インドの個人情報保護法（DPDPA 2023）の概要と2025年施行規則対応

現在、急速な経済成長とデジタルインフラの拡大を遂げるインド市場において事業を展開する企業にとって、データコンプライアンスは事業の存立を左右する最重要課題となっています。インド政府は2023年8月に初の包括的なデータ保護法であるデジタル個人情報保護法（DPDPA）を制定し、さらに2025年11月には具体的な運用ルールを定めた施行規則を公表しました。これにより最大25億ルピーという巨額の制裁金を伴う厳格な規制が本格的に動き出しています。

本記事では、2027年5月の全面施行に向けて企業が講じるべき対応策を中心に、対象データの定義から厳格な同意取得プロセス、独自制度である同意管理者の活用、そして越境データ移転に関する実務的な影響まで、インドにおける個人情報保護法対応の要点を網羅的に解説します。

インドにおけるデジタル個人情報保護法の歴史的背景と基本構造

インドにおける個人情報保護の法制化は、歴史的な最高裁判決を契機として推進されました。長らくインドでは情報技術法（IT法）およびその下位規則による断片的な規制しか存在しませんでしたが、2017年の判決においてプライバシー権が憲法上の基本的人権として明確に認められたことが、包括的なデータ保護法の策定を決定づけました。この画期的な判例は、インド最高裁判所において2017年8月24日に下された「Justice K. S. Puttaswamy (Retd.) and Anr. vs Union Of India And Ors.」判決です。この判決に関する公式な記録は、インド最高裁判所の判例情報サイトで確認することができます。

参考：Justice K. S. Puttaswamy (Retd.) and Anr. v. Union of India and Ors., (2017) 10 SCC 1

上記の判決を礎として数年間の議論と草案の修正を経た後、2023年8月11日にデジタル個人情報保護法（Digital Personal Data Protection Act, 2023：以下、DPDPA）が官報に公布されました。さらに2025年11月13日には、インド電子情報技術省（MeitY）からDPDPAの具体的な運用手続きを定める2025年デジタル個人情報保護規則（Digital Personal Data Protection Rules, 2025：以下、施行規則）が正式に通知され、法の段階的な施行が開始されています。関連する官報および施行規則の詳細は、インド電子情報技術省の公式ウェブサイトで公開されています。

参考：Digital Personal Data Protection Rules 2025

DPDPAは「SARAL（Simple, Accessible, Rational and Actionable）」というアプローチを採用しており、法文を簡素化し市民や企業が理解しやすい合理的な枠組みを目指しています。しかしその簡素な構造の裏には、データ受託者に対して極めて重い説明責任と高額な制裁金リスクを課す厳格な統制メカニズムが存在しており、事業を展開する主体は高度な事業防衛策と法務戦略に基づいたシステム改修を迫られることになります。

インドのデジタル個人情報保護法における域外適用と対象データ

DPDPAの適用範囲を正確に把握することは、インドにおける個人情報保護法対応の第一歩です。本法は第3条において、対象となるデータを明確に定義しています。第一にインド国内でデジタル形式で収集された個人データ、第二に非デジタル形式で収集された後にデジタル化された個人データが対象となります。すなわち最初から最後まで紙媒体のみで処理されるデータは適用範囲外となりますが、スキャンしてサーバーに保存した瞬間に法の対象となります。日本の個人情報保護法（APPI）においては紙媒体であっても体系的に構成された個人情報データベース等であれば対象となりますが、DPDPAは完全にデジタルデータまたは後からデジタル化されたデータのみを対象とする点で適用範囲の構造が異なります。

さらに事業リスクマネジメントの観点から極めて重要なのが、第1条第2項および第3条に基づく「域外適用」の規定です。DPDPAは、インド国内の個人データ主体に対して物品やサービスを提供する活動に関連して個人データが処理される場合、インド国外でのデータ処理に対しても適用されます。これはインド国内に物理的な拠点を持たない日本企業であっても、インドの消費者向けに越境ECサイトを運営していたり、インドのユーザーが利用可能なクラウドサービスを提供していたりする場合には直接的にDPDPAの規制対象となることを意味しています。この強力な域外適用規定により、グローバルに展開するデジタルビジネスは自社のシステムがインドの個人情報保護法に準拠しているかどうかの再点検を余儀なくされます。

