一般データ保護規則は、2018年5月25日以降、欧州経済領域の全域で直接適用されてきた。インドのデジタル個人データ保護法2023は、2023年8月に大統領の裁可を受けたが、下位規則を待つあいだ休眠状態にあった。その規則、すなわちデジタル個人データ保護規則2025は2025年11月13日に通知され、段階的な施行を起動させた。データ保護委員会に関する規定は直ちに発効し、同意マネージャーの登録義務は一年の節目に続き、実体的義務とデータ主体の権利は2027年5月13日から執行可能となる(電子情報技術省2025年、Shardul Amarchand Mangaldas 2025年)。したがって以下に続くのは、成熟し完全に執行されている法体系と、法的には完結しているが運用上はなお準拠の助走路のうちにある若い法体系との対比である。法の状況は2026年6月6日時点で述べており、これはDPDPの実体的義務とデータ主体の権利が2027年5月13日に執行可能となるまでに約十一カ月を残す。適法な処理を同意の上に再構築し、同意マネージャーを統合し、十八歳未満の体制を立ち上げなければならないプログラムにとって、十一カ月は単一の計画地平であって、心地よい余裕ではない。
共通の系譜と、重要な三つの相違
二つの法は共通の系譜を分かち合う。インドの起草者は、GDPRの説明責任、目的制限、データ最小化、同意という語彙を借用しており、その類似は、稼働中のGDPRプログラムを持つ多国籍企業がすでにDPDPの要求するもののおよそ七割を手中にしているといえるほどに近い。残る三割こそ金銭とリスクが宿る場所である。なぜなら、その相違は表面的なものではなく構造的なものだからである。
三つの差異が他のすべてを凌駕する。第一に、適法な処理である。GDPRは、伸縮自在の正当な利益の比較衡量テストを含む六つの適法な根拠を提供するのに対し、DPDPは同意と、列挙された適法な利用の閉じたリストのみを認め、同意が現実的でない場合の汎用的な代替手段を残していない。第二に、権利のカタログである。GDPRはポータビリティ、異議、純粋に自動化された決定に対する保護を含む八つのデータ主体の権利を付与するのに対し、DPDPはより狭い一群を付与し、独特の指名の権利を加える。第三に、執行の経済学である。GDPRは制裁金を二千万ユーロまたは全世界の年間売上高の四パーセントのいずれか高い額に上限設定し、個人に補償を求める私的な権利を与えるのに対し、DPDPは売上高との連動なく二百五十crore ルピーまでの固定の金銭的制裁を科し、刑事責任も私的訴権も存在しない。
二つの法の適用を受ける組織にとっての実務的教訓は、GDPRへの準拠は必要だが十分ではない、ということである。GDPR水準のプログラムは、DPDPの同意優先のアーキテクチャ、十八歳未満の児童体制、越境移転に対するネガティブリスト方式、そしていかなるリスク閾値も許容しない侵害通知規則を吸収するために、単に複写されるのではなく拡張されなければならない。
二つの数字がこの賭け金を枠付ける。GDPRは欧州経済領域全域の約四億五千万人の個人データを統治する。DPDPはインドの十五億近いデータ主体、すなわち約三倍のデータを統治する。したがって、DPDPの一件あたりの制裁上限はより低く固定されているとはいえ、それが課す運用上の負荷、すなわち同意の取得と撤回、権利対応、閾値なしの侵害通知は、はるかに大きな人口規模で走る。欧州の利用者基盤にとって心地よい処理能力も、インドの基盤によって圧倒されかねず、その能力は時計の針が尽きる前に構築されなければならない。実体的義務が2027年5月13日、すなわち執筆時点から約十一カ月後に執行可能となるなか、十億超の主体のために同意、権利、侵害のパイプラインを設計する窓は狭い。
法令、状況、規制アーキテクチャ
GDPRは規則であり、これはすべての加盟国において国内法への置換なしに直接適用されることを意味する。もっとも、加盟国はデジタル同意の年齢や雇用データといった特定の論点について立法する限られた余地を保持している。GDPRは、欧州データ保護会議を通じて調整される独立した各国監督当局のネットワークによって執行され、一貫性メカニズムとワンストップショップが越境事案を解決する。したがって、規則制定、ガイダンス、執行は独立した規制当局、そして最終的には裁判所および欧州連合司法裁判所に委ねられている(当社のGDPRフレームワークページが、その義務、誰を拘束するか、公式の出典を簡潔に要約している)。
