コンプライアンス2026年5月8日 | FlexyConsent

2026年のインドDPDP法:同意マネージャー、国境を越えたデータ移転、データ保護委員会に関するパブリッシャーと広告主向けガイド

インドのデジタル個人データ保護法(DPDPA、2023年)は2023年8月に制定され、その後2024年と2025年の大半を緩やかな段階的展開に費やし、多くの海外パブリッシャーを待機状態に置きました。その期間は終わりました。DPDPルールは2025年中に完全に通知され、インドデータ保護委員会(DPBI)は現在稼働して苦情を受け付けており、同意マネージャーの枠組み(グローバルプライバシー法に対するインド独自の建築的貢献)は本番環境で稼働しています。2026年にインドのユーザーの個人データを処理するすべてのパブリッシャー、広告主、またはプラットフォームにとって、DPDPAはもはや将来の懸念事項ではありません。これが現在のコンプライアンスの基準線であり、CMP、国境を越えたデータフロー、データ主体の権利がどのように設計されるかという点でGDPRとは異なります。このガイドでは、展開された形でのDPDPA、インドの同意が実際に何を必要とするか、同意マネージャーのエコシステムがCMPの景観をどのように変えるか、そして2026年におけるDPBIの執行姿勢が実際にどのように見えるかを説明します。

2026年におけるDPDPAの構造

DPDPAは独立したデータ保護法であり、銀行、通信、医療に関するインドの分野固有の法律とは異なります。その展開は意図的に段階的に行われ、同意マネージャーのエコシステム、DPBI、国境を越えた移転の体制がそれぞれ順番にオンラインになるようにされました。

2023年の成立と2024〜2025年の展開

DPDPAは2023年8月に議会を通過し、まもなく大統領の承認を受けました。電子情報技術省(MeitY)は2024年に実施ルールについて協議し、最終的なルールは2025年に複数の段階で通知されました:最初に同意マネージャー登録の枠組み、次にデータ主体の権利手続き、次に国境を越えた移転の通知、最後に重要なデータ受託者の閾値。2026年初頭には完全な枠組みが発効しました。

誰が規制されるか

DPDPAはインド国内の個人のデジタル個人データの処理に適用されます。また、インドのデータ主体に商品やサービスを提供することに関連して処理が行われる場合には、域外適用されます。ローカライズされたサイト、インド語版、またはインドのIPアドレスを対象に購入したプログラマティック在庫を通じてインドのユーザーにサービスを提供する米国拠点のパブリッシャーは適用範囲に含まれます。この域外適用は法律において明確であり、DPBIの初期ガイダンスでも強調されています。

用語のギャップ

DPDPAは独自の語彙を使用しており、GDPRや最新のアジアの枠組みの多くと異なります。データ受託者(data fiduciary)はGDPRが管理者と呼ぶものです。データ処理者(data processor)はGDPRの処理者に明確に対応します。データ主体(data principal)は情報主体です。重要なデータ受託者(significant data fiduciary)は中央政府が通知した規模または感度の閾値を超えた管理者です。DPDPAに初めて接する海外パブリッシャーはこれらの用語を誤って対応付けることが多く、早期に正しい対応付けを行うことで後の混乱を防ぐことができます。

何が個人データとみなされるか

DPDPAの個人データの定義は広範であり、国際的な実務に密接に沿っています。個人データとは、そのデータによって識別可能な個人に関するデータです。DPBIは初期ガイダンスを通じて、オンライン識別子(クッキー、広告ID、IPアドレス、デバイスのフィンガープリント、行動プロファイル)は、直接またはreasonable手段を通じて識別可能な個人に結び付けることができる場合に個人データであることを示しています。

センシティブカテゴリはないが、重要なデータ受託者ルールがある

GDPR、LGPD、PIPAとは異なり、DPDPAはセンシティブな個人データのカテゴリを正式に定義していません。代わりに、法律は重要なデータ受託者の指定に依拠しており、大規模なデータを処理する管理者、子供のデータを処理する管理者、選挙の公正性に影響を与える可能性のあるデータを処理する管理者、または国家安全保障に影響を与える可能性のあるデータを処理する管理者に追加の義務を課します。最大かつ最もセンシティブな処理者に対してはGDPRのセンシティブカテゴリのルールと同様の結果をもたらしますが、アーキテクチャは異なります。

