インドDPDPA 2023:グローバルチームのための技術的コンプライアンス
インドのデジタル個人データ保護法(DPDPA)は14億人を対象としています。人口規模では世界最大のプライバシー法です。データ保護委員会は2025年に活動を開始しました。施行が始まっています。インドのユーザーへのサービス提供、インドの従業員ファイルの管理、またはインドのITベンダーとの取引がある場合、この法律は現在進行中の義務です。
DPDPAの適用範囲
領域的適用範囲: 法律はインド国内での処理に適用されます。インドのユーザーへの商品やサービスの提供を目的とする国外での処理にも適用されます。GDPRと同様に、サーバーではなく人を追跡します。
最大罰金: 違反ごとに最大₹250クロール。現在の為替レートで約€2,700万に相当します。罰金は違反の深刻さと期間によって異なります。
法的根拠: 同意は自由、情報に基づき、明確でなければなりません。他の有効な根拠には、雇用、法的義務、重大な利益、公共の利益、研究が含まれます。
個人の権利: 人々はデータの使用方法を質問できます。訂正または削除を要求できます。苦情を申し立てられます。能力を失った場合には代理人を指定できます。
データ受託者(Data Fiduciaries): これはコントローラーのDPDPA用語です。個人データを保護しなければなりません。違反を72時間以内に委員会に報告しなければなりません。重要データ受託者(Significant Data Fiduciary)の場合はデータ保護オフィサーを任命しなければなりません。
アドハール:独自の検出問題
アドハール(Aadhaar)はインドの国家生体認証IDシステムです。各保有者は指紋と虹彩スキャンに連携した12桁の番号を受け取ります。約13億6,000万人の居住者が保有しています。銀行、政府機関、携帯電話事業者、病院すべてが利用しています。
アドハール番号は金融、医療、行政ファイルに登場します。2016年のアドハール法はその使用を制限しています。民間サービスは義務的なIDとして要求できません。保存は特定の認可されたケースに限定されています。
検出が難しい理由: アドハールはチェックデジットにVerhoff(バーホフ)方式を使用します。12桁の文字列のみを検索するツールはどの12桁の数字もフラグします。これは誤検知を生み出します。正確な検出にはVerhoeffのチェックロジックが必要です。単純なパターンマッチングでは不十分です。
その他のインドのPII形式
PAN(恒久口座番号): 10文字の税務ID。形式:5文字、4桁、1文字。4番目の文字は納税者タイプを示します。5番目は納税者の名前の最初の文字です。PANは₹50,000を超える取引に必要です。インドの金融ファイルに広く使用されています。
インドのパスポート: 文字Xに続く7桁。この形式はインド独自です。
運転免許証: 各州に独自の形式があります。デリーの免許証はDL-0420110149646のような見た目の場合があります。
銀行口座: 国家標準は存在しません。口座番号は銀行によって9〜18桁の範囲です。IFSCコード(11文字の銀行支店コード)は支払いファイルの口座番号の横に表示されます。
携帯電話番号: 国番号+91を持つ10桁。インドには12億人の携帯電話加入者がいます。電話番号はビジネス文書によく登場します。
anonym.legalがすべてのインドのPII形式を処理する方法はこちら:/blog/apac-pii-detection-thai-indonesian-vietnamese-2025
DPDPAの技術要件
セキュリティ対策: DPDPAはリスクに応じた「合理的なセキュリティ対策」を求めます。法律はこれを結果によって定義します。固定された手順のリストは提供しません。最低技術基準はDPDPA規則で定められます。これらは2025年以降に期待されています。
違反通知: 個人データの違反を72時間以内に委員会に報告してください。GDPRでは、その期間は規制機関のみを対象とします。DPDPAでは、主要な違反には委員会への通知と影響を受けた人々への通知が必要です。両方とも72時間以内に行わなければなりません。
ローカライゼーション: 政府は企業を重要データ受託者として指定できます。それらの企業はインド国内にデータのコピーを保存する必要がある場合があります。最終規則はまだ定まっていません。
国境を越えたデータ転送: 法律は承認リストにない国への転送をブロックします。そのリストは2025年時点で確定していませんでした。EU-インドの十分性決定は存在しません。EU-インドのデータフローがある企業は今すぐ契約を整備すべきです。
異なる法律間での国境を越えたルールの適用方法については:/blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn
基本技術チェックリスト
インドの個人データを扱う場合は、ここから始めてください:
- VerhoeffチェックデジットロジックによるAadhaar検出。
- 納税者タイプ文字チェックによるPAN検出。
- インドのパスポートと州別運転免許証のサポート。
- IFSCコードを使った9〜18桁の銀行口座検出。
- DPDPAの法的根拠に合致した処理目的の記録。
- 72時間の期間要件を満たす違反対応計画。
すべてのインドのPIIタイプをカバーする単一プリセットについて:/blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025