« 警察庁 MirrorFaceによるサイバー攻撃について(注意喚起)(2025.01.08) | Main | ドイツ BSI AIの説明可能性に関するホワイトペーパー »

2025.01.11

インド デジタル個人データ保護法 2023のガイドライン「デジタル個人データ保護ルール」案についてのパブコメ (2025.01.03)

こんにちは、丸山満彦です。

インドはいろいろありながらも2023年にデジタル個人データ保護法を大統領が署名しましたが、その下位ガイドラインである、デジタル個人データ保護ルールの案に対する意見募集がされていますね...

ちょうど今、日本でも個人情報保護法のいわゆる3年ごとの見直しが行われているわけですので、各国の規制の具体的な運用に関する部分についても参考になることがあるかもですね...

 

Government of India

・2025.01.03 Draft Digital Personal Data Protection Rules, 2025

Draft Digital Personal Data Protection Rules, 2025 2025年デジタル個人データ保護規則(ドラフト)
About 概要
The Ministry of Electronics and Information Technology (MeitY) invites feedback/comments on the draft 'Digital Personal Data Protection Rules, 2025'. 電子・情報技術省(MeitY)は、「2025年デジタル個人データ保護規則(ドラフト)」に対するフィードバック/コメントを募集している。
The Digital Personal Data Protection Act, 2023 (DPDP Act) received the assent of the Hon'ble President on 11th August 2023. Now, draft subordinate legislation in form of Digital Personal Data Protection Rules, 2025 have been drafted in order to provide for necessary details and implementation framework of the Act. デジタル個人データ保護法(DPDP法)は2023年8月11日に大統領の承認を得た。現在、同法の必要な詳細および実施枠組みを規定するために、2025年デジタル個人データ保護規則という形の下位法令の草案が作成されている。
MeitY invites feedback/comments from its stakeholders on the draft Rules. The draft rules along with a explanatory notes of the rules in plain and simple language to facilitate ease of understanding are available on Ministry’s website at [web] MeitYは、規則の草案について利害関係者からのフィードバックやコメントを募集している。規則の草案は、理解を容易にするための平易でシンプルな言語による規則の注釈とともに、同省のウェブサイト [web] で入手できる。
The submissions will be held in fiduciary capacity in MeitY and shall not be disclosed to any one at any stage, enabling persons to submit feedback/comments freely without any hesitation. A consolidated summary of the feedback/comment received, without attribution to stakeholder, shall be published after the finalization of the Rules. 提出された内容はMeitYで受託者責任のもとで管理され、いかなる段階においてもいかなる者にも開示されることはないため、人々はためらいなく自由にフィードバックやコメントを提出することができる。利害関係者を特定せずに集約したフィードバック/コメントの概要は、規則の最終決定後に公表される。
The Ministry has invited feedback from the public on the draft Bill. The submissions will not be disclosed and held in fiduciary capacity, to enable persons submitting feedback to provide the same freely. No public disclosure of the submissions will be made.  同省は、法案のドラフトに対する一般からのフィードバックを募集している。提出された意見は開示されず、受託者責任のもとで保管されるため、フィードバックを提出する人は自由に意見を述べることができる。提出された意見は一般に開示されない。
The feedback/comments on the draft rules in a rule wise manner may be submitted by 18th February 2025 on MyGov portal at the link below:[web] 規則ごとのドラフト規則に関するフィードバック/コメントは、2025年2月18日までにMyGovポータル([web]
)から提出することができる。
Please Click here to view Draft Digital Personal Data Protection Rules, 2025 2025年デジタル個人データ防御規則ドラフトの閲覧はこちらをクリック
Please Click here to view Explanatory Note on Draft Digital Personal Data Protection Rules, 2025 2025年デジタル個人データ防御規則ドラフトに関する説明書の閲覧はこちらをクリック

 

デジタル個人データ保護法関連の情報...