これがクッキーにとって重要な理由

通常の広告識別子を収集するクッキーは個人データですが、センシティブに見えるオーディエンスセグメントに情報を提供するだけでは、追加の義務は課されません。しかし、重要なデータ受託者の閾値に達するパブリッシャー(例えば、数千万のインドユーザーを持つ大型プラットフォーム)は、必須のデータ保護責任者、定期的な監査、データ保護影響評価を含む追加の義務を負います。規模の閾値は2025年に通知され、ほとんどのグローバルプラットフォームが現在適用範囲内にあります。

DPDPAの下での同意

DPDPAは同意をその枠組みの中心に置いていますが、GDPRの同意とは一対一で対応しない独自の要件セットで定義しています。

有効な同意の基準

DPDPAの下での同意は次のものでなければなりません:

詳細な通知要件

DPDPAは、処理される個人データ、処理の目的、データ主体が権利を行使できる方法、およびデータ主体が委員会に苦情を申し立てられる方法を説明する、同意の時点またはそれ以前の通知を要求します。通知は英語と、データ主体が求めるインドの22の指定言語のいずれかで利用可能でなければなりません。

同意マネージャーのアーキテクチャ

これがDPDPAが他の枠組みと最も鋭く異なる点です。法律は同意マネージャーと呼ばれるライセンス付き役割を設立します。DPBIに登録されたサードパーティのエンティティで、データ主体が単一のインターフェイスから複数のデータ受託者にわたって同意を付与、確認、管理、撤回できる相互運用可能な同意ダッシュボードを提供します。同意マネージャーは委員会に登録され、技術的な相互運用仕様を満たす必要があります。実際には、データ受託者は自身のCMPを通じて直接、または登録された同意マネージャーを通じて同意を取得することができ、多くの場合、データ主体は各サイトのバナーを個別に管理するのではなく、同意マネージャーを通じて同意を集約することを選択しています。

準拠したCMPの外観

2026年にインドのトラフィック向けに設定されたCMPは以下を提示する必要があります:

同意記録

データ受託者は、誰が同意したか、いつ、どのインターフェイスを通じて、どの目的に対して、およびその後の変更を含む同意の記録を維持しなければなりません。DPBIはいくつかの初期手続きで不適切な同意ログを引用しており、エクスポート可能でタイムスタンプ付きの同意記録が基本的な期待値です。

国境を越えたデータ移転

DPDPAの国境を越えた移転の枠組みはインドの体制の最も独特な要素の一つであり、GDPR、PIPA、改正されたKVKKが使用する十分性プラス保護措置のパターンとは意味深く異なります。

通知の枠組み

DPDPAはネガティブリストアプローチで運用されます:中央政府が通知した制限された管轄のリストに宛先国が掲載されていない限り、国境を越えた移転は一般的に許可されます。これはGDPRの十分性モデルの逆であり、GDPRは肯定的な十分性決定または保護措置がない場合には移転を禁止として扱います。DPDPAのアプローチは表面上より許容的ですが、ネガティブリストは政府の裁量で拡大でき、2025年中に特定のデータカテゴリについて複数の管轄がリストに追加されました。

運用上の意味

2026年のほとんどのプログラマティック広告フローについては、宛先国が制限リストにない限り、主要なアドテク宛先への国境を越えた移転は許可されているというのが答えです。パブリッシャーは現在の通知リストを確認し、移転とその目的の文書を保持し、宛先が追加された場合にフローを再ルーティングまたは停止する準備をする必要があります。これはほとんどのフローにとってGDPRの移転の仕組みよりも意味深く単純ですが、注意深さの要件は本物です。

セクター固有のローカライゼーション

DPDPAとは別に、複数のインドの分野規制機関(財務データについてはインド準備銀行、医療データについては保健省を含む)は、DPDPAの上にある独自のローカライゼーション要件を持っています。これらの規制されたセクターの一つでインドのユーザーにサービスを提供するパブリッシャーは、DPDPAと適用可能なセクター規則の両方に準拠する必要があります。

データ主体の権利

DPDPAはGDPRよりも馴染み深いがわずかに狭い権利のクラスターをデータ主体に付与します:

