インドのデジタル個人情報保護法：「正当な使用」による同意の例外範囲

インドにおける急速な経済成長とデジタルインフラの爆発的な普及に伴い、同国で事業を展開する外資系企業にとって、データプライバシーのコンプライアンスは最も重要な経営課題の一つへと浮上しています。2023年8月に成立したインドのデジタル個人情報保護法は、企業に対して個人データの取り扱いに関する厳格な義務を課しており、これに違反した場合には莫大な制裁金が科されるリスクが存在します。本法は、原則としてデータ主体からの明確な事前同意をデータ処理の法的根拠として求めていますが、あらゆるビジネスシーンで同意を取得することは現実的ではないため、実務上の柔軟性を確保する目的で「正当な使用」という同意の例外範囲を定めています。

本記事では、この同意なしでデータ処理が合法的に認められる「正当な使用」の具体的な適用範囲や、旧制度案からの変更点、そして日本の個人情報保護法との決定的な違いについて、最新の法令情報や判例を交えながら網羅的かつ詳細に解説します。

インドのデジタル個人情報保護法におけるコンプライアンス要件

インドのデジタル個人情報保護法は、個人のプライバシー権を強固に保護すると同時に、合法的な目的のためのデータ処理の必要性を認識し、両者のバランスを取るための包括的な枠組みを提供することを目的に制定されました。本法は、インド国内で収集されたデジタル個人データの処理に適用されるだけでなく、インド国内の個人に対して商品やサービスを提供する目的に関連する限りにおいて、インド国外でのデータ処理にも適用されるという非常に強力な域外適用効力を持っています。この法律の公式な条文は、インド官報の公式ウェブサイトで確認することができます。

参考：インド官報の公式ウェブサイト

本法の第2章では、データフィデューシャリーと呼ばれる、データ処理の目的と手段を決定する企業や組織に対する厳格な義務が規定されています。データフィデューシャリーは、法律で明示的に禁じられていない合法的な目的のためにのみ個人データを処理することが許されます。そして、そのデータ処理を適法に行うための原則的な要件として、データ主体である個人からの自由意志に基づく、具体的かつ十分な情報が提供された上での、無条件で明確な同意を取得しなければなりません。同意を取得する際には、どのような個人データがどのような目的で処理されるのか、また同意の撤回や苦情申し立ての手続について明記した詳細な通知を提供することが義務付けられており、データ主体に対しては英語またはインド憲法第8付則に定められた22の指定言語のいずれかで通知へアクセスする選択肢を提供する必要があります。

しかしながら、社会生活やビジネスのあらゆる場面において、事前の明確なオプトイン同意を常に取得することが現実的ではない、あるいは公共の利益や安全の観点から不適切である状況が確実に存在します。このような実務上の課題や社会的な要請に対応するため、本法第7条において「正当な使用」という概念が導入されました。この条項により、データフィデューシャリーは特定の限定的な状況下において、第6条に基づく標準的な同意取得の枠組みを経ることなく、同意なしで適法に個人データを処理することが可能となります。

インド旧法案の「みなし同意」からの脱却と「正当な使用」の範囲

現在の「正当な使用」の枠組みと要件を正しく理解するためには、過去の法案からの変遷とインド国内での議論の推移を知ることが不可欠です。2022年に公開されたデジタル個人情報保護法案の段階では、「みなし同意」という比較的緩やかな概念が提案されていました。これは、ある特定の状況下において、個人の沈黙や不作為、あるいは自発的なデータの提供という事実をもって、データ処理に対する同意が存在するものと法的に「みなす」というアプローチでした。

しかし、この「みなし同意」の概念に対しては、プライバシー擁護団体や法曹界から強い批判が寄せられました。企業側の解釈次第で同意が及ぶ範囲が際限なく拡大される恐れがあり、目的外利用や機能の肥大化を招き、結果としてプライバシー保護の重大な抜け穴になるという懸念が示されたためです。これらの批判を受け、2023年に国会を通過し成立した現行法では「みなし同意」という用語と概念は完全に撤廃されました。その代わりに、第7条において「正当な使用」として、同意が不要となる具体的なシナリオが法律上に限定列挙される形へと厳格化されたのです。