Ministroy of Electronics & Information Technology

Data Protection Framework

Data Protection Framework データ保護枠組み
Draft Digital Personal Data Protection Rules,2025 2025年デジタル個人データ保護規則(ドラフト)
Notice_Consultation - Draft Digital Personal Data Protection Rules,2025 通知 - 2025年デジタル個人データ保護規則(ドラフト)に関する意見募集
Explanatory note to Digital Personal Data Protection Rules, 2025 2025年デジタル個人データ保護規則に関する説明書
Digital Personal Data Protection Act 2023 2023年デジタル個人データ保護法
Extension of time - Inviting feedback on the draft ‘Digital Personal Data Protection Bill, 2022’. 期限延長 - 「2022年デジタル個人データ保護法案」のドラフトに関するフィードバックの募集
Notice - Public Consultation on DPDP 2022 通知 - 2022年デジタル個人データ保護法案に関するパブリックコンサルテーション
The Digital Personal Data Protection Bill, 2022 2022年デジタル個人データ保護法案
Explanatory Note- The Digital Personal Data Protection Bill, 2022 説明書 - 2022年デジタル個人データ保護法案
Feedback on Draft Personal Data Protection Bill 個人データ保護法案のドラフトに関するフィードバック
Data Protection Committee- Report データ保護委員会 - 報告書
Personal Data Protection Bill, 2018 個人データ保護法案、2018年
Office Memorandum dated. 31.07.2017 - Constitution of a Committee of Experts to deliberate on a Data Protection framework for India 2017年7月31日付の事務メモ - インドのデータ保護枠組みを審議する専門家委員会の設置
Public consultation meeting on White Paper at Mumbai - Data Protection Framework for India ムンバイにおけるホワイトペーパーに関する公開協議会議 - インドのデータ保護枠組み
White Paper on Data Protection framework for India - Public Comments invited インドのデータ保護枠組みに関する白書 - 意見公募
Public consultation on White Paper - Data Protection Framework for India インドのデータ保護枠組みに関する白書に関するパブリックコンサルテーション
OFFICE MEMORANDUM - Constitution of a Committee of Experts to deliberate on a data protection framework for India-Nomination of Member Convener 事務所メモ - インドのデータ保護枠組みに関する専門家委員会の設立 - メンバー招集者の指名

 

 

ガイドライン案

・2025.01.03 [PDF] Draft Digital Personal Data Protection Rules, 2025

20250111-52115

・[DOCX][PDF] 仮訳

 

 

解説

・2025.01.03 [PDF] The Ministry of Electronics and Information Technology invites feedback on the draft ‘Digital Personal Data Protection Bill, 2022’.