インドの厳格な同意取得プロセスと多言語対応の法的義務

DPDPAの核心は、個人データ主体からの同意取得プロセスにあります。本法第6条において、同意は「自由で、具体的で、十分な情報に基づいており、無条件かつ明確な肯定的な行動」によって示されなければならないと規定されています。包括的な同意や、あらかじめチェックが入ったボックスを用いたオプトアウト方式による同意は無効とみなされます。

同意を取得する前にデータ受託者（データの処理目的と手段を決定する主体）は、どのような個人データがどのような目的で収集され処理されるのかを詳細に記載した通知を提供しなければなりません。2025年施行規則の第3条は、この通知が他の利用規約から独立したものであり、項目別に分かりやすく記述されることを求めています。

ここで日本企業のシステム改修に直結する最大の障壁となるのが、多言語対応の義務化です。DPDPAはデータ受託者に対して、同意要求と通知を英語だけでなく、インド憲法第8付則で定められた22の指定言語のいずれかで表示するオプションをデータ主体に提供することを義務付けています。この22の言語にはヒンディー語、ベンガル語、タミル語、テルグ語などが含まれます。

日本の個人情報保護法においては、プライバシーポリシーや同意画面を特定の複数言語で表示しなければならないという厳格な法定要件は存在しません。しかしDPDPA対応においては、グローバル企業であってもアプリやウェブサイトの同意取得画面を22言語に動的に切り替え、かつユーザーがどの言語で同意したかのログを法的監査に耐えうる形で保存するシステムの構築が必要となり、多大な開発コストと時間を要する極めて難易度の高い要件となります。

インド独自の制度である同意管理者の役割と要件

DPDPAが世界の他のデータ保護法と一線を画す最も特徴的な要素が、「同意管理者（Consent Manager）」という独自制度の導入です。同意管理者とは、インドデータ保護委員会（DPBI）に登録され、個人データ主体が複数のデータ受託者に対する同意を単一のプラットフォーム上で付与、管理、確認および撤回できるようにする独立した単一の連絡窓口として機能する事業者です。

2025年施行規則の第4条において、同意管理者の登録要件と義務が詳細に規定されました。主な法定要件として、インドで設立された法人であり純資産2,000万ルピー（1ルピー＝1.70円（執筆時点レート）とすると約3,400万円）以上を維持することが求められています。また、データ受託者との間に物質的な金銭関係や取締役の兼任等の利益相反を持たないことや、同意に関する変更不可能な監査ログを最低7年間保存することも義務付けられました。さらに、外部機関による独立した監査を受け、相互運用性とセキュリティ基準を満たすシステムの独立性も必要とされています。

データ受託者である企業側から見れば、自社で複雑な多言語対応の同意取得プラットフォームを一から構築する代わりに、登録された同意管理者のシステムとAPI連携することで同意管理の負担を軽減できるという戦略的メリットがあります。一方で同意管理者のシステムは、金融分野におけるアカウントアグリゲーター構想に端を発しており、将来的にはヘルスケアデータ等も含めたインドの国家的なデータ流通インフラの中核を担うことが予想されています。施行規則によれば、同意管理者に関する規定は2026年11月13日から効力を持つこととなっており、企業は自社システムを同意管理者のプラットフォームと統合するための技術的準備を進める必要があります。

インドにおけるデータ受託者の義務と重要個人データ受託者への規制

DPDPAにおいては、データの取り扱いに関するすべての法的責任が「データ受託者（Data Fiduciary）」に集中する構造となっています。データ受託者は自らの代理としてデータを処理する「データ処理者（Data Processor）」を利用することができますが、データ処理者自体にはDPDPAに基づく直接的な法定遵守義務や制裁金の対象となる規定は設けられていません。

この点は、日本の個人情報保護法との重大な違いです。日本の法律では個人データを取り扱う委託先に対しても一定の監督義務や共同責任が生じる運用がありますが、DPDPAでは法定の義務と罰則はすべてデータ受託者にのみ課せられます。データ処理者はDPBIから直接罰則を受けることはないため、データ受託者はベンダーとの間で契約に基づく強力な求償権や監査権限を設定するデータ処理契約（DPA）を締結することでしかリスクをヘッジできません。

