インドのプライバシー法制度が見据える今後の展開とは
※このインタビューは2022年9月7日に収録されました
インドでは新しいプライバシー保護に向けた動きが始まっています。
今回はインドの法律事務所の代表でスタートアップや海外投資をサポートするアナンドさんに、インドでのプライバシー保護に関する動きをお伺いしました。
前回の記事から
法案検討委員会へ提出したプライバシーサンドボックス案の内容とは
Anand: わかりました。イノベーションを促進するというのは、私が考えていることですね。サンドボックスとはプロダクトやサービスのテスト段階で比較的規制の基準を緩めた環境で実証を行うような制度のことをいいます。テクノロジー企業がイノベーションを生み出すために、有効活用できる制度でもありますね。
規制のサンドボックスはデジタル技術の発展と啓蒙に貢献し、消費者保護も実現することができるような取り組みです。7万2000のスタートアップと100のユニコーン企業がインドには存在し、GDPに関しても英国を抜いて世界第5位まで拡大しています。
このサンドボックスの考え方は、非常にシンプルな制度になります。試験的にプロダクトやサービスを開始するために、一定の規制を緩めることが必要な場合に利用するのです。
規制によってイノベーションを阻害してしまうこともあるため、サンドボックス制度を活用することで、一時的に規制を緩和しイノベーションを育成することにもつなげていくことが必要です。
実際に、インド準備銀行も2019年8月にサンドボックスに関するガイドラインを発表し(私の記憶が正しければ)、インド準備銀行内に規制のワーキンググループを立ち上げ、フィンテックやデジタル銀行についての議論を進めています。
図:サンドボックス制度による新しいアイデアの創造
ただ、インドでのサンドボックスに関する取り組みはまだまだ始まったばかりで、スタートアップ企業が適切なサンドボックス制度を利用できるまでにはまだまだ時間がかかりそうです。
Kohei: サンドボックスシステムを利用するのは、非常に有効な方法だと思います。インドのサンドボックスシステムの独自性があれば教えていただけませんか?
シンガポールでもサンドボックス関連の動きがあり、サンドボックス制度を活用しながら政府が新しいテクノロジーの可能性を理解し、シンガポール国内での法対応コンプライアンス対策に活用しようとする動きがみられると思います。
インドの場合はシンガポール等と比較してどういった独自性があるのでしょうか?もしくは他の地域と比較した際の特徴があれば教えてもらえると嬉しいです。
法案で検討されていたサンドボックス制度の中身
Anand: それは非常に難しい質問ですね。インドではまだサンドボックス制度が実運用されていないので、答えることが難しいです。
インドではデータ保護法案が検討されるより前に、サンドボックスについての議論が行われています。2016年に内部の規制対応チームが組成され、フィンテック分野での調査が行われました。
インド準備銀行はワーキンググループによる提案によって2019年8月に規制のサンドボックスに関するガイドラインを公開しました。そういった背景から、現在ではインド準備銀行が内部にフィンテックやデジタル銀行に関する規制のワーキンググループを抱えて活動しているのです。
インドのサンドボックス制度を利用したプロジェクトの中で、8つの組織がブロックチェーンを利用した越境支払いシステムを採用しています。このプロジェクトには、ドキュメントの電子化や海外の取引所を通じた資産の売買、越境支払いサービス提供者によるアグリゲーションサービスが含まれます。
インドでサンドボックス制度を利用した越境支払いサービスの実証に取り組んでいることは、とても特別なケースだと思います。インド政府主導のデジタル決済共通基盤については、説明が必要ないかもしれませんね。
この支払いシステムは、写真を撮影することと同じくらい支払いを簡素化させるような取り組みです。インドではブロックチェーンを活用し、新しいバックオフィスインフラを再構築するような動きが生まれています。
バンガロールやグルグラムは全世界のコールセンターやバックオフィスの集積地なので、今後も新しい取り組みが生まれていくと思います。
ここまで紹介したように、データ保護法案の審議に合わせてサンドボックス制度を提案していましたが、法案は差し戻しされることになりました。法案ではサンドボックス制度やプライバシーバイデザインを導入することが含まれていました。
