Loading…
デジタル個人データ保護法2023は、インド初の包括的なプライバシー法です。DPDP Rules 2025(G.S.R. 846(E))と併せて、インドのデータプリンシパルの個人データが世界のどこで収集、処理、保管、共有されるかを規律します。
施行はData Protection Board of India(DPBI)が担い、1件あたり最大₹250 croreの金銭的制裁、そしてSignificant Data Fiduciaryに対するより厳格な義務が課されます。
同意の取得からBoardへの通知まで、各義務は管理策、担当者、SLAにマッピングされています。
個人データの処理は、有効な同意、またはDPDP Act第7条で定義されている特定の正当な利用のいずれかに基づいてのみ行います。
特定され、明示的で、適法な目的のためにのみ収集し、新たな同意なしに目的を変更することはありません。
収集は明示された目的に必要な範囲に限定します — 便宜的なデータの収集は行いません。
データを正確に保ち、目的が達成された場合や同意が撤回された場合には消去します。
Rule 6で要求されるとおり、暗号化、アクセス制御、ログ記録、レジリエンスを実装します — 不履行1件あたり最大₹250 croreの制裁。
Data Protection Board of Indiaに72時間以内に通知し、影響を受けるデータプリンシパルには不当な遅延なく通知します(Rule 7)。
インドのユーザーにサービスを提供する企業 — DPDPAは域外適用されます。
RBI/SEBI/IRDAIおよびデジタルヘルスのフレームワークの上に重ねて適用されるDPDPA。
大量の消費者個人データ — 典型的なSignificant Data Fiduciaryの候補。
義務が強化され、児童のデータに関わる侵害には₹150 croreの制裁上限が適用されます。
本法およびRules 2025に対するギャップ分析と、優先順位付けされた是正ロードマップおよび予算。
貴社に代わってData Protection Board(DPBI)と連絡を取る、インドの任命されたData Protection Officer。
英語に加え22の指定言語によるDPDPA準拠の通知と、きめ細かく撤回可能な同意管理。
法定期限内にアクセス、訂正、消去、苦情のリクエストを処理するセルフサービスポータル。
ランブック、分類、Boardへの届出、データプリンシパルへの連絡 — インシデント発生時に端から端まで対応します。
SDFに指定された組織向けの、DPIAの実施頻度、独立監査、追加のガバナンス義務。
一般的なDPDPA実装には₹1.48~2.22 crore(約17.8万~26.7万米ドル)かかります。₹500 crore以上の制裁エクスポージャーと比較すると、予防に対する23:1~34:1のリターンとなります。