この変更は、欧州の一般データ保護規則に見られるような、企業の利益と個人の権利を比較考量する包括的で柔軟な「正当な利益」という法的根拠をインドの法律が意図的に採用しなかったことを意味しています。インドの法律体系においては、事前の明確な同意を取得するか、あるいは第7条に列挙された極めて具体的かつ限定的な「正当な使用」のカテゴリーのいずれかに完全に合致しない限り、適法なデータ処理とは認められません。これにより、企業が構築すべきデータガバナンス体制においては、各データ処理活動がどの法的根拠に依拠しているのかを極めて正確にマッピングし、厳格に管理することが求められるようになりました。

インド個人情報保護法第7条に基づく同意なしのデータ処理

本法第7条は、同意の要件を免除する「正当な使用」として、複数の具体的なシナリオを規定しています。これらの規定は、データ主体の権利保護と、社会や経済の円滑な運営という相反する利益のバランスを取るために綿密に設計されています。以下に、企業の実務に直結する主要な例外適用範囲を詳述します。

データの自発的な提供と指定された目的の範囲

第7条の(a)項は、データ主体が特定の目的のために自発的に個人データをデータフィデューシャリーに提供し、かつ、そのデータの使用に同意しない旨を明示的に示していない場合におけるデータ処理を「正当な使用」として認めています。この条項は、日常的な商取引における煩雑な同意手続きを排除し、ユーザーエクスペリエンスの向上と実務の円滑化を図るためのものです。

法律の条文では、この規定を説明するための具体例として薬局での買い物が挙げられています。顧客が薬局で医薬品を購入し、その電子領収書を受け取る目的で自発的に自身の携帯電話番号を店員に伝えた場合、薬局側はその領収書を送信するという特定の目的のためにのみ、明示的な同意フォームへの署名等を求めることなく、その携帯電話番号を処理することができます。

しかし、この規定の適用範囲は、個人データが自発的に提供された「指定された目的」に厳密に限定されることに最大限の注意を払う必要があります。先ほどの薬局の例で言えば、領収書を送信するために提供された携帯電話番号をデータベースに保存し、後日新商品のダイレクトマーケティングのメッセージを送信したり、提携する第三者のプラットフォームにデータを提供したりすることは、当初指定された目的を明らかに逸脱しており、第7条(a)項の「正当な使用」としては絶対に正当化されません。このような利用目的の拡大を防ぐため、企業は自発的に提供されたデータであっても、その取得時の文脈と目的を正確にシステム上に記録し、目的外利用を技術的にブロックするデータガバナンスを構築する必要があります。

雇用管理および企業防衛における例外適用とプライバシーの範囲

インドで事業を展開する外資系企業にとって、最も重要かつ頻繁に活用される例外規定が、第7条の(i)項に定められた雇用関連の「正当な使用」です。この条項により、雇用目的に関連するデータ処理、または雇用主を損失や法的責任から保護することに関連する目的でのデータ処理は、従業員からの明示的な同意なしに行うことが合法的に認められています。

具体的には、企業秘密の機密性維持、知的財産の保護、機密情報の管理、産業スパイの防止、または従業員であるデータ主体が求めるサービスや福利厚生の提供といった目的が含まれます。企業の日常的な業務である採用活動時の身元調査、給与計算システムの運用、社内ネットワークへのアクセスログの監視、情報漏洩を防止するための電子メールのフィルタリングなど、標準的な人事管理および企業防衛の実務は、この条項によって明確に適法化されます。

雇用関係においては、雇用主と従業員との間に本質的な力関係の不均衡が存在するため、従業員から取得する同意が真に自由意志に基づくものであるかどうかが常に法的な争点となります。本法が雇用管理を「正当な使用」として同意の例外に明記したことは、このような同意の有効性に関する実務上のリスクを排除し、企業が合法的に組織を運営し、自社の資産や機密情報を守るための極めて現実的な手段を提供しています。ただし、この規定が従業員に対する無制限の監視を認めるものではない点については、後述するインド最高裁判所の判例法理に照らして慎重に判断する必要があります。

国家機能の遂行、法的義務の履行、および医療緊急事態における範囲

国家の円滑な運営と法の支配を維持するために、政府機関の活動や法執行に関するデータ処理も「正当な使用」として保護されています。本法では、国やその関連機関がデータ主体に対して法令に基づく補助金、給付金、サービス、証明書、ライセンス等を提供または発行する目的でのデータ処理を認めています。ただしこれには、データ主体が過去に何らかの給付等を受けるために政府によるデータ処理に同意したことがある場合や、政府が管理するデジタルデータベースにそのデータが既に存在している場合といった一定の条件が付されています。

