PDP 法案の下でのデータの分類: スタートアップへの影響

公開: 2020-03-13

2019 年 12 月に議会に提出された PDP 法案は、個人データ、機微な個人データ、および重要な個人データの分類が明確ではありません。

このような不明確な分類により、ユーザーをより大きなプライバシーリスクにさらすだけでなく、インドの新興企業のデータ処理活動にも影響を与える恐れがあります

現在、法案は国会議員の合同委員会によって検討されています。

2019 年 12 月 11 日に議会に提出された個人データ保護 (PDP) 法案は、インドのデジタル経済の未来と市民のプライバシー保護の基礎となることを目的としています。

ただし、個人データ (PD)、機密個人データ (SPD)、および重要な個人データ (CPD) としてのデータの分類は、この期待と矛盾しています。 懸念は、どのデータが各カテゴリーに該当するかについての明確性の欠如に起因しており、必要な予防措置を講じるために必要な可視性を欠いている企業にとって不確実性と課題を生み出しています。

逆に、データの分類が不明確であると、データ保護に適したセキュリティ制御の決定が妨げられ、ユーザーがプライバシー リスクにさらされます。 国会議員の合同委員会が法案を検討する際には、この分類が、特に新興企業に与える影響を慎重に検討する必要があります。

機密性の高い個人データの広範な定義

個人データ SPD のサブセットは、財務データ、健康データ、生体認証データ、遺伝子データ、宗教/政治的信念/性的指向またはカースト/部族のステータスを示すデータで構成されます。 このリストによって作成された規制の不確実性は、たとえば、カーストや宗教を明らかにするすべての財務データ/データを SPD が国境を越えた転送とデータの処理に追加の制限を引き付ける可能性があるため、扱うことなどの課題を生み出す可能性があります。

「財務データ」は、PDP 法案の下で引き続き広く定義されています。 たとえば、金融サービスを提供する企業によって収集された名前は、SPD として分類される場合があります。 さらに、「金融データ」の範囲内にピアツーピア取引に必要な支払い識別子を含めることは、ユーザーが請求書の SPD 義務を遵守することを要求します。 また、リスク管理や不正検出などの運用に問題が生じることも避けられません。 さらに、健康データと生体認証データを含めることも問題です。

一見すると、生体認証データの定義は音声起動支援サービスに影響を与える可能性がありますが、健康データは、診断サービスを提供するスタートアップや栄養アドバイスを提供するスタートアップなどの慣行を変えることは間違いありません。

SPD 分類は、姓などの公に入手可能な情報や、政治的/宗教的情報を明らかにする情報を日常的に使用する場合にも、非現実的な影響を与える可能性があります。 たとえば、企業は SPD を処理するためにユーザーの明示的な同意を必要とします。つまり、通常の通知と同意の要件に加えて、データ処理の結果をユーザーに通知する必要があります。

あなたにおすすめ:

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか
資力

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: CitiusTech CEO
ニュース

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...

メタバースがインドの自動車産業をどのように変革するか
資力

メタバースがインドの自動車産業をどのように変革するか

反営利条項はインドのスタートアップ企業にとって何を意味するのか?
資力

反営利条項はインドのスタートアップ企業にとって何を意味するのか?

Edtech の新興企業がどのようにスキルアップを支援し、従業員を将来に備えさせるか
資力

Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...

ニュース

今週の新時代のテック株:Zomatoのトラブルは続き、EaseMyTripはスト...

そのため、インドのような国では、カースト/宗教を明らかにする個人の名前を収集する企業は、法案に基づくすべての SPD 要件を順守することを余儀なくされます。 一方、EU の GDPR に沿って SPD のリストを短縮したり、処理の「目的」によってもたらされる特定のリスクに基づいて SPD を分類したりすることで、これらの懸念が軽減される可能性があります。

規制の不確実性により、コンプライアンスが困難になる可能性があります

PDP 法案は、CPD を定義しておらず、この分類の根拠も提供していません。 また、中央政府が SPD の新しいカテゴリを通知する権限を与えます。 これらの条項は両方とも、規制の不確実性を生み出し、コンプライアンスを困難にしています。 明確な基準がないことは、この不確実性を悪化させるだけです。特に、法律で定義さえされていないタイプのデータを収集することを心配しているが、より高いコンプライアンスが付随している中小企業にとってはなおさらです。

中央政府が特定のガイダンスなしに CPD を指定することを許可することは、実行に必要な専門知識を持っていない可能性があるという過度の権限を中央政府に与えることになります。 最も懸念されるのは、分類プロセスにおいてデータ保護機関 (DPA) や業界に相談する必要がなくなるため、ビジネスの予測可能性が大幅に妨げられ、悪用に関する懸念が生じることです。

ただし、CPD (および SPD の新しいカテゴリ) を通知する前に、透明な DPA および業界協議を実施するよう中央政府に義務付けることで、これらの懸念に対処できます。 私の同僚が以前に書いたように、法律制定の透明性が高まると、企業は計画を立て、将来に備えることができますが、不透明な法律制定プロセスは市場参入の障壁として機能し、費用のかかる訴訟につながる傾向があります.

国境を越えた送金の制限

SPD の広範な定義により、事実上、ほぼすべての種類のデータをインドに保存する必要があります。 さらに、ほとんどのデータは、PD と SPD の両方で構成される混合データセットとして収集および保存されるため、そのようなデータセットから SPD または PD を分離することは実際的ではありません。 これらの制限は、海外の事業体とデータを共有する必要があるスタートアップや、グローバル展開を計画しているスタートアップの運営を妨げ、利益率を低下させ、生産性を低下させ、競争力を損なう可能性があります。

ただし、SPD の転送は既に規制されているため、ローカル ストレージの制限は緩和される可能性があります。 また、PDP 法案が「許可された」国へのデータ転送を許可していることを考えると、二国間および多国間のデータ転送フレームワークが奨励されるべきです。

結論として、SPD と CPD の定義のあいまいさと、これらの定義に基づく制限は、事業運営とコンプライアンス対策を計画している企業に深刻な制約を与え、ユーザーのプライバシーを弱体化させます。 代わりに、既存の分類の自由な性質を緩和するために、法案は、強力な業界協議に基づいた分類のための明確な基準の開発を可能にする必要があります。

さらに、SPD と CPD の追加のカテゴリは、利害関係者の意見を取り入れた後にのみ通知する必要があります。 協議的なアプローチは、業界の信頼と賛同を高め、十分な情報に基づいた規制当局を設立し、全体的な説明責任を高める可能性があります。