2026年8月11日、インドはデジタル個人データ保護法(DPDPA)を公布し、デジタルプライバシーへのアプローチにおける転機となりました。それから1年も経たない2026年1月、Cleary Gottlieb法律事務所は、この新法と欧州GDPR、米国法(カリフォルニア州CCPAを含む)との詳細な比較分析を発表しました。現在、2026年5月、これら3つの制度は共存し、国際的に事業を展開する企業のコンプライアンス戦略に影響を与えています。しかし、実際にどのように比較されるのでしょうか?そして何より、デジタル専門家が避けるべき落とし穴は何でしょうか?
1. 適用範囲:誰が対象となるのか?
GDPRは、所在地に関係なく、欧州居住者のデータを処理するすべての事業体に適用されます。CCPAは、一定の売上高を達成するか、カリフォルニア住民のデータを大量に処理する企業を対象としています。DPDPAは、インド国内でのデジタル個人データの処理に適用され、データがインド居住者に関するものであれば、外国事業体による処理も対象となります。
Cleary Cyberwatch(2026年1月)の分析によると、DPDPAはオフラインで収集された後にデジタル化されたデータもカバーしており、CCPAよりも範囲が広くなっています。一方、GDPRと同様に、個人または家庭内での処理は除外されています。
2. 同意と目的:顕著な相違点
GDPRは、明示的、自由、具体的、かつ撤回可能な同意を要求します。CCPAは、データ販売に対する拒否権(オプトアウト)に重点を置いていますが、DPDPAは、限られた例外を除き、すべての処理に事前の同意を義務付けています。
2026年にIGI Globalに掲載された記事は、DPDPAがGDPRと同様に「自由、具体的、情報に基づき、明白な」同意を要求する一方で、同意は「明確な積極的行為」によって与えられなければならないという追加概念を導入していると指摘しています。しかし、著者らは、GDPRで中心的なポイントである同意撤回のメカニズムに関する詳細が欠如していることを批判しています。
3. 個人の権利:最も保護するのはどれか?
GDPRは、アクセス、訂正、消去、制限、データポータビリティ、異議申し立てなど、広範な権利カタログを提供しています。CCPAは、アクセス、削除、販売拒否の権利に焦点を当てています。Nyustaが2026年10月に発表した比較によると、DPDPAはGDPRの権利のほとんどを採用していますが、データポータビリティや自動プロファイリングなどの一部を削除しています。IEEEの2026年の研究で指摘された顕著な欠陥は、AI時代に極めて重要な自動意思決定とプロファイリングに関する明確な規定がないことです。
4. 制裁と執行:不遵守の代償
GDPRは、世界年間売上高の最大4%、または2000万ユーロ(いずれか高い方)の罰金を科すことができます。CCPAは、非意図的な違反に対して1件あたり2500ドル、意図的な違反に対して7500ドルの民事制裁を規定しています。DPDPAは、違反1件あたり最大250クローレINR(約3000万ユーロ)の罰金を設定しています。Global Privacy Blog(2026年12月)によると、この金額はGDPRの上限に匹敵しますが、DPDPAは売上高のパーセンテージを規定していないため、中小企業にとってはより厳しい罰則となる可能性があります。
5. 専門家が避けるべき落とし穴
誤り1:CCPAとGDPRは互換性があると考えること。 CCPAは、GDPRとは異なり、収集に事前の同意を要求しません。GDPR手順を機械的にカリフォルニアに適用すると、異なる義務に直面するリスクがあります。
誤り2:DPDPAの親の同意に関する特殊性を無視すること。 DPDPAは、子供(18歳未満)のデータ処理について、親または保護者の検証可能な同意を要求します。他の制度ではこれほど高い基準は課されていません。
誤り3:違反通知義務を軽視すること。 GDPRは72時間以内、CCPAは30日以内、DPDPAも72時間以内の通知を義務付けています。しかし、通知基準は異なります。DPDPAは、損害を引き起こす可能性のあるすべての違反の通知を要求しており、GDPRよりも広範囲です。
6. 注意すべき警告サイン
- 単一連絡窓口の欠如:GDPRの主たる監督当局とは異なり、DPDPAにはワンストップメカニズムがありません。複数のインドの州で事業を展開する企業は、各地域の当局に準拠する必要があります。
- コンプライアンス期限:DPDPAは2026年に発効しましたが、施行規則はまだ策定中です。DLA Piper(2026年)によると、インドはまだデータ保護当局を指定しておらず、法的な不確実性が生じています。
- 政府の免除:DPDPAは、国家安全保障上の理由から政府が特定の処理を免除することを認めており、この規定はGDPRやCCPAにはありません。これにより、市民の保護が弱まる可能性があります。
7. 収束に向けて?
違いはあるものの、これら3つの法律は、透明性、目的の制限、データ最小化といった共通の原則を共有しています。USC Gould School of Lawの記事(日付なし)は、GDPRがDPDPAのモデルとなったが、DPDPAはデータ主権などインドの状況に合わせて特定の規定を適応させたと指摘しています。
実際には、多国籍企業は、データフローをマッピングし、該当する制度を特定し、モジュール式のポリシーを実装するという、きめ細かなアプローチを採用する必要があります。Varonisは、コンプライアンスは一度限りの作業ではなく、継続的なプロセスであると述べています。
詳細情報
- Globalprivacyblog - DPDPA vs GDPRの比較
- Clearycyberwatch - 3つの制度の比較分析
- Gould Usc Edu - デジタル時代のプライバシーに関する記事
- Dlapiperdataprotection - 世界各国のデータ保護法の概要
- Igi-global - DPDPA下の同意に関する批判的研究
- Varonis - 米国プライバシー法の完全ガイド
- Nyusta - DPDPA、GDPR、CCPAの比較分析
- Ieeexplore Ieee - DPDPAと他法の比較研究