ダルシル・スラナ
クレストンOPRアドバイザーズ パートナー
www.krestonopr.com
ダルシル・スラナ氏はO.P.ラティ・アンド・カンパニーのパートナーであり、2023年4月以来、ビジネスプロセスの改善と戦略的デジタル変革の推進に尽力してきたベテランのプロフェッショナルである。 内部監査、情報技術、管理会計など多様なスキルを持つダルシルは、アーメダバードのダイナミックな市場において、財務アドバイザリーや分析の専門家として知られている。
現在の職務に就く前は、ダルシル・スラナ&アソシエイツの経営者であり、その起業家精神と戦略的プランニング、財務分析、包括的税務に精通していることを証明している。 また、インテック・システムズでは、SBU責任者およびデリバリー責任者として、MS Dynamics NAV/BCの戦略的ビジネスユニットの業績を管理し、クロスファンクショナルチームを率いた。
ダルシルがファンクショナル・コンサルタントからプロジェクト・マネージャーに昇進したのは、彼の卓越したリーダーシップとプロジェクト・マネジメント・スキルを反映したものである。 キャリアの初期は、CA Pradeepkumar H. Shah & Co.で基礎を築き、定時制の間に会計と監査の能力を磨いた。 ダルシル・スラナ氏のキャリアは、確固たる職業経験と、財務戦略や事業戦略の複雑さへの深い理解が融合したものである。
インドの2023年デジタル個人データ保護法(DPDP法)
November 3, 2023
2023年8月11日、インドでデジタル個人データ保護法(DPDP法)が成立した。 この法律は、デジタル社会における個人の個人データとプライバシーを保護することを目的としている。 これは、個人と国家にデータ・プライバシーを確保する権限を与える画期的な法律である。 同法は、データを適切かつ指定された目的に確実に利用し、悪用を避けるための枠組みを定めている。Kreston OPR Advisorsの Darshil Suranaが説明する。
デジタル個人情報保護法の定義
同法は「デジタル個人データの保護」に重点を置いている。 したがって、デジタルの世界におけるあらゆる人のデータは、その収集、保存、処理に責任を持つ人々によって保護される必要がある。 まず、同法第2条の定義を理解しよう:
- データ – 「情報、事実、概念、意見または指示を、人間または自動化された手段による伝達、解釈または処理に適した方法で表現したもの」 – 2項(h)。
- 個人データ – 「当該データによって、または当該データに関連して識別され得る個人に関するあらゆるデータ」 – 2項(t)。
- デジタル個人データ – 「デジタル形式の個人データ」 – 2項(n)
最初の定義は非常にシンプルだ。 データ、個人データ、デジタル個人データは、混乱や曖昧さを取り除くために明確に定義されている。 データは、「…人間または自動化された手段による通信、解釈、処理に適したもの」と広く定義されていることは注目に値する。 したがって、データを扱うのが人間の知能であろうと人工知能であろうと、どちらもこの法律の対象となる。 デジタル個人データの例としては、以下のようなものがある:
– PAN、Aadhaar、運転免許証などのKYC記録。
– 電子メールアドレス、電話番号などの連絡先詳細
– ソーシャルメディアのユーザーIDとプロフィール。
– 音声 – CCTV映像、ウェブカメラ画像、ソーシャルメディア上の写真や動画など、視覚的に個人を特定するもの。
– 指紋、虹彩スキャン、顔認証などの生体認証。
- データ主体 – 「個人データが関係する個人であり、そのような個人は次のとおりである。
(i)児童には、その両親または法定後見人を含む;
(ii)障害者には、その障害者に代わって行動する正当な後見人を含む。
- データ受託者 – 「単独で、または他の者と共同で、個人データの処理の目的および手段を決定する者」 – 2項(i)。
- データ処理者-「データ受託者に代わって個人データを処理する者」-第2条(k)。
データプリンシパル
次の定義は重要だ。 これらはデータ保護の枠組みの基礎を築くものである。 データが関係する個人は「データ本人」と呼ばれる。 この法律の中心となるのはデータプリンシパルである。 データ受託者」とは、自らの資格で、あるいは「データ処理者」とともに、データを収集、保管、処理する者を意味する。 これらの用語はどちらも広く定義されている。 いくつかの例を通して定義を理解しよう:
図1:
A Limited は証券取引所のブローカーであり、X さんは同社にデマ口座の開設を希望している。A LimitedはXさんの氏名、住所、連絡先番号、PAN、Aadhaarを収集し、データ保管機関であるB Limitedのサービスを利用してKYCを検証する。ここで、Xさんはデータ主体であり、A社はデータ受託者、B社はデータ処理者である。
図2:
