DPDP Actの適用対象

DPDP Actは、インド国内におけるデジタル個人データの処理に加え、インド国内の個人への商品やサービスの提供に関連してインド国外で行われる処理についても規律します。実務的には、ウェブサイトがインドのユーザーからアクセス可能で、クッキー、SDK、ピクセル、フィンガープリンティングなどを通じて個人データを収集している場合、本法はほぼ確実に適用されます。

本法は2つの重要な役割を用いています。GDPRの管理者（コントローラー）に相当するData Fiduciaryと、Data Processorです。特に大規模な一部の事業者はSignificant Data Fiduciaryに指定される場合があり、その場合はData Protection Impact Assessmentの実施や、インド国内に居住するData Protection Officerの選任といった追加の義務が発生します。

DPDP Actにおけるクッキーとトラッカーの扱い

ePrivacy指令とは異なり、DPDP Actはクッキーを独立したカテゴリとして切り出してはいません。その代わり、あらゆるデジタル個人データの処理を規制します。つまり、クッキー、端末識別子、IPアドレス、広告ID、ハッシュ化されたメールアドレスは、直接または間接に識別可能な個人に紐づく限り、いずれも本法の対象となります。

パブリッシャーにとっての帰結は明快です。サイト上のクッキーやタグが個人データの収集や共有を引き起こすのであれば、有効な法的根拠が必要になります。DPDP Actのもとでは、その根拠はほとんど常に同意であり、例外は本法が定める限定的な「正当な利用（legitimate uses）」に限られます。

有効な同意の要件

DPDP Actは同意に高い基準を求めています。同意は自由、特定的、情報に基づくもの、無条件かつ明瞭でなければならず、明確な積極的行為によって表示される必要があります。事前チェック済みのチェックボックス、閲覧継続による黙示の同意、アクセスを受諾と引き換え条件にする「クッキーウォール」型のデザインは、これらの要件と整合しません。

同意UXにおいて重要なDPDP固有のルールがさらに2つあります。

• 項目別通知：同意を取得する前または同意取得時に、収集するデータ、処理の目的、そして同意の撤回方法やData Protection Board of Indiaへの苦情申立て方法を特定した明確な通知をユーザーに提供しなければなりません。
• 平易な言語と多言語対応：通知は英語と、ユーザーが選択した22の指定言語（scheduled languages）のいずれかで提供される必要があります。ヒンディー語、タミル語、ベンガル語、マラーティー語などの主要言語で同意コンテンツを表示できないCMPでは、準拠することは困難です。

子どものデータと親の同意

DPDP Actは18歳未満を子どもと定義し、その個人データを処理する前に検証可能な親の同意を取得することを求めます。また、子どもを対象とした行動モニタリングおよびターゲティング広告を禁止しています。インドで未成年者からアクセス可能なサイト — 実務上ほぼすべてのサイトが該当します — は、年齢ゲーティングまたはリスクベースの戦略を備え、親の同意がない場合にはトラッキングスクリプトをブロックできる必要があります。

CMPが対応すべきユーザーの権利

インドのData Principal（ユーザー）は、同意および設定レイヤーを通じて行使可能でなければならない一連の権利を有しています。

• 処理されている自身の個人データの概要を確認するアクセス権。
• 自身のデータを訂正および消去する権利。
• 同意を付与したときと同じ容易さで、いつでも同意を撤回する権利。
• 死亡または判断能力の喪失の場合に、自身の権利を行使する他の個人を指名する権利。
• まずData Fiduciaryに、次にData Protection Board of Indiaに申し立てる苦情申立て権。

準拠したCMPは、常時表示される設定リンクを備え、ワンクリックでの同意撤回をサポートし、調査時に要請に応じて提出できる形で同意イベントを記録する必要があります。

国境を越えるデータ移転

DPDP Actは国際移転について「ネガティブリスト」方式を採用しています。すなわち、中央政府が特に制限を課していない限り、個人データをインド国外に移転することができます。これはGDPRの十分性認定制度よりも緩やかですが、それでもインドユーザーからのデータを受け取る第三国を文書化し、公表される制限リストを継続的に監視することが望まれます。

罰則と執行

DPDP Actの金銭的制裁は相当に重いものです。Data Protection Boardは、合理的なセキュリティ上の安全対策を講じなかった場合には最大で₹250 crore（約3,000万米ドル）、子どもに関する義務を履行しなかった場合には最大で₹200 croreの制裁金を科すことができます。同意に関する違反 — 準拠していないバナーでの同意取得を含みます — は、1件の違反につき最大₹50 croreの制裁金の対象となります。

CMPでDPDPに準拠した同意を実装する

1. インドのユーザーを地理的に検出し、GDPRバナーを使い回すのではなく、DPDP専用の同意テンプレートを適用します。必要な通知内容と言語オプションは異なります。
2. 複数のインドの言語で通知を表示します。最低でもヒンディー語と英語をサポートし、トラフィックの分布に応じて地域言語を追加します。
3. 非必須のトラッカーをデフォルトでブロックします。広告、アナリティクス、サードパーティSDKは、積極的な同意が得られてから初めて読み込みます。
4. 目的を明確に分離します。ユーザーが一部の目的には同意しつつ他には同意しないことを合理的に望み得る場合、広告、アナリティクス、パーソナライゼーションを単一の「同意する」アクションにまとめてはいけません。
5. 同意および撤回のイベントを記録します。タイムスタンプ、表示された通知の正確なバージョン、ユーザーの言語選択を併せて記録し、規制当局の調査時にコンプライアンスを立証できるようにします。
6. 目立つ設定リンクをすべてのページに提供し、ユーザーがいつでも同意を確認、更新、撤回できるようにします。

DPDP対GDPR：実務上の違い

• 「正当な利益」根拠がない。DPDP Actは、GDPRのように一般的な法的根拠としての正当な利益を認めていません。同意の重みが増すため、UX設計がより重要になります。
• 子どもに関する規制がより厳格。デジタル同意の年齢は13歳や16歳ではなく18歳であり、未成年者に対するターゲティング広告は明示的に禁止されています。
• 多言語通知の要件はDPDP Act固有のもので、英語のみのバナーでは満たすことができません。
• Significant Data Fiduciaryの義務は、高リスク事業者向けの第2段階のコンプライアンス層を生み出すもので、GDPRには直接の対応物がありません。

まとめ

DPDP Actは、独自の特色 — 同意を最優先し、設計段階から多言語対応で、未成年者を例外的に手厚く保護する — をもって、インドを現代のグローバルなデータ保護の枠組みに組み入れます。すでにGDPR水準のCMPを運用しているパブリッシャーやプラットフォームには有利なスタートがありますが、それでもDPDPの要件に合わせてバナーの内容、言語サポート、年齢対応、ログ記録を調整する必要があります。インドを「もう1つのGDPR法域」として扱うことは、Data Protection Boardの前に立たされる最短ルートです。