コラム
2025年11月27日
インド2023年デジタル個人データ保護法(The Digital Personal Data Protection Act, 2023)の概要
―2025年デジタル個人データ保護法施行規則の公表を受けて―
【執筆者】古田 俊文
1. はじめに
インド政府は、2025年11月14日、2025年デジタル個人データ保護法施行規則(The Digital Personal Data Protection Rules, 2025。以下「DPDP規則」といいます。)を公表しました1。DPDP規則は、2023年8月11日にインド初の個人データ保護の包括的な一般法として成立した2023年デジタル個人データ保護法(The Digital Personal Data Protection Act, 2023。以下「DPDP法」といいます。)の二次法であり、DPDP法が具体的に規定していなかった多くの事項を定めるものです。
いくつか詳細が定まっていない事項はあるものの、DPDP規則の公表と合わせてDPDP法の施行が段階的に始まりました。今後は、インドに展開する事業者のDPDP法への対応も本格化していくものと思われます。
本稿では、これから対応が必要となる事項を念頭に置きつつ、DPDP法の全体像に触れ、その後DPDP規則の主要な内容と施行スケジュールを確認し、最後に実務上の留意点をいくつか述べます。
2. DPDP法の全体像
(1) 実体的・地域的適用範囲
DPDP法は、デジタル形式の個人データの取扱いに対して適用されます(法3条(a))。なお、データ主体自身により公開された個人データについてはDPDP法の適用が排除されており(法3条(c)(ii))、この点は個人情報の保護に関する法律(以下「個情法」といいます。)やEU一般データ保護規則(以下「GDPR」といいます。)などとは異なります。
また、DPDP法は、地域的適用範囲を、インド域内での個人データの取扱いに基本的に限っており(法3条(a))、この点は個情法やGDPRと異なります。もっとも、域外適用は予定されており、具体的には、インドのデータ主体に対する商品又はサービスの提供に関する活動に関連するインド域外での個人データの取扱いについては、DPDP法が適用されることとなります(法3条(b))。なお、DPDP法は、域外の事業者による域内データ主体に対する行動監視を法の適用対象とするGDPR 3条2項(b)に相当する規定を置いていません。そのため、例えば、域外の事業者がインドのデータ主体のインターネット上の行動を、商品等の提供とは関わりなくモニタリングするだけであれば、DPDP法が適用されないという帰結になります。
(2) 個人データの取扱い
個人データは、合法的な目的のためであり、かつ、(i)データ主体から同意が得られているか、又は、(ii)一定の正当な利用のためである場合に限って、取扱うことが許されます(法4条1項)。
なお、DPDP法7条は、正当な利用となる事由を9つ挙げていますが、GDPRにおける「正当な利益」に相当するものは定められていません。また、特定の類型の個人データの取扱いについて別途の規制(GDPR 9条1項、個情法20条等)を設けることもしていません。
(3) コンセントマネージャー
DPDP法は、コンセントマネージャーに関する定めを置き、各データ主体が自身の個人データの同意等を単一の窓口で行える仕組みの整備を目指しています。
コンセントマネージャーとは、データ保護委員会に登録された者であって、アクセス可能で、透明性があり、相互運用可能なプラットフォームを通じて、データ主体が自身の同意を付与、管理、レビュー、及び撤回できるようにする単一の連絡窓口として機能する者を意味します(法2条(g))。詳細は後述します。
(4) データ主体の権利
DPDP法は、第3章において、データ主体(Data Principal)の以下の権利を規定しています。
- 個人データにアクセスする権利(法11条)
- 個人データを訂正、補完、更新及び消去する権利(法12条)
- データ受託者等から苦情解決手段の提供を受ける権利(法13条)
- 死亡又は心神喪失の際の権利行使者を選任する権利(法14条)
また、データ主体は、個人データの取扱いについて与えた同意をいつでも撤回する権利があるものとされています(法6条4項)。
