「2023年デジタル個人情報保護法案（Digital Personal Data Protection Act, 2023）」（以下2023年法案）が2023年8月7日にインド国会下院(Lok Sabha)を通過、8月9日に上院（Rajya Sabha）でも可決されました。
そして、大統領の同意によって8月11日に法律として成立されました。

近年、インドでは国民の日々の生活やビジネスにおいて、デジタル化が加速しています。しかし、個人情報保護に関する包括的な法律がなく、2018年に最初の草案が起草されて依頼、長らく動向が注目されていました。

2019年個人情報保護法案（以下2019年法案）が2022年に廃案となることもありましたが、ついにインド電子情報技術省が2023年8月3日に提出した2023年法案が成立しました。

以下2023年法案の簡単な内容となります。

・個人情報がデジタル形式で取得された場合、日デジタル形式で取得され、その後デジタル化された場合のみが本法案の対象となる

・通知・同意取得に関してはGDPR（General Data Protection Regulation）同等の義務がある。本法案施行前に同意取得した個人情報にも速やかに通知を行う義務がある。

・企業は個人情報を安全に保管し、目的が達成された場合には、それを削除する義務がある。

・個人情報が漏洩した場合、企業は規定される書式および方法で当該漏洩の
通知を行うものとする。セキュリティ対策不履行に対しては最大25億ルピー、データ漏洩時の通知義務の遵守違反に対しては最大20億ルピーが科せられる。

2023年法案は法律として成立はされましたが、2019年法案と比較すると簡素な内容であり、今後は具体的な規定が盛り込まれることが十分予想されます。
今後のアップデートに目を通しておくべきでしょう。

他インドの関する情報はお気軽にお問い合わせください。