日経新聞の2021年5月31日の「データ移転規制 実態調査」という記事によると
経済産業省は東南アジアなどの約10カ国・地域を対象に、データの持ち出し禁止やサーバーの設置要求といったデータ移転規制の実態を調べる。
ということで、
デジタル化でデータの重要性が増し、一部の国はデータを国内にとどめる動きを強める。法令を読んでも規制の内容がはっきりしない国もある。経産省は日本企業の進出の多いベトナムやタイ、インドネシア、インド、中国、欧州連合(EU)などで実態を調査する。コンサルティング会社や在外公館、日本貿易振興機構(ジェトロ)に依頼する。
ということだそうです。わが社もコンサルティング会社ではありますが、残念ながら、そのような打診は今のところきておりません。
ただ、2018年10月に、個人データ保護法制もあわせて、調査したことがあります。そのうち、その時点においてもインドのデータローカライゼーションは、注目を浴びていたので、そのあとの進展も、確認して、ご紹介したいと思います。
インドのローカライゼーションポリシー
2012年2月には、インド政府はデータ(政府機関の所有するデータおよび/または公的資金を使用して収集されたデータ)をローカルデータセンターに保存する必要があることを効果的に意味する「国家データ共有およびアクセシビリティポリシー(National Data Sharing and Accessibility Policy)」 を制定しました。
2014年2月、インドの国家安全保障理事会は、すべての電子メールプロバイダに、インドの事業のためにローカルサーバーを設置し、インドの2人のユーザー間の通信に関連するすべてのデータを国内に残すよう要求することによりデータローカライゼーションを開始する方針を提案したと報道されています 。
インドの政府機関も、政府機関の情報処理のクラウド化(GI Cloud-Maghraji)を進めています 。
公的契約のためにコンピューティングを行うクラウドプロバイダについては、データローカライズを必要としている。
たとえば、2015年には、インドの電子情報技術局は政府契約の認定を求めるクラウドプロバイダがインドにすべてのデータを保存するように指示するガイドラインを発表しています。
インド政府は、電子商取引方針 として「共同体データ/インドにおける種々のソース(電子商取引取引プラットフォーム、ソーシャタルメディア、検索エンジン)から作成されるデータについては、ローカライゼーションを推奨する」という方針を掲げていましたが、2018年9月には、政府がこの方針を撤回するという報道 がなされました。2019年には、正式に、電子商取引方針からはずされることになりました。
会社法/会計処理
2013年会社法(Companies Act, 2013)は、財務情報が、主に海外に保管されている場合には、インドにバックアップが保管されるべきとしています(同法94条)。
2018年において、一番、議論を読んでいるのが、インド準備銀行(Reserve Bank of India,RBI)の「決済システムデータの保存(Storage of Payment System Data)」という規制ルール です。このルールは、2007年決済(Payment and Settlement)システム法10条(2)および18条に基づくもので、
より良い監視を確実にするためには、これらのシステムプロバイダや、支払いエコシステム内のサービスプロバイダ/仲介業者/サードパーティベンダおよび他のエンティティに格納されているデータに対して自由な監督アクセスを持つことが重要である
という趣旨に基づいて制定されたものです。同ルールは、すべてのシスム提供者は、運営されている決済システムに関するすべてのデータがインド国内のシステムに保存されるようにしなければならないとして、このルールについては、システム提供者は、2018年10月15日までに直近の準備銀行への遵守を報告しなければならないとしていました。が、米国の決済業者は、このルールを守ることができない状態になっていました。現在では、このルールについて、これを前提に解説がなされています。
インドのデータ保護法の議論
2018年に調査したときには、インドについては、データ保護法が整備されておらず、いつそれが整備されるのかというのが、議論されていました。
その後、インドにおいては、2019年データ保護法(The Personal Data Protection Bill, 2019)が提案されました。しかしながら、現時点においては、まだ、議会を通過していません。
法案の具体的なページは、ここです。
具体的な特徴は
2019年の個人データ保護法案は、2019年12月11日に電子情報技術大臣のラビ・シャンカール・プラサド氏によって、ローク・サバーに提出されました。この法案は、個人の個人データの保護を規定し、そのためのデータ保護局を設置することを目的としています。
適用性について
本法案は、以下による個人データの処理を規定します。(i)政府、(ii)インドで設立された企業、(iii)インドで個人の個人データを扱う外国企業。個人データとは、個人を識別するために使用できる特性、特徴、またはアイデンティティの属性に関連するデータです。 本法案では、特定の個人データをセンシティブな個人データとして分類しています。 これには、金融データ、バイオメトリクスデータ、カースト、宗教、政治的信条、または当局および関係部門規制当局と協議の上、政府が指定するその他のカテゴリーのデータが含まれます。
データ受託者の義務
データ受託者とは、個人データの処理の手段および目的を決定する企業または個人を指します。このような処理は、一定の目的、収集および保存の制限の対象となります。 例えば、個人データは、特定の明確かつ合法的な目的のためにのみ処理することができます。 さらに、すべてのデータ受託者は、以下のような一定の透明性と説明責任を果たす必要があります。(i) セキュリティ対策(データの暗号化、データの悪用防止など)の実施、(ii) 個人の苦情に対応するための苦情処理メカニズムの設置。 また、子どものセンシティブな個人データを処理する際には、年齢確認や親の同意を得るための仕組みを導入しなければなりません。
