articleニュース
インド DPDP 規則 2025 が発効――AI を活用する企業に同意取得・データ最小化・監査の新義務
インドのデジタル個人データ保護法(DPDP)に基づく実施規則「DPDP Rules 2025」が 2026 年 6 月より施行に向けた移行期間に入った。AI を使って個人データを処理する企業は同意管理・データ最小化・定期監査の新義務に対応が求められる。インドに進出する日本企業にも影響が及ぶ。
概要
※本記事は公開情報をもとに編集部が再構成したサマリです。一次情報は出典欄をご参照ください。
インドのデジタル個人データ保護法(DPDP Act 2023)の実施規則「DPDP Rules 2025」が 2026 年初頭に官報告示され、2026 年 6 月以降に順次施行される。AI システムを用いて個人データを処理する企業にとって特に重要な変更点として、①明示的同意の管理仕組み整備、②特定の目的以外へのデータ利用禁止(データ最小化)、③重大データ受託者(Significant Data Fiduciary)の定期監査義務、④18 歳未満の子どもデータへの強化された保護規定が挙げられる。インドに拠点を置く企業や、インド人ユーザーのデータを扱うグローバル企業が対象になる。
事実のポイント
- 法律名: Digital Personal Data Protection Act 2023(DPDP 法)+ DPDP Rules 2025
- 施行: 2026 年 6 月以降段階的(猶予期間は義務の種類により異なる)
- 主要義務(AI 関連):
- 同意管理プラットフォームの整備(処理目的の明確な同意取得)
- データ最小化(AI 学習・推論に必要最低限のデータのみ利用)
- 定期的なデータ保護監査(重大データ受託者に該当する場合)
- 18 歳未満のデータ処理制限(保護者同意必須)
- 違反時の罰則: 最大 250 億ルピー(約 350 億円)
- インドの月間アクティブ AI ユーザー数は 2026 年時点で 1 億人超
用語・背景の補足
DPDP 法(Digital Personal Data Protection Act): 2023 年に成立したインドの包括的個人データ保護法。EU GDPR の概念を踏まえつつ、インド固有の規制体系を設けた。
重大データ受託者(Significant Data Fiduciary): 政府が指定する大量の個人データを処理する企業・組織。追加義務(監査・データ保護担当役員の設置等)が課される。
注意点
- DPDP Rules の最終テキストと具体的な施行日程は MeitY(情報通信省)の告示を確認する必要がある
- 日本からインド向けにサービス提供する場合も域外適用の対象になりうる
- GDPR との比較では同意の撤回手続きや越境移転ルールに相違がある
編集部見解
(追記予定)
info 公開情報をもとに編集部が再構成したサマリです。一次情報・追加情報は出典欄をご参照ください。
