Loading…
DPDPAはGDPRから多くを取り入れています — 目的の限定、データプリンシパルの権利、漏えい通知、そしてData Protection Officerという概念そのものです。しかしインドの枠組みはより簡素で、より同意中心であり、「正当な利益」という適法根拠を設けず、売上高に対する割合ではなく違反ごとのクロール上限を用います。世界のどこからでもインドのデータプリンシパルにサービスを提供する場合、両方の視点が必要です。
| 項目 | 🇮🇳 DPDPA | 🇪🇺 GDPR |
|---|---|---|
| 法的根拠 | デジタル個人データ保護法 2023年 + DPDP規則 2025年(G.S.R. 846(E)) | 規則(EU)2016/679 |
| 施行日 | 法律:2023年8月11日。規則:2025〜2026年にかけて段階的に施行 | 2018年5月25日 |
| 地理的適用範囲 | インドのデータプリンシパルのデジタル個人データの取扱い — 世界のどこであっても対象(第3条) | EU/EEA + 第3条に基づく域外適用 |
| 適法根拠 | 同意、または「特定の正当な利用」(第7条)— 狭く定義されています | 6つの根拠(第6条)。正当な利益が広く利用可能 |
| 同意の要件 | 自由・特定的・情報に基づく・無条件・明確であること — 明確な通知を伴う(第6条) | 自由に与えられ・特定的・情報に基づき・明確であること — 撤回可能(第7条) |
| Data Protection Officer | 重要データ受託者(SDF)— インド国内でDPOを選任する必要があります(第10条) | 一定の場合に義務(第37条) |
| 現地代理人 | 法令上は不要(ただしBoardとのやり取りでは運用上不可欠) | EU域外の管理者にはArticle 27のEU代理人が義務 |
| 最高罰金(1件あたり) | 2億5,000万ルピー(約3,000万米ドル)— セキュリティ保護措置(規則6) | 2,000万ユーロまたは全世界売上高の4%(第83条(5)) |
| 段階的な罰則の構成 | セキュリティ 2億5,000万ルピー · 漏えい通知 2億ルピー · 子どものデータ 1億5,000万ルピー · その他 5,000万ルピー | 2段階:1,000万ユーロ/2%(下位)および2,000万ユーロ/4%(上位) |
| 漏えい時の通知 | 72時間以内にインドデータ保護委員会および影響を受けるデータプリンシパルへ通知(規則7) | 監督機関へ72時間以内(第33条)+ 高リスクの場合は本人へ(第34条) |
| 規制当局 | インドデータ保護委員会(DPBI) | 27のEU加盟国のDPA + EDPB |
| 子どものデータ | 18歳未満は検証可能な保護者の同意が必要(第9条)。行動追跡やターゲティング広告は禁止。 | 原則として同意年齢は16歳(加盟国は13歳まで引き下げ可能) |
| データプリンシパルの権利 | アクセス、訂正、消去、苦情処理、指名、同意の撤回(第11条〜第14条) | ポータビリティや自動意思決定への異議を含む8つの権利(第15条〜第22条) |
| ポータビリティの権利 | DPDPAでは付与されていません | あり — 第20条 |
| 自動意思決定に異議を唱える権利 | DPDPAでは付与されていません | あり — 第22条 |
| 越境移転 | 中央政府が特定の移転先を制限しない限り許可されます(第16条) | 制限あり — SCC/BCR/十分性認定が必要(第5章) |
| データのローカライゼーション | 法律上、一律のローカライゼーション要件はなし。RBI規則では決済データのローカライゼーションを義務付け | GDPRによるローカライゼーション要件はなし。一部の加盟国が分野別ルールを課しています |
| センシティブデータのカテゴリー | 明示的にカテゴリー分けされていません(個人データは単一の区分) | 特別カテゴリーデータ(第9条)。明示的な同意が必要 |
| DPIA相当 | SDFには義務(第10条(2)) | 高リスクの取扱いには義務(第35条) |
| 独立した監督機関への不服申立て | 電気通信紛争解決・上訴審判所(TDSAT) | 直接的な司法救済 + DPAへの苦情申立て権(第77条〜第79条) |
いいえ — GDPRの用語を借用してはいますが、そうではありません。DPDPAは同意を最優先とし、「正当な利用」の範囲はより狭く、データポータビリティの権利や自動意思決定に異議を唱える権利を含まず、売上高に対する割合ではなく違反ごとのクロール上限を用います。それでも、体系的な違反に対しては罰則が5億ルピーに達する可能性があります。
いいえ — マッピングした単一のプログラムを運用してください。GDPRのより厳格な要件(DPIA、同意の撤回、72時間以内の漏えい通知)をベースラインとし、DPDPA固有の上乗せ(Boardへの通知、SDF向けのインドDPO、子どものデータに関する制限)を追加します。
はい、インドのデータプリンシパルに商品やサービスを提供する場合は適用されます(第3条(b))。本法は、サーバーや法人の所在地にかかわらず域外適用されます。
法律は施行されていますが、規則は2025〜2026年にかけて段階的に実施されています。データ保護委員会は稼働しています。執行は2026年にかけて本格化すると見込まれます — 今から準備を進めましょう。
インドはより厳格です。18歳未満には検証可能な保護者の同意を要し、行動追跡やターゲティング広告を禁止します。GDPRの原則的な同意年齢は16歳で13歳まで引き下げが認められ、行動追跡は同意とDPIAを条件に許可されます。
法律上はありませんが、実務上、インドデータ保護委員会は重要データ受託者に対し、インドに居住する指定の連絡窓口を期待しています。それが当社のインド代理サービスが担う役割です。
コントロールを一度マッピングすれば、2つの規制に準拠できます。RegulatoryBridgeは、単一のDSARパイプライン、単一のDPO、単一の侵害対応ランブックを提供し、両方のフレームワークをカバーします。