個人の権利
本法案は、個人(またはデータ主体)の一定の権利を規定しています。これには以下のような権利が含まれます。(i) 自分の個人データが処理されたかどうかについて受託者から確認を得る、(ii) 不正確、不完全、または古い個人データの修正を求める、(iii) 一定の状況下で個人データを他のデータ受託者に転送させる、(iv) 必要性がなくなった場合や同意が撤回された場合、受託者による個人データの継続的な開示を制限する。
個人データ処理の根拠
本法案では、本人の同意が得られた場合に限り、受託者によるデータの処理を認めている。しかし、特定の状況下では、個人データを同意なしに処理することができる。 これには以下が含まれる。(i) 本人への給付のために国が必要とする場合 (ii) 法的手続き (iii) 医療上の緊急事態に対応する場合。
ソーシャルメディアの仲介者。本法案では、ユーザー間のオンラインでの交流を可能にし、情報の共有を可能にする仲介者を含むと定義されています。通知された閾値以上のユーザーを有し、その行動が選挙民主主義や公序良俗に影響を与える可能性があるこのような仲介業者はすべて、インドのユーザーに対して自発的なユーザー認証メカニズムを提供するなど、一定の義務を負います。
データ保護局
本法案では、データ保護局を設置しています。データ保護局は、(i) 個人の利益を保護するための措置を講じ、(ii) 個人データの悪用を防止し、(iii) 本法案の遵守を確保する。データ保護局は、データ保護と情報技術の分野で10年以上の専門知識を有する委員長と6名のメンバーで構成されます。 当局の命令は、控訴審に上訴することができます。 控訴審からの控訴は最高裁に送られます。
インド国外へのデータの移転。
機密性の高い個人データは、本人が明示的に同意し、一定の追加条件を満たす場合、処理のためにインド国外に移転することができます。ただし、そのようなセンシティブな個人データは、引き続きインド国内で保存する必要があります。 政府によって重要な個人データとして通知された特定の個人データは、インド国内でのみ処理することができます。
免除。
中央政府は、その機関のいずれかを本法の規定から免除することができます。(i) 国家の安全、公序良俗、インドの主権と一体性、外国との友好関係のため、(ii) 上記事項に関連する認知可能な犯罪の実行を扇動することを防止するため(すなわち令状なしの逮捕)。また、以下のような他の特定の目的のための個人データの処理は、法案の規定から除外されます。(i)犯罪の予防、捜査、起訴、(ii)個人的、家庭的、(iii)ジャーナリズム的な目的。 ただし、このような処理は、特定の明確かつ合法的な目的のために行われるものでなければならず、一定の安全措置が講じられなければなりません。
違法行為 本法案における犯罪には以下が含まれます。
(i) 法案に違反して個人データを処理または移転した場合は、15 クローネまたは受託者の年間売上高の 4%のいずれか高い方の罰金、
(ii) データ監査を行わなかった場合は、5 クローネまたは受託者の年間売上高の 2%のいずれか高い方の罰金。
非識別化された個人情報の再識別化および処理は、3年以下の懲役/罰金または併科
でもって、データ移転関係の案文です。
33条
(1) 第34条(1)項の条件に従い、機微な(sensitive)個人データをインド国外に移転することができるが、当該機微な個人データは引き続きインド国内で保存されるものとする。
(2) 重要な(critical)個人データは、インド国内でのみ処理されるものとする。
解説:第(2)項の目的上、「重要な(critical )個人データ」という表現は、重要な個人データであると中央政府から通知される個人データを意味する。
34条
(1) 機微な個人データは、処理を目的としてインド国外に移転することができるのは、当該移転についてデータ主体から明示的な同意が得られている場合で、かつ、以下の場合に限る。
(a)当局によって承認されている契約またはグループ内スキームに基づいて移転がなされること
ただし、契約またはグループ内スキームは、
- (i)他の者への更なる移転に関するものも含め、本法に基づくデータ主体の権利を効果的に保護すること、および
- (ii)かかる移転によってかかる契約またはグループ内スキームの規定が遵守されなかったために生じた損害に対するデータ受託者の責任を規定するものであること
場合以外には、承認されてはならない
または
(b) 中央政府が、当局と協議の上、以下のような見解に基づいて、国、国の中の当該事業体または事業体のクラス、または国際組織への移転を許可した場合 –
- (i) 当該機微な個人データは、適用される法律および国際協定を考慮して、適切なレベルの保護の対象となる。
- (ii) 当該移転が、適切な管轄権を有する当局による関連法の施行に不利益を与えないこと
(c) 当局が、特定の目的のために必要なセンシティブな個人データまたはセンシティブな個人データのクラスの移転を許可していること。
このスキームの元の認定が定期的に見直されるべきである。
(2) 第33条(2)の規定にかかわらず、重要な個人データは、以下の場合に限り、インド国外に移転することができる –
- (a) 第12条に基づく迅速な行動のために必要な医療サービスまたは緊急サービスの提供に従事する個人または事業体への移転。
- (b) 中央政府が、第1項の(b)の規定に基づき、かかる移転が許容されるとみなし、かつ、中央政府の見解として、かかる移転が国の安全保障および戦略的利益に不利益を与えない場合に、国、国の事業体または事業体のクラス、または国際機関に移転する場合。
(3) 第2節(a)項に基づくいかなる譲渡も、規則で定められた期間内に当局に通知されなければならない。
となっています。
このような規定がどのような議論を呼んでいるのか、という点については、正式に調査でもお願いされたら調べることにしたいと思います。機械がありましたら、お声をおかけください。>関係者さま