20250111-52327

Explanatory note to Digital Personal Data Protection Rules, 2025  デジタル個人データ保護規則に関する説明書、2025年
The Digital Personal Data Protection Act, 2023 (Act) received the assent of the Hon'ble President on 11th August 2023. A draft of the Rules as envisaged under different sections of the Act have been made. The Rules provides for the necessary details and implementation framework of the Act.  デジタル個人データ保護法(2023年)は、2023年8月11日に大統領の承認を受けた。同法のさまざまな条項で想定されている規則のドラフトが作成された。規則は、同法の必要な詳細および実施枠組みを規定する。
During the drafting of Rules, certain principles used in the drafting of the Act, like using simple language, avoiding unnecessary cross referencing, providing contextual definition, and providing illustrations etc. have been followed meticulously. This explanatory note provides a brief overview of the contents of the Rules.  規則の起草にあたっては、法律の起草で用いられた一定の原則、例えば、平易な言葉を使用すること、不必要な相互参照を避けること、文脈上の定義を提供すること、図解を提供することなど、が細心の注意を払って踏襲されている。本説明書では、規則の内容について簡潔に概説する。
1. Short title and commencement: These rules, called the Digital Personal Data Protection Rules, 2025, come into force upon publication, except for rules 3 to 15, 21 and 22 which will be effective from a later date.  1. 略称および発効:本規則は「2025年デジタル個人データ保護規則」と呼ばれ、第3条から第15条、第21条、第22条を除き、公布と同時に発効する。
2. Definitions clause: The expression in the act shall have the same meaning as assigned in Act unless context otherwise requires.   2. 定義条項:本法令における表現は、文脈上別段の解釈が必要とされない限り、法令で定められた意味を有するものとする。 
3. Notice by Data Fiduciary to Data Principal: The notice provided by the Data Fiduciary to the Data Principal must be clear, standalone, and understandable, distinct from any other information shared by the Data Fiduciary. It must use simple, plain language to provide the Data Principal with a full and transparent account of the information necessary for giving informed consent for the processing of their personal data. Specifically, the notice should include, itemized list of the personal data being collected and clear description of the purpose for processing, along with an itemized explanation of the goods, services, or uses enabled by such processing.  3. データ受託者からデータ主体への通知:データ受託者がデータ主体に提供する通知は、データ受託者が共有するその他の情報とは区別された、明確かつ独立した理解可能なものでなければならない。また、データ主体が個人データの処理について十分な情報を得た上で同意を与えるために必要な情報を、データ主体にわかりやすく、透明性のある平易な言葉で提供しなければならない。具体的には、通知には収集される個人データの項目別リストと処理の目的の明確な説明、およびそのような処理によって可能になる商品、サービス、または用途の項目別説明を含めるべきである。
Additionally, the notice must provide a communication link of the Data Fiduciary’s website or app, and describe other methods (if applicable) for the Data Principal to withdraw consent easily as comparable to the process of giving consent, exercise their rights and make complaints with the Board.  さらに、通知にはデータ受託者のウェブサイトまたはアプリのコミュニケーションリンクを提供し、データ主体が同意を簡単に撤回できる他の方法(該当する場合)を、同意を与えるプロセスと同等の方法で説明し、権利を行使し、委員会に苦情を申し立てる方法を記載しなければならない。
4. Registration and obligations of a Consent Manager: Consent Manager must be a company incorporated in India with sound financial and operational capacity, having a minimum net worth of two crore rupees, a reputation for fairness and integrity in its management, and a certified interoperable platform enabling Data Principals to manage their consent.   4. 同意管理者の登録および義務:同意管理者は、健全な財務および業務能力を有し、純資産額が2億ルピー以上であり、経営陣が公正かつ誠実であるという評判があり、データ主体が同意を管理できる相互運用可能なプラットフォームを認証取得しているインド法人でなければならない。 
The application for registration is to be made to the Board. Once registered, the Consent Manager must comply with specific obligations of ensuring that Data Principals can easily give, manage, review, and withdraw consent for data processing, maintaining records of consents and data sharing, and providing transparent access to such records. The Consent Manager is also required to implement strong security measures to protect personal data, avoid conflicts of interest, and ensure transparency by publishing key management details and ownership structures. Additionally, the Board may audit the Consent Manager's operations, suspend or cancel its registration if necessary, and issue corrective directions to safeguard the interests of Data Principals.  登録申請は委員会に対して行われる。登録後は、データ管理者は、データ処理に対する同意をデータ主体が容易に付与、管理、確認、撤回できることを保証し、同意およびデータ共有の記録を維持し、そのような記録への透明性のあるアクセスを提供するという特定の義務を遵守しなければならない。また、同意管理者は、個人データを保護し、利益相反を回避し、主要な管理詳細および所有構造を公表することで透明性を確保するために、強力なセキュリティ対策を実施することが求められる。さらに、委員会は同意管理者の業務を監査し、必要に応じて登録を一時停止または取り消し、データ管理者の利益を保護するための是正指示を出すことができる。