DPDPのアーキテクチャは、より中央集権的で、より行政主導である。DPDP法は基本法であり、運用上の詳細はDPDP規則に宿る。これは中央政府が定め、改正しうる(当社のDPDPフレームワークページが、同法の主要な義務、誰を拘束するか、公式の出典を簡潔に示している)。インド・データ保護委員会は裁定機関であるが、欧州の監督当局より狭い。侵害を調査し制裁を科すものの、拘束力のあるコードやガイダンスを発することはなく、実体的な規則制定権限は委員会ではなく中央政府にある。委員会からの不服申立ては電気通信紛争解決・上訴審判所に向かう。設計上の帰結として、インドでは、欧州では独立した当局や裁判所に委ねられているレバー(適用除外、移転制限、規則改正)を、政治的行政府が保持しているのである。
適用範囲と射程
GDPRは、全部または一部が自動化された手段によって処理される個人データ、ならびにデータがファイリングシステムの一部を構成し、または構成することを意図されている非自動化処理を統治する。GDPRは第9条のもとで特別な種類の機微データを切り出す。すなわち、人種または民族的出自、政治的意見、宗教的信条、労働組合への加入、遺伝データおよび生体データ、健康、性生活または性的指向であり、それぞれが強化された条件に服する。DPDPは、ある一点でより狭く、別の一点でより平坦である。DPDPはデジタル個人データのみを統治する。すなわち、デジタル化された形式のデータ、または紙で収集された後にデジタル化されたデータであり、純粋に非デジタルの記録を規制しない。決定的に、DPDPは通常の個人データと機微な個人データとのあいだに法定の区別を引かない。特別カテゴリーの階層は存在しない。健康記録と買い物履歴は同じベースライン規則のもとに置かれ、追加の保護は重要データ受託者のメカニズムと児童の規定を通じて間接的にのみ到来する。二つの法の適用を受ける組織にとって、この非対称性は両刃である。インド法は第9条の条件を課さないが、成熟した管理者は通常、二つのデータ分類スキームを維持するよりも、GDPRの機微データ統制を世界的に維持し続けるであろう。
両法はともに自国の領域を超えて及ぶ。GDPRは第3条のもとで、処理がどこで行われるかにかかわらずEU拠点の文脈における処理に、また連合内の個人に商品もしくはサービスを提供し、またはその行動を監視する連合外の管理者に適用される。DPDPは第3条のもとで、インド国内のデジタル個人データの処理に、またインド国外の処理であってインドのデータ主体への商品もしくはサービスの提供に関連するものに適用される。DPDPはGDPRの明示的な行動監視の要素を省いているため、商品やサービスの提供を伴わないインド居住者の純粋なプロファイリングは、その欧州の対応物よりも灰色の領域に位置する。
| 次元 | GDPR | DPDP |
|---|---|---|
| 対象となるデータの形式 | 自動化に加え、構造化された手作業のファイリングシステム | デジタルのみ(生来デジタルまたは後にデジタル化されたもの) |
| 機微データの階層 | あり(第9条の特別カテゴリー) | 法定の階層なし |
| 域外適用の起点 | 拠点、提供、行動監視 | インドの主体への商品またはサービスの提供 |
| 除外される処理 | 純粋に個人的または家庭的なもの、別個の指令による法執行 | 個人的または家庭的なもの、特定の公表データ、広範な国家の適用除外 |
行為者と語彙
役割のアーキテクチャは、翻訳がおおむね一対一になる程度に整然と対応しており、これは二言語のポリシーを起草する際に助けとなる。GDPRの管理者はDPDPのデータ受託者となる。これは信託に基づく枠付けだが、その作動上の義務は管理者のそれに類似している。GDPRの処理者はデータ処理者となるが、DPDPは多くの直接的な法定義務を課すのではなく、ほとんどの処理者の義務を受託者の契約を通じて経路づける。データ主体はデータ主体となり、児童の場合は児童が主体であって、同意は親または法定後見人によって行使される。監督当局は、裁定し制裁を科すが拘束力のあるガイダンスを発さず、したがって全領域にわたる規制当局ではないインド・データ保護委員会にその類似物を見出す。二つのDPDPの役割にはGDPRの対応物がない。すなわち、強化された義務を負う政府指定の区分である重要データ受託者と、主体が同意を付与し、見直し、撤回するためのインド固有の登録仲介者である同意マネージャーである。
適法な処理: 中心的な相違
