インドにおける情报保护法
贰鲍が一般データ保护规则(骋顿笔搁)によって个人データ保护を强化したことを受け、データ脆弱性対策実施や、ユーザープライバシーの侵害防止を求める声が世界中に広がりました。
个人データの悪用?不正使用に関する大手テクノロジー公司の一连の疑惑は、人々がデータプライバシー漏洩问题に向き合う大きな転换点となりました。それ以降、多くの法域では、规制制度の厳格化への道を开こうと、既存の法律が全面的に见直されました。
パートナー
尝别虫翱谤产颈蝉(ニューデリー)
Eメール: manisha@lexorbis.com
インドも例外ではなく、この领域における取り组みを行っています。
現在、この領域は、情報技術法(Information Technology Act)(IT法)、および2011年の個人情報保護(合理的なセキュリティ実務および手続ならびにセンシティブ個人データまたは情報)規則(Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011)によって規制されています。IT法第43条Aに基づき、データ主体は、センシティブ個人情報の不正開示に対して補償を請求する権利があります。72条Aは罰則であり、これに基づき、無断でセンシティブ個人情報を開示する仲介者などの個人が懲役または罰金刑を受けます。
しかしながら、こうした法律はその対象領域がかなり限定されているため、不十分であると考えられています。よって、規制制度を改革するために、2018年に包括的な法案である个人情报保护法案が策定されました。 法案の目的は、データの効果がインドのために発揮されるように、正しい統治機構を構築し、適切なデータ?インフラストラクチャを導入することです。
しかし、本法案はさまざまな议论にさらされ、すでに3度修正されました。
インド議会両院の議員で構成される両院合同委員会(Joint Parliamentary Committee:JPC)に委託されたJPC報告書が、情报保护法の修正案とともに2021年12月16日に公表されました。新法案では個人情報と非個人情報の両方を規制することを目指しており、法案の適用範囲が拡大されました。
法案の根拠に関しては、KS Puttaswamy対Union of India事件においてインド最高裁判所が定めた方針に基づいており、その方針に従って、個人のプライバシーの権利を制限するあらゆるものについては法による認可を受け、不正使用に対しては手続き上の対抗策を講じなければなりません。
本法案で最も物议を醸しているのは、事実上、政府に対しては全面的な适用除外となっていることです。第35条では、インドの主権や保全、国家安全保障、外国との友好関係、社会秩序の维持に必要な场合は、政府をあらゆる条项の适用から除外すると定めています。厳しい批判にもかかわらず、両院合同委员会(闯笔颁)はこの条项を存続させました。
政府の监视権限を抑制するため、手続きが「公平、适正、妥当、かつ适切」でなければならない旨の説明が本条项に追加されました。适用除外にこうした限定条件が追加されたことは歓迎すべき措置ではありますが、十分ではない可能性があります。
司法による監視は、政府の独断的な行動を回避するために不可欠であり、政府による適用除外の要請は、裁判所による認可を受けなければなりません。さらに、十分な対策を提供する手続き上の広範な仕組みを、法案自体に盛り込まなければなりません。また、両院合同委員会の一部の委員が反対意見の中で提言したように、「社会秩序」という言葉は、本条項を具体的かつ狭義に定義する(narrow tailoring)ために削除されるべきです。
もう一つの問題は、本情报保护法の遵守および施行の監督を担当する情報保護庁(Data Protection Authority:DPA)に関連しています。2019年の法案に従って、閣僚および2人の閣僚レベルの官僚から成る選考委員会の推薦に基づき、DPAの全メンバーが中央政府によって任命されます。当初の条項が批判を招いたため、両院合同委員会は現在、2021年法案の委員会メンバーに司法長官を加えています。JPAの独立性を十分に保つために、司法官の参加が検討された可能性がありますが、主席判事(データプライバシーに関して注目に値する複数の判決を下した判事が望ましい)がメンバーに加わる必要があります。
アソシエイト
尝别虫翱谤产颈蝉(ニューデリー)
Eメール: simrat@lexorbis.com
データローカライゼーションに関する条项も最も议论の分かれる问题の1つです。2018年の最初の法案には、包括的なデータローカライゼーションの条项がありましたが、酷评されました。その后の修正法案では、他国からの强い反発を理由に、本条项は若干缓和されました。现在の2021年のデータ保护法案では、柔软なローカライゼーションが规定されており、センシティブ个人情报の复製や重要データの现地での処理を义务付けています。つまり、本法案では、复製が现地に保管されていることを条件に、インド国外でのセンシティブ个人情报の移転や保管が许可されています。
センシティブ个人情报には、健康、宗教、性生活、政治理念、生物识别、遗伝、金融情报などが含まれています。当该データは、特定の条件を満たす场合、骋顿笔搁の适正な仕组みに厳密に従ってインド国外に移転することができます。しかしながら、重要データの国外移転については禁止されています。重要データはインド国内でのみ処理および保管しなければなりません。一方で、重要データの厳密な定义が待ち望まれています。従って、どのようなデータが対象となるかについては十分に明确とは言えません。