The Consent Manager must also maintain independence, with strict rules to prevent conflicts of interest involving its directors or senior management and Data Fiduciaries. They are prohibited from subcontracting or assigning responsibilities, and they must ensure long-term compliance by regularly reviewing their operations. Any transfer of control of the Consent Manager company, such as through sale or merger, requires prior approval from the Board. Through these provisions, the regulation ensures that Consent Managers uphold high standards of transparency, security, and fiduciary duty in managing personal data.  同意管理者は、委員または上級管理職とデータ受託者間の利益相反を防止するための厳格な規則を設け、独立性を維持しなければならない。また、業務委託や責任の譲渡を禁止し、業務を定期的に確認することで、長期的なコンプライアンスを確保しなければならない。同意管理者企業の支配権の移転(売却や合併など)は、すべて理事会の事前承認を必要とする。これらの規定により、規制は、同意管理者が個人データの管理において、高い透明性、セキュリティ、受託者責任の標準を維持することを保証する。
5. Processing for provision or issue of services by the State or its instrumentality: The State and its instrumentalities may process the personal data of Data Principals to provide or issue subsidies, benefits, services, certificates, licenses, or permits, as defined under law or policy or using public funds. Processing in these cases must adhere to the specific standards outlined in Schedule II, which ensures lawful, transparent, and secure handling of personal data for such purposes.  5. 州またはその機関によるサービス提供または発行のための処理: 州およびその機関は、法律または政策で定義されている、または公的資金を使用して、補助金、給付金、サービス、証明書、ライセンス、または許可証を提供または発行するために、データ管理者の個人データを処理することができる。 これらの場合の処理は、付録2に概説されている特定の標準に従わなければならない。これにより、そのような目的のための個人データの合法的、透明性のある、安全な取り扱いが保証される。
According to Schedule II, the processing must meet several key criteria, such as ensuring that personal data is processed lawfully, for the stated purposes, and limited to the data necessary for achieving those purposes. The data must be accurate and retained only as long as necessary, while appropriate security safeguards must be in place to prevent breaches. The Data Principal should be informed about the processing, including the means to access their rights, and the processing must be done in compliance with any applicable laws. The responsible parties must be accountable for adhering to these standards.  付録2によると、処理は、個人データが合法的に、明記された目的のために、その目的達成に必要なデータに限定して処理されることを保証するなど、いくつかの重要な規準を満たさなければならない。データは正確で、必要な期間のみ保持され、漏えいを防ぐために適切なセキュリティ対策が講じられなければならない。データ管理者には、その権利へのアクセス手段を含め、処理について通知しなければならず、処理は適用法を遵守して行われなければならない。責任者は、これらの標準を遵守する責任を負う。
The aim is to ensure that personal data processing is transparent, secure, and in line with legal and policy standards, safeguarding the interests of the Data Principals.  その目的は、個人データの処理が透明性があり、安全で、法的および政策上の標準に沿って行われ、データ管理者の利益が保護されることを保証することである。
6. Reasonable security safeguards: A Data Fiduciary must implement reasonable security measures to protect personal data, including encryption, access control, monitoring for unauthorized access, and data backups etc. These safeguards ensure the confidentiality, integrity, and availability of data, and must include provisions for detecting and addressing breaches and maintenance of logs. Contracts with Data Processors must also ensure security measures are in place. The measures should comply with technical and organizational standards to prevent data breaches.   6. 合理的なセキュリティ対策:データ受託者は、暗号化、アクセス管理、不正アクセス監視、データバックアップなど、個人データを保護するための合理的なセキュリティ対策を実施しなければならない。これらの対策は、データの機密性、完全性、可用性を確保し、違反の検知と対処、およびログの保守に関する規定を含まなければならない。データ処理者との契約も、セキュリティ対策が確実に実施されるようにしなければならない。これらの対策は、データ漏えいを防止するための技術的および組織的標準に準拠していなければならない。 
7. Intimation of Personal Data Breach: When a Data Fiduciary becomes aware of a personal data breach, it is required to promptly notify all affected Data Principals. This notification must be clear and straightforward, explaining the breach's nature, extent, and timing, along with potential consequences for the affected individuals. The Data Fiduciary must also inform the Data Principal of any measures taken to mitigate the risks and provide safety recommendations for protecting their data. Furthermore, contact information of a responsible person for inquiries must be included.  7. 個人データ漏えいの通知:データ受託者が個人データ漏えいに気づいた場合、影響を受けるすべてのデータ主体に速やかに通知することが義務付けられている。この通知は明確かつ簡潔で、漏えいの性質、範囲、時期、および影響を受ける個人に起こりうる結果を説明しなければならない。また、データ受託者は、リスクを緩和するために講じた措置と、データの保護に関する安全対策の推奨事項をデータ主体に通知しなければならない。さらに、問い合わせ先となる担当者の連絡先も記載しなければならない。
Additionally, the Data Fiduciary must inform the Board about the breach without delay. Within 72 hours or a longer time if permitted, the Data Fiduciary is obligated to provide detailed information, including the events that led to the breach, actions taken to mitigate risks, and the identity of the individual responsible, if known. The Data Fiduciary must also report on the remedial steps taken to prevent future breaches and details on the notifications sent to affected Data Principals.  さらに、データ受託者は、違反について遅滞なく委員会に通知しなければならない。データ受託者は、72時間以内、または許可された場合はそれ以上の期間内に、違反につながった出来事、リスク緩和のためにとられた措置、および判明している場合は責任者の身元を含む詳細情報を提供する義務がある。また、データ受託者は、将来の漏えいを防止するための是正措置と、影響を受けるデータ主体に送付した通知の詳細についても報告しなければならない。