なお、DPDP法は、データ主体の義務を定めており(法15条)、違反があった場合には少額ながら制裁金が課され得ます(法33条)。これは、個情法やGDPRには見られない規定です。
(5) 子どもの保護
DPDP法は、子ども(18歳未満の者)の個人データの取扱いについてデータ受託者に追加的な義務を課しています(法9条)。詳細は後述します。
(6) データ受託者とデータ処理者
DPDP法は、個人データの取扱いに関して義務を負う者として、データ受託者(Data Fiduciary)とデータ処理者(Data Processor)を定めています(法2条(i)及び(k))。それぞれGDPRにおける管理者、処理者に相当する者です。
なお、DPDP法は、データ受託者を「単独又は他者と共に個人データの取扱いの目的と手段を決定する者」と定義しており(法2条(i))、データ受託者が複数であり得ることを想定しているものの、個人データの共同利用に関する規律を特に定めていません。
(7) 重要データ受託者
DPDP法は、個人データの取扱いの量と機微性、データ主体の権利に対するリスク等を考慮して、重要データ受託者(Significant Data Fiduciary)を指定することができ(法10条1項)、指定を受けたデータ受託者は、追加的な義務を負います(同条2項)。詳細は後述します。
(8) データ受託者の義務
データ受託者は、個人データの取扱いに関して適法でありかつ透明性が確保されていることが求められます(法4条、5条、18条等)。また、個人データの正確性を維持する必要があります(法8条3項、同条7項等)。個人データの取扱いの根拠がデータ主体の同意である場合に、データ受託者は同意を得たことについて立証責任を負います(法6条10項)。
また、データ受託者は、DPDP法を効果的に遵守するために、適切な技術的及び組織的措置を講じなければなりません(法8条4項)。
個人データ侵害については、データ受託者は、これを防ぐために合理的なセキュリティ措置を講じることが求められます(同5項)。個人データ侵害が生じた場合のデータ受託者の義務(同6項)については、DPDP規則が詳細を定めていますので後述します。
(9) 域外データ移転規制
DPDP法は、個人データをインド国外に移転する場合の規制を定めておらず、中央政府の指定により制限することができることを定めるのみです(法16条)。
DPDP規則では、個人データの域外への移転が原則として自由であることが明記されています(規則15条)。ただし、中央政府は、一般的に又は特定の事例において個人データの域外への移転を制限することができるところ(同上)、現時点でかかる制限は公表されていません。
(10) インドデータ保護委員会
DPDP法は、同法の違反に対する制裁金の裁定等を行う機関として、データ保護委員会(Data Protection Board of India)を新たに設置することを定めました(法18条)。中央政府は、DPDP規則の公表と合わせて、2025年11月13日、データ保護委員会を設立したことを公表しました2。
(11) 制裁金
DPDP法は、違反に係る制裁金について次のとおり定めています(法33条、別表)。
| 対象行為 | 制裁金 |
|---|---|
| 個人データ侵害を防止するための合理的なセキュリティ措置を講ずるデータ受託者の義務(8条5項)違反 | 25億ルピー以下 |
| 個人データ侵害の際のデータ保護委員会及び影響を受けるデータ主体に対する連絡義務(8条6項)の違反 | 20億ルピー以下 |
| 子どもの個人データの取扱いに関する追加的義務(9条)の違反 | 20億ルピー以下 |
| 重要データ受託者の追加的義務(10条)の違反 | 15億ルピー以下 |
| データ主体の義務(15条)の違反 | 1万ルピー以下 |
| データ保護委員会に対する任意誓約; voluntary undertaking(32条)の不履行 | 28条の手続に従ったデータ保護委員会の判断による |
| その他の違反 | 5億ルピー以下 |
3. DPDP規則の主な内容
(1) データ受託者のデータ主体に対する通知義務(規則3条)
