インドの個人データ保護法案とモノのインターネット: 今後の課題

公開: 2018-09-04

コレクションの各インスタンスで同意を得るために何度も長い通知をユーザーに殺到させると、同意疲労につながる可能性があります。

インタラクティブなユーザー インターフェイスや表示画面を持たないデバイスに通知を提供することは困難です。

インドの IoT 開発者は、これらの問題を回避するための実用的なガイドラインを作成するために、データ保護機関と調整する必要があります。

2018 年の個人データ保護法案 (PDP 法案) の草案は、私たちの個人データの収集と使用が日常生活のいたるところで見られるようになったときに、好機を迎えました。

法案がすべての個人データの処理についてインフォームド ユーザーの同意を確保することに重点を置いていることは、2011 年の情報技術 (合理的なセキュリティ慣行と手順、および機密性の高い個人データまたは情報) 規則 (IT 規則) に基づくフレームワークから一歩前進したことを示しています。 IT 規則の下では、新しい法案とは異なり、機密性の高い個人データの収集、使用、または開示に対してのみユーザーの同意が必要でした。

市民は、知らないうちにデータを取得できないことを知って安心できます。 しかし、同意に関する法案の厳格な基準には裏返しがあります。

法案の下でユーザーの同意が有効であるためには、同意が自由に与えられ、具体的で、明確で、撤回可能である必要があり、おそらく最も重要なこととして、収集時に提供される明確で詳細な通知を通じて通知される必要があります。 すべての段階でデータの使用に対する同意を確保するための包括的な通知を提供することは、優れた指針となりますが、理論的には、実際に強制するのは難しい場合があります。

これは、高度に相互接続された環境で動作するモノのインターネット (IoT) デバイスに依存しているユーザーに特に当てはまります。 通知が意味のあるものと見なされるためには、IoT デバイスのユーザーは、自分の個人データが使用される方法と理由、および機密性の高い個人データの場合は、そのデータの使用の結果を理解できる必要があります。

コレクションの各インスタンスで同意を得るために何度も長い通知をユーザーに殺到させると、同意疲労につながる可能性があり、意味のある同意を確保するための最良の方法ではない可能性があります。

さらに、インタラクティブなユーザー インターフェイスや表示画面を持たないデバイスに通知を提供することも課題です。 インドの IoT 開発者は、データ保護機関と協力して、これらの問題を回避するための実用的なガイドラインを作成する必要があります。

コレクションの同意は、定義されているほど簡単ではありません

目的と収集の制限に関する法案の規定は、いくつかの運用上の課題も引き起こす可能性があります。 法案に基づくデータ受託者は、明確、具体的、合法的で、事前に通知された目的でのみ個人データを収集できます。

この制限は、個人のプライバシーを保護し、データの悪用を防ぐために必要ですが、相互接続されたデータセットに基づいて構築されたスマート ホーム、スマート カー、スマート シティなどの IoT 対応環境では、結論に達するために実際には強制できない場合があります

たとえば、同じデータセットの用途が絶えず進化している環境では、データ収集の正確な目的を事前に判断するのが難しい場合があります。

あなたにおすすめ:

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: CitiusTech CEO
ニュース

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...

メタバースがインドの自動車産業をどのように変革するか
資力

メタバースがインドの自動車産業をどのように変革するか

反営利条項はインドのスタートアップ企業にとって何を意味するのか?
資力

反営利条項はインドのスタートアップ企業にとって何を意味するのか?

Edtech の新興企業がどのようにスキルアップを支援し、従業員を将来に備えさせるか
資力

Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...

ニュース

今週の新時代のテック株:Zomatoのトラブルは続き、EaseMyTripはスト...

インドの新興企業は資金調達を求めて近道をする
特徴

インドの新興企業は資金調達を求めて近道をする

実際、目的と収集の厳格な制限は、ホーム セキュリティ システムの場合のように、特定のデバイスやアプリケーションの機能に反することさえあります。 たとえば、ドアベルを鳴らしている訪問者の顔画像をキャプチャするビデオ対応のスマート ドアベルは、そもそもそのようなカメラを設置する目的を損なうことなく、その画像がキャプチャされたことをそのような訪問者にどのように通知するのでしょうか? この問題は、ユーザー インターフェイスなしで動作するセンサー ベースのデバイスの場合に複雑になります。

法案は、個人データの「合理的な」および付随的な使用に関するデータ収集の制限を緩和していますが、これらの場合の「合理性」を判断する基準は現時点では不明です。

この法案は、個人のプライバシーを保護するための高い基準の採用において、確かに進歩的です。 ただし、法案を遵守しようとする企業は、実際的なガイダンスがなければ、その厳格な要件を遵守するのは難しいと感じるでしょう。 法案に違反すると厳しい民事罰および刑事罰を受ける可能性があることを考えると、法案のすべての側面を明確にすることは、データを多用するビジネスにとって不可欠です。

目的と収集の制限とは?

2018 年の個人データ保護法案 (「法案」)の第 5 条では、データは明確、具体的かつ合法的な目的でのみ処理されることが提案されています。 ただし、この法案は、個人データが収集された状況とコンテキストに応じて、データ主体が個人データの使用を合理的に期待するその他の偶発的な目的のためにデータを処理することを許可しています。

法案のセクション 6 では、データの収集が処理目的で必要な場合にのみ、データを収集することが規定されています。

目的とコレクションの制限の背後にある目的は何ですか?

データ受託者 (データを収集および処理するエンティティ) とデータ プリンシパル (データが収集および処理される個人) の間には信頼関係があるため、目的の制限の目的は、収集されるデータが確実に使用されるようにすることです。収集された目的のためにのみ使用され、収集時にデータ主体に開示されていない他の目的には使用されません。 コレクションの制限の目的は、データを最小限に抑えることです。

目的とコレクションの制限の問題は何ですか?

目的と収集の制限は、同意が有効であるためには、収集の目的を漠然と言及するだけでは不十分であり、目的が具体的である必要があるという前提に基づいています。 ただし、この仮定の問題は、個人データが将来使用される可能性のあるそれぞれの目的が、収集時に決定される可能性があることです。

ただし、収集時には予測できなかった特定の目的のためにデータを使用する必要がある場合があるため、これは当てはまりません。 したがって、「ユーザー エクスペリエンスの向上」という形式のあいまいな目的の指定は、個人データを処理するための有効かつ合法的な根拠であるため、十分なはずです。

データは、予測分析と高度なデータ サイエンスの力のおかげで、将来の戦略と即時の変化を実現するものです。 データを正しく活用することで、事実に基づいたより良い意思決定を実現し、全体的なカスタマー エクスペリエンスを向上させることができます。

新しいビッグ データ テクノロジを使用することで、組織は質問に数日ではなく数秒、数か月ではなく数日で答えることができます。 この加速により、企業は重要なビジネスの質問や課題に迅速に対応できるようになり、競争上の優位性を構築してパフォーマンスを向上させ、複雑な問題や分析に抵抗した質問に対する答えを提供できます。

著者について

この記事は、新技術に焦点を当てた受賞歴のある政策および法律事務所である Ikigai Law (以前の TRA Law) のアソシエイトである Tuhina Joshi と Ila Tyagi の共著です。