PDP 法案が成立した後、TRAI 勧告と RBI サーキュラーの運命はどうなるのでしょうか?

公開: 2018-08-08

TRAI はデータをユーザーの所有物として扱いますが、個人データ保護法案の草案ではユーザーに所有権を認めていません。

PDP 法案は、データ受託者とユーザーとの間に信頼関係を築き、前者が後者の最善の利益のために行動することを要求する

RBI の通達は、PDP 法案とほぼ一致しているようです。 ただし、何が重要な個人データを構成するのかが明確でないことが問題です

約 10 日前、昨年電子情報技術省 (MeitY) によって任命されたスリクリシュナ判事が議長を務める専門家委員会 (スリクリシュナ委員会) は、インドのデータ保護の枠組みがどのようなものであるべきかについての最終勧告を発表しました。 また、2018 年個人データ保護法案 (PDP 法案) の草案も発表しました。

この記事では、PDP 法案を、プライバシーとデータの所有権に関するインドの電気通信規制庁 (TRAI) の推奨事項と、支払いシステム データのローカライズに関するインド準備銀行 (RBI) の命令と並べて示します。 (PDP 法案の他の側面に関する記事の一覧については、こことここを参照してください)。

では、 PDP 法案が制定された場合、RBI の通達と TRAI の勧告はどうなると思いますか? いくつかの最近の歴史から始めましょう。

2017 年 7 月、インド政府は Srikrishna 委員会に、インド向けの包括的なデータ保護法を策定するよう命じました。 その後、委員会はパブリック コメント用の白書を発表し、その後2018 年 1 月に、デリー、バンガロール、ハイデラバード、ムンバイで 1 つずつ、計 4 回のパブリック コンサルテーションを実施しました。 6 か月後、リリースのタイミングに関するすべての憶測を終わらせ、委員会は最終的な勧告と PDP 法案を発表しました。 一方、2017 年 8 月、TRAI は、通信セクターにおけるプライバシー、データ セキュリティ、およびデータ所有権に関する独自の協議を開始しました。 TRAI の審議は、スリクリシュナ委員会自身の演習と並行して行われ、電気通信規制当局が 2018 年 7 月 16 日にプライバシー勧告を発表したことで最高潮に達しました。これは、スリクリシュナ委員会が独自の勧告を発表する 2 週間も前のことです。

スリクリシュナ委員会の最終勧告が発表されるまでの間、データ保護の時流に乗った規制当局は TRAI だけではありませんでした。 今年の 4 月、同国の金融規制当局である RBI は、決済システムのデータをローカライズすることを義務付けました。これは、データをインドにのみ保存する必要があることを意味します。 TRAI の勧告は単なる勧告にすぎませんが、RBI の任務はすぐに発効しました。 決済システム プロバイダーは、2018 年 10 月 15 日までに基準を遵守し、RBI にその遵守状況を通知する必要があります。

TRAI と RBI の行動は、シュリクリシュナ委員会の評判を落としました。 TRAI が勧告を発表した直後に、委員会は通信規制当局の動きのタイミングに腹を立てていると報告されました。 RBI の動きに関しては、委員会の最終勧告を発表する記者会見で、スリクリシュナ判事は、金融規制当局が通達で銃を飛ばしたと意見を述べました。 TRAI と RBI に対する委員会の不満はさておき、セクター別の規制当局は、インドのデータ保護の枠組みを推進する上で重要な役割を果たします。 スリクリシュナ判事は以前からこのことを認めていました。

あなたにおすすめ:

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: CitiusTech CEO
ニュース

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...

メタバースがインドの自動車産業をどのように変革するか
資力

メタバースがインドの自動車産業をどのように変革するか

反営利条項はインドのスタートアップ企業にとって何を意味するのか?
資力

反営利条項はインドのスタートアップ企業にとって何を意味するのか?

Edtech の新興企業がどのようにスキルアップを支援し、従業員を将来に備えさせるか
資力

Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...

ニュース

今週の新時代のテック株:Zomatoのトラブルは続き、EaseMyTripはスト...

インドの新興企業は資金調達を求めて近道をする
特徴

インドの新興企業は資金調達を求めて近道をする

PDP 法案は、インド向けの包括的なデータ保護フレームワークの開発に向けた最初のステップにすぎません。 TRAI と RBI を含む分野別の規制当局は、PDP 法案の運用を開始し、それぞれの分野のプライバシー原則と規範を策定する上で重要な役割を果たすことは間違いありません。 PDP 法案は、法律の実施を監督するための新しい機関 (データ保護機関) の創設を想定していますが、この機関は他の部門の規制当局と協議し、協力する必要もあります。

PDP 法案が親法となることを考えると、TRAI、RBI、またはその他の規制当局がデータ保護に関して講じる措置は、その規定に沿ったものでなければなりません。 親法が施行された時点でそれと矛盾する規制当局の行動は、再検討する必要があります。 このことを念頭に置くと、TRAI の広範なプライバシーに関する勧告は、その管轄権を電気通信をはるかに超えて拡大し、現在の形で具体的な規制につながる可能性は低いです。 通信規制当局が規制について話している「デジタル エコシステム」は、いずれにせよ、国のデータ保護法の対象となります。

TRAIはその管轄を拡大していますか?

管轄権を拡大しようとする TRAI の試みは新しいものではなく、少なくとも「付加価値サービス」を規制しようとした 2008 年までさかのぼることができます。 過去 10 年間、用語が変更されたにもかかわらず、電気通信以外のものを規制するこれらの取り組みは継続されました。「付加価値サービス」は「アプリケーション サービス」、「オーバー ザ トップ サービス」になり、現在は「デジタル生態系」。

TRAI のプライバシーに関する推奨事項 (過剰に規制しようとする最新の試み) は、特定の重要な分野で PDP 法案とは異なります。

TRAI の見解では、ユーザーは自分の個人情報を所有しており、データ管理者 (PDP 法案ではデータ受託者と呼ばれます) はこのデータの「単なる管理者」です。 PDP 法案は、ユーザーに所有権を付与しませんが、データ受託者とユーザーの間に信頼関係を作成します。これにより、前者は後者の最善の利益のために行動する必要があります。

さらに、PDP 法案では、法律の下でデータ受託者のみが責任を負い、データ処理者は特定の条件下でのみ責任を負っていますが、TRAI は管理者と処理者の両方が責任を負うべきであると考えています。 TRAI の勧告と PDP 法案は、データのローカリゼーションでも異なります。 電気通信規制当局は、この問題について具体的な勧告を行っておらず、Srikrishna 委員会に委ねています。

一方、PDP 法案は、さまざまなカテゴリのデータに対してさまざまな程度のデータ ローカリゼーションを指定し、重要な個人データはインドでのみ保存および処理することを義務付けています。 興味深いことに、法案は重要な個人データとは何かを特定しておらず、中央政府に定義を委ねています。 政府は、通信データを重要な個人データとして指定する可能性があります。

TRAI の勧告とは異なり、RBI の通達は PDP 法案に概ね沿っているようです。 しかし、何が重要な個人データを構成するのかが明確でないことは、財務情報の問題でもあります。 通信データと同様に、政府が金融データを重要な個人データに指定する可能性は十分にあります。 その場合、支払いシステムのデータだけでなく、すべての財務データをローカルに保存し、インドでのみ処理する必要があります。

PDP 法案は、法制化される前に修正される可能性があります。 しかし、法律の最終的な形がどうであれ、インドのデータ保護法を形成する上で部門別の規制当局が重要な役割を果たしているという事実は変わりません。