8. Time period for specified purpose to be deemed as no longer being served: Under this provision, if a Data Fiduciary processes personal data for purposes outlined in Schedule III and the Data Principal does not engage with the Fiduciary within a specified period, the personal data must be erased unless required for legal compliance. The time period for this erasure is defined in Schedule III for different classes of Data Fiduciaries, such as e-commerce entities, online gaming intermediaries, and social media platforms. These entities may retain personal data for up to three years from the last interaction or the coming in effect of rules, whichever is later, except when the data is needed for the principal to access their account or virtual tokens.   8. 特定の目的がもはや達成されていないとみなされる期間:本規定に基づき、データ受託者が付録3に記載された目的で個人データを処理し、データ主体が指定された期間内に受託者と関与しない場合、その個人データは、法遵守のために必要とされない限り、消去されなければならない。この消去の期間は、電子商取引事業体、オンラインゲーム仲介業者、ソーシャルメディアプラットフォームなど、さまざまな種類のデータ受託者について、付録3で定義されている。これらの事業体は、データ受託者がアカウントまたは仮想トークンにアクセスするためにデータが必要な場合を除き、最後のやりとりまたは規則の発効から最長3年間、個人データを保持することができる。 
Before erasure, the Data Fiduciary must notify the Data Principal at least 48 hours in advance, alerting them that their data will be erased unless they log in or initiate contact with the Fiduciary to fulfil the specified purpose. The notification gives the Data Principal an opportunity to preserve their data by taking action. This rule provides a clear process for erasing personal data if the Data Principal has not interacted with the Data Fiduciary within the specified time, ensuring that data is retained only when necessary for continued use or legal obligations, while offering the Data Principal a chance to retain their data by taking proactive steps.  消去に先立ち、データ受託者はデータ本人に対し、少なくとも48時間前までに通知しなければならない。その際、本人がログインするか、受託者と連絡を取って指定の目的を達成しない限り、本人のデータが消去される旨を警告しなければならない。この通知により、データ主体は行動を起こすことでデータを保存できる機会が得られる。この規則は、データ主体が指定された時間内にデータ受託者とやりとりを行わなかった場合の個人データの消去に関する明確なプロセスを規定しており、継続的な使用や法的義務に必要な場合にのみデータを保持することを保証するとともに、データ主体が積極的な措置を講じることでデータを保持できる機会を提供している。
9. Contact information for addressing data processing queries: This mandates that every Data Fiduciary must clearly display on their website or app the contact details of a designated person who can address questions regarding the processing of personal data. If applicable, this could be the Data Protection Officer (DPO). The contact information should be easily accessible and visible to Data Principals, enable that they can reach out with any concerns or queries about how their personal data is being processed. Additionally, the same contact details must be included in all responses to communications from Data Principals who wish to exercise their rights under the Data Protection Act.  9. データ処理に関する問い合わせ先:これは、すべてのデータ受託者が、個人データの処理に関する質問に対応できる担当者の連絡先を、ウェブサイトまたはアプリに明確に表示することを義務付けるものである。該当する場合、この担当者はデータ保護責任者(DPO)となる可能性がある。連絡先情報は、データ主体が容易にアクセスでき、視認できるものでなければならず、これにより、自身の個人データの処理方法に関する懸念や質問を問い合わせることができる。さらに、データ保護法に基づく権利の行使を希望するデータ主体からのコミュニケーションに対するすべての回答には、同じ連絡先情報を記載しなければならない。
The intent of this provision is to ensure transparency and accountability in data processing practices of Data Fiduciaries, by providing clear contact information, easier access to Data Principals to inquire about their personal data and its processing.  この規定の目的は、明確な連絡先情報を提供し、データ主体が自身の個人データとその処理について問い合わせるためのアクセスを容易にすることで、データ受託者のデータ処理業務における透明性と説明責任を確保することである。
10. Verifiable consent for processing personal data of children and persons with disabilities: This provision outlines the requirements for obtaining verifiable consent from parents or legal guardians before processing the personal data of children or persons with disabilities. Specifically, a Data Fiduciary must implement measures to ensure that the person providing consent for a child’s data processing is the child’s parent or legal guardian, and that the parent or guardian is identifiable. For a child, the Data Fiduciary must verify that the parent is an adult by using reliable identity details or a virtual token mapped to such details. This verification process is critical to ensure that consent is being given by a responsible adult, in compliance with relevant laws. Examples are provided to clarify how this process should work, particularly in cases where the parent is already a registered user or when the parent needs to provide identity details using a Digital Locker service.  10. 児童および障害者の個人データの処理に対する検証可能な同意:この規定は、児童または障害者の個人データを処理する前に、親または法的後見人から検証可能な同意を取得するための要件を概説している。具体的には、データ受託者は、児童のデータ処理に対する同意を提供する者が児童の親または法的後見人であり、かつ、親または後見人が識別可能であることを保証するための措置を実施しなければならない。子供の場合、データ受託者は、信頼できる身元情報またはその情報に紐づく仮想トークンを使用して、親が成人であることを検証しなければならない。この検証プロセスは、関連法規に準拠して、責任ある成人が同意を行っていることを保証するために極めて重要である。このプロセスがどのように機能すべきかを明確にするために、特に親がすでに登録ユーザーである場合や、親がデジタルロッカーサービスを使用して身元情報を提供する必要がある場合の例が示されている。