ここが、二つの法体系が最も帰結を伴う形で袂を分かつ場所である。GDPRは第6条のもとで六つの適法な根拠を提供する。すなわち、同意、契約の履行、法的義務の遵守、生命に関わる利益の保護、公共の利益における任務の遂行、そしてデータ主体の権利との比較衡量テストに服する管理者または第三者の正当な利益である。正当な利益の根拠は意図的に開かれた質感を持つ。それは、組織が不正防止、ネットワークセキュリティ、ダイレクトマーケティング、グループ内管理のために、あらゆる作業について同意を求めることなくデータを処理することを可能にする働き手である。
DPDPは適法性への二つの経路のみを認める。すなわち、第6条のもとでの同意と、第7条のもとでの特定の適法な利用の閉じたリストである。適法な利用のリストは列挙され、有限である。すなわち、特定された目的のための主体による自発的なデータ提供、国家機能および補助金もしくはサービスの提供、法律または裁判所命令の遵守、医療上の緊急事態、雇用関連の目的、災害または公共秩序の状況などが、その他の少数とともに含まれる。残余の比較衡量テストは存在しない。ある処理活動がリスト上の項目に対応しないならば、唯一の適法な道は同意である。これが多国籍企業にとって単一の最も重要な運用上の差異である。なぜなら、欧州が正当な利益のもとで難なく取り扱うデータの流れ、たとえば広範な分析、マーケティングの拡充、または越境のグループ報告が、インドでは明示的な同意のアーキテクチャを必要とするかもしれないからである。
同意の基準それ自体は、紙の上では類似している。両者とも、同意が自由で、特定的で、情報に基づき、明確で、明示的な肯定的行為によって示されることを要求し、また両者とも、撤回が付与と同じくらい容易であることを要求する。DPDPは、その上に二つのインド固有の特徴を重ねる。第一に、同意の要求に付随する通知は、項目化され、要求に応じて英語または憲法第八附則の言語のいずれかで利用可能でなければならない。第二に、同意は同意マネージャーを通じて媒介されうる。これは、主体が受託者をまたいで許可を付与し撤回するための単一のダッシュボードを与える登録されたプラットフォームであり、GDPRに対応物のない制度的構築物である。
GDPRへの準拠は必要だが十分ではない。GDPR水準のプログラムは、DPDPの同意優先のアーキテクチャを吸収するために、単に複写されるのではなく拡張されなければならない。
権利、義務、児童
GDPRは広範な権利の一群を付与する。すなわち、アクセス、訂正、消去、処理の制限、データポータビリティ、ダイレクトマーケティングを含む異議、そして第22条のもとで法的またはそれに類似する重大な効果を生じさせる純粋に自動化された決定に服しない権利である。DPDPはより狭い一群を付与する。すなわち、個人データおよび処理の要約へのアクセス、訂正および消去、苦情救済、そして主体が死亡または無能力の場合に自らの権利を行使する別の個人を指定できる独特の指名の権利である。これらの隔たりは重要である。DPDPには独立したデータポータビリティの権利がなく、一般的な異議の権利がなく、制限の権利がなく、第22条型の自動化された意思決定に対する保護がない。逆に、指名の権利には欧州の対応物がない。
| 権利 | GDPR | DPDP |
|---|---|---|
| アクセス | あり(第15条) | あり(データおよび処理の要約) |
| 訂正 | あり(第16条) | あり |
| 消去 | あり(第17条) | あり(撤回または目的完了時) |
| 処理の制限 | あり(第18条) | なし |
| データポータビリティ | あり(第20条) | なし |
| 異議 | あり(第21条) | なし |
| 自動化された決定に対する保護措置 | あり(第22条) | なし |
| 苦情救済 | 監督当局への申立てを通じて | あり(受託者に対する法定の権利) |
| 指名 | なし | あり |