DPDP法は、データ受託者がデータ主体の同意に依拠して個人データを取扱う場合に、データ主体に対する通知義務を定めています(法5条1項)。DPDP規則3条は、その内容を具体的に定めており、通知は以下の要件を満たすものでなければならないとされています:
- 提示され、かつ、データ受託者が提供する他の情報とは独立して理解可能な内容であること
- その個人データの取扱いについて個別の同意を与えるために必要な詳細の公平な説明が明確かつ平易な言葉でなされており、少なくとも以下を含むものであること:
- (i)取扱われる個人データの項目、並びに、
- (ii)個人データの利用目的、及び、当該個人データの取扱いにより提供される物又はサービスの具体的内容
- データ受託者のウェブサイト等にアクセスするための特定の連絡リンク等が提供されており、データ主体がこれを通じて以下ができること:
- (i)同意の撤回(同意を与えたときと同程度の容易さであること)、
- (ii)DPDP法上の権利行使、及び、
- (iii)データ保護委員会への苦情申立て
(2) コンセントマネージャーの登録要件及び義務(規則4条1項、別表1)
DPDP規則4条1項及び別表1パートAは、コンセントマネージャーの登録要件を定めています。例えば、インドで設立された会社であること、純資産額が2000万ルピー以上であること、データ保護委員会が随時公表するデータ保護基準及び保証フレームワークに準拠した相互運用可能なプラットフォームとして認証されていることなどが挙げられています。
また、DPDP規則4条2項及び別表1パートBは、コンセントマネージャーの義務を詳細に規定しています。義務の内容は多岐にわたるものの、コンセントマネージャーの提供するプラットフォームが単に技術的なインターフェースにとどまらず、データ主体のプライバシーを確保することを念頭に置いていることが窺えます。具体的な義務の内容としては、個人データの提供又は共有の方法がコンセントマネージャーによって読み取れないことを確保すること、データ主体による同意の付与等に関する記録の保持、DPDP法に基づくコンセントマネージャーの業務の再委託禁止などが挙げられます。
(3) データ受託者に求められるセキュリティ対策(規則6条)
DPDP規則は、個人データ侵害の防止のために合理的なセキュリティ対策を講じるデータ受託者の義務(法8条5項)について、講ずべき最低限の措置を定めています(規則6条)。
| 対応項目 | 内容 | |
|---|---|---|
| (a) | データ自体のセキュリティ対策 | 暗号化、難読化、マスキング、又は仮想トークンを通じた個人データの安全の確保 |
| (b) | アクセス制御 | データ受託者及びデータ処理者に使用されるコンピュータリソースに対するアクセスの制御 |
| (c) | アクセスの可視性 | 不正アクセスの検出を可能とする適切なログ管理、モニタリング、検証を通じて個人データへのアクセスに関する可視性の確保 |
| (d) | 継続処理の確保(バックアップ) | 個人データの破壊又はアクセス喪失により個人データの機密性、完全性、可用性が失われた場合に、バックアップなどの手段により継続的な取扱いを可能にするための措置の実施 |
| (e) | ログ及び個人データの保持 | 不正アクセスの検出、調査、是正及びそのようなインシデント時の継続的取扱いを可能にするための、当該ログ及び個人データの1年間の保持 |
| (f) | 適切な契約条項 | データ受託者とデータ処理者の間で締結される適切な契約に、合理的なセキュリティ保護措置のための規定を定めること |
| (g) | 技術的・組織的措置 | セキュリティ対策のための技術的・組織的措置の実施 |
(4) 個人データ侵害に関する連絡(規則7条)
データ受託者は、個人データ侵害発生時にデータ保護委員会及びデータ主体に対する連絡義務を負うところ(法8条6項)、DPDP規則では、かかる義務について次のとおり具体化されています(規則7条)。
- 影響を受けるデータ主体 に対して、個人データ侵害を認識した後、遅滞なく、ユーザーアカウント等を通じて、明確かつ平易な方法で連絡をしなければなりません。この連絡には、DPDP規則7条1項(a)~(e)に定める事項が含まれる必要があります。
