The Dialogue — 個人データ保護法案に向けたインドのスタートアップの準備
公開: 2018-09-28生きがい法、Inc42主催「ザ・ダイアローグ」
これは、個人データ保護法案の影響に関する円卓会議でした
議論は、法案の下での重要な問題、すなわち新しい通知と同意の要件に焦点を当てました。 機密性の高い個人データの取り扱い; もっと
今年の 4 月初め、インド準備銀行 (RBI) は、国内のすべての決済システム オペレーターに対して、データをインドだけに保存するように指示する通達をリリースしました。 10 月 15日の RBI 指令の遵守期限が近づくにつれ、インドの企業がデータの収集と処理の慣行をすぐに刷新しなければならないことは明らかです。 8 月に 2018 年個人データ保護法案 (法案) が発表されたことで、利害関係者は、実施しなければならない変更を十分前もって予測することが重要になりました。 特に新興企業は、これらの変更によって大きな影響を受けるでしょう。新しいプライバシー要件に準拠するには、かなりの時間とお金を投資する必要があるからです。
新しいプライバシー体制に向けてスタートアップを準備するために、Ikigai Law は、Inc42 と協力して、 The Dialogue を組織しました。これは、個人データ保護法案がスタートアップに与える影響について話し合うインタラクティブな円卓会議です。 議論は、Ikigai Law の創始者である Anirudh Rastogi が主導しました。 Nehaa Chaudhari 氏は Ikigai Law のポリシー リード、Vaibhav Agrawal 氏は Inc42 の創設者兼 CEO であり、新しい通知と同意要件を含む法案の下での重要な問題に焦点を当てました。 機密性の高い個人データの取り扱い; 目的と収集の制限; データのローカリゼーション。
通知と同意の要件: 注意事項
The Dialogue の中で、個人データ保護法案の下で必要とされる新しい通知と同意の慣行について議論した Anirudh 氏は、以前はプライバシー ポリシーがかなり軽視されていたことを強調しました。 ただし、個人データ保護法案に基づく新しい通知要件は非常に具体的です。 現地語の場合でも、情報はシンプルかつ包括的な方法でユーザーに提供する必要があります。 モノのインターネット (「IoT」) に関与するスタートアップの場合、デバイスには通知を提供する画面が必要になるか、メールをリアルタイムで送信する必要があります。 これは、一部のデバイスのユーザー エクスペリエンスの妨げになる可能性があり、製品開発中に企業の法務チームと UX/UI チームの間でやり取りが発生する可能性があります。
ある参加者は、同意要件について懸念を表明し、顔認識がどのように課題を生み出すかを説明しました。 顔認識を使用してグループの管理と出席を追跡するテクノロジーの場合、同意のルールはあいまいです。 個別に同意を得るのは簡単ですが、群衆の中で何百もの顔をキャプチャすることは、まったく別の球技です。 これに対する同意を得るのは、現段階ではほぼ不可能に思えます。
Anirudh は、個人データ保護法案に基づく「合理的な目的」の根拠に頼ることができる可能性があるとの提案で応え、データ保護機関だけが重要なものをリストする権限を与えられているため、満たすのはかなり高い基準になると警告しました。合理的な目的として、企業は合理的な目的とは何かを自由に定義することはできません。 ある聴衆は、この意見に対して次のように答えました。 この法案の下での基準は大まかに定義されているのではないかと心配しています。 年間売上高が 100 万ドルの企業は、コンプライアンスのためにどのように資金を確保しているのでしょうか? このコストをビジネスにどのように反映させますか?」
機密性の高い個人データ: より高い基準を満たす
個人データ保護法案の下で「機密個人データ」(SPD) と見なされるデータの処理には、個人データよりも高い同意基準が適用されます。 すべてのパスワード、財務データ、健康データ、公式識別子、生体認証データ、遺伝子データ、宗教的または政治的信念、性的指向またはカースト/部族のステータスを示すデータは、個人データ保護法案の下で SPD と見なされます。
あなたにおすすめ:
起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...
メタバースがインドの自動車産業をどのように変革するか
反営利条項はインドのスタートアップ企業にとって何を意味するのか?
Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...
