HOME
著書/論文
インド：デジタル個人情報保護法の規則の公表及び同法の一部施行

Publication

ニュースレター

2025年12月

インド：デジタル個人情報保護法の規則の公表及び同法の一部施行

著者等: 安西統裕、早川健、一色健太（共著）

全文ダウンロード（PDF）

出版社: 長島・大野・常松法律事務所

書籍名・掲載誌: NO&T Asia Legal Update ～アジア最新法律情報～ No.258（2025年12月）

関連情報: ニュースレター
個人情報保護・プライバシー 2024年の振り返りと2025年の展望～東南アジア・インド編～（2025年2月）

講演・セミナー
『インドビジネス法詳説』出版記念セミナー（2025年11月）

特集
個人情報保護・データプロテクション

業務分野

キーワード

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日（作成日）時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

Ⅰ. はじめに

　2023年8月に成立したデジタル個人情報保護法（Digital Personal Data Protection Act, 2023：以下「DPDP法」）※1は、それまでインドに存在していなかったプライバシー・データ保護に関する包括的な法律であるが、その詳細の多くを規則に委任しており、規則及び施行日については、中央政府が定めることとされていた。DPDP法の詳細を規定するデジタル個人情報保護法規則案は2025年1月3日に公表され、2025年パブリック・コメント手続に付されていたが、2025年11月13日に、デジタル個人情報保護法規則（Digital Personal Data Protection Rules, 2025：以下「DPDP規則」）※2が公表された。

　DPDP法及びDPDP規則は、制度への対応に要する時間を確保するため、3つの異なるタイミングで順次施行されることとされている（一部はDPDP規則の公表日から即日施行された）。本稿では、段階的に施行される内容を紹介すると共に、新たに公表されたDPDP規則の内容を概説する。

Ⅱ. 段階的施行

DPDP法及びDPDP規則は、3段階で施行されることとされており、その施行時期と主な施行対象事項は以下のとおりである。

	施行時期	主な施行対象事項
1.	2025年11月13日	定義規定データ保護委員会（Data Protection Board of India）の設置・構成や機能に関する規定雑則のうち、中央政府による規則制定の権限等の規定
2.	2026年11月13日	同意管理人（Consent Manager）の登録や義務に関する規定データ保護委員会による同意管理人の義務違反に対する調査及び罰則に関する規定
3.	2027年5月13日	上記1.及び2.において施行済みの規定を除く全ての規定（データ受託者の一般的義務、子どもの個人データの処理についての追加的義務、重要データ受託者、データ主体の権利及び義務、データの越境移転、適用除外等）

Ⅲ. 新たに公表されたDPDP規則の概要

1. データ受託者（Deta Fiduciary）からデータ主体（Data Principal）への通知

DPDP法上、データ受託者がデータ主体から同意を取得してデータ処理を行う場合、データ受託者は、一定の事項をデータ主体に事前に通知しなければならない（DPDP法5条）。

DPDP規則は、上記の通知について、以下の内容を規定している。

データ受託者が提供した、提供している又は提供する可能性のある他の情報とは独立して提示され、理解可能である必要がある（3条(a)）。
平易な言葉で、データ主体が自己の個人データの処理について説明を受けた上で同意をするために必要な情報が記載されていなければならず、最低でも、個人データの項目別の説明並びにデータの利用目的及びデータ処理により提供される又は可能となる商品・サービスの詳細が含まれている必要がある（3条(b)）。
(i)データ主体による同意の撤回（同意を与えた時と同様の容易さである必要がある）、(ii)DPDP法に基づく権利の行使、及び(iii)データ保護委員会への苦情申立ての方法として、データ受託者のウェブサイト若しくはアプリのリンク又はその他の方法が記載されている必要がある（3条(c)）。

2. 同意管理人の登録及び義務

　DPDP法上、データ主体は、同意管理人を通じてデータ受託者に同意し、その同意を管理し、見直し又は撤回することができる（DPDP法6条7項）。これは欧州のGDPRや日本の個人情報保護法には見られないインド特有の制度である。

　DPDP規則は、同意管理人の資格要件及び義務を定めている。また、同意管理人の登録申請手続や、データ保護委員会による同意管理人の義務違反に対する調査及び罰則等を規定している（DPDP規則4条）。

