インドで行われているデータ保護法の議論とは
※このインタビューは2022年9月7日に収録されました
インドでは新しいプライバシー保護に向けた動きが始まっています。
今回はインドの法律事務所の代表でスタートアップや海外投資をサポートするアナンドさんに、インドでのプライバシー保護に関する動きをお伺いしました。
前回の記事から
インド国内のプライバシー制度に関する話を伺ったのですが、インドではこれまでに議論されていた法案が、今回は棄却されたと伺いました。インド国内で行われているデータ保護と法制度について詳しく教えて頂けますか?
インドで行われているデータ保護法の議論とは
Anand: わかりました。私はこれまでにデータ保護の分野で多くの先輩方やクライアント向けのアドバイスを行ってきました。インド国内のテクノロジー発展により、経済成長にも大きく貢献してきました。
今では、発展に伴いデータプライバシーやセキュリティ対策は、企業にとって重要な課題の一つになっています。利用者が不快に感じることを避け、テクノロジーの発展を目指すためには利用者保護に取り組むことが非常に重要だからです。
まさにデータ保護は非常に重要な企業のテーマになっています。データ保護に関するインドの歴史を順を追っていくつかの観点を含みながら紹介したいと思います。
インドでは2000年に情報テクノロジー法が成立しました。この法律はコンピューターに保存される情報ソースの秘匿性やプライバシー、セキュリティについての対策を定めたものです。
この情報テクノロジー法によって、情報に関する法的な統治が行われてきました。しかし、2011年になりより適切なデータ保護制度を制定することが必要であるという議論が始まり、特にセンシティブな個人情報を個人や企業が収集する際のルール作りが求められるようになります。プライバシーに関する議論はここから始まっています。
2016年には、WhatsAppが利用者向けのポリシーを変更したことで、FacebookにWhatsApp利用者のデータを共有し、お互いにデータにアクセスできるように仕組みが変わりました。
この変更に対して、インドの高裁では、オプトアウト要求を行った利用者のデータを削除し、WhatsAppに対してポリシー変更前に取得した利用者データを共有しないように命令が出されました。
その後、いくつか深い忘れられる権利の論争が始まることになります。特にグジャラート州高裁とカルナータカ州高裁で行われたケースが象徴的です。
グジャラート州のケースでは、高裁に請願書が持ち込まれる前に、被告は裁判所が公表した裁判結果を削除するように求めていました。これにより、被告の訴えが法に記されている特定の項目に該当しないとして問題になりました。
一方、カルナータカ州高裁では、裁判結果を簡易に検索できないように被告の娘の名前を削除するように裁判所に求めていました。裁判所は忘れられる権利を権利として認めていませんでしたが、被告の娘の名前の削除を命令することになりました。
インド国内の "プライバシーの権利”
2018年9月に行われたインドの最高裁判所でのLGBTQIに対する判決は、インド国内でプライバシーを基本的な権利として認めることになり、個人の自由を尊重することになった非常に大きな発表でした。
最高裁判所での判決は、インド国内のプライバシー法案を設立するための基礎となり、判決によってインド政府も包括的なデータ保護法に向けて動き出すようになります。インドにとっては、大きなターニングポイントになった動きです。
最近では、インド準備銀行(RBI)から支払いシステムデータの保管に関する通知が発表され、RBIから委託を受けている支払いに関するデータシステム全般については、インド準備銀行に規制の下でインド国内で管理されることになりました。
この通知は、データローカライゼーションの延長線上にあり、プライバシーを尊重する動きが広がりつつあります。データが国の管理下を離れてしまうことになれば、政府等によりデータ漏洩等の対処が難しくなることが想定されるからです。
これ以外の動きとしては、2018年にインドの最高裁判所によってAadhaar制度が憲法上のものであると宣言されました。Aadhaarをご存知ない方のためにお伝えすると、Aadhaarはインド国民に割り当てられた12のデジタル識別番号のことです。10億人以上のインド国民がAadhaarに登録されていて、世界最大のデジタルIDプログラムになっています。
(動画:What is the Aadhaar biometric database scheme, upheld by India's Supreme Court?)
