DPDP法 - 概要：

DPDP法は、その中核であるため、企業や政府が個人データを収集、保存、使用、共有する方法を支配するインド初の包括的な法的枠組みです。

India's new data protection law, the Digital Personal Data Protection Act (DPDP Act), marks a turning point in the digital age. At its core, the DPDP Act is India's first comprehensive legal framework that governs how companies and governments can collect, store, use, and share personal data.

インドの新しいデータ保護法であるデジタルパーソナルデータ保護法（DPDP法）は、デジタル時代の転換点を示しています。 DPDP法は、その中核であるため、企業や政府が個人データを収集、保存、使用、共有する方法を支配するインド初の包括的な法的枠組みです。

In today's hyper-connected digital world — one that grows more complex with each passing day — this regulation was celebrated as a long-awaited milestone in safeguarding individual privacy. For individuals, it marks a significant shift, empowering them with greater control over their digital footprint. But for organisations that collect or process personal data, it introduces a new era of accountability.

今日のハイパー接続されたデジタルの世界では、1日ごとにより複雑になります。この規制は、個々のプライバシーを保護するための待望のマイルストーンとして祝われました。個人にとって、それは大きな変化を示し、デジタルフットプリントをより強く制御することで彼らに力を与えます。しかし、個人データを収集または処理する組織の場合、説明責任の新しい時代を紹介します。

The law, which received presidential assent in August 2023, is set to come into force in October 2024, unless the government notifies otherwise. Any entity that collects or processes personal data in digital form would need to comply with the provisions of the DPDP Act. This includes companies of all sizes, government agencies, and non-profit organizations. There are no sector-specific exemptions. If you're handling personal data digitally—you're a Data Fiduciary, and this law applies.

2023年8月に大統領同意を受け取った法律は、政府が別段の通知をしない限り、2024年10月に施行される予定です。個人データをデジタル形式で収集または処理するエンティティは、DPDP法の規定に準拠する必要があります。これには、あらゆる規模、政府機関、非営利組織の企業が含まれます。セクター固有の免除はありません。個人データをデジタルで処理している場合 - あなたはデータの受託者であり、この法律が適用されます。

The DPDP Act is a process shift. Privacy must become part of company culture, product design, and stakeholder trust.

DPDP法はプロセスシフトです。プライバシーは、企業文化、製品設計、利害関係者の信頼の一部にならなければなりません。

The implications of non-compliance are severe, with penalties extending up to ₹250 crores!

コンプライアンス違反の意味は深刻であり、ペナルティは最大250クロールに延びています！

To help organizations navigate this critical stage, we've assembled a guide focusing on five immediate tasks data fiduciaries can begin working on.

組織がこの重要な段階をナビゲートできるように、5つの即時タスクデータに焦点を当てたガイドを組み立てて、受託者は作業を開始できます。

1. Appoint a Data Protection Officer and Build Internal Teams

1.データ保護担当者を任命し、内部チームを構築する

While appointing a full-time Data Protection Officer may not be immediately necessary, it is critical to assign clear responsibility for privacy compliance within your organisation. This individual should be accountable for:

フルタイムのデータ保護担当者を任命することはすぐに必要ではないかもしれませんが、組織内のプライバシーコンプライアンスに対する明確な責任を割り当てることが重要です。この個人は、次のように説明責任を負う必要があります。

• Monitoring legal updates and best practices in data protection

•データ保護における法的更新とベストプラクティスの監視

• Guiding the organization in implementing and maintaining compliant data handling procedures

•準拠したデータ処理手順の実装と維持に組織を導く

• Modifying the enterprise's data protection policies

•企業のデータ保護ポリシーの変更

• Interacting with the Adjudicating Officer for any breaches or disputes

•違反または紛争について裁定担当官と対話する

Ideally, the assigned role should report directly to the top management, highlighting the high priority placed on data protection.