3. 合理的なセキュリティ保護措置

　DPDP法上、データ受託者には、個人データの侵害を防止するための合理的なセキュリティ保護措置を講じる必要がある（DPDP法8条5項）。

　DPDP規則は、当該合理的なセキュリティ保護措置について、最低限以下のものを含めなければならないと規定している（DPDP規則6条）。

暗号化、マスキング、又は当該個人データに対応付けられた仮想トークンの使用による個人データの保護等による適切なデータセキュリティ対策。
データ受託者やデータ処理者が使用するコンピュータ・リソースへのアクセスを管理するための適切な措置。
不正アクセスを検知し、調査及び再発防止措置を実施することができるよう、適切なログ記録、モニタリング及びレビューを通じた個人データへのアクセス状況の可視化。
個人データの破壊、アクセス喪失その他の事由により当該個人データの機密性、完全性又は利用可能性が侵害された場合に、処理を継続するためのデータのバックアップを含む合理的な措置。
不正アクセスを検知し、調査及び再発防止措置を講じ、また侵害発生時の処理継続を可能とするため、法令で別段の定めがある場合を除き、当該ログ及び個人データを1年間保持すること。
データ受託者とデータ処理者間で締結される契約において、合理的なセキュリティ保護措置を講じるための適切な規定を設けること（該当する場合）。
セキュリティ保護を確保するための適切な技術的及び組織的措置。

4. 個人データ侵害に係る通知

　DPDP法上、データ受託者は、個人データ侵害を認識した場合、データ保護委員会及び影響を受けたデータ主体に対して通知しなければならない（DPDP法8条6項）。

　DPDP規則は、上記の通知の様式及び方法について、以下を規定している。

データ主体への通知（DPDP規則7条1項）（下線は筆者。以下同じ。）
データ受託者は、個人データ侵害を認識した場合、影響を受けたデータ主体に対して簡潔かつ明確で平易な方法で、遅滞なく以下の事項を通知しなければならない。
1. 侵害の性質、範囲、発生時期を含む侵害の内容
2. 侵害から当該データ主体に生じ得る結果
3. データ受託者が実施済み又は実施中のリスク軽減措置（該当する場合）
4. データ主体が自身の利益を保護するために講じ得る安全対策
5. データ主体からの問い合わせをデータ受託者に代わって対応する者の連絡先
データ保護委員会への通知（DPDP規則7条2項）
データ受託者は、個人データ侵害を認識した場合、データ保護委員会に対して、以下に従い通知しなければならない。
1. 遅滞なく、侵害の内容（性質、範囲、発生時期・場所及び予想される影響を含む）を通知する。
2. 個人データ侵害を認識してから原則として72時間以内（ただし、データ保護委員会が延長を認めた場合には、当該延長された期間内）に、以下の事項を通知しなければならない。
  1. 侵害に関する最新かつ詳細な情報
  2. 侵害に至った事象、状況及び理由に関する幅広な事実
  3. リスク軽減のために実施済み又は実施予定の措置（該当する場合）
  4. 侵害を引き起こした者に関する調査結果
  5. 侵害の再発防止のために講じた是正措置
  6. 影響を受けたデータ主体への通知に関する報告

5. 一定の場合の削除義務

　DPDP法上、個人データの保持が法律の遵守のために必要な場合を除き、データ受託者は、データ主体が同意を撤回した時点又は特定された目的が果たされなくなったと合理的に考えられる時点のいずれか早い時点において、自己の保有する個人データについて消去し、また、データ処理者をして当該個人データを消去させなければならない。また、関連規則で定める一定期間、データ主体がデータ受託者に対して特定された目的の実施について働きかけをせず、かつ、権利を行使しない場合には、特定された目的が果たされなくなったとみなされるとされている（DPDP法8条7項及び8項）。

　DPDP規則は、上記の一定期間に関して、インドにおいて一定の規模以上の登録ユーザーを有する電子商取引事業者、オンライゲーム仲介業者及びソーシャルメディア仲介業者について、データ主体が最後にデータ受託者に対し、特定された目的の履行又は権利行使を求めた日、又はDPDP規則の施行日（DPDP規則8条については2027年5月13日）のいずれか遅い方から3年が経過した場合には、法令上当該個人データを保持する必要がない限り、当該個人データを削除しなければならないと規定している。この場合、データ受託者は、原則として、データ消去期限の遅くとも48時間前までに、データ主体に対し個人データが消去される旨を通知しなければならない（DPDP規則8条）。

6. データ処理に関する問い合わせ先

　DPDP法上、データ受託者は、データ保護オフィサー（該当する場合）又はデータ受託者を代表してデータ主体の個人データ処理に関する質問に回答できる者の連絡先を、関連規則の定める方法により公表しなければならない（DPDP法8条9項）。

　DPDP規則は、上記の公表方法について、自社のウェブサイト又はアプリに目立つ形で掲載しなければならず、また、データ主体からの権利行使の連絡に対する全ての返答の中で明示しなければならないと規定している（DPDP規則9条）。

7. 子ども又は法定後見人のいる行為制限能力者の個人データ処理に係る検証可能な同意

　DPDP法上、データ受託者は、子ども（18歳未満※3）又は法定後見人のいる行為制限能力者の個人データを処理する前に、親権者又は法定後見人の検証可能な同意を、関連規則に定める方法により取得しなければならない（DPDP法9条）。