- データ保護委員会 に対して、個人データ侵害を認識した後、遅滞なく当該侵害の概要を連絡するとともに、原則として72時間以内に、DPDP規則7条2項(b)(i)~(vi)に定める事項を連絡しなければなりません。
(5) 個人データの消去の義務(規則8条)
DPDP法は、データ受託者に対し、個人データの保存期間の制限を課しています(法8条7項)。具体的には、データ受託者は、法令遵守のために保持が必要な場合を除き、(i)データ主体が同意を撤回したとき又は(ii)取扱いの目的がもはや果たされていない3と解することが合理的となり次第、個人データを消去しなければなりません。
DPDP規則は、以下で述べるとおり、規定を補足しています(規則8条)。
a. eコマース事業者等の特則
まず、DPDP規則は、取扱いの「目的がもはや果たされていない」という判断の基準となる期間についてeコマース事業者、オンラインゲーム仲介者、及びソーシャルメディア仲介者の3業種に対する特定の規律を設けました(規則8条1項)。これらの業種のデータ受託者は、データ主体が最後に接触してきた日又はDPDP規則の施行日(2025年11月13日)のいずれか遅い日から3年間、データ主体からの接触がない場合は、基本的に、当該データ主体の個人データを消去する義務を負います(同条、別表3)。
b. 個人データを削除する前の連絡
次に、データ受託者は、データ主体がユーザーアカウントへのログイン又はデータ受託者への接触によって個人データの取扱いに関する権利を行使しようとしない限り、DPDP規則にしたがって個人データを削除することをその48時間前までに知らせなければならないことが定められました(規則8条2項)。
c. 安全保障、法執行等のための保存
データ受託者は、上記(a)及び(b)の義務にかかわらず、個人データの取扱いの日から1年間、当該個人データ、関連するトラフィックデータ、その他取扱いのログを、別表7に定める目的のために保存する義務を負います(規則8条3項)。1年間の経過後は、法令等により更なる保存が要求されない限り、削除が必要です(同上)。別表7に定める目的は以下のとおりです:
- (i)インドの主権や安全保障、
- (ii)法執行、及び、
- (iii)重要データ受託者の指定のための評価
(6) 窓口担当者の公表(規則9条)
データ受託者は、データ主体からの問い合わせ窓口の担当者の連絡先を公開することが求められます(法8条9項)。DPDP規則は、この義務を補足し、データ受託者に対して、ウェブサイトやアプリ上で当該連絡先を公開することを義務付けるとともに、データ主体の権利行使に関する各連絡において言及することを義務づけました(規則9条)。
(7) 子ども等の保護に関する詳細規定
a. 親権者の同意の検証(規則10条)
データ受託者は、子どもの個人データを取扱う前に、親権者4の検証可能な同意を得なければなりません(法9条1項)。
DPDP規則は、この点に関して、データ受託者に対して、親権者と名乗る者が識別可能な成人であることを確認するために、デューデリジェンスを実施することを求めています(規則10条1項)。デューデリジェンスは、以下の情報源を参照して実施しなければなりません:
- データ受託者が保有する親権者の身元と年齢の信頼できる詳細
- (i)親権者を通じて、又は、(ii)公認の機関が発行するデジタルトークンを通じて、任意に提供を受けた親権者の身元と年齢の詳細
b. 義務の除外規定(規則12条)
データ受託者は、上記の親権者の同意取得義務に加えて、子どもの福祉に有害な影響を及ぼす可能性が高い個人データの取扱い、及び、子どもに対する行動監視及びターゲッティング広告の実施を禁じられます(法9条2項、同条3項)。
DPDP規則は、これらの義務に関して、除外規定を設けています(規則12条)。この除外規定には、データ受託者の属性に応じたもの(別表4パートA)、及び、個人データの取扱いの目的に応じたもの(別表4パートB)があります。例えば、前者に関しては、教育機関による行動監視は、当該機関の教育活動又は在籍する生徒の安全のために行われるのであれば、禁止されません(別表4パートA第3項)。後者に関しては、電子メールによる通信のためのユーザーアカウント作成のための子どもの個人データの取扱いは、そのアカウント作成とメール送信のために必要なものであれば、禁止されません(別表4パートB第3項)。