Xさんは音楽アカデミーを主宰し、クラシック音楽を教えている。 ベビーY(10歳)は彼女の生徒の一人だ。 XさんはY子さんの名前、住所、連絡先を記録用に収集する。 ここで、赤ちゃんYとその両親はデータ・プリンシパルであり、Xさんはデータ・フィデューシャリーである。
- 処理 – 「個人データとの関係では、デジタル個人データに対して行われる全体的または部分的に自動化された操作または一連の操作を意味し、収集、記録、整理、構造化、保存、翻案、検索、使用、整列または結合、索引付け、共有、送信による開示、普及またはその他の方法で利用可能にすること、制限、消去または破壊などの操作を含む」 – 第2条(x)。
データ処理は、データ収集からデータ破棄に至るまで、あらゆる形態と方法を包含する。 データを利用してその間に行われるあらゆる活動は、「処理」の定義に含まれる。 また、顔認識や音声認識のソフトウェア、個人を特定するためのツールも含まれる。
デジタル個人情報保護法の適用
デジタル個人データ保護法は、個人データがデジタル形式で収集された場合、または非デジタル形式で収集され、その後にデジタル化された場合、インド領域内でのデジタル個人データの処理に適用されます。 また、インド領域外のデジタル個人データの処理が、インド領域内のデータ主体への商品またはサービスの提供に関連する活動に関連している場合にも適用されます。
データ主体者のデータがインド国外で侵害された場合であっても、データ主体者がインド国内で商品/サービスを調達していれば、同法は適用される。 したがって、この法律は適用範囲を拡大し、インド国内に限定されない。
イラスト
Xさんはプネーを拠点とするプログラマーで、サービス・プロバイダーとサービス・レシーバーのアグリゲーターとして機能し、そのために氏名、住所、連絡先、銀行情報、クレジットカード情報などのデータを収集するポータル(米国で登録)を通じてフリーランスの仕事をしている。 この場合、Xさんのデジタル個人データが侵害された場合、ポータルは同法の規定の対象となる。
ただし、個人データが個人的な目的のために個人によって処理され、そのデータがデータ主体または法律の義務に基づくその他の者によって提供された場合は、本法は適用されない。
データ受託者の義務
- 同意 – この法律は、データの処理方法および保護に関して、データ受託者に様々な義務を課している。 第一の義務は、データ主体から『同意』を得ることである。 同法第6条によれば、データ主体が与える同意は、「自由で、具体的で、十分な情報を与えられた上で、無条件で、明確な肯定的行動を伴う曖昧さのないもの」でなければならない。 さらに、「同意は、特定目的のための個人データの処理に同意することを意味し、当該特定目的に必要な個人データに限定される」と規定している。 つまり、データ主体が関連データおよび関連性のないデータについて同意を与えたとしても、その同意は関連データのみに限定され、データ受託者は関連性のないデータについて義務違反の責任を負うことになる。
イラスト
XさんはEコマースポータルにバイヤーとして登録した。 eコマース・ポータルは彼女の携帯番号、住所、電話連絡先リストを要求した。 Xさんは両方に同意している。 しかし、電話連絡先リストは、彼女の商品/サービスを提供するために必要なものではない。 したがって、彼女の同意は、電子商取引ポータルから商品/サービスを利用する目的で、彼女の携帯電話番号と住所に限定されますが、彼女は同様に連絡先リストを提供することに明示的に同意している場合があります。
従って、データ受託者が、法の規定に従って同意が得られていない、あるいは得られていないとみなされるデータを処理した場合、義務違反の責任を負うことになる。
さらに、データ受託者がデータ・プリンシパルに対して行うすべての要求は、データ・プリンシパルに対 して以下の事項を通知する通知を伴うか、またはそれに先立つものとする:
– 個人データとその処理目的。
– 情報主体が同意を撤回し、苦情解決を申し立てる方法。
– データ主体がインドのデータ保護委員会に苦情を申し立てる方法。
同意に本法またはその下で制定された規則の規定を侵害する内容が含まれている場合、同意はその侵害の範囲において無効とする。
イラスト
個人であるXは、保険会社であるYのモバイルアプリやウェブサイトを使って保険契約を結ぶ。 彼女はYに対して、次のことを承諾している。 (i) 保険証券を発行する目的でYが彼女の個人データを処理すること。 (ii) インドデータ保護委員会に苦情を申し立てる権利を放棄すること。 パート 苦情を申し立てる権利の放棄に関する同意の(ii)は無効とする。
情報主体は、以前に有効な同意が付与された個人データについても、同意を撤回する権利を有します。 同意が撤回された場合、データ受託者はそのデータベースからデータを消去し、それ以上処理に使用されないようにしなければならない。
- 個人データの特定の合法的使用 – データ受託者は、以下のような特定の合法的目的のためにデータ主体の個人データを処理することができる:
a. 情報主体が自発的に個人情報を提供し、当該情報に対する非同意が明示的に示されていない場合。