さらに、インドで現在有効な法律に基づく国家機関の機能遂行や、インドの主権と完全性、国家の安全保障の利益を守るためのデータ処理も明示的に正当な使用として規定されています。これに関連し、インド国内の法律によって個人情報を国家機関に開示する法的義務が企業等に課されている場合、その義務を果たすためのデータ処理は同意なしに実施することが可能です。企業は警察や司法機関から従業員や顧客のデータ提出を求められた際、それが適法な手続きに基づく要求であれば、本人の同意を取得することなく提出義務を果たすことができます。

また、個人の生命や健康に関わる緊急性の高い状況においては、同意の取得を優先することが致命的な遅れを招く可能性があります。本法第7条はこうした事態に備え、医療緊急事態や災害時のデータ処理を「正当な使用」として明記しています。データ主体または他の個人の生命や健康に対する脅威が存在する場合に、医療サービスや介入を提供するためのデータ処理が同意なしに認められます。さらに、伝染病の流行や公衆衛生に対する重大な脅威が発生した際や、自然災害が発生した期間中において、データ主体の安全を確保し、支援やサービスを提供するための措置を講じる目的でのデータ処理も、同意不要の対象として明確に規定されています。

インド最高裁の判例から読み解く職場における監視とプライバシー

第7条(i)項の雇用管理に関する規定は、企業に対して広範なデータ処理権限を与えているように見えますが、これが従業員に対する無制限の監視やプライバシーの侵害を正当化するものではないことに強く留意する必要があります。インドの法体系において、個人のプライバシー権は憲法上の基本的人権として強固に保護されているためです。この点に関して極めて重要な指針となるのが、2017年のインド最高裁判所による画期的な判決です。この最高裁判所の判決およびプライバシー権に関する公式な解説は、インド政府の関連機関ウェブサイトで確認することができます。

参考：インド政府関連機関の公式ウェブサイト

ジャスティス・K.S.・プッタスワミー対インド連邦政府事件（Writ Petition (Civil) No. 494 of 2012; (2017) 10 SCC 1、2017年8月24日判決）において、インド最高裁判所の9名の裁判官からなる大法廷は、プライバシー権がインド憲法第14条（法の下の平等）・第19条（表現の自由等）・第21条（生命および個人の自由）によって保障される基本的人権であることを全会一致で宣言しました。この判決は、インドにおけるその後のすべてのデータ保護法制の基礎となる歴史的な意義を持っています。

この判決の中で最高裁判所は、プライバシー権は絶対的な権利ではなく、一定の条件下で制限される可能性があるとしつつも、その制限が合憲であるかを判断するための厳格な「三重の審査基準」を確立しました。この審査基準は以下の3つの要件を満たすことを求めています。第一に、国家や組織の行動を裏付ける法律が存在すること。第二に、その法律に基づく行動が正当な目的を持っていること。第三に、その採用する手段と目的の間に合理的な関連性があり、権利の侵害が目的達成のために必要最小限にとどめられていること、すなわち比例原則を満たしていることです。

この最高裁判所の判例法理は、デジタル個人情報保護法の第7条(i)項に基づく雇用主のデータ処理にも強い影響を与えます。企業が企業防衛や情報漏洩防止を理由に従業員のデジタル端末の操作履歴を監視する場合、その行為は比例原則を満たすものでなければなりません。例えば、金融機関がコンプライアンス維持のために業務用の通信記録をモニタリングすることは、正当な目的と手段の均衡が取れていると判断されやすい傾向にあります。しかし、明白な理由や不正の疑いがないにもかかわらず、従業員の私的なメッセージのやり取りや業務外の個人的な行動までを常時監視するような過度なシステムを導入することは、プッタスワミー判決で確立された「合理的なプライバシーの期待」を著しく侵害し、違法と判断される高いリスクを孕んでいます。

したがって企業は、第7条(i)項に依拠して同意なしにデータを処理する場合であっても、監視やデータ収集の範囲が真に必要かつ合理的な範囲に留まっているかを常に検証する法務プロセスを社内に組み込む必要があります。

インドの企業再編や不正調査における適用の除外とデータガバナンス

第7条の「正当な使用」とは別に、本法第17条は、特定の限られた状況下において第2章の主要な義務の大部分を適用除外とする強力な特別規定を設けています。この適用除外には、企業防衛や組織再編といったビジネスの実務に甚大な影響を与える重要なシナリオが含まれています。