このAadhaarに関する判決は非常に重要な判決になります。インド国民は政府のサービスを利用する際に、Aadhaarカードと番号が必要になります。この制度を最高裁判所が認めたということです。繰り返しになりますが、この判決はとても重要な動きの一つです。
2019年2月には、国の電子商取引政策に関するドラフトが発表され、民間企業にもデータローカライゼーションが求められることになりました。この政策は、データが中央に集積することと、管理に非常に厳しいガイドラインを求めるものであると批判が集まりました。
その後関係省庁からは電子商取引のドラフトではデータローカライゼーションは求められるものではないということに加えて、新たなドラフトが議会に提出されることになると通知が発表されました。
2019年の個人データ保護法案が生まれた背景は、2017年にSrikrishna裁判官によって政府の委員会でデータ保護に関するホワイトペーパーが提出されたことに遡ります。そして、政府によって基本的な考え方が取りまとめられ、データ保護法と基礎となる考え方に対して、複数のステークホルダーからコメントが寄せられました。
政府の委員会は2018年にデータ保護に関するドラフトを公開し、法案に関するレポートも合わせて公開しました。こういった背景があり、データ保護法案についての議論が進んでいましたが、今になって法案が差し戻されることになっています。
インドでプライバシー保護法案が差し戻しになった理由とは
2019年のデータ保護法案が差し戻された理由としては、議会の合同委員会で188の修正箇所の中で、91の重要な変更とその内12の主要な提案があったことが影響していると考えられます。
課題:
(1) アドホック委員会の中では法案で定義されている非個人データが複雑過ぎることによって法の執行が実現できないことが懸念視されている。利用者はデータ受託者によって取得されているデータについて知る由がない。同意を前提とした場合には、法的な手続き問題が懸念として考えられる。
(2) それ以外の重要な課題としては、法案の中で不本意に取得されたデータについての同意への言及がない。そのため、データを取得した主体は、対象者より同意を取得することが必要である。利用者は事前に通知を受けて、データの利用に関して選択することを認めるようにする。ただ、この手続きは手間がかかり、時間を要するものとなる。法案で求められる利用者へデータ取得の際に都度理由を説明して同意を求める行為に関しては、法律に沿ってデータを活用している組織にとって不当な要求となる。
(3) ルールのフレーム化や規制における執行、及び個人データや非個人データの違いに関連した問題を明確に整理することが必要である
政府が注目しているのは、社会の発展に伴って毎日新しいデータが生まれていることに伴い、データローカライゼーションの必要性が高まってきていることが影響していると考えられます。いくつかの大手インド企業はデータをインド国内で管理することが必要であると主張しています。
さらにデータローカライゼーションを進めていくことで、プライバシー権を保護する動きを強化し、サイバー犯罪等へ責任を明確にして対応することが必要であると主張しています
データ保護法は個人情報の秘匿化を進めることだけではありません。データを取得する際の信頼やデータ共有を行うための信頼できるフレームワークを整備するためのものです。
さらに、強固なデータ保護法を進めることによって、インドのアウトソーシング産業を強化し、海外からの直接投資を呼び込みGDPを成長させる成長の側面もあります。
インド国内においての越境データ移転の解釈
Kohei: なるほど。インドの動きとしては、最近興味深い裁判所の決定があったと思います。デリーの裁判所でメッセージアプリTelegramに関する判決が発表されていました。インド国内のアプリ利用者は、Telegramにコンテンツをアップしていたが、コンテンツの保存先がシンガポールにあるサーバーで問題が発生したというものです。
図:国を越えたデータ移転の問題
Telegramアプリがシンガポールのサーバーにインド人のデータを保存したことが問題になったケースですね。このケースでは、通常シンガポールの法律が適用されることになり、インド国内の利用者には情報が開示されることはないと考えられていました。
こういったデータ移転の問題は各所で発生していると思いますが、インドでは越境データ移転に関してどういった議論が行われているのでしょうか?
WhatsAppやInstagramを含めたグローバルサービスがインド国内でも普及していると思いますが、どこにインド人のデータが保管されているのかは重要なテーマであると思います。このような問題に対して、インドの裁判所や政府はどのように対処することを検討しているのでしょうか?