c. 障がい者の法定後見人の同意の検証(規則11条)
データ受託者は、法定後見人を付された障がい者の個人データを取扱う前に、法定後見人の検証可能な同意を得なければなりません(法9条1項)。
DPDP規則は、データ受託者が法定後見人から同意を得る際、法定後見人が裁判所等から任命を受けていることを適切なデューデリジェンスをもって確認する義務を定めています(規則11条)。
(8) 重要データ受託者に関する詳細規定(規則13条)
DPDP法は、重要データ受託者の義務として、以下のものを定めています(法10条2項)。
- データ保護責任者(DPO)の任命
- 独立データ監査人の任命
- 定期的なデータ保護影響評価(DPIA)や監査の実施
なお、DPOについては、インドに拠点を置く個人であって、DPDP法に基づく苦情是正メカニズムの連絡窓口となる必要があります。
DPDP規則は、これらの重要データ受託者の義務について詳細を定めるとともに、いくつかの義務を追加しています。
まず、DPIA及び監査については、重要データ受託者となった日から起算して12か月に1度の頻度で実施しなければならないこととなりました(規則13条1項)。このDPIA及び監査の結果は、データ保護委員会への提出が必要です(同条2項)。
次に、重要データ受託者は、自ら採用した技術的措置について、適切なデューデリジェンスを実施しなければなりません(同条3項)。具体的には、SDFによって個人データがホスティング、表示、アップロード、修正、公開、送信、保存、更新、または共有されるために展開されるアルゴリズムソフトウェアを含む技術的措置が、データ主体の権利にリスクをもたらす可能性がないことを確認する必要があります。
更に、重要データ受託者は、中央政府が自ら設置した委員会の勧告に基づいて指定する個人データについて、当該個人データ及びその流通フローに関連するトラフィックデータが域外に移転されないという制限に従って取扱われることを確保するために、措置を講じる必要があります(同条4項)。
中央政府は、現時点で重要データ受託者の指定を行っておらず、今後の動向に注視が必要です。
4. DPDP法の施行スケジュール
DPDP法は、中央政府にその施行時期を委任しているところ(法1条2項)、DPDP規則の公表と同じタイミングで、施行スケジュールが指定されました5。
| 施行日 | DPDP法 | DPDP規則 | 主な規定 |
|---|---|---|---|
| 2025/11/13:即時施行 | 法1条2項、2条、第5章(18条~26条)、35条、及び、38条~43条、44条1項及び3項 | 規則1条、2条、17条~21条、並びに、別表5、別表6 | 法の適用範囲、定義、データ保護委員会の設立、構成、委員の任命、会議手続、規則制定権限 |
| 2026/11/13:1年後 | 法6条9項、27条1項(d) | 規則4条、別表1 | コンセントマネージャーの登録に関する規定、及びコンセントマネージャーの登録条件違反に関する委員会の権限 |
| 2027/05/13:18か月後 | 法3条~5条、6条1項~8項及び10項、7条~17条、27条(同条1項(d)を除く)、28条、34条、36条、37条、44条2項 | 規則3条、5条~16条、22条、23条、別表2~別表4、別表7 | ほとんどの規定:データ受託者の義務(通知、同意、セキュリティ対策、侵害通知、保存制限)、データ主体の権利、子どもの個人データの取扱い、重要データ受託者の追加的義務、越境データ移転の制限、制裁金の賦課と裁定など |
以上のとおり、コンセントマネージャーの登録に関するものを除き、データ受託者に関する主要なDPDP法の規定は、2027年5月13日の施行を予定しています。
5. 実務上の留意点
(1) 過去に取扱った個人データに関する通知
データ受託者は、DPDP法の施行後にデータ主体の同意に依拠して取得した個人データのみならず、施行前にデータ主体の同意に依拠して取扱った個人データについても、そのデータ主体に対してDPDP規則3条に準拠した内容の通知を行う必要があります(法5条2項)。
