オピニオン インド・ASEANビジネスガイド
新興国へのグローバル・ルールの適用とその現実 第1回(インド:オープンな個人情報)
2012年11月12日 橋爪麻紀子
現在、日本総研がビジネスを拡大しつつあるアジアの新興国諸国では、政府によって先進国と類似の法令・規則が整備・導入されつつある。そうした新しいルールが、当該諸国でいかに機能しているのか、していないのか、していないのならばそれはなぜか、現場の情報をふまえながら、そこから得られるビジネス上のヒントを考察したい。
インド滞在中、ホテルの部屋に毎朝届けられる現地新聞には、不動産、映画、宝石とさまざまな広告面がある。中でも目を引くのは日曜版の結婚情報である。5~6ページにわたり、限られた枠・文字数で男女の紹介文が並ぶ。男性の例を挙げると、“長身高学歴の美人募集。(本人の)ファーストネーム、年齢、身長、体重、年収、連絡先(電話番号、メールアドレス)。”といった具合。各紹介文が、カースト、職業、宗教別に掲載されているのはさすがインド。このように個人情報がオープンにやり取りされているインドで、個人情報の取り扱いに関する法整備が進められていることから、今回は個人情報保護に関する話題について取り上げたい。
2012年9月、インドのソフトウエアサービス協会は、同国のビッグデータの活用マーケットが2012年の200万米ドル から2015年には10億米ドルに達するという発表をした(※1)。そうしたビジネスには必ず個人情報保護の検討が必要となり、同国では2011年4月に個人情報に関する情報技術の規則(※2)が制定され、それまでの情報技術法(※3)において未定義だった「センシティブな個人情報」が次のとおり定義された。
(i) パスワード
(ii) 財政面の情報(銀行口座やカード情報)
(iii) 身体的・精神的な健康状態
(iv) 性的指向
(v) 病歴
(vi) 生体情報
(vii) 上述の項目に関連するもので、(事業者の)サービス提供に関連して(情報提供者が)提供した情報
(viii) 上述の項目に関連するもので(事業者が)適切な契約に基づき保管・利用するために(情報提供者から)取得した情報
規則の主な内容は、事業者に対する「センシティブな個人情報」の取り扱い方針の設定・公開の義務付けや第三者への情報開示の禁止など、日本や欧米各国における個人情報保護に関する法令と同様である。しかし、この規則に定められた「情報提供者からの書面による事前同意取り付け」という点が落とし穴となった。例えば、「センシティブな個人情報」を取り扱う米国の保険・金融会社がインドの会社へコールセンター業務をアウトソーシングした場合、契約前の問い合わせや申し込みの電話にてインドの会社へ個人情報が提供されるため、米国の保険・金融会社は、問い合わせ客から事前に同意の書面を取り付けることが必要になってしまう。もともと、今回の規則の制定は、海外のアウトソーサーから個人情報の取り扱いを適切に行うよう、インド政府へ打診があったという背景がある。しかし、規則の内容は円滑なオペレーションを阻害する内容であり、インドのアウトソーシングビジネスを揺るがしかねないという声も多く聞かれた。慌てた政府は4カ月後の2011年8月に当該規則の適用対象からアウトソーシング事業者を外すことができる補足発表(※4)をするに至ったのである。
新聞広告一面の結婚広告や政府機関の職員の個人情報がウェブで公開されるインドにおいて、個人情報の取り扱い、保護の考え方は、欧米のそれらとは100%一致したものではないはずだ。身近なところでは、筆者がホテルにチェックインした際に(以前同系列のホテルに宿泊したことがあった)、筆者の前職の社名、電話番号、メールアドレス、パスポート番号が記載された予約確認書を渡されて驚いたこともある。
個人情報保護という非常にわかりやすい例に限らず、多くの点について、インドのような新興国においては必ずしも先進国と同じルールや仕組みを導入すれば機能するものではない。当該国における商習慣や文化に合わせてルールや仕組みを調整することが求められるのである。同様な観点で、ビジネスにおいても、日本にとって当たり前のやり方やルールであっても、その国にあった形を考えることが最も必要だ。
以 上
※1 http://economictimes.indiatimes.com/topic/Indian-Big-Data-industry(2012年10月1日時点)
※2 正式名称は、Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 である。通称で”Privacy Rules” とも呼ばれる。
参照:http://deity.gov.in/sites/upload_files/dit/files/RNUS_CyberLaw_15411.pdf(2012年10月1日時点)
※3 The Information Technology Act, 2000
※4 http://pib.nic.in/newsite/erelease.aspx?relid=74990(2012年10月1日時点)
※執筆者の個人的見解であり、日本総研の公式見解を示すものではありません。