代表的な例として、企業再編やM&Aに伴うデータ処理が挙げられます。第17条(1)(e)項は、裁判所や法的に権限を持つ他の機関によって承認された、複数の企業の妥協、取り決め、合併、吸収、分割による再建、または事業の譲渡に必要なデータ処理を、本法の義務から免除しています。企業買収のデューデリジェンスや事業統合のプロセスにおいて、買収対象企業の従業員や顧客の膨大な個人データを同意なしに共有・移転できることは、機密性を要するM&A実務において極めて重要です。

また、金融機関や一般企業による債権回収の実務を支援するため、第17条(1)(f)項は、貸付金や前払金の支払いを滞納している人物の財務情報や資産負債状況を特定する目的でのデータ処理を適用除外としています。さらに、法的権利や請求権の行使に必要なデータ処理、犯罪の予防、発見、捜査、または訴追の利益のためのデータ処理なども、第17条によって広範な保護を受けています。これらの規定により、企業は訴訟の準備や内部不正の調査において、対象となる個人の同意を取得するという非現実的な手順を踏むことなく、適法かつ機動的に関連データを取り扱うことが可能になります。

日本とインドのデジタル個人情報保護法における同意の範囲の比較

インドで事業を展開する日本企業が陥りやすい最大の罠は、日本の個人情報保護法におけるデータ処理の概念とコンプライアンスの常識を、そのままインドの法律に当てはめようとすることです。両国のデータ保護法制は、データ主体の同意の位置づけや基本的なアーキテクチャにおいて決定的な違いを持っています。以下の表は、両国の法律における同意の例外に関する主要な違いを整理したものです。

日本の個人情報保護法は、事業者が内部で個人情報を利用する行為と、その情報を第三者に提供する行為を明確に区別して規律しています。日本の法律では、個人情報取扱事業者は特定された利用目的の達成に必要な範囲内で個人情報を取り扱うことが求められており、この利用目的をあらかじめ公表するか、取得時に本人に通知または明示していれば、社内でのデータ利用自体については都度事前の明示的な同意を得る必要はありません。日本法において本人の事前同意が厳格に求められるのは、主に個人データを第三者に提供する場合や、要配慮個人情報（センシティブデータ）を取得する場合に集中しています。

一方、インドのデジタル個人情報保護法は、第三者提供であるか内部利用であるかを一切問わず、個人データの「処理」という行為そのものに対して、原則として事前の明確な同意を義務付けています。日本のシステムが「利用目的の範囲内であれば通知・公表によるオプトアウト的な処理を広く許容する」モデルであるのに対し、インドのシステムは「事前のオプトイン同意が絶対的な大原則であり、例外は法定のリストに厳格に限定される」モデルであると言えます。

この違いは、特に従業員データの取り扱いや社内でのマーケティング活動において顕著に表れます。日本の企業実務では、就業規則や社内のプライバシーポリシーに従業員データの利用目的を包括的に記載し、それらを周知することで、同意なしに人事評価や適正配置、福利厚生の提供などのデータ処理を適法に行っています。対照的に、インドの法律では利用目的を通知しただけではデータ処理の法的根拠とはなりません。そのため、インド法は第7条(i)項において「雇用の目的」という具体的なシナリオを法律の条文上に明記し、これを同意要件の完全な例外として機能させるというアプローチを採らざるを得ませんでした。企業はあらゆるデータ処理活動について、「第6条の明示的同意」を取得するか、「第7条の正当な使用」のいずれかの項目に完璧に合致させるかという、非常に硬直的で二元的な選択を迫られることになります。

インド進出企業に求められる同意なしのデータ処理の実践

インドのデジタル個人情報保護法の施行と、詳細な手続きを定めた2025年の規則の導入により、企業はインド国内におけるデータガバナンス体制の抜本的な見直しを余儀なくされています。旧来の曖昧な「みなし同意」が排除され、法的に認められる「正当な使用」の範囲が厳格に定義された現在、巨額の制裁金リスクを低減するためには体系的かつ精緻なデータ管理プロセスが必要不可欠です。

まず、企業は自社がインド国内で保有・処理している全ての個人データ、およびインドの顧客を対象とした越境データ処理について、徹底的なデータマッピングを実施しなければなりません。そして、それぞれのデータ処理プロセスが「第6条に基づく明示的同意」に依拠しているのか、あるいは「第7条に基づく正当な使用」のいずれかの項目に該当しているのかを、データ要素ごとに明確に特定し、データ処理台帳として文書化することが求められます。