さらにデータ受託者の中でも、取り扱うデータ量が膨大であったり機微な情報を扱っていたりして、国家の安全や個人の権利に重大なリスクをもたらす可能性がある事業者は、インド中央政府によって「重要データ受託者（Significant Data Fiduciary：SDF）」に指定されます。なお、2025 年施行規則において SDF 指定の明確な定量基準は全て発表されておらず、登録ユーザー数や売上高規模、扱うデータの機微性などが考慮されると予測されていますが、最終的な基準値はインド中央政府による正式な通知をもって確定します。

重要データ受託者に指定された場合、法第10条および規則第13条に基づき重い追加義務が課されます。第一に、インド国内に拠点を置き組織の取締役会に直接報告する権限を持つデータ保護責任者（DPO）を任命することです。第二に、独立したデータ監査人を任命し定期的なデータ保護監査を実施すること、そして第三に、システムのアルゴリズムの公平性評価を含む詳細なデータ保護影響評価（DPIA）を定期的に実行することです。これらの要件は、指定された企業に対して多大なコンプライアンス予算の確保と組織体制の根本的な見直しを要求します。

インドにおけるデータ侵害発生時の通知義務と高額な制裁金リスク

組織のセキュリティインシデント管理において最大の課題となるのが、データ侵害発生時の通知要件です。DPDPA第8条第6項および施行規則第7条は、個人データ侵害が発生した事実を認識した場合、データ受託者はDPBIおよび影響を受ける各個人データ主体に対して通知を行わなければならないと規定しています。

施行規則によれば、この通知は二段階で行うことが求められます。まずインシデントを認識した時点で遅滞なく、影響を受けるデータ主体に対して侵害の概要・影響・対策等を通知するとともに（Rule 7(1)）、DPBIに対しても侵害の性質・範囲・想定される影響等の初期報告を行います（Rule 7(2)(a)）。続いて、インシデント認識から72時間以内に是正措置や原因の詳細を含めた包括的な詳細レポートを提出しなければなりません。（Rule 7(2)(b)）重要な点は、他のデータ保護法でしばしば見られる「個人の権利に高いリスクをもたらす場合に限る」といった重大性の閾値がDPDPAには存在しないことです。つまり規模の大小にかかわらず、個人データの機密性、完全性または可用性を損なうあらゆる侵害が報告の対象となります。日本の個人情報保護法では特定の要件（要配慮個人情報の漏洩や1000人以上の漏洩など）を満たす場合に報告義務が生じますが、DPDPAはあらゆる侵害の報告を求めており極めて厳格です。

これに違反した場合の制裁金は、世界のデータ保護法の中でも極めて高額に設定されています。DPDPAの別表に定められた制裁金の上限額として、データ漏洩を防止するための合理的な安全管理措置の不履行には最大25億ルピー（約42.5億円）、DPBIまたはデータ主体へのデータ侵害通知義務の不履行には最大20億ルピー（約34億円）が規定されています。また、子供のデータ処理に関する追加義務の違反には最大20億ルピー（約34億円）、重要データ受託者の追加義務の違反には最大15億ルピー（約25.5億円）が課され、その他の法律または規則の規定違反については最大5億ルピー（約8.5億円）とされています。デジタル個人情報保護法における制裁金の公式情報は以下のサイトで確認できます。

参考：デジタル個人情報保護法における制裁金の公式情報（p.21、The Schedule参照）

制裁金は組織の全世界売上高に基づくパーセンテージではなく、固定の最大額として設定されている点が特徴です。安全管理措置を怠ったことによって侵害を発生させ、かつその通知を怠った場合、理論上は複数の制裁金が合算されるリスクがあり、事業継続に致命的な打撃を与える可能性があります。

域外データ移転の制限と全面施行までの経過措置

多国籍企業やクラウドサービスを利用する企業にとって、国境を越えたデータの移動に対する規制はデータセンターの配置やシステム構成に直接影響します。DPDPA第16条および施行規則第15条は、越境データ移転に関するフレームワークを定めています。