法案の中で、政府のデータ保護機関がサンドボックス制度を導入し、人工知能や機械学習を含めた新領域の技術イノベーションを後押しすることが明記されていました。
インドのデータ保護機関によって、公共の利益のためにサンドボックスへの参加を促進し、プライバシーバイデザインを体現する取り組みにお墨付きをつけることが検討されていたのです。
法案の差し戻し以外にも、インドのデータ保護機関によるサンドボックス制度への認証に関してはいくつか問題点がありました。
データ保護機関によるお墨付きをつけるためには、どのようなプライバシーバイデザインのポリシーが正当であるかを明確にする必要があったため、データ保護機関への負担が重くなり、お墨付きの制度自体も不明確であった点によって困難を極めることになりました。
サンドボックス制度を含めた提案が行われた点は、非常にポジティブに受け取っています。今回の法案からの学びとしては、いくつか修正が必要になるため、新しい法案に関してはスタートアップにも適用できるような幅広いサンドボックス関連の提案を準備することが必要だと思います。
法案が通過するためには、全てのステークホルダーから意見を収集し、各ステークホルダーと協力して提案を進める必要がありますね。
Kohei: 今回提案されていた法案に関してお伺いしたいと思います。インド政府は欧州型のモデルを検討されていたのか気になっています。データ保護制度について、ブラジルを始めとした国でも欧州型のモデルを採用している一方で米国では異なる考え方が見受けられます。
インドのプライバシー法制度が見据える今後の展開とは
インドではどのようなアプローチを取り、現在の規制とどのように整合性を持って取り組んでいるのでしょうか?
Anand: まず、インドではこれまでに制定された古い制度を変える動きを進めています。古い制度では、効果的なデータ保護が実現できないからです。
これまでの古い法律を新しいデータ保護法に置き換えることができれば、GDPRを始めとした国外のデータ保護制度を考慮した制度設計に移行することができると思います。
ブラジルのデータ保護法が新しく成立したことは、GDPRによる影響も大きいと考えています。ブラジルデータ保護機関(ANPD)はプライバシー法を広く浸透させる重要な役割を担っていますよね。
欧州と米国のデータ保護の大きな違いとしては、包括的なデータプライバシー制度が確立しているかどうか挙げられると思います。米国の制度を欧州の制度と比較すると、米国の場合は州ごとに複数の規制が存在し、分野ごとに規制を制定する形で設計していますね。
図:国ごとの異なるプライバシー制度
インドはどうかと言えば、同意を前提としたデータ処理をもとにした制度に頼っています。
最近では、メッセージアプリのWhatsApp(最高裁の前に ”Constitution Bench" と呼ばれる審議員での判断で決定)が2021年にプライバシーポリシー問題を政府に指摘されたケースがあります。これはインド国民と全世界の利用者を差別しているとの指摘が問題になったケースです。
WhatsAppは規制が厳しい欧州でも同様に展開しています。現在、インドではIT法と呼ばれる規制の下でWhatsAppのようなサービスは運営されていますが、9月22日に新たに公開された通信政策のもとで、WhatsAppやTelegram、Signal等のOTTコミュニケーションサービスについても規制対象になることになっています。
産業界の専門家の間では、暗号化についての議論が進んでいくだろうと考えられています。Meta社のWhatsAppについては、エンドツーエンド暗号の設定に対して政府への訴訟が行われており、裁判所ではメッセージ送信者を識別することが必要であるかどうかが議論になっています。
この議論は利用者同士がどのようなデータを共有しているかを把握できるように、政府が対象サービスに要求する意図があります。サービス提供者は利用者への同意が求められるようになり、プライバシーを守ることが求められるようになります。
プライバシーの対象となる利用者は、事前にどのデータが何を目的として共有されるのか通知され、利用目的に対して同意を行うことになります。インドのデータ保護への考え方は、利用者同意とデータ利用への透明性が中心となり構成されています。
ただ、新しいデータ保護に関する動きが利用者中心に設計されているものとは言い難い点もあります。政府は利用者の権利や関連するステークホルダーの利益を保護することに重きを置いています。
