上で直面する主な課題は3つあります。1. **域外適用**：インド国内に物理的な拠点がなくても、インド居住者に商品やサービスを提供する場合に適用されるため、国際法務に不慣れな中小企業にとって大きなコンプライアンス負担となります。2. **厳格なデータローカライゼーション**：全ての個人データのコピーをインド国内に保存する義務は、グローバルなクラウドインフラを利用する企業にとって、技術的・財政的に大きな挑戦です。3. **詳細な同意要件**：自由意思に基づき、具体的かつ明確な同意が求められ、包括的な同意は無効とされるため、既存の同意管理システムの全面的な見直しが必要です。対策として、まずデータ保護影響評価（DPIA）を実施し、インドにデータセンターを持つクラウド事業者と連携し、ISO/IEC 27701に基づくプライバシー情報マネジメントシステム（PIMS）を導入することが有効です。

積穗科研は台湾企業のPersonal Data Protection Bill, 2018に特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact