インド2023年デジタル個人データ保護法（DPDPA）を解説

インドにおける急速なデジタル経済の進展は、14億人を超える人口規模と相まって、データ保護をめぐる法的枠組みの抜本的な見直しを不可欠なものとしました。この文脈において成立した「2023年デジタル個人データ保護法（Digital Personal Data Protection Act以下以下「DPDPA」または「本法」）」は、インド初の包括的なデータ保護法であり、同国でビジネスを展開する日本企業にとって極めて重要な意味を持ちます。さらに、本法の詳細な運用を定める「2025年デジタル個人データ保護規則（Digital Personal Data Protection Rules）」が2025年11月に公布されたことにより、具体的なコンプライアンス要件が確定し、完全施行に向けたカウントダウンが始まりました。

本法は、欧州のGDPR（一般データ保護規則）に匹敵する厳格な規律と、インド独自の「デジタル・インディア」政策を融合させた法制度です。特筆すべきは、データ侵害に対する制裁金が最大25億ルピー（約43億円相当）という巨額に設定されている点や、データ処理における「同意」の取得プロセスが極めて厳格化されている点です。これらは、従来のインド法制における緩やかな規制環境とは一線を画すものであり、経営リスクに直結する課題となります。

本記事では、DPDPAおよび2025年規則の全容について、日本の個人情報保護法やGDPRとの比較を交えながら体系的に解説します。特に、日本企業の実務担当者が直面する「同意取得の厳格さ」「雇用データ管理の特例」「子供のデータ保護」「データ侵害時の72時間報告ルール」といった論点を中心に、法的リスクと具体的な対応策を詳述します。インド市場での持続可能な成長のためには、この新たな法的ランドスケープを正確に把握し、戦略的なガバナンス体制を構築することが急務と言えるでしょう。

なお、インドの包括的な法制度の概要は下記記事にてまとめています。

インドにおけるデータ保護法制の憲法的基盤と沿革

インドにおけるデータ保護法制の議論は、単なる行政規制の強化という文脈を超え、憲法上の基本的人権の問題として発展してきました。その原点となるのが、2017年の最高裁判所判決です。

プライバシー権の確立：Puttaswamy判決

2017年8月、インド最高裁判所の憲法法廷は、Justice K.S. Puttaswamy (Retd.) v. Union of India 事件において、全会一致で歴史的な判決を下しました。この事案は、インド政府が推進する国民識別番号制度「Aadhaar（アーダール）」に伴う生体情報の収集がプライバシー侵害にあたるかが争われたものです。最高裁は、「プライバシー権は、インド憲法第21条が保障する『生命および個人の自由』に内在する基本的権利である」と判示しました。

この判決により、個人のデータプライバシーは「人間の尊厳」の中核的要素として位置づけられました。これは、DPDPAの解釈において、企業の経済的利益よりも個人の権利保護が優先される可能性が高いことを示唆しています。日本企業は、インドにおけるデータ保護が憲法レベルの要請であることを認識し、権利ベースのアプローチでコンプライアンスに取り組む必要があります。

インド2023年デジタル個人データ保護法の適用範囲と定義

DPDPAの適用範囲は、日本の個人情報保護法とは異なる独自の基準を採用しており、注意が必要です。特に「デジタルデータ」への限定と、国外企業への域外適用の広さは重要なポイントです。

デジタルデータへの限定と域外適用

本法は、インド国内においてデジタル形式で収集された個人データ、または非デジタル形式で収集された後にデジタル化された個人データに適用されます。日本の法律が紙媒体のデータベースも規制対象としているのに対し、インド法は「デジタル」に焦点を絞っています。しかし、現代の企業活動においてデータを完全に紙媒体のみで管理することは稀であるため、実質的にはほぼすべての事業活動が対象となります。

また、本法は強力な域外適用規定を有しています。インド国外に所在する企業であっても、そのデータ処理が「インド国内のデータ主体に対する物品またはサービスの提供」に関連する場合、本法が適用されます。例えば、日本からインドの消費者に向けたEコマースやアプリ配信を行う場合、インドに拠点がなくとも本法の遵守義務が生じます。

主要な登場人物の定義

本法では、GDPRや日本法とは異なる用語が使用されており、それぞれの法的責任を理解する上で重要です。以下の表に主要な定義と日本法・GDPRとの対応関係を整理します。

特筆すべきは「データ受託者（Data Fiduciary）」という呼称です。これは企業と個人の間に信認関係（Fiduciary Relationship）があることを前提としており、企業に対し、単なる管理者以上の善管注意義務を課していると解釈されます。また、データ処理者に対する直接的な罰則規定は少なく、委託先（処理者）の不備に対する責任は原則として委託元（受託者）が負う構造になっています。

インドDPDPAにおける同意の原則と通知義務

DPDPAにおけるデータ処理の適法根拠は、原則として「同意」に集約されます。GDPRにあるような「契約の履行」や「正当な利益」は独立した根拠として認められておらず、この点が日本企業にとって最大の実務的ハードルとなります。

厳格化された同意要件

本法第6条は、同意が有効であるための要件として、自由意思に基づくこと、具体的であること、十分な情報に基づいていること、無条件であること、および明確な肯定的行動によることを求めています。

この規定により、あらかじめチェックボックスにチェックを入れておく「みなし同意」や、サービス利用に必須ではないデータ利用への同意を強制する「バンドル同意」は明確に禁止されます。ウェブサイトやアプリのUI/UXにおいて、ユーザーが能動的に同意を選択する設計が必須となります。