権利リストにないもの

注目すべきことに、DPDPAは独立したポータビリティの権利、処理への一般的な異議申し立ての権利、または自動化された意思決定に対する明示的な権利を含んでいません。ただし、重要なデータ受託者の体制と同意撤回のメカニズムが間接的に同じ基盤の多くをカバーしています。

応答タイムライン

データ受託者は、通知されたルールで指定されたタイムライン内にデータ主体の要求に応答しなければなりません。ほとんどの場合、指定されたウィンドウを超えない合理的な期間内に応答する必要があり、DPBIは意味深な遅延をコンプライアンス上の失敗として扱います。苦情救済システムが最初のステップであり、未解決の苦情のみが委員会に escalate されます。

重要なデータ受託者

重要なデータ受託者(SDF)の指定は、DPDPAの基本要件を超えた追加の義務を引き起こします。

追加義務

誰が該当するか

規模、処理される個人データの量、データの感度、データ主体へのリスク、選挙民主主義、安全保障、主権への潜在的な影響、公序への潜在的な影響がすべて要因です。中央政府は個別にまたはクラスでSDFを通知します。インドにサービスを提供するほとんどの大型グローバルプラットフォームは2026年に通知されたクラス内に含まれます。

子供のデータ

DPDPAは子供を18歳未満の個人として定義しており、GDPRのデフォルトの16歳や様々な低い国家閾値よりも高い閾値です。子供の個人データの処理は検証可能な親の同意を必要とし、子供の追跡、ターゲット広告、行動監視は同意状況に関係なく制限されています。オーディエンスに18歳未満のトラフィックが大幅に含まれるパブリッシャーは、年齢確認、親の同意フロー、未成年者セグメントの制限された処理を必要とします。これらはすべて、デフォルトでは少数の海外パブリッシャーしか完了していない実際のエンジニアリング作業を必要とします。

罰則と執行

DPDPAは、過去のインドの行政罰金よりも高く、違反の重大性に意味深く合わせた罰則制度を導入しました。

行政罰則

DPDPAは最も深刻な違反に対して、1件あたり最大2億5000万INRの罰金(約3000万USD)を許可しています。同意、通知、セキュリティ、違反通知、苦情救済に関する失敗には低いレベルの罰則が適用されます。DPBIは2025年と2026年初頭に範囲の中間を何度か使用しており、罰則構造は組織的な失敗とともにエスカレートするよう設計されています。

DPBIの執行テーマ

初期のDPBIの決定は、少数の繰り返し問題を中心にまとまっています:本当の拒否オプションのない同意バナー、DPBIの苦情チャネルを説明しない通知、制限リストの宛先への国境を越えたフロー、実際に応答しない苦情救済システム、および同意マネージャーの相互運用性の失敗。海外パブリッシャーはほぼすべてのこれらのカテゴリで引用されています。

評判の側面

DPBIはその決定を公開し、受託者の名前と失敗の概要を含めます。規制上の摩擦がメディア報道と政治的注目に迅速に変わるインド市場において、公開されたDPBIの決定の評判コストは財務罰則に加えて重要です。

2026年のインドトラフィックの監査チェックリスト

2026年の見通し

インドのプライバシー体制は、わずか2年余りで立法上の抽象から運用上の現実へと移行しました。DPDPAのアーキテクチャは独特であり、同意マネージャーのエコシステムはポータブルで相互運用可能な同意における最も可視的なグローバル実験であり、ネガティブリストの移転アプローチは他の枠組みを支配する十分性プラス保護措置のパターンとは意味深く異なります。すでにGDPRグレードの同意スタックを運用しているパブリッシャーにとって、DPDPAコンプライアンスへのギャップはアーキテクチャ的というよりも運用的なものです:同意マネージャーの相互運用性、指定言語通知、DPBIの苦情開示、18歳未満の閾値、ネガティブリストの移転確認。優先順位をつければ、ギャップは数週間で埋めることができます。DPBIが玄関先に来る前にギャップを埋めるパブリッシャーは移行に気付かないでしょう。待つ者は2026年と2027年が以前の年よりも意味深く高コストであることに気付くでしょう。

← ブログ すべて読む →