DPDPAのアプローチは、原則としてデータ移転を許可しつつ、インド中央政府が特定の国や地域を通知によって指定しそこへの移転を制限または禁止するというブラックリスト方式を採用しています。これはGDPRなどのように移転先国の十分性認定（ホワイトリスト）を必要とする方式や、日本の個人情報保護法が定める同等水準の保護体制の確保を求める方式とは根本的に異なります。現時点ではインド政府から具体的なブラックリストは公表されていないため、企業は従来通り海外のサーバーへデータを移転することが可能ですが、今後の政府による通知を継続的に監視し、指定された場合には即座にデータのルーティングを変更できる柔軟なインフラストラクチャを設計しておく必要があります。

これらの厳格な規制への対応として、インド政府は段階的な施行スケジュールを設定しています。2025年11月13日の施行規則公表をもってDPBIの設立に関する規定が即日施行されました。前述の通り同意管理者に関する規定は12ヶ月後の2026年11月13日に施行されます。そして同意取得の多言語対応、データ侵害の72時間以内通知、重要データ受託者の義務、越境データ移転など実務に最も大きな影響を与える主要なコンプライアンス要件は、施行規則公表から18ヶ月後となる2027年5月13日に全面施行されます。この18ヶ月間は決して長い猶予ではなく、システムの多言語対応や監査体制の構築には膨大な工数がかかるため対応は急務です。

デジタル時代におけるコンプライアンス戦略の再構築

インドのデジタル個人情報保護法への対応は、単なる法務部門のタスクに留まらず、組織全体のビジネスプロセスとITアーキテクチャの根本的な見直しを要求します。22言語に対応したユーザーインターフェースの開発、データのライフサイクル全体を追跡する監査ログの実装、そして72時間以内に機能するグローバルなインシデントレスポンス体制の構築は、企業にとって大規模な投資を伴うプロジェクトとなります。

一方でこの新しい法的要件を早期に満たすことは、インド市場におけるブランドの信頼性を高め、競合他社に対する明確な差別化要因となります。同意管理者という新しいエコシステムへの適応はユーザーに透明性の高いデータコントロールを提供し、長期的な顧客エンゲージメントの向上に寄与します。企業はDPDPAを単なる規制の強化として捉えるのではなく、データガバナンスを高度化し、デジタル経済における競争力を強化するための防衛策および法務戦略として活用すべきです。

まとめ

インドのデジタル個人情報保護法（DPDPA）および2025年施行規則は、急速なデジタル化が進む同国において個人の権利保護とデータ利活用のバランスを図る強力な法的枠組みです。22言語に対応した同意取得システムの構築、インド独自の同意管理者エコシステムへの適応、データ処理者への厳格な契約管理、そして72時間以内のデータ侵害通知体制の確立など、事業を展開する組織にはこれまでにない水準のガバナンスと技術的対応が求められています。特に最大25億ルピーに上る制裁金リスクや日本の法律との顕著な違いを考慮すれば、2027年5月の全面施行を待つことなく即座に現状のデータマッピングとギャップ分析を開始し、事業リスクマネジメントの観点から強固な防衛策を講じる必要があります。

モノリス法律事務所は、IT関連の企業法務における高度な専門性を有しており、システム開発からデータの法務戦略、セキュリティインシデント対応に至るまで、テクノロジーと法律が交差する最先端の課題解決に強みを持っています。また、インド現地の有力な法律事務所と強固な提携関係を構築しており、DPDPAの最新の規制動向の把握や現地の行政機関に対する正式な手続き、重要データ受託者要件の適合性評価、さらには現地の言語や商慣習に即したデータ処理契約の策定まで、ワンストップで包括的なサポートを提供することが可能です。急激な法改正のリスクを適切にコントロールし、インド市場でのビジネスを安全かつ持続的に成長させるための戦略的なリーガルパートナーとして、モノリス法律事務所の知見をぜひご活用ください。

モノリス法律事務所は、インド法務に関する調査および情報提供を目的として、現地法律事務所Quest IP Attorneysと非独占的な提携関係（Associate Firm / Correspondent Firm）にあります。