通知義務の具体的内容

同意取得に際しては、データ処理の目的や収集するデータ項目などを詳細に記載した「通知（Notice）」を行う必要があります。2025年規則では、この通知に、データ保護責任者（DPO）の連絡先や、データ保護委員会への苦情申立て方法を含めることが義務付けられました。

さらに重要な点として、本法施行前にすでに取得していたデータについても、施行後速やかに改めて通知を行い、最新の要件に基づいた同意関係を確認する必要があります。これは過去の顧客データベースを持つ企業にとって、大規模な通知対応を迫るものです。

同意マネージャー制度

インド独自の特徴として「同意マネージャー」制度があります。これはデータ主体が一元的に同意の付与、管理、撤回を行えるプラットフォームです。企業はこのシステムと相互運用可能な技術的体制を整備し、ユーザーが同意マネージャーを通じて行った同意撤回などの指示にリアルタイムで対応する必要があります。

インドDPDPAの正当な使用と雇用データの取り扱い

同意取得が原則である一方、本法第7条は、同意なしにデータ処理が可能となる「正当な使用（Certain Legitimate Uses）」を定めています。これはいわゆる例外規定ですが、その範囲は限定的です。

雇用関係における特例

企業にとって特に重要なのが、雇用目的でのデータ利用です。本法は、「雇用のための処理」や「雇用主を損失や責任から保護するための処理」について、同意取得の例外を認めています。これにより、給与支払いや勤怠管理、社内セキュリティ確保のためのデータ処理は、個別の同意なしに行うことが可能です。

しかし、この例外は無制限ではありません。採用候補者のデータを不採用後も長期間保持したり、従業員データを提携企業へのマーケティング目的で共有したりすることは、「雇用のための処理」の範囲外と判断される可能性が高く、別途同意が必要となります。日本企業は、どの業務が第7条の例外に該当し、どの業務で同意が必要かを厳密に仕分けする必要があります。

インドDPDPAに規定されているデータ受託者の義務と罰則

データ受託者には、データの正確性確保、保存期間の制限、安全管理措置など多岐にわたる義務が課されます。違反時の罰則は刑事罰が削除された一方で、行政制裁金が高額化しており、経営へのインパクトは甚大です。

25億ルピーの制裁金と安全管理義務

本法第8条は、合理的な安全管理措置を講じることを義務付けています。これに違反してデータ侵害を防げなかった場合、最大25億ルピー（約43億円）の制裁金が科される可能性があります。この制裁金は単一の違反に対する上限額であり、企業の規模に関わらず適用され得るため、徹底したサイバーセキュリティ対策が求められます。

以下の表は、主な違反行為とその制裁金上限額です。

72時間以内のデータ侵害報告

日本企業が特に留意すべきは、データ侵害発生時の報告義務です。2025年規則により、データ侵害を認識してから72時間以内に、インドデータ保護委員会および影響を受けるすべてのデータ主体に対して通知を行うことが義務付けられました。

GDPRのようにリスクの大小による報告免除の規定（閾値）はなく、原則としてあらゆる侵害が報告対象となります。また、委員会への報告だけでなく、本人への通知も同時に求められる点が非常に厳格です。侵害発覚時の初動対応計画（インシデントレスポンスプラン）を整備し、72時間以内に事実関係を把握できる体制を構築しておく必要があります。

インドDPDPAが規定する子供のデータ保護に関する規制

インドは若年人口が多い国であり、子供（18歳未満）のデータ保護には特別な配慮がなされています。この分野の規制は世界的に見ても最も厳しいレベルにあります。

検証可能な保護者の同意

18歳未満の個人のデータを処理する場合、処理開始前に必ず親権者または法的保護者の「検証可能な同意（Verifiable Parental Consent）」を取得しなければなりません。2025年規則では、単なるチェックボックスではなく、政府発行の身分証やデジロッカー（DigiLocker）などを活用した、確実な年齢・身分確認が求められる仕組みとなっています。

追跡およびターゲット広告の禁止

さらに、子供の幸福に悪影響を及ぼす可能性のある処理や、子供を対象とした追跡（トラッキング）、行動監視、ターゲット広告は全面的に禁止されています。エドテック（教育技術）企業やゲーム会社など、若年層をターゲットとするビジネスにおいては、ビジネスモデルの根本的な見直しが必要となる可能性があります。

インドDPDPAにおける越境データ移転の規制

かつての法案で懸念された厳格なデータローカライゼーション（国内保存義務）は緩和され、DPDPAでは「ブラックリスト方式」が採用されました。

本法第16条に基づき、インド政府が通知により制限した国・地域を除き、個人データの国外移転は原則として認められています。2025年12月現在、日本への移転を制限する通知は出されていないため、適切な安全管理措置を講じている限り、インドから日本の本社サーバー等へのデータ移転は可能です。ただし、金融データなど、インド準備銀行（RBI）等のセクター別規制により国内保存が義務付けられている特定のデータについては、それらの規制が優先される点に注意が必要です。

インドのDPDPA、日本法、EUのGDPRとの主要な違い

最後に、DPDPAの特徴を浮き彫りにするため、日本の個人情報保護法（APPI）およびEUのGDPRとの主な違いを比較表で示します。

まとめ

インドの2023年デジタル個人データ保護法は、厳格な同意主義、子供のデータに対する強力な保護、そして違反時の高額な制裁金を特徴とする法律です。Puttaswamy判決に裏打ちされたプライバシー権の保障は、今後の法執行においても厳格に運用されることが予想されます。日本企業にとっては、2027年5月の完全施行期限に向け、システムの改修、同意取得プロセスの刷新、社内規程の見直しなど、早急かつ具体的な対応が求められます。