Anand: 紹介頂いた懸念に対しては、現在2000年に制定されたIT法のもとでデータ保護に関する懸念に対応することになります。今回提案されたデータ保護法案はデータローカライゼーションに関しても記されていましたが、差し戻しが行われたことによって議論は振り出しに戻っています。
デリー裁判所によるTelegramへの対応については、インド国内にデータ保護法がまだ存在しないため、各裁判所による解釈に頼ることになると思います。
デリー裁判所がTelegramに求めたことは、インド国内での著作権侵害をもとに、開示請求を行うことです。このケースでは、プライバシーポリシーへの記載内容に反し、データをシンガポールの物理サーバーに保管していたことが問題になっています。
Telegramは著作権侵害に基づいて、利用者データを開示するように求められているのです。このケースでは高裁が、2000年のIT法を引き合いに出し決定したことになります。
デリー裁判所ではTelegramに対して、シンガポールの個人情報保護法(PDPA)へのコンプライアンスについて言及し、PDPAの下での情報取り扱いにおける正当性の行使は認められないと発表しています。
実際に、インドの裁判所ではアプリに対して著作権侵害に関連して情報公開を求めるだけでなく、シンガポールの法律も侵害しているのではないかと見解を述べています。
このような議論が行われている背景としては、国ごとの境界線に対する考え方が薄れてきていることで、厳密な解釈が難しくなっていることが挙げられます。そのため裁判所は個人の権利保護に関して、より対象を広げて国内制度の解釈を行ったのではないかと思います。
インドのプライバシー法案が抱える越境データ移転問題
データ保護法案の越境データ移転について以下のポイントがあり、それぞれ下記のように考えています。
データ保護法案にはいくつかの課題があります。例えば、法案内容が非常に客観的で明確に記されているので、匿名化データ等には当てはまらないことが考えられます。ただ、法案が示しているセクションの中で、91条だったと思いますがデータ信託先やデータ処理者に対して権限を与えるように記載がされています。それにより、匿名化データへのアクセスが可能になります。この内容は、多様なステークホルダーによって議論が行われ、提案されたことによる一つの結果になります。
データ保護法案では、データは二つのカテゴリーに分けられており、センシティブな個人データと重大な個人データに分類されます。現在は、センシティブな個人データが外国企業に契約承認等を前提にして共有されてしまっているため、法案内では緊急時を除いて重大な個人データを含めて外国企業へ共有できないような内容が含まれています。法案の大きな問題点として、重大なデータとは一体何で、重大なデータに課された制限が何であるかが明確にされていないということです。もし、法案が施行されるとすれば、グローバルで展開するクラウドサービスプラットフォーム企業の活動に大きな影響を与えることになります。加えて、重要な個人データとは一体何か定義されていないことによって、ビジネスを展開する際の不明確な要素として足枷になる可能性があります。
データ保護法案では子供のデータに関するデータ処理についても記載があります。子供のデータに関しては年齢確認を行い、データ処理を行う前に両親、もしくは仲介者からの同意を取り付ける必要があります。私はこの手順には問題があると考えており、年齢を特定し子供か否か(彼か彼女かを含め)を判断することが難しい作業であり、若い層が利用することが比較的多いデジタル教育やゲーム業界への影響が大きいと考えているからです。この内容が含まれていることも、法案の差し戻しが行われた一つの理由ではないかと考えています。新たな法案を作成する際に、幅広くステークホルダーからの声を聞くことが必要であると思います。
現在は、ステークホルダーからの意見や提案を検討し、国内のデジタル制度設計の見直しを世界動向も踏まえて行っています。各国の動向を把握した上で、政府は3つの新たな制度設計も始めているところです。
この3つの新たな制度というのは、デジタル上での保護を強調するもので、 (1) 新規の通信法に関する法案 (2)データ保護に関する法案 (3) デジタルインド法 (IT法を修正する形)が該当します。
Kohei: ありがとうございます。インド国内では非常に複雑な議論が行われていることがわかりました。アナンドさんは新しい法案についても、スタートアップよりの視点から動向を注視されていると思います。
特にイノベーションを推進することが非常に重要だと思うので、インドでの動きは引き続き気になるところです。アナンドさんがLinkedInに投稿されていた提案で非常に気になったものがあるのですが、提案の中でスタートアップを支援するサンドボックス制度について触れられていました。
新たなイノベーションを加速させていくためにも、非常に有益な取り組みだと思います。アナンドさんが提案されていた内容について、もう少し詳しく教えて頂くことはできますか?
〈最後までご覧いただき、ありがとうございました。続きの後編は、次回お届けします。〉
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