この通知は、単に自社のウェブサイト上で公表するプライバシーノーティスにその旨を記載しておくだけでは足りず、電子メールやアプリ内通知により、改めて実施する必要があると解されます。
したがって、データ受託者は、対象となるデータ主体に対して、DPDP法5条2項が施行される2027年5月13日以降実務上可能な限り速やかに、DPDP規則3条に定める内容を備えた通知を行うことが求められます。
(2) コンセントマネージャーへの対応
コンセントマネージャーは、中央政府の監督の下で、あるデータ主体にとって個人データのあらゆる取扱いを一元的に管理できる相互運用可能なプラットフォームを提供することとなります。これは、世界的に見ても先駆的な仕組みであり、DPDP法の最も野心的な取り組みの一つといえます。
コンセントマネージャーと類似のサービスを提供する事業者として、政府主導のデジタルインフラ(India Stack)6構築の一環で開発されたAPI規格の下で、金融データの共有サービスを提供するアカウントアグリゲーター7が想起されます。アカウントアグリゲーターが提供するサービスは、インドの市場において大きな成功をおさめています。
アカウントアグリゲーターは、利用者がある金融機関Aに提供している金融データを別の金融機関Bに提供することについて同意しているか否かを管理し、金融機関Aから金融機関Bへのデータの移転の際にはデータの中身を閲覧・保存しない単なる導管として関与します。このような仕組みは、コンセントマネージャーが提供するプラットフォームと類似の性質を持つといえます。
もっとも、金融分野におけるアカウントアグリゲーターの成功は、金融セクター特有の厳しい規制の下で金融機関とアカウントアグリゲーターが同一の規制当局に服していることに起因している可能性があり、そのような前提を欠いた電子商取引分野での相互運用可能なプラットフォームであるONDCは必ずしもうまくいっていないという指摘もあります8。コンセントマネージャーが提供するプラットフォームには、多種多様な技術仕様の下でビジネスを展開する事業者がシステム接続を行うことが想定されます。このことに鑑みれば、プラットフォームの相互運用可能性の確保が容易でない可能性は否定できません。
とはいえ、データ主体は、「コンセントマネージャーを通じて、データ受託者に対して同意を与える…ことができる」のであり(法6条7項)、データ受託者としては、コンセントマネージャーを通じて提供された同意を受ける技術的な体制を整えざるを得ません。そのため、データ受託者は、コンセントマネージャーを巡る不透明な現状を注視しつつ、今後データ保護委員会が公表することが見込まれるプラットフォームのデータ保護基準及び保証フレームワークの内容を十分に吟味し、商業的に実現可能であることを確保する必要があります。
(3) データ受託者が複数となる場合の取り決め
DPDP法は、データ受託者が複数当事者となり得ることを予定しつつ(法2条(i))、個情法やGDPRのような個人データを複数当事者で利用する場合の規律を特段定めていません。
日本企業を含む域外の事業者は、現地子会社や現地代理店とともに個人データの取扱いの目的や方法を決定することで共同のデータ受託者となる機会も多いと思われます。そのため、データ受託者が複数人となると考えられる場合は、データ主体から同意を取得するのは誰か、データ主体やデータ保護委員会との関係で窓口になるのは誰か、責任の分担はどうするか、といった基本的な事項について、文書により合意しておくことが重要です。
なお、複数のデータ受託者が法令違反に加担した場合の対外的な責任分担についても、DPDP法が定めを置いていない以上、どのように解釈されるのか明らかではありません。
(4) 域外データ移転規制のモニタリング
DPDP法は、現時点では、域外データ移転に関する制限を定めていません(法16条、規則15条)。
もっとも、2027年5月13日(法16条の施行日)までに、中央政府が、一般的に又は特定の事例において個人データの域外への移転を制限することも十分に考えられます。制限の内容によっては、日本企業を含む域外事業者に与える影響も小さくないことから、引き続き、中央政府の動向に注視する必要があります。
(5) 親権者の同意の検証への対応