両法体系はともに説明責任の上に築かれているが、より重い義務の配分は異なる。GDPRのもとでは、すべての管理者が説明責任の文書化のベースラインを負う。すなわち、小規模組織の適用除外を伴う第30条のもとの処理活動の記録、第25条のもとのデータ保護バイデザインおよびバイデフォルト、第35条のもとの高リスク処理に対するデータ保護影響評価、第28条のもとの拘束力ある処理者契約である。データ保護責任者は、中核的活動が大規模な体系的監視または特別カテゴリーデータの大規模処理を伴う場合に第37条のもとで義務付けられ、連合外の管理者は第27条のもとでEU代理人を任命しなければならない。DPDPはより軽い普遍的ベースラインを適用し、重い義務を重要データ受託者に集中させる。すべての受託者は、合理的なセキュリティ保護措置を実装し、通知と同意を尊重し、撤回時または目的が果たされた時点でデータを消去し、契約を通じて処理者の遵守を確保しなければならない。中央政府が重要データ受託者として指定する事業体のみが、加えてインドに拠点を置くデータ保護責任者を任命し、独立したデータ監査人を起用し、定期的な影響評価と監査を実施しなければならない。したがって起点は、GDPRの自己評価によるリスクテストではなく、政府による指定なのである。
両法体系はともに児童を特別扱いし、ここではDPDPの方が厳格である。GDPRは第8条のもとで、情報社会サービスにおける有効な同意の年齢を十六歳に設定し、加盟国が十三歳を下回らない範囲でこれを引き下げることを許す。DPDPは十八歳未満の誰もを児童として扱い、児童のデータを処理する前に検証可能な親または法定後見人の同意を要求する。さらにDPDPは、児童の幸福に有害な影響を及ぼすおそれのある処理を禁止し、児童に向けられた行動追跡、行動監視、ターゲティング広告を、政府が通知しうる限定的な適用除外に服しつつ、全面的に禁止することで一歩進める。世界的なデジタルサービスにとって、これは意味のある設計上の制約である。十三歳から十六歳の欧州の閾値に合わせて調整された年齢確認と親の同意の層は、インドの十八歳未満規則を満たさず、広告技術のスタックは、人口規模でインドの未成年者に対する行動ターゲティングを切ることができなければならない。
越境移転: 鏡像のデフォルト
移転モデルは、そのデフォルトの姿勢においてほぼ鏡像である。GDPRは第V章において禁止から出発する。個人データは、十分性決定、標準契約条項や拘束的企業準則といった適切な保護措置、または狭い一群の特例のもとでのみEEAを離れることができる。負担は適法な移転メカニズムを確立する輸出者にあり、Schrems II の判例は移転先国の監視環境についての移転影響評価を要求する。これはホワイトリスト方式である。すなわち、原則禁止であり、メカニズムが整っている場合にのみ許される。
DPDPは許可から出発する。移転はデフォルトで任意の国に許され、中央政府は特定の管轄への移転を制限するネガティブリストを発しうる。これはブラックリスト方式である。すなわち、原則許可であり、移転先が名指しされた場合にのみ阻止される。原則としてははるかに寛容だが、二つの留保がそれを和らげる。第一に、ネガティブリストはいまだ作成されておらず、したがって実務上の輪郭は不確かなままである。第二に、分野別のデータローカライゼーション規則、とりわけ決済データに関するインド準備銀行のものが、DPDPの上に重ねて適用され続け、一般的な体制より厳格でありうる。多国籍企業にとって、この非対称性は際立っている。EUのデータをインドに移すには文書化された第46条のメカニズムを要するのに対し、インドのデータをEUに移すことは、現在のところDPDP自体のもとでは何も要しない。もっとも、賢明なガバナンスはいずれにせよ契約上の保護措置を維持する。
侵害通知: 欠落した重大性フィルター
両法体系は七十二時間の時計に収斂するが、閾値と通知先について鋭く分岐する。GDPRは、不当な遅延なく、かつ実行可能な場合には認識してから七十二時間以内に監督当局への通知を要求するが、それは侵害が個人の権利および自由に対するリスクをもたらすおそれがある場合に限られる。影響を受けた個人への通知は、リスクが高い場合に限られる。リスク閾値が些末なインシデントをふるい落とす。DPDP規則はリスク閾値をまったく課さない。いかなる個人データ侵害も認識した時点で、受託者は影響を受けたデータ主体に遅延なく通知しなければならず、また初動の通報に続いて七十二時間以内に、侵害、その状況、緩和、責任ある当事者の特定を網羅する詳細な報告をデータ保護委員会に提出しなければならない(MediaNama 2025年、電子情報技術省2025年)。重大性フィルターの不在は、インドの侵害報告件数がその欧州の対応物より高く走ることを意味し、十五億近い主体の人口に対して、通知の機構はそれに応じて拡張されなければならない。GDPRのリスクの関門に合わせて調整されたインシデント対応手順書は、要件を満たすあらゆる侵害を委員会と影響を受けた個人の双方に通知するよう書き直されなければならない。
| 側面 | GDPR | DPDP |
|---|---|---|