11. Exemptions from obligations in processing personal data of children: This provision outlines certain exemptions to the standard requirements for processing the personal data of children, as stated in section 9 of the Act. These exemptions are applicable to specific types of Data Fiduciaries and for certain purposes, subject to conditions laid out in Schedule IV. According to Part A of the schedule, certain classes of Data Fiduciaries, such as healthcare professionals, educational institutions, and childcare providers, are exempt from specific provisions related to children's data. The processing of children's personal data by these entities is permitted, but it is restricted to specific activities like health services, educational activities, safety monitoring, and transportation tracking. These activities must be necessary for the well-being and safety of the child, ensuring that data processing is done within a defined and limited scope.  11. 児童の個人データの処理における義務の免除:本規定は、児童の個人データの処理に関する標準要件に対する一定の免除について概説するものであり、法第9条に記載されている。これらの免除は、特定の種類のデータ受託者および特定の目的に適用され、付録4に定められた条件に従う。パートAによると、医療従事者、教育機構、保育プロバイダなどの特定の種類のデータ受託者は、児童データに関する特定の規定が免除される。これらの事業体による児童の個人データの処理は許可されているが、医療サービス、教育活動、安全監視、輸送追跡などの特定の活動に限定されている。これらの活動は、児童の幸福と安全のために必要であり、データ処理が定義された限定的な範囲内で行われることを保証するものでなければならない。
Part B of the schedule outlines specific purposes for which the exemptions apply, such as processing for legal duties, issuing subsidies or benefits to children, creating user accounts for communication purposes, or ensuring the child does not have access to harmful information. In these cases, processing is restricted to what is necessary to perform the function, service, or duty, with an emphasis on protecting the child’s best interests. The provision acknowledges that certain activities, such as verifying the age of a data subject to confirm they are not a child, also fall under this exemption, as long as the processing remains limited to the necessary scope. These exemptions aim to strike a balance between protecting children's personal data and enabling necessary activities for their health, education, and safety.  パートBでは、免除が適用される特定の目的が概説されており、例えば、法的義務の履行、児童への補助金や給付金の支給、コミュニケーション目的のユーザーアカウントの作成、児童が有害な情報にアクセスできないようにする、などが挙げられる。これらの場合、処理は、児童の最善の利益の保護に重点を置いて、機能、サービス、義務の遂行に必要なものに限定される。この規定では、データ対象者の年齢を確認して未成年者でないことを確認するなどの特定の活動も、処理が限定的な範囲にとどまる限り、この例外に該当することを認めている。これらの例外は、子供の個人データの保護と、子供の健康、教育、安全に必要な活動の実現とのバランスを取ることを目的としている。
12. Additional obligations of Significant Data Fiduciaries: This provision brings specific responsibilities for Significant Data Fiduciaries. It mandates that these Fiduciaries must conduct a Data Protection Impact Assessment (DPIA) and a comprehensive audit once every year. The results of these assessments and audits must be reported to the Board, which need to contain key findings related to their adherence to data protection requirements.  12. 重要なデータ受託者の追加義務:この規定は、重要なデータ受託者に対して特定の責任を課すものである。この受託者に対しては、データ保護影響評価(DPIA)および包括的な監査を毎年1回実施することが義務付けられている。これらのアセスメントおよび監査の結果は、データ保護要件への準拠に関する主な調査結果を含めて、取締役会に報告しなければならない。
Further, the provision holds Significant Data Fiduciaries accountable for verifying that any algorithmic software they use to process personal data does not pose a risk to the rights of Data Principals. This includes algorithms used for data hosting, storage, and sharing.   さらに、この規定では、重要なデータ受託者は、個人データの処理に使用するアルゴリズムソフトウェアがデータ管理者の権利にリスクをもたらさないことを検証する責任を負う。これには、データホスティング、保存、共有に使用されるアルゴリズムが含まれる。 
Entities must adopt measures to ensure that personal data identified by the Central Government is processed in compliance with specific restrictions, ensuring that the data and any related traffic data are not transferred outside of India.   事業体は、中央政府が特定した個人データが特定の制限事項に従って処理されることを保証する措置を講じ、データおよび関連するトラフィックデータがインド国外に転送されないことを保証しなければならない。 
13. Rights of Data Principals: Data Fiduciaries and Consent Managers must clearly publish on their website or app the process by which Data Principals can exercise their rights under the Act, including identifying details like usernames to facilitate identification. Data Principals can request to access and erase their personal data by contacting the Data Fiduciary. A Data Fiduciary must also provide clear timelines for responding grievances, ensuring an effective process with the necessary technical and organizational safeguards. Data Principals may nominate one or more individuals to exercise their rights under the law, following the procedures set by the Data Fiduciary and applicable legal norms.  13. データ主体の権利:データ受託者および同意管理者は、データ主体が同法に基づく権利を行使できるプロセスを、ウェブサイトまたはアプリ上で明確に公開しなければならない。これには、識別を容易にするためのユーザー名などの識別情報の詳細も含まれる。データ主体は、データ受託者に連絡することで、自身の個人データへのアクセスと消去を要求できる。データ受託者は、苦情対応の明確なスケジュールを提供し、必要な技術的および組織的保護措置を講じた効果的なプロセスを確保しなければならない。データ主体は、データ受託者が定める手続きおよび適用法規に従い、法律に基づく権利を行使する1人または複数の個人を指名することができる。