顧客管理システムやマーケティングデータベースの運用においては、第7条(a)項の「自発的な提供による正当な使用」を拡大解釈することには極めて重大なコンプライアンスリスクが伴います。顧客から特定のサービス提供のために自発的に提供されたデータであっても、それをプロファイリングや他部門でのクロスセル、サードパーティのプラットフォームを介した広告配信に流用する場合は、目的の逸脱とみなされ違法となります。そのため、マーケティング活動等の二次利用に関しては、第7条の例外に依存するのではなく、データ主体から用途を明確に限定したオプトイン方式の同意を個別に取得する運用に切り替えるべきです。また、法律は同意を撤回する権利を強く保障しており、同意の撤回手続きは同意を与えるのと同じくらい簡単に実行できなければならないと規定しているため、システムのユーザーインターフェース設計にも法的な要件が直接的に介入することになります。

人事部門および従業員データの管理においては、第7条(i)項の雇用管理例外を最大限に活用し、給与処理、業績評価、税務申告、内部監査といった中核的な人事オペレーションに関する同意取得の負担を軽減すべきです。しかしながら、インド最高裁判所のプッタスワミー判決で示された比例原則に従い、この例外規定を根拠とした監視システムやデータ収集は、企業の正当な利益を保護するために真に必要な範囲に限定しなければなりません。企業は社内のプライバシーポリシーや雇用契約において、どのような従業員データを収集し、どのような目的でモニタリングを行う可能性があるのかを透明性をもって詳細に規定し、従業員に対して事前に周知しておくことが、法的な紛争を防ぐための最善の防御策となります。

さらに、データ保護委員会による強力な法執行や、個人データ侵害が発生した場合の通知義務と72時間以内の詳細報告義務など、2025年の規則によって導入された新たなコンプライアンス要件に対応するため、組織内に専門の体制を構築する必要があります。なお、すべてのデータフィデューシャリーは、データ保護責任者（該当する場合）または問い合わせ対応担当者の連絡先をウェブサイトやアプリ上でデータ主体に公開する義務を負います。重大なデータフィデューシャリーに指定された場合は、これに加えて年次のデータ保護影響評価・監査の実施、データローカライゼーション等の追加義務が課されます。平時における適法なデータ処理根拠の整備だけでなく、セキュリティインシデント発生時の迅速な報告フローや、データ主体からの権利行使要求に対する確実な対応手順を社内規程として確立し、定期的な監査を行うことが、インドにおける持続可能で適法な事業展開の絶対的な基盤となります。

まとめ

インドのデジタル個人情報保護法は、データ主体の明示的な同意を原則としながらも、第7条「正当な使用」という限定的かつ具体的な例外規定を設けることで、企業の雇用管理や法的な義務の履行といった実務的な要請と個人のプライバシー保護のバランスを図っています。2022年草案の曖昧な「みなし同意」から脱却し、例外の適用範囲が法律で厳格に定義されたことで、企業は自社のあらゆるデータ処理活動が法律の定めるシナリオに正確に合致しているかを厳密に検証する重い責任を負うことになりました。特に、日本の個人情報保護法とは異なり、社内利用であれば包括的な利用目的の範囲内で柔軟にデータを処理できるという概念が存在しないため、インドの法体系に特化した精密なデータマッピングと、目的に応じた厳格な同意管理メカニズムの構築が不可欠です。最高裁判所の判例に基づく比例原則の遵守や、2025年規則による厳格な報告義務への対応など、現地の法令解釈の動向を踏まえた高度なコンプライアンス体制の整備が急務となっています。

モノリス法律事務所は、ITおよびインターネットビジネスに関する高度な専門性を有しており、インドの現地法律事務所との強力な提携ネットワークを通じて、デジタル個人情報保護法をはじめとするインドの最新の法令やコンプライアンス要件への対応を全面的にサポートしています。インドでビジネスを展開する、あるいは事業の進出を検討している企業に対し、現地の複雑な法務リスクを正確に評価し、雇用の管理や顧客データの取り扱いに関する適法かつ円滑なデータガバナンス体制の構築を支援することが可能です。

モノリス法律事務所は、インド法務に関する調査および情報提供を目的として、現地法律事務所Quest IP Attorneysと非独占的な提携関係（Associate Firm / Correspondent Firm）にあります。