| 当局への通知 | リスクがある場合、72時間以内 | 初動の通報、続いて72時間以内に詳細報告、閾値なし |
| 個人への通知 | 高リスクの場合のみ | 常に、遅延なく |
| 重大性フィルター | あり(リスクに基づく) | なし |
執行の経済学
執行の経済学は、程度だけでなく種類において異なる。GDPRの行政制裁金は、下位の階層では一千万ユーロまたは全世界の年間売上高の二パーセント、上位の階層では二千万ユーロまたは全世界の年間売上高の四パーセントのいずれか高い額まで走る。売上高との連動が、抑止力を事業体の規模に合わせて拡縮する。GDPRはまた私的な権利を生む。データ主体は第82条のもとで物的および非物的損害に対する補償を求めることができ、苦情を申し立て、司法的救済を追求することができる。DPDPは売上高に紐づかない固定の金銭的制裁を科し、附表を参照して定められ、一件あたり上限が設けられる。すなわち、合理的なセキュリティ保護措置を講じなかった場合は二百五十crore ルピーまで、侵害通知または児童データの義務における不履行は二百crore ルピーまで、その他の不履行にはより低い上限である。DPDPには刑事責任はなく、重要なことに、私的訴権も個人への法定の補償もない。執行はデータ保護委員会を通じて走り、制裁金は国家に支払われる。DPDPはまた、虚偽または軽率な苦情を申し立てたデータ主体に対する制裁を導入しており、これにはGDPRの対応物がない。正味の効果として、非常に大きな企業にとっては、GDPRの売上高に基づく上限がDPDPの固定上限を圧倒しうる一方で、同じ企業にとっては、DPDPは欧州でGDPR準拠に影を落とす集団訴訟および個人訴訟のエクスポージャーを取り除くのである。
適用除外
GDPRは適用除外を狭く、規則に縛られたものに保つ。第23条は、加盟国法が、列挙された公共の利益の目的のために必要かつ比例的である場合に限り権利を制限することを許し、ジャーナリズム、学術、芸術、文学的表現、ならびに保護措置に服する研究と保存のための特定の切り出しがある。DPDPはより広く、より行政に制御された適用除外を付与する。第17条は、中央政府が、主権、安全保障、公共秩序、友好関係の利益において、国家の機関を同法のほとんどから免除することを許し、研究、保存、統計の目的のために必要な処理、通知による特定のスタートアップ、法的権利の執行のための適用除外を定める。国家に向けられた適用除外の広さ、そしてそれが独立した当局や裁判所ではなく行政府によって付与され限界づけられるという事実は、インドの体制の最も議論される特徴の一つであり、市民社会の論評において繰り返し現れる主題である(Internet Freedom Foundation 2025年)。
二つの法の適用を受けるプログラムが追加しなければならない統制
両法体系の内側にある組織にとって、運用モデルは意図的な乖離を伴う収斂である。実務的なアーキテクチャは、単一のGDPR水準の世界的ベースラインを運用し、その上にインド固有のモジュールを組み込むことであって、二つの独立したプログラムを維持することではない。再利用可能なGDPR資産は相当なものである。すなわち、処理の記録、セキュリティと侵害対応の統制、アクセス、訂正、消去のためのデータ主体の権利のツール、処理者契約のテンプレート、プライバシーバイデザインの規律は、すべて軽微な適応でDPDPに移転する。インド固有の追加こそ努力が集中する場所であり、それらはまさに、GDPRのみのプログラムが2027年5月13日の執行日に欠いているであろう統制である。すなわち、正当な利益に寄りかからない同意優先の適法根拠の設計、同意マネージャーとの統合またはそれへの準備、検証可能な親の同意と行動広告の抑制を伴う十八歳未満の児童体制、指名のワークフロー、いかなるリスクの関門もなく要件を満たすあらゆるインシデントを通知する侵害プロセス、そして政府の越境ネガティブリストと分野別ローカライゼーション規則への監視である。逆に、組織はいかなるGDPRの機構も退役させることはできない。なぜなら、DPDPのより狭い権利の一群と寛容な移転モデルは、欧州の義務を緩めないからである。
CCIのツールが何を変えるか
二つの法体系にまたがるプログラムが失敗するのは、最も多くの場合ポリシーにおいてではなく、エビデンスの観点で、個人データがどこに置かれているか、どの流れがどの適法な根拠に依拠しているか、そして執行事象が何の代償を強いるかを知らないことにおいてである。CCIのプリミティブはまさにそれらの隙間を攻める。そして以下の各主張は、保証ではなく、既存の製品によって裏付けられた発生可能性の低減である。