政府は、データローカライゼーションがどれほどインドに有益であるかについて多くの理由を説明しています。データ市场が非常に巨大であるため、データの大半は米国、アイルランドなどにあるサーバーに物理的に保存されています。现地での保存を义务付けることで、インドにおける大规模データセンターの设置につながり、ひいては现地での雇用创出を促すことにもなります。インド全土の滨罢またはデータ?インフラストラクチャを强化することにより、経済発展が促进され、インドを世界的なデータ処理拠点へと押し上げることができると考えられています。
データの越境移転に関するこうした保护主义的な展望は一见优れているように思えますが、実施の前に、実际の利益を计算することが重要です。こうした制度が纯利益を生むかどうかを解明するには、データローカライゼーションの要件を遵守するという负担が加わることで、インドでデータに基づくサービスを提供する多くの海外公司を失うかもしれないというリスクを评価することが欠かせません。また、外国政府によるインド公司に対する报復措置の可能性も考虑に入れなければなりません。
大多数から支持されている利点として、法执行机関の能力向上があります。インドの法执行机関は、国外の法域に保管されたデータにアクセスする场合は制约を受けます。例えば、インドで発生した重大犯罪が捜査対象となり、决定的な証拠が米国を拠点とするサービスプロバイダーにある场合、インド政府は、インド?米国刑事共助条约(惭尝础罢)に基づき提供されるデータ収集の枠组みを使用せざるを得ません。これは手间がかかり烦雑です。
米国政府は刑事共助条约に基づくこのような要请を受理する前に、裁判所命令を请求します。米国の裁判所はそのような命令を必要に応じて承认する前に、インドの要请が関连する法的要件を満たすかどうかを判断します。命令が下されると、米国のサービスプロバイダーは必要なデータを作成し、データを米国司法省と共有、法的な顺守を确认してから、最终的にインドにデータを开示します。これは通常数カ月を要する非常に时间のかかる作业であり、适时にデータにアクセスできないことが原因で、捜査に支障が出る场合があります。
データローカライゼーションが强化されれば解决につながり、インドの政府机関がデータにアクセスし易くなります。ただし、それによってインドの刑事共助条约制度への依存度がどの程度下がるのかを评価、分析することが重要です。まず、执行机関が要求するデータまたは証拠の割合について検讨することができます。センシティブ个人情报に限定して(また个人情报の一部の)复製を要求する柔软なデータローカライゼーション案が採択されれば、そうしたデータについてはアクセスし易くなるでしょう。また、ローカライゼーションによって、刑事共助条约制度や、データに直接アクセスするための他国との二カ国间行政协定を补完することが期待されます。その一方で、现地での保管を义务付けることによって、こうした合意に署名するインドの适格性が损なわれ、结果的に逆効果となるリスクを评価することも重要です。
これについては多種多様な意見がさまざまな地域から寄せられています。インドを拠点とする世界的なシンクタンクであるオブザーバー?リサーチ基金研究財団(Observer Research Foundation)が近頃発表した報告書では、インドが現地保存を義務付けることで、米国の海外データ合法的使用明確化法(Clarifying Lawful Overseas Use of Data Act:CLOUD法)に基づき、米国との契約締結交渉の支障になる可能性があると論じられています(CLOUD法とは、国内のデータ関連法が相反する場合でも、「重大な犯罪」を捜査する目的で外国政府によるデータへのアクセスに関して国際的な協力への道を開く米国の授権法)。
インドが颁尝翱鲍顿协定を缔结すると、米国を拠点とするサービスプロバイダーが保存した関连データによって犯罪を捜査する场合、そうしたデータへのアクセスに、米国の认可または裁判所命令は不要になります。そうした目的には、インドの裁判所命令が使用される可能性があります。インドの政府机関の侧が、米国のサービスプロバイダーに直接働きかけ、必要なデータを要求することもできます。ただし、颁尝翱鲍顿法では适切性を确认するにあたって検讨すべき复数の要因が挙げられています。
しかし、いずれにせよ、インドは颁尝翱鲍顿协定に署名することにはまだ兴味を示していません。たとえ検讨する场合でも、ローカライゼーションを义务付け、政府が広范な监视を行う権限を持つことで、国家の妥当性に影响を及ぼす可能性があることには留意しなければなりません。
膨大な数のインターネットユーザーを拥するインドは、グローバルデータ経済で自国の影响力を利用しようと考えています。最终的な法律が表明されたビジョンから逸脱しないようにするために、とりわけ越境移転に関する条项をはじめとする、一部の条项に関连するリスクや法案の全体论的评価を行ううえでには、本保护法案は不可欠です。
现在直面している问题の复雑さを考虑すると、重要な条项を细かく修正し、合意に达することは容易ではありません。従って、本法律が最终的に成立するまでにはまだ时间がかかる可能性があります。
LEXORBIS
709-710 Tolstoy House
15-17 Tolstoy Road
New Delhi – 110001, India
Eメール: mail@lexorbis.com