データ受託者は、DPDP法9条が施行される2027年5月13日以降、原則として、親権者の事前の同意なくして子どもの個人データを取扱うことができなくなります。この親権者の同意は、検証可能なものでなければならず、要するに、チェックボックス形式の親権者の同意確認は、もはや適法な確認方法ではなくなることを意味します。
DPDP法は、検証可能な同意を得る手段の一つとして、デジタルトークンを通じて任意に提供を受けた親権者の身元と年齢の詳細を確認することを定めています(規則10条1項(b)(ii))。そのほかの手段として、データ受託者が既に保有する親権者の身元と年齢の信頼できる詳細を確認したり、親権者から任意に提供を受けた親権者の身元と年齢の詳細の提供を受けたりすることが定められているものの、一度環境を整えてしまえば、デジタルトークンによる方法がデータ主体とデータ受託者の双方にとって最も手続的な負担が少ないように思われます。
デジタルトークンは、認可された事業体(authorised entity)が発行したものでなければなりません(規則10条1項(b)(ii))。今後どの組織が認可された事業体とされるのか未確定ではあるものの、DPDP法は、DigiLockerと呼ばれる中央政府が提供する公的書類を管理するためのプラットフォームなどを活用することを想定しているように見受けられます。
いずれにしても、データ受託者がデジタルトークンを通じて親権者の身元と年齢の情報提供を受けることを望むのであれば、2027年5月13日までに、データ受託者側のシステムとDigiLocker等とのAPI連携の実施が必要です。
(6) 個人データ侵害に対する補償
DPDP法は、個人データ侵害に関して、データ受託者のデータ主体に対する補償義務を定めていません。また、民事裁判所は、データ保護委員会がDPDP法の規定に基づき権限を有する事項について管轄権を有しません(法39条)。
初期の草案の段階では、補償義務が定められていたにも関わらず最終的に削除されたことも踏まえると、データ主体は、データ保護委員会と民事裁判所のいずれに対してもデータ受託者に対して補償を求めることが出来ないという解釈もあり得ます。補償の否定は、データ主体に積極的な個人データ侵害のデータ保護委員会への報告に対するディスインセンティブになりかねず、今後の議論を注視する必要があります。
以上
本稿は、一般的な情報提供を目的としており、個別具体的な事案に対する法的助言を想定したものではありません。個別具体的な案件への対応等につきましては、必要に応じて弁護士等の専門家にご相談ください。また、本稿に記載された見解は筆者個人の見解であり、所属事務所の見解ではありません。
1 インド政府ウェブサイト https://www.meity.gov.in/documents/act-and-policies/digital-personal-data-protection-rules-2025-gDOxUjMtQWa?pageTitle=Digital-Personal-Data-Protection-Rules-2025 2025年11月24日アクセス
2 脚注1参照
3 DPDP法8条8項は、「目的がもはや果たされていない」とみなされる場合について、データ主体が、DPDP法の定める期間内に、(a)その目的の履行のためにデータ受託者に接触しない、及び、(b)当該取扱いに関連して自己の権利を行使しないような場合をいうと規定しています。
4 DPDP法9条1項の文脈においては、親権者には法定の監護者も含まれるとされています。
5 脚注1参照
6 India Stack ウェブサイト < https://indiastack.org/index.html > 2025年11月24日アクセス
7 本稿の「アカウントアグリゲーター」は、アカウントアグリゲーションサービスを提供する事業者一般を指すではなく、インドにおいて所定のライセンスを得た規制業種名である点、ご留意ください。
8 IAPP “Consent Management” https://iapp.org/resources/article/operational-impacts-of-indias-dpdpa-part7/ 2025年11月24日アクセス