14. Processing of personal data outside India: Data Fiduciaries processing data within India or in connection with offering goods or services to Data Principals from outside India must comply with any requirements the Central Government sets in respect of making such personal data available to a foreign State or its entities. This is intended to ensure that personal data remains protected under the Act.  14. インド国外における個人データの処理:インド国内で、またはインド国外のデータ主体に対する商品またはサービスの提供に関連してデータを処理するデータ受託者は、外国政府またはその事業体に対して当該個人データを利用可能にするにあたり、インド中央政府が定めるあらゆる要件を遵守しなければならない。これは、個人データが同法の下で保護され続けることを保証することを目的としている。
15. Exemption from Act for research, archiving, or statistical purposes: The Act does not apply to the processing of personal data carried out for research, archiving, or statistical purposes if it adheres to the specific standards outlined in Schedule II. This exemption ensures that necessary data processing for academic and policy research can occur while maintaining certain safeguards and standards to protect personal data.  15. 研究、アーカイブ、統計目的のための同法の適用除外: 付録2に記載された特定の標準に従う場合、研究、アーカイブ、統計目的のために実施される個人データの処理には、同法は適用されない。この適用除外により、個人データを保護し、標準を維持しながら、学術研究および政策研究に必要なデータ処理を行うことができる。
16. Appointment of Chairperson and other Members: A Search-cum-Selection Committee shall be formed by the Central Government to recommend candidates for the position of Chairperson of the Data Protection Board. The committee will be led by the Cabinet Secretary , Secretary MeitY, Secretary DLA and include two subject matter experts.  16. 議長およびその他の委員の任命:データ保護委員会の議長候補を推薦する捜索兼選考委員会が中央政府によって結成される。委員会は内閣官房長官、MeitY長官、DLA長官が主導し、2名の専門分野の専門家が参加する。
Similarly, the committee will also recommend candidates for the position of other Board Members, with the Ministry of Electronics and Information Technology Secretary overseeing the process.  同様に、電子・情報技術省長官が監督するプロセスにおいて、委員会はその他の委員候補も推薦する。
After considering the recommended individuals' suitability, the Central Government will appoint the Chairperson or Members to the Board.  推薦された人物の適性を検討した上で、中央政府が委員長または委員を任命する。
17: Salary, allowances, and other terms of service for Chairperson and Members: the Rule provides for Salary, allowances, and other service-related conditions for the Chairperson and Members of the Data Protection Board are provided. The Chairperson is entitled to a consolidated salary of ₹4,50,000 per month, while each Member receives ₹4,00,000 per month, with no provisions for housing or a car. A detail description of service conditions is provided for in this Schedule V.  17: 委員長および委員の給与、手当、その他の勤務条件:規則では、データ保護委員会の委員長および委員の給与、手当、その他の勤務条件が規定されている。委員長には月額45万ルピーの給与が支払われ、各委員には月額40万ルピーが支払われるが、住宅手当や車手当は支給されない。勤務条件の詳細は、本付録5に規定されている。
18: Procedure for meetings of the Board and authentication of orders: the Rule outlines the procedure for the meetings of the Data Protection Board, including how they are convened, conducted, and how decisions are made. The Chairperson is responsible for setting the date, time, place, and agenda of the meetings, with the authority to delegate these duties. Meetings are chaired by the Chairperson, or in her absence, by another Member chosen by those present. A quorum for the meetings is one-third of the Board's membership, and decisions are made by majority vote, with the Chairperson having a casting vote in the event of a tie. If a Member has a conflict of interest in any matter being discussed, they are prohibited from participating or voting on that matter. In urgent situations, the Chairperson has the authority to take immediate action, which must then be ratified at the next Board meeting. Additionally, certain issues may be decided by circulating the item to Members for approval, and the Chairperson or any authorized individual can authenticate the Board's orders, directions, or instruments. Also, the Board is required to complete inquiries within six months, extendable for a further three months if necessary.  18: 委員会の会議の手続きおよび命令の認証:規則は、データ保護委員会の会議の手続きを概説しており、会議の招集、実施、および決定の方法が含まれている。議長は、会議の日時、場所、議題を設定する責任があり、これらの職務を委任する権限を有する。会議は議長が議長を務めるが、議長が不在の場合は出席者によって選出された他の委員が議長を務める。会議の定足数は委員会の委員数の3分の1とし、決定は多数決によって行われるが、議長は同数の場合は決定票を持つ。委員が議論中の案件について利害の対立がある場合は、その案件への参加および投票は禁止される。緊急事態においては、議長は即座に措置を講じる権限を有するが、その措置は次の理事会で承認されなければならない。さらに、特定の事項については、会員に回覧して承認を得ることで決定することができ、議長または認可された個人は、理事会の命令、指示、または文書を認証することができる。また、理事会は、必要に応じてさらに3か月間延長できるが、6か月以内に調査を完了することが求められる。