理想的には、割り当てられた役割は、データ保護に課せられた高い優先度を強調して、トップマネジメントに直接報告する必要があります。

2. Create a Data Inventory and Map Data Flows

2。データインベントリを作成し、データフローをマップします

Effective data protection begins with understanding what personal data is being collected and processed. Simply put, you can't protect what you don't know. This is why, as a first step, it is strongly suggested to undertake a structured data inventory and mapping exercise to identify:

効果的なデータ保護は、個人データが収集および処理されているものを理解することから始まります。簡単に言えば、あなたはあなたが知らないことを保護することはできません。これが、最初のステップとして、構造化されたデータインベントリとマッピングエクササイズを実施して特定することが強く提案されている理由です。

• The types of personal data being collected (e.g., names, email addresses, location data, biometric data)

•収集される個人データの種類（例、名前、電子メールアドレス、位置データ、生体認証データ）

• The sources of personal data collection (e.g., website forms, mobile apps, third-party integrations)

•個人データ収集のソース（たとえば、ウェブサイトフォーム、モバイルアプリ、サードパーティの統合）

This process, commonly referred to as Data Flow Mapping, forms the backbone of any privacy compliance framework. It enables the implementation of appropriate consent mechanisms, ensures data minimisation, assesses risks, and responds effectively to data principal rights under the DPDPA.

一般にデータフローマッピングと呼ばれるこのプロセスは、プライバシーコンプライアンスフレームワークのバックボーンを形成します。適切な同意メカニズムの実装を可能にし、データの最小化を保証し、リスクを評価し、DPDPAに基づくデータ主要な権利に効果的に対応します。

3. Update Consent Practices and Modalities

3。同意慣行とモダリティを更新します

Under the DPDPA, consent must be

DPDPAの下では、同意が必要です

• free,

• 無料、

• specific,

• 特定の、

•;informed,

•;通知、

• unconditional, and

•無条件、および

• revocable.

•取り消し可能。

This significantly raises the bar for how user consent is sought, recorded, and managed. Key requirements include:

これにより、ユーザーの同意がどのように求められ、記録され、管理されているかについては、大幅に上昇します。主な要件は次のとおりです。

• Obtaining separate consent for different purposes: E.g., separate consent for marketing emails and processing contact details

•さまざまな目的で個別の同意を得る：たとえば、メールのマーケティングと連絡先の詳細の処理のための個別の同意

• Detecting and preventing consent fatigue: E.g., providing a 'manage preferences' section in user accounts for modifying consent settings

•同意の疲労の検出と防止：たとえば、同意設定を変更するためにユーザーアカウントで「設定の管理」セクションを提供する

• Ensuring the refusal of consent does not affect user experience: E.g., allowing access to website content even if consent for targeted advertising is refused

•同意の拒否を確保しても、ユーザーエクスペリエンスに影響を与えません。

Modernising your consent framework also builds user trust and transparency, in addition to being just a compliance requirement.

同意フレームワークの近代化は、単なるコンプライアンス要件であることに加えて、ユーザーの信頼と透明性も構築します。

4. Familiarize Yourself With Data Subject Rights

4.データ主題の権利に精通してください

Under the DPDP Act, Data Principals are granted a set of enforceable rights, including the ability to:

DPDP法に基づき、データプリンシパルには、次の能力を含む強制力のある権利のセットが付与されます。

• Access their personal data

•個人データにアクセスします

• Request rectification of inaccurate data

•不正確なデータの修正を要求します

• Request erasure of their personal data in specific cases

•特定の場合に個人データの消去を要求する

• Object to the processing of their personal data

•個人データの処理に反対します

These rights are fundamental to ensuring an individual's control over their digital footprint. Data fiduciaries need to integrate procedures and processes for handling such requests efficiently and effectively.

これらの権利は、デジタルフットプリントに対する個人の制御を確保するための基本です。データ受託者は、そのような要求を効率的かつ効果的に処理するための手順とプロセスを統合する必要があります。

5. Inform and Engage External Partners

5.外部パートナーに情報を提供し、関与します

Many organisations rely on external partners for technology, analytics, cloud storage, customer support, and more. If any personal data is being shared or processed by these partners, the law holds your organisation responsible for ensuring that data remains protected. Key contractual safeguards could include:

多くの組織は、テクノロジー、分析、クラウドストレージ、カスタマーサポートなど、外部パートナーに依存しています。これらのパートナーによって個人データが共有または処理されている場合、法律は、データが保護されたままであることを保証するために組織を担当しています。主要な契約上のセーフガードには、以下を含めることができます。

• Express obligations on the partner to comply with the DPDP Act

•パートナーにDPDP法を遵守する義務を表明する

• Granting your organization the right to audit the partner's privacy practices

•組織にパートナーのプライバシー慣行を監査する権利を付与する

• Requiring the partner to notify you immediately of any data breaches or changes in the partnership that may affect personal data protection

•個人データ保護に影響を与える可能性のあるパートナーシップのデータ侵害または変更をパートナーにすぐに通知するよう要求する

The DPDP Act is a new chapter in the digital age

DPDP法は、デジタル時代の新しい章です