今週の新時代のテック株:Zomatoのトラブルは続き、EaseMyTripはスト...
インドの新興企業は資金調達を求めて近道をする
このデータを収集または使用する企業は、そのデータを処理するためにユーザーの明示的な同意を得る必要があります。つまり、通常の通知と同意の要件に加えて、データ処理の結果をユーザーに通知する必要があります。
Anirudh 氏は、これは非現実的な意味合いを持つ可能性があると説明しました。ソーシャル メディア プラットフォームのユーザーがセクシュアリティ、宗教的信念、または政治的信念を明らかにする情報を投稿した場合、それは SPD と見なされ、その情報の使用には明示的な同意を得る必要があります。 カーストを明らかにする姓のような自由に入手可能な情報でさえ、この法案の下で SPD とラベル付けされます。
目的と収集の制限: スタートアップがデータを収益化する方法の制限
個人データ保護法案が法律として施行されると、スタートアップ企業は、明確、具体的、合法的で、事前に通知された目的でのみ個人データを収集できるようになります。 処理に必要なデータのみを収集できます。 この要件の意味を説明して、Nehaa 氏は次のようにコメントしています。 その変更をユーザーに通知せずに、データを別の用途に転用することはできません。」 Anirudh 氏はこれに同意し、ある時点でそのデータを収益化することを期待して、明確な目的なしにデータを収集するパイロット プロジェクトに特に関連する可能性があることを指摘しました。
新しいプライバシー体制の下では、スタートアップは、データを処理する前に、データ収集のユースケースと目的を消費者に事前に予測して通知し、取得したユーザーの同意が有効であることを確認する必要があります。
データのローカリゼーション: 考えられる影響
クラウドにデータを保存している企業の数を尋ねたところ、出席者のほぼ全員が肯定的に答えました。 多くの参加者は、Google Cloud、Microsoft Azure、Amazon の AWS などのグローバル クラウド コンピューティング プラットフォームに依存していました。 彼らは、クラウド プラットフォームの選択は、サービスの応答性、クラウド サービスの遅延、災害復旧センターの可用性、および全体的な効率によって決定されたと説明しました。 これらのサービスにより、スタートアップはデータを保存するために大量のハードウェアに投資する必要がないため、コストを大幅に削減できます。
インドの新興企業が現在享受しているグローバル クラウド コンピューティング プラットフォームへの無料アクセスは、個人データ保護法案に基づくデータ ローカリゼーション要件の影響を受ける可能性があります。 Nehaa が説明したように、法案におけるローカリゼーションには 2 つの側面があります。 まず、すべての個人データのコピーを提供する少なくとも 1 つのサービスをインドに保存する必要があります。 これを運用するのは難しいかもしれません。 第二に、インドでのみ保存および処理できる「重要な個人データ」の除外があります。 重要な個人データは現在定義されていません。中央政府は、このカテゴリに分類されるデータの種類を通知する必要があります。 ある理論では、特定の種類の SPD が重要な個人データと見なされるというものですが、まだ不明です。
参加者の 1 人であるデータ分析会社に勤務するデータ サイエンティストは、厳格なデータ ストレージ要件は大企業にとっても多大なコストにつながるため、スタートアップはこの措置によって特に影響を受けるだろうと指摘しました。 1MG の Vikas Chauhan 氏は、法案の規定に違反した場合に課せられる厳しい罰則と刑事責任について、デジタル ヘルスの起業家が刑事訴追を恐れてデジタル ヘルス ビジネスを運営し、イノベーションを起こすことを恐れるシステムを持つことはできないと強調しました。 彼によると、罰則は金銭的なものであるべきであり、同じ条項に繰り返し違反する企業にはさまざまなレベルの責任があるべきです。 これにより、起業家は小さな違反で実存的な脅威に直面することがなくなります。
スタートアップは個人データ保護法案にどのように関与していますか?
新しいデータ保護制度が新興企業に重大な影響を与えることは明らかであり、企業は個人データ保護法案の形成に関与することで利益を得るでしょう。 幸いなことに、電子情報技術省 (MeitY) はコメントの公募を行っており、9 月 30 日の締め切りが迫っています。生態系は MeitY の前に正式に代表されます。