インドの新しいデータプライバシー規則がプライバシーコンプライアンスをエンジニアリングの課題に変える

インドはデジタル個人データ保護（DPDP）規則2025を公布し、厳格な同意およびデータ保持要件を導入しました。これにより、大規模なデジタルプラットフォームや企業のITチームは、個人データの収集、保存、消去方法を抜本的に見直す必要があります。

この規則は、ユーザーへの項目別通知、検証可能な親の同意、そしてeコマース、ゲーム、ソーシャルメディアなどの分野における固定された削除期限を義務付けています。

また、この規則は「重要データ受託者」という新たな義務も導入しています。これは規模やデータの機微性に基づいて指定される大規模プラットフォームです。これらの企業は、毎年データ保護影響評価と監査を実施し、個人データを処理するアルゴリズムシステムに追加のチェックを実装しなければなりません。

企業はまた、子どものデータを処理する前に、政府発行の証明書やバーチャルトークンを用いて親の本人確認を行う必要があります。規則は段階的なコンプライアンス期限を定めており、ほとんどの運用要件は公布から12〜18か月後に発効するため、企業にはデータガバナンスシステムを再設計するための時間が限られています。

また、規則は「同意管理者」という新たなカテゴリを正式に定義しています。これはインド法人で、監査済みかつ相互運用可能なプラットフォームを持ち、ユーザーが複数サービスにわたって同意の付与・確認・撤回を行えるようにしなければなりません。企業は苦情対応期限を公表し、消去前のすべての処理活動のログを1年間保持し、ユーザーからの問い合わせ対応担当者を任命する必要があります。同時に、特定の医療および関連サービスは、厳格に定義された条件下で子どものデータ処理に関する免除を受けます。

企業ITチームへの課題

企業ITチームにとって、新しい規則は同意取得から保持の強制まで、コアとなるデータ処理システムの再構築を意味します。

「この規則により、自動化された同意検証、リアルタイムの違反報告、データマッピングツールを既存システムに統合し、追跡性のない従来の手法を段階的に廃止する必要が出てきます」と、ForresterのプリンシパルアナリストBiswajeet Mahapatra氏は述べています。「このシフトにより、コンプライアンスはチェックリスト方式から継続的なガバナンスへと移行し、データ量の多い企業にとって運用の複雑さとコストが増大します。」

他の専門家は、ユーザーがかつてない量の個人情報をオンラインで生成・共有する中で、データコンプライアンスとガバナンスの確保がますます困難になっていると指摘しています。

「ほとんどのプラットフォームが無料であるため、ユーザーとそのデータが実質的な商品となっています」と、Counterpoint ResearchのリサーチVPNeil Shah氏は述べています。「規制上の課題は、この情報が匿名化されていてもどのように利用できるか、その線引きが常に曖昧であることです。この不明確さは、AI時代の到来によってさらに緊急性を増しています。強力なモデルが明示的な同意やコンプライアンスなしにコンテンツを生成できるため、悪用、誤用、風評被害のリスクが高まります。」

Grover氏によれば、要件を満たすためには、組織は動的なデータインベントリ、自動化された同意撤回ワークフロー、コンプライアンス、DevOps、セキュリティチーム間のより密接な連携が必要です。

求められるアーキテクチャの変更

アナリストは、消去期限や目的に基づく保存制限を守るには、より深いアーキテクチャ上の変更が必要だと指摘しています。

「アーキテクチャの変更には、安全な保存のための暗号化、マスキング、トークナイゼーションの導入、同意管理者の実装、IT資産の消去標準としてNIST 800-88やIEEE 2883の統合が含まれます」とMahapatra氏は述べています。「きめ細かなデータ分類と保持ポリシーを持つクラウドネイティブアーキテクチャが不可欠となり、リアルタイムの監視やバックアップ削除プロトコルも分散環境全体でのコンプライアンス確保に必要です。」