　DPDP規則は、上記の同意の取得方法について、以下を規定している。

(1) 子どもの場合

　データ受託者は、親権者の検証可能な同意を取得するため、適切な技術的及び組織的措置を講じなければならず、また、法令上必要とされる場合、一定の情報を参照することにより、親権者と自称する個人が特定可能な成人であることを確認するための相当の注意を払わなければならない（DPDP規則10条）。

(2) 法定後見人のいる行為制限能力者の場合

　データ受託者は、行為制限能力者の法定後見人であるとする個人から検証可能な同意を取得する際、当該後見人が後見に関する適用法令に基づき裁判所等によって任命されたものであることを確認するための相当の注意を払わなければならない（DPDP規則11条）。

8. 重要データ受託者に係る追加義務

　DPDP法上、中央政府は、特定のデータ受託者又は一定の種類のデータ受託者について「重要データ受託者（Significant Data Fiduciary）」として指定することができ、重要データ受託者に該当した場合には、データ保護オフィサー（Data Protection Officer）やデータ監査人の選任義務を負い、また、定期的なデータ保護影響評価、定期的な監査、及びその他関連規則で定める措置をとることとされている（DPDP法10条）。

　DPDP規則は、上記の措置に関して、重要データ受託者は、重要データ受託者として通知を受けた日又は重要データ受託者として通知されたデータ受託者の区分に包含された日から12か月ごとに1回、DPDP法及びこれに基づく関連規則の規定の効果的な遵守を確保するため、データ保護影響評価及び監査を実施しなければならないと規定している（DPDP規則13条）。

9. データ主体の権利

　DPDP法上、データ主体の権利として、個人データへのアクセス権、訂正・消去等を求める権利、苦情処理手段の提供を受ける権利、死亡又は心神喪失時の代理人を指名する権利等が規定されている（DPDP法11条から14条）。

　DPDP規則は、上記のデータ主体の権利に関して、データ主体がDPDP法に基づく権利を行使できるようにするため、データ受託者及び同意管理人（該当する場合）は、そのウェブサイト若しくはアプリ、又はその両方において、以下の事項を目立つように公表しなければならないと規定している（DPDP規則14条）。

データ主体が当該権利の行使を請求するための方法の詳細
当該データ主体のユーザー名等、利用規約に基づき本人確認に必要な情報（該当する場合）

10. データの越境移転

　DPDP法上、中央政府は、特定の国又は地域へのデータ受託者による個人データの移転を制限することができる（DPDP法16条）。

　DPDP規則は、上記に関して、中央政府が、外国又は外国の者・団体若しくは機関への個人データの移転に関して制限を課すことができ、データ受託者は、かかる制限を遵守することを条件に、個人データをインド国外へ移転することができると規定している（DPDP規則15条）※4。

11. 研究、保存又は統計の目的に関する適用除外

　DPDP法上、個人データの処理が研究、保存又は統計の目的のために必要な場合において、当該個人データが特定のデータ主体に関する決定のために使用されず、かつ、関連規則で定める基準に従って処理される場合は、DPDP法の規定は適用されないと規定されている（DPDP法17条2項(b)）。

　DPDP規則は、上記の「関連規則で定める基準」について、個人データの処理が適法な方法で実施されることや目的達成のために必要な範囲に限定されること等を確保するための適切な技術的及び組織的措置の実施を規定している（DPDP規則16条）。

Ⅳ. 今後に向けて

　DPDP法は、内容の多くが規則に委任されており、また、施行時期が公表されていなかったが、今般のDPDP規則の公表により、ルールの詳細や施行日が明らかになった。DPDP法及びDPDP規則におけるデータ受託者の義務は、基本的に2027年5月13日から施行されることになる。適用を受ける事業者においては、DPDP法及びDPDP規則の詳細を把握し、各規定の内容の遵守に向けた対応について具体的なスケジュールを検討して準備を進めていく必要がある。当事務所としても、日系企業の皆様に対して、DPDP法及びDPDP規則の遵守に必要な有益な情報を引き続き発信して参りたい。

脚注一覧

※1
DPDP法の全文は、以下のリンクから確認することが可能である。
https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf

※2
DPDP規則の全文は、以下のリンクから確認することが可能である。
https://www.meity.gov.in/static/uploads/2025/11/53450e6e5dc0bfa85ebd78686cadad39.pdf

※3
DPDP法2条(f)参照

※4
DPDP規則の当該条項について、英文としては、「Any personal data processed by a Data Fiduciary under the Act may be transferred outside the territory of India subject to the restriction that the Data Fiduciary shall meet such requirements as the Central Government may, by general or special order, specify in respect of making such personal data available to any foreign State, or to any person or entity under the control of or any agency of such a State.」となっており、実際にどの範囲で制限が課されるのかについては、引き続き動向を注視する必要があると考えられる。

2025年12月5日

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。

全文ダウンロード（PDF）