19: Functioning of the Board as a digital office: The Board is to operate as a digital office, utilizing technology to conduct its proceedings efficiently. This provision allows the Board to adopt techno-legal measures to carry out its functions without requiring the physical presence of individuals. The Board retains the power to summon individuals and examine them under oath. The aim is to streamline processes, reduce the need for physical attendance, and enhance the overall efficiency of the Board’s operations.  19:デジタルオフィスとしての委員会の機能:委員会は、テクノロジーを活用して効率的に手続きを行うデジタルオフィスとして運営される。この規定により、委員会は、個人の物理的な出席を必要とせずにその機能を遂行するためのテクノロジーと法律に基づく措置を採用することが可能となる。委員会は、個人を召喚し、宣誓の下で尋問する権限を保持する。その目的は、手続きを合理化し、物理的な出席の必要性を減らし、委員会の運営の全体的な効率性を高めることである。
20: Terms and conditions of appointment and service of officers and employees of the Board: the rule outlines the procedures for the appointment and service terms of officers and employees working for the Data Protection Board. It specifies that the Board can appoint officers and employees necessary for carrying out its functions, with prior approval from the Central Government. The appointments can be made on deputation from various government bodies or public sector enterprises. Additionally, the officers and employees can be appointed from the National Institute for Smart Government, with salaries aligned to market standards and other terms decided by the Board.  20:データ保護委員会の役員および従業員の任命および勤務条件に関する規則:この規則は、データ保護委員会で働く役員および従業員の任命および勤務条件の手続きを概説している。この規則では、中央政府の事前の承認を得た上で、委員会がその機能を遂行するために必要な役員および従業員を任命できることが規定されている。任命は、さまざまな政府機構または公共部門エンタープライズからの出向という形で行うことができる。さらに、役員および従業員は、市場標準に合わせた給与と、委員会が決定するその他の条件で、スマート・ガバメント・ナショナル・インスティチュートから任命することもできる。
Schedule VI elaborates on the specifics of the terms and conditions of service for these officers and employees.   付録6では、これらの役員および従業員の勤務条件の詳細について詳しく説明している。 
21: Appeal to Appellate Tribunal: the rule outlines the process for filing appeals to the Appellate Tribunal for persons dissatisfied with orders or directions of the Board. The appeal must be submitted digitally, in line with the procedure set by the Appellate Tribunal on its website. The appeal is required to be accompanied by a fee, the Appellate Tribunal’s Chairperson may decide to reduce or waive it.  21: 上訴審への上訴:この規則は、委員会の命令または指示に不服のある者が上訴審に上訴する手続きを概説している。上訴は、上訴審がウェブサイトで定めた手続きに従って電子的に提出しなければならない。上訴には手数料を添付する必要があるが、上訴審の議長はこれを減額または免除する決定を下すことができる。
The Appellate Tribunal has the authority to regulate its procedures. Additionally, the Tribunal operates as a digital office, utilizing technology to conduct its proceedings, which eliminates the need for physical presence while retaining the power to summon individuals and administer oaths when necessary. This digital approach allows for more flexible and efficient handling of appeals.  上訴裁判所は、その手続きを規定する権限を有する。さらに、裁判所は、テクノロジーを活用して手続きを行うデジタルオフィスとして運営されており、これにより、物理的な出頭は不要となるが、必要に応じて個人を召喚し宣誓を行う権限は維持される。このデジタルアプローチにより、より柔軟かつ効率的な上訴の処理が可能となる。
22: Calling for information from Data Fiduciary or Intermediary: enables the Central Government to require Data Fiduciaries or intermediaries to provide specific information for purposes outlined in Schedule VII. In cases where the disclosure of information might compromise the sovereignty, integrity, or security of India, the authorized person may restrict disclosure unless prior written permission is obtained. Fulfilling these information requests is part of the legal obligations under Section 36 of the Act. The government is empowered to request data for various purposes, including national security, legal compliance, or to assess the status of certain Data Fiduciaries.   22: データ受託者または仲介者からの情報提供の要請:中央政府が、付録7に記載された目的のために、データ受託者または仲介者に特定の情報の提供を要求することを可能にする。情報の開示がインドの主権、完全性、またはセキュリティを損なう可能性がある場合、認可された担当者は、事前の書面による許可が得られない限り、開示を制限することができる。これらの情報要求に応えることは、同法第36条に基づく法的義務の一部である。政府は、国家安全保障、法令順守、または特定のデータ受託者の状況アセスメントなど、さまざまな目的でデータの提出を要求する権限を有する。 
*** ***

 

 

 

2023年法...

・[PDF

20250111-52444

仮対訳...

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.23 インド デジタル個人データ保護法成立(2023年)(2023.08.11)

 

・2023.08.04 インド デジタル個人データ保護法案(2023年)

・2023.01.06 インド デジタル個人情報保護法案 (2022.11.22)

・2022.08.07 インド 個人情報保護法の制定は振り出しに戻る?

・2021.11.24 インド 個人データ保護法が成立しますかね。。。

 

 

|

« 警察庁 MirrorFaceによるサイバー攻撃について(注意喚起)(2025.01.08) | Main | ドイツ BSI AIの説明可能性に関するホワイトペーパー »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 警察庁 MirrorFaceによるサイバー攻撃について(注意喚起)(2025.01.08) | Main | ドイツ BSI AIの説明可能性に関するホワイトペーパー »