(インド、2020年2月9-14日)
1. デジタル規制の状況:個人情報保護法案が目下の最大関心事
中国に並ぶアジアの大国インドは従来からIT先進国を標榜し、外国投資を誘致しながらIT産業の発展やエンジニアなど人材育成に力を入れてきた。特に近年、インド政府は「デジタル・インディア」計画の下、公共デジタルインフラの拡充や行政サービス・手続等のデジタル化をはじめ、人工知能(AI)やビッグデータを活用したビジネスの推進やスタートアップ振興策など様々な分野で積極的にデジタル化を推進している。中でも生体認証付き個人識別番号制度アドハー(Aadhaar)を中核とするインディア・スタックは銀行口座を有さない約8割の人口を取り込むことに成功し、金融包摂問題の解決につながった画期的なシステムとして国際社会からも注目される。さらに、同制度を活用した年金支給、生活保護、公的融資などの公共サービスのほか、電子情報技術省(MeitY)は規制当局としての役割を担う一方、民間事業者と共同でキャッシュレス・電子決済、個人情報・データ管理など関連ビジネスの振興やデータ利活用に意欲的である。2019年の総選挙を経てモディ首相による第2次政権下でもデジタル推進策のスタンスは変わらないものと考えられる。
大都市圏を中心にスマートフォンのユーザーが増加し、アプリを介した様々なサービスが普及しつつある一方で、地方部では未だ従来のアナログ的な経済活動が定着しており、格差が生じている。実際、スマホ浸透率やインターネット普及率は近年伸びてはいるものの、インド全体ではそれぞれ4割程度にとどまる。ユニコーンは米中英に次ぎ世界で4番目に多い。代表的なFlipkart(現在は米Walmart傘下)やSnapdealなど地場の電子商取引(EC)プラットフォーマーは電子決済やフィンテックなど金融サービスのほか、ラストワンマイル配送など課題の多い物流網を補う最新技術を駆使した配送サービスなど、ユニバーサルなサービスの開発・提供にも力を入れる。また、地方政府も独自でデジタル化振興策を定め、データセンターの構築などITインフラ整備を進め、スタートアップの振興を後押ししている。
このような背景から、インドでも個人情報保護に関する国民の関心が高まってきており、政府として法整備を進めている。既に金融、電子通信、医療の分野では特定の保護対象となる個人情報の国内保管(ローカライゼーション)義務が課されているが、包括的な個人情報保護法案(PDPB)は目下国会で審議中である。同法案は法曹出身者が取りまとめた2017年の初案は産業界への影響が懸念されるなど厳しい内容であったことから、これまで産業界からの要請やパブリックコメントを踏まえ、欧州GDPRにより準拠した合理的な内容での改正が進められてきた。2020年2月を期限に集められた国内外からの各種意見を踏まえ、秋季国会の可決・年内制定に向けて最終化が行われる。現行案では保護対象となるデータ区分が定義づけられており、センシティブデータはミラーリング(国内にコピーがあれば越境可能)規制、クリティカルデータはローカライゼーションの対象となる模様。注目点は91条(2)項の匿名個人データ(anonymised personal data)および非個人データ(non-personal data)を対象に中央政府が必要に応じてデータの提供を求めることが可能となっていることであり、中央政府の不要な介入を容認するものとして産業界からは懸念の声が上がっているようだ。
インドでは国内外のほぼ全業種企業を擁する商工会議所(FICCI)のほか、IT・情報通信事業者加盟のNASSCOMや銀行加盟のIBAなどをはじめとする各種産業を代表する業界団体が組織だって政府との対話や働きかけを普段から行っており、政策にも反映されている。日系を含む外資系企業の意見も地場同様に業界団体を通じて吸い上げられていく仕組みになっている。
2. 産業・企業への影響
【個人情報保護法案(PDPB)に対する反応】
これまで産業界の意見等が反映され、好ましい方向で変更が加えられているという共通した反応が大勢を占める。このほか、政府機関、業界団体、企業(日系含む)からは下記のような意見が聞かれた。
⟨肯定的意見⟩
• 政府によるさらなるデジタル化政策を推進するための重要な法律であり、国際ルール・標準に準拠した法整備を行うことは国際社会に対するメッセージにもなる。(政府機関、業界団体)
• GDPRに近い厳しい法規制を歓迎する。欧州企業からもBPOなどの発注を受けやすくなるはずだ。(業界団体、外資系企業)
• 商業施設やホテルで電話番号や生年月日等の個人情報が日常的に流用・漏洩されているため、包括的な個人情報保護法の制定を期待する。(業界団体、地場企業、外資系企業)
• ミラーリング条項は大幅に緩和された。センシティブデータについて残されているものの、クラウドを利用すれば、物理サーバの管理と比べるとコストは3分の1程度で済み、影響はそれほど大きくない(地場企業、日系企業)
• 91条2項の政府による特定のデータ収集については、サイバー犯罪の防止・捜査のためであればやむを得ない。(政府機関、地場企業)
⟨否定的意見⟩
• 最新の草案では18ヵ月の猶予期間という文言が消えているが、法案成立から発効までに十分な猶予期間を設けてほしい。(業界団体)
• Critical personal dataについて定義が曖昧。(業界団体、地場企業)
• 91条2項に基づき、インド政府はデータ処理・保管者に対して非個人データ(non-personal data)、匿名化データ(anonymous data)の開示を求めることができ、企業に拒否権はない。政府関係案件や調査についてとされているが、知財や特許の侵害になりうるのではないかと懸念。(業界団体、日系企業)。
• データ処理者に対する規定が明確でない(日系企業)
• 子供が18歳未満とされている原案では子供を対象とした教育、娯楽などのオンラインサービスが制限される可能性があり、定義の明確化が必要(業界団体)
