インドIT  データ保護法

2003年から2005年にかけて、これらの見出しがインドの新聞紙面を飾ることが多くなっていた。BPO(ビジネス・プロセス・アウトソーシング)と呼ばれる企業では社員による相次ぐデータ窃盗や不正流用が発覚した。企業や社員個人のデータ保護に対する重要性の認識欠如を多くのマスコミがニュースとして取り上げた。今日のインドにおけるデータ保護に対する厳しい姿勢は、「情報」や「データ」は貴重な資産や財産であるという共通認識から生まれたものである。そして、多くの企業はデータの隔離やあらゆる媒体を使ったデータ漏洩、流出を防ぐために、今までの運用方針や手順の再点検、再検討、整備を行った。この様な厳しい対策の実施とデータに対する重要性の共通認識の高まりにより、インドでは、データの窃盗、情報漏洩、不正流用などに関する事件が大幅に減った。しかし、ソフトウェア企業やBPO企業では、これらの事件発覚によりマスコミ等でニュースとなりビジネス基盤に悪影響がでることを恐れ、これらの事実を認識、確認したとしても公表せず社内で隠蔽している可能性等があるため、おおやけに公表される統計資料等は事実の実態を正確に伝えていない場合があるとの意見もある。

次に、「データ保護に対する支援」「違反行為に対する十分な抑止効果の発揮」「違反者に対する罰則の強化」がインドの法律によってどれほど保護されているかである。

インドの憲法は世界で最も条項の多い憲法である。その中の憲法第21条にある基本的人権は生存権と個人の自由を定めるものである。この条項では個人の自由については定めているものの、明確にプライバシーの保護には触れられておらず、インドの最高裁判所の過去の判例においては個人の自由にはプライバシーの保護が含まれるという解釈がなされたが、ここでのプライバシーの保護とは政府の行動に対してのみ適用された。

データの定義についてインドは、2000年に制定された情報技術法(IT法)中で、データとは形式化された情報、知識、事実、概念または指示や命令を表すものであり、コンピュータ上のシステムやネットワークで処理されるものである。また処理済みであることが想定され、あらゆる形式(印刷物・磁気・光記録媒体・パンチカード・パンチテープ・コンピュータメモリ)で存在するものである。と定義された。情報技術法(IT法)では、データ保護に対しては細かな定義を定めていない。しかし、データの窃盗、流出を防ぎ、そのような行為を犯した違反者に対する罰則はいくつか用意された。

情報技術法(IT法)では、違反者に対する罰則は大きく分けて以下の２つに分類される。

1. 民事罰…情報技術法(IT法)内での特殊権限である審理判決。
2. 刑事罰…インド刑事裁判第一審による判決。

このように、情報技術法(IT法)では刑事裁判に該当する規定、罰則が明確に定められておらず、データ保護とプライバシーに関する唯一の規定である第72条においても、当局関係者に対する機密情報漏洩の違法性を述べたものであり、民間機関に対してや、契約条項に関してのものではない。

情報技術法(IT法)第43条では、特殊権限である審理判決によって賠償金の請求が認められる。データを保管するコンピュータ及びシステム、ネットワーク、または取り外し可能な記録媒体であるフロッピーディスク、CD等からの違法なデータのダウンロード、コピーに対しては最大で1,000万ルピー(約2,600万円)である。

情報技術法(IT法)以外にも、インドには古くからの一般的な刑事法であるインド刑法(IPC)が存在する。

インド刑法(IPC)第378条によると「窃盗」とは、「所有者が所有する動産を、所有者に無断で、所有者のもとから持ち去ること」と定義されている。つまりインド刑法(IPC)における「窃盗」とは所有権という権利よりも所持している行為または持ち去る行為という実態行為に重きを置いているのである。

また、インド刑法(IPC)第22条によると「動産」とは「土地、または土地に付随するもの、または土地に付随するものに固定されて取り外すことができないものを除く全ての有形財産。」と定義されている。従って、情報やデータ等の無形財産は、インド刑法(IPC)内の「窃盗」の定義には含まれないのである。

過去においても、インド最高裁判所におけるMaharashtra州とVishwanath州との裁判の判決において、インド刑法(IPC)第29条A項で定める「電子記録」の定義を、情報、記録または電子的に送受信される画像、音声、マイクロフィルム、コンピュータが生成したマイクロフィッシュとし、これらの「電子記録」が持ち去られたり盗まれたりしてもインド刑法(IPC)第378条の「窃盗」の条件とする「所有者のもとから持ち去ること」という実態行為に当てはまらないため「窃盗」と見なされなかった。しかし短期間でも物理的な剥奪が証明されれば、インド最高裁判所においては「窃盗」の実証に重要な要素であるとしている。

これらのインドの法規制は、データ保護の観点から見れば複雑で難解であり、それゆえにインドではデータ保護に関する法律が厳しい他の国々に比べデータの窃盗、流出、漏洩が発生する確率が高いのであろうかと思われるかもしれないがそれは間違いである。インド国内の企業、特にアウトソーシング分野における多くの企業は、既存のデータ保護法を補う目的で、厳しい契約条項を取り入れた。契約条項は、インドのアウトソーシング事業が順守すべきデータ保護の条件を定めている。これらの条件は、締約国と常に同水準であり、時には締約国が定める保護法に準拠する。例としては、2002年にアメリカで施工されたSOX法や1999年施工のグラム・リーチ・ブライリー法があげられる。

2006年になると、インド情報技術省はIT改正法案を議会に提出した。

現在は法令上の手続きによる承認待ちの状態が続くが、議会はデータ保護に関する法律を新たに立案するにではなく、今回のIT改正法案にデータ保護の規定を盛り込む方針である。IT改正法案第43条A項では、「機密性の高い個人データや情報」に対する怠慢な取扱いにより、不正な損失や利益をもたらした者に対して、5,000万ルピー(約1憶3,000万円)の罰金を科す。また、同法第66条では同法第43条の違反者に対し、2年以下の懲役を科するとしている。そして、同法第66条A項では、個人のプライバシー保護に関し、より広範囲の規定が設けられている。

では、現在はどのような状況であるかと言うと、懲罰を伴う民事損害賠償等の法律や懲役を科する刑罰の制定は、高い教養を持つ犯罪者によるデータの窃盗、漏洩、悪用等に対して強い抑止力となっている。また、広範囲な法規制が整備されていないなかで、厳しいと言われる契約条項の取り入れだけでどれほど効果があるか注意して観察する必要がある。

IT都市としての評判を既に得ているインド。今後、技術開発分野(ソフトウェア・ハードウェア・製薬等)におけるアウトソーシング事業が活発化するのに合わせ法律も更に変化しなければならない。

IT法案は、データ保護分野における自然発生的なニーズというよりも、マーケットの力に押されてできた、中途半端な法案に見受けられます。今までに挙げた条項は、幅広い解釈により法律に柔軟性を持たせる反面、その執行には混乱を引き起こす恐れがあります。この問題を受け、紛争解決方法論とその効力の研究が現在進められていて、別の条項として制定されようとしている。