NetDiagramerは、実際のデータ資産、システム間の流れ、そして各流れが横断する管轄を地図化する。移転の問題にとって、これは基礎的である。どの流れがEEAを離れ、またはインドに着地するかを見ることができなければ、GDPRの第46条のメカニズムのホワイトリストを適用することも、DPDPのブラックリストを監視することもできない。同じトポロジは、現在正当な利益に寄りかかっているすべての流れを浮かび上がらせる。それはまさに、DPDPが噛みつく前に同意の上に再構築されなければならない母集団である。
EviGenは、説明責任を文書化の作業から自動化されたエビデンスへと変える。第30条のもとの処理の記録、同意の台帳、そして重要データ受託者が作成しなければならない影響評価と監査の成果物は、監査の時にスプレッドシートから再構成されるのではなく、生きた資産から生成され、最新に保たれる。一つのエビデンスパイプラインが、欧州の記録義務とインドの説明責任および監査義務の双方に資する。
Evidence Vaultは、侵害プロセスに、DPDPの閾値なし規則を生き延びるために必要な、改ざんが明らかになるタイムラインを与える。要件を満たすあらゆるインシデントが七十二時間以内に委員会へ、また影響を受けたすべての主体に遅延なく届かなければならないとき、制約は意思ではなく、何が、いつ、誰に起きたかについての弁護可能な説明を、速やかに組み立てる能力である。同じヴォールトがGDPRの第33条および第34条の記録保持を満たす。
cVaRは、分岐する執行の経済学を金銭として値付けする。それは双方の上限、すなわちGDPRの売上高に連動する四パーセントとDPDPの一件あたり固定の二百五十croreのもとでのエクスポージャーを定量化し、取締役会が二つの法的抽象ではなく単一の数字として自社の二法域にまたがる制裁の表面を見られるようにし、是正を期待損失低減によって順位付けできるようにする。
Domain Separationは、欧州とインドのデータ資産を論理的に分離可能に保つ。それにより、ローカライゼーション要件、将来のネガティブリスト、異なる適法根拠の体制が、プログラム全体を二つにフォークすることなく管轄ごとに執行されうる。それは、意図的な乖離を伴う収斂を、願望ではなく運用可能なものにする統制である。
二つの責務を間に合わせて立ち上げる
DPDPの実体的義務は2027年5月13日に着地する。執筆時点からそれは約十一カ月であり、遠く読めるがそうではない。同意優先の再設計、同意マネージャーの統合、十八歳未満の体制は複数四半期にわたるプログラムであり、それぞれがほとんどの組織がいまだ持っていないデータ資産の明瞭な見取り図に依存するため、並行ではなく直列で走ることの方が多い。2027年5月から逆算すると、発見とデータ地図化の作業は、構築、試験、監査の各段階が執行前に収まるよう、今四半期に始められなければならない。組織がその構築を、恒久的な人員を加えることなく主導する上級のプライバシーリーダーシップを必要とする場合、CCIのサービスとしてのCISOは、暫定的、分数的、オンコール、またはインシデント後のカバーのために、八名以上のCISSP認定実務家のプールを提供する。CCIは自らが率いる場所では監査を行わないため、独立性が保たれる。そのプールは欧州だけのものではない。CCIはインドに拠点を置くCISSP認定実務家を擁する。彼らは、DPDP、同意マネージャーのモデル、第八附則の言語義務を内側から知る上級のデータプライバシーの専門家である。それは実務上重要である。なぜなら、重要データ受託者はインドに居住するデータ保護責任者を任命しなければならず、また現地のプライバシーリードは、インドの法律顧問、データ保護委員会、そして国家規模での同意の現実への距離をも縮めるからである。
