インドで個人データの国内保存が義務へ　データローカライゼーションの波

個人データの国内保存義務を課す新法

　インドではスマートフォンの普及などを受け、2010年ごろからECが急拡大している。Morgan Stanley Researchの調査では、2013年から2015年の3年間の同市場の成長率は68％に達した。中国（23％）の3倍、世界平均（16％）の4倍超というスピードだ。EC市場はModi政権の「CASHLESS INDIA」政策などでさらに加速している。

　最近のPwC Indiaのレポートでは、EC市場規模は2017年の360億ドルから5年間、年平均年率33％で拡大し、2022年には1500億ドル規模になるという。ちなみにこの間、インターネットユーザー数は4億5000万人から8億5000万人に倍増すると予想されている。

　RBIの通達は、こうした中で監視・監督権を確保しようとするものだが、同時に、政府が導入を進めている「個人データ保護法」と連携している。この法律はデータ保護の包括的なフレームワークを定めるもので、専門委員会が1年をかけてまとめ、今年7月に法案として発表したところだ。

　個人データ保護法は、個人データに関する本人の権利を明確にする一方、事業者には、データ管理や使用目的の制限などを規定している。欧州で既に発効したGDPR（一般データ保護規則）などと同種の法律だが、「個人データの少なくとも一つのコピーをインド国内に保存しなければならない」など、データの保管場所に厳しい。さらに重要な個人データについては、国内のみに保存にするよう勧告できるという。

　RBIの通達とともに「データローカライゼーション」と呼ばれる「データの越境流通の規制」政策だが、国外にデータセンターを持つ事業者には深刻な問題だ。国内保存規定は、ECのみならず、Webを経由する全てのITサービス、さらに現地従業員の給与管理をしているメーカーなどにも影響を与える。

　また法案では、違反事業者には、最大でグローバル売上高の4％の反則金や、場合によっては刑事罰を科すことも盛り込まれている。海外勢には非常に厳しい条件だ。