例えば、Fintechの場合にインド準備銀行がインド国内にデータを保管するローカライゼーションに言及したように、政府の中でも関連するステークホルダーによってそれぞれの立場があり、電子商取引を管轄する部門ではローカライゼーションへ懸念を示すようなことも起きています。
仮にデータローカライゼーションを認めてしまうと、ステークホルダー間で対立に発展することも考えられます。
私が伝えたいことは、政府が新しく法案を提案する際に対象となる利用者やデータの受託者の保護とバランスを取る必要があるということです。データの保護目的を逸脱する懸念から匿名化データに関しても、取得や処理について法案では認めていません。
これは、私が法案の91について以前述べたようにデータ受託者やデータオフィサーへ匿名化データに関する強い権限を認めることになるだろうと思います。2023年にはある程度の結果が出ると思います。2023年にどのような結果になったのかは、再度インタビューを通して皆さんに伝えていきたいですね。
Kohei: 面白い動きですね。来年はインドにとってデータ保護に関する大きな動きがある一年になりそうです。
Anand: まさにそうですね。
Kohei: 最後に視聴者の皆様へメッセージをお願いしてもよろしいでしょうか。インドで新しい取り組みを検討されている方も視聴されているかと思います。現在は、様々な議題がテーマに上がっているかと思いますが。現在の状況も踏まえて、インドのこれからについてメッセージを頂けると幸いです。
外国企業がインドへの投資を検討する際に気をつけておくこと
Anand: そうですね。インドで進められているデータ保護の動きは引き続き前進していくことに加えて、より包括的な範囲での取り決めがなされていくと思います。
現在のデータ処理取引は契約ベースで進めていくことになっていますね。そうなると、ウェブサイトの訪問者に向けてプライバシーポリシーや規約を準備する必要が出てきますし、ポリシーを読んだ利用者が認めた範囲でのデータ利用が求められるようになると思います。
これは利用者が許容できる範囲が、どこまで設定され得るかによって権利が守られるか否かが大きく変わってくるということですね。インドでデータ保護法が執行されることになると、インド国内ではデータが自由に共有されることになると思います。
データを安全に守ることができるようになれば、他国のビジネスパートナーと協調した動きにも繋がっていくと思いますし、個人の権利やプライバシーを守ることによって、対インドへの直接投資にも繋がっていくと思います。海外企業や投資家に対しては、よりインドが魅力的な成長を実現する場であると伝えたいですね。
ただ、インドで現地に根ざしてビジネスを展開するためには、法律に適正したプライバシーポリシーを設定し、規約を定めて、データ責任者を設定するだけでなく、社内のデータ管理について監督する必要があります。
利用者からの問い合わせや、誤ってデータ利用を行った際の対応についても、責任者を設置しておくことが良いと思います。
こういった対応に関しては、世界的にもGDPRを参考にして広がりつつあると思います。まさに今から対応を検討すべき時期に来ていると思います。まず対応を検討すべき重要なことは、コーポレートガバナンスを再度整備し、対象となる利用者を軸に物事を検討していくことです。
利用者は、利用者同意の進展によって企業に対してどういったデータを共有しているのかが理解できるように変わっていくので、十分に対策の検討が必要になります。
Kohei: ありがとうございます。とても有益なお話でした。インドで起きているデータ保護の話はなかなかわからない部分があったので、インタビューを通して視聴者の皆様へ現在の状況をお届けでき、非常に光栄です。改めて貴重なお時間を頂き、ありがとうございました。
Anand: こちらこそありがとうございました。またパート2のインタビューも収録したいですね。インドではデータ保護に関する新たな法案についての議論が進められているので、次回はそのアップデートを共有できれば幸いです。
法律の整備を進めていく中で、データ保護については世界の潮流を見据えた上で、標準化的な考え方を取り入れつつ整備していくことが必要になると思います。
Kohei: ありがとうございます。また来年もお会いしましょう。
Anand: ありがとうございます。
Kohei: ありがとうございます。
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