もう一つの繰り返し現れる隙間は、法的というより基礎的なものである。すなわち、ほとんどの組織は、エビデンスをもって、自社の個人データが実際にどこに置かれているかを言うことができない。CCIのデータインベントリの専門家は、レガシー資産、稼働中システムのホットデータ、アーカイブとバックアップのコールドデータ、データベース内の構造化記録、そして文書、メールボックス、ファイル共有、オブジェクトストアにおけるはるかに困難な非構造化の散在の全域にわたって、まさにそれを地図化する。そのインベントリは、下流のすべて、すなわち同意の再構築、権利と消去のワークフロー、越境移転の見取り図、侵害の範囲評価の前提条件であり、資産の地図が不完全であれば、そのいずれも信頼することはできない。隙間があつらえのツーリングにある場合、社内の研究開発チーム、すなわちNetDiagramer、EviGen、cVaR、DORA-MASTを構築した学者、博士級の研究者、エンジニアが、それらのプリミティブ、すなわちインベントリの取り込み、構成エビデンス、トポロジの地図化、定量化を、迅速な二法域対応のための準備ツールセットへと組み上げられる。それは、ストップウォッチの約束としてではなく、出荷済みの製品を証拠とする能力として述べられている。二法域対応の準備評価のスコープを定めるには、実務家に相談する。
横並びのマスターマトリックス
| 次元 | GDPR | DPDP |
|---|---|---|
| 法令 | 規則 (EU) 2016/679 | DPDP法2023 + DPDP規則2025 |
| 施行 | 2018年5月25日 | 段階的、実体的義務は2027年5月13日から |
| 対象データ | 自動化および構造化された手作業、機微の階層 | デジタルのみ、機微の階層なし |
| 域外適用の起点 | 拠点、提供、監視 | インドの主体への商品またはサービスの提供 |
| 適法な根拠 | 六つ、正当な利益を含む | 同意に加え適法な利用の閉じたリスト |
| 機微データ体制 | 第9条の特別カテゴリー | なし(SDFと児童を通じて間接的に) |
| 児童の年齢 | 16歳(加盟国は13歳まで引き下げ可) | 18歳未満、行動広告の禁止 |
| 権利 | 八つ、ポータビリティ、異議、第22条を含む | アクセス、訂正、消去、苦情救済、指名 |
| データ保護責任者 | リスクに基づき義務 | 重要データ受託者のみ、インド拠点 |
| 越境モデル | ホワイトリスト(原則禁止) | ブラックリスト(原則許可) |
| 侵害通知 | リスクがあれば72時間以内に監督当局へ、高リスクなら個人へ | 72時間以内に委員会へ、加えて影響を受けたすべての主体へ、閾値なし |
| 最大制裁 | 2,000万ユーロまたは全世界売上高の4% | 一件あたり2億5,000万ルピー(250 crore)、売上高との連動なし |
| 私的訴権 | あり(第82条) | なし |
| 規制当局 | 独立した監督当局 | データ保護委員会(裁定のみ) |
| 規則制定 | EDPB、委員会、監督当局 | 中央政府 |
頭字語
| 略語 | 正式名称(英語) | 日本語訳 |
|---|---|---|
| BCR | Binding Corporate Rules | 拘束的企業準則 |
| CJEU | Court of Justice of the European Union | 欧州連合司法裁判所 |
| DPDP | Digital Personal Data Protection | デジタル個人データ保護 |
| DPIA | Data Protection Impact Assessment | データ保護影響評価 |
| DPO | Data Protection Officer | データ保護責任者 |
| EDPB | European Data Protection Board | 欧州データ保護会議 |
| EEA | European Economic Area | 欧州経済領域 |
| GDPR | General Data Protection Regulation | 一般データ保護規則 |
| MeitY | Ministry of Electronics and Information Technology (India) | 電子情報技術省(インド) |
| RBI | Reserve Bank of India | インド準備銀行 |
| SA | Supervisory Authority | 監督当局 |
| SCC | Standard Contractual Clauses | 標準契約条項 |
| SDF | Significant Data Fiduciary | 重要データ受託者 |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | 電気通信紛争解決・上訴審判所 |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html