b. 当分の間有効な法律の目的のために国が要求するデータ。
c. 判決または命令の遵守
d. 生命への脅威、または本人の健康への差し迫った脅威を伴う医療緊急事態への対応。
e. 医療または保健サービスを提供するための措置を講じること
f. 災害時や治安崩壊時に、個人の安全を確保するための措置を講じること。
g. 企業スパイの防止、企業秘密、知的財産、機密情報の機密保持、従業員であるデータプリンシパルが求めるサービスや利益の提供など、雇用目的または雇用主を損失や責任から保護することに関連する目的。
- データ受託者の一般的義務 – データ受託者には、同法を遵守するために従うべき一定の義務がある:
a. データ受託者は、データ主体が本法に基づく義務を履行しない場合であっても、本法の規定を遵守する責任を負うものとする。
b. データ受託者は、有効な契約に基づいてのみデータ処理者と契約することができる。
c. データの完全性、正確性、一貫性を確保する。
d. 同法の規定の効果的な遵守を確保するため、適切な技術的措置を実施する。
e. 自己またはデータ処理業者によって処理されるデータを含め、自己が所有または管理する個人データを保護するために、合理的なセキュリティ保護措置を講じるものとする。
f. 個人情報漏洩が発生した場合、インドデータ保護委員会に内通する。
g. 情報主体が同意を撤回した場合、または特定された目的が達成されなくなった場合は、個人データを消去し、データ処理者に消去させるものとします。
- 児童の個人データ – データ受託者は、以下のことを行うものとする:
a. 個人データを処理する前に、児童の親/法定後見人の検証可能な同意を得ること。
b. 児童の追跡や行動監視、または児童を対象とした広告を行わないこと。
データ主体の権利と義務
データ主体は、個人デジタルデータのプライバシーを維持するため、同法に基づき様々な権利や特権を与えられている。 また、同法の規定を遵守する義務もある。
- データ主体の権利
a. 個人情報に関するアクセス権データ本人は、データ受託者が処理する個人データの概要を入手する権利を有する。
b. データ本人は、同法に基づき、同意を撤回することにより、個人データを修正し、または消去する権利を有する。
c. データ受託者による違反があった場合、データ主体はデータ受託者およびインドデータ保護委員会を通じて苦情を救済する権利を有する。
- データプリンシパルの職務:
a. 同法の規定を遵守すること。
b. 特定の目的のために個人情報を提供する際に、他人になりすまさないこと。
c. 国またはその機関が発行する文書、固有の識別子、身分証明書、住所証明書などの個人情報を提供する際に、重要な情報を抑圧しないこと。
d. 虚偽または軽薄な苦情や苦情を登録しないこと
e. 検証可能で真正な情報を提供すること。
同法の規定に違反した場合の罰則
この法律には、データ受託者のコンプライアンスに関する厳しい規定がある。 また、同法の規定違反には厳しい罰則が設けられている。 この法律が課す罰則のいくつかを見てみよう:
シニア いや。 違約金
1 第8条(5)項に基づく個人情報漏洩を防止するための合理的な安全保護措置を講じるデータ受託者の義務の遵守違反は、250クローネに及ぶ可能性がある。
2 第 8 項第(6)節に基づく、理事会または影響を受けるデータ主体への個人データ漏洩の通知義務の遵守違反。 200クローネまで拡大する可能性がある。
3 第9条に基づく子どもに関する追加義務の遵守違反は200クローネに及ぶ可能性がある。
4 第 10 項に基づく重要なデータ受託者の追加義務の遵守違反。 150クローネまで拡大する可能性あり。
5 本法またはそれに基づく規則のその他の規定に違反すること。 50クローネまで拡張可能。
ご覧のように、違反の種類によって、罰金は50クローネから250クローネに及ぶ。 このため、データ受託者またはデータ処理者の定義に該当するすべての組織は、同法とその規則へのコンプライアンスに適時に対処するための措置を講じる必要がある。 政府は、コンプライアンスを確保するための措置を実施するための移行期間を設けると予想される。
結論
組織は積極的にデータ保護影響評価を行い、採用すべき対策の目録を入手すべきである。 これらは以下の分野をカバーしている:
- 同意のメカニズムを設計する。
- IT/ISおよびサイバーセキュリティ対策を採用する。
- 組織内に適切なコンプライアンス・オフィサーを任命する。
- データ保管、データ・アーカイブ、データ・パージ・ポリシー、およびそれを実施するためのツールを設計する。
個人もまた、この法律について自分自身を教育し、自分の権利と特権を知るべきである。 彼らは膨大な量のデータを複数のポータルサイトにオンラインで公開している。 この法律は、自分のデータがどのように利用され、保護されるかを管理する権限を与えるものである。
インドのデジタル個人データ保護法について詳しくお知りになりたい方は、ご連絡ください。
