2025年11月14日、インド政府はデジタル個人情報保護規則(DPDP Rules 2025)を正式に施行しました。2023年に成立したインドデジタル個人情報保護法(DPDP法)の実施細則がついに確定し、インドのデータ保護体制は「絵に描いた餅」から「法的義務」へと変わりつつあります。
コーポレートサイトを運営しているだけ、代理店にSNS運用を委託しているだけでも、インドのユーザーデータを収集していれば対象になる可能性があります。
本記事では、完全施行(2027年5月)までの猶予期間内にデジタルマーケティング担当者が着手すべきポイントと本施策の背景にあるインド政府の意図を整理します。
DPDP法の施行ステータス
まず2026年3月30日時点の施行状況を整理します。
インドデジタル個人情報保護法施行タイムライン
完全施行後には、違反ペナルティは最大250クロール(約2,800万米ドル)。セキュリティ上の合理的な措置を怠った場合に上限額が科される可能性があります。
これはEUのGDPRと同じ域外適用の構造です。GDPRとは、2018年にEUが施行した個人データ保護法で、世界で最も厳しい水準のデジタル個人情報保護法のひとつです。
対象となる企業は
「B2Bだから」「コーポレートサイトだから」とは言い切れません。以下のいずれかに該当して
いれば、インドデジタル個人情報保護法(DPDP法)の対象です。
- ウェブサイト等のお問い合わせフォームを設置し、個人情報を収集している
- インド向けに代理店を使って広告配信をしている
- SNSを運用している広告配信やインフルエンサーマーケティングを実施している(代理店経由を含む)
- Googleの検索型広告を実施している(代理店経由含む)
- HubSpotなどのCRMと連携し、メールマガジンを配信している
気をつけたい「個人データ」の対象範囲
インドデジタル個人情報保護法(DPDP法)はGDPRと異なり、「個人データ」と「センシティブな個人データ」を区別しません。すべての個人データが同じ水準で保護対象です。1項目だけで個人を識別できればデータとして対象になります。
データの最小化原則:特定の目的に必要な最低限のデータのみを収集し、不要になったら削除する義務が定められています。
インド政府の意図|「正当な利益」という抜け道が塞がれたGDPRとの違い
これまでグローバルスタンダードであったEU発のGDPRですが、インドデジタル個人情報保護法は、これと何が異なるのでしょうか。
ブランドが個人データを使うとき、「なぜ使っていいのか」という法的根拠が必要です。GDPRではその根拠を6種類認めており、「同意」のほかに「正当な利益」も含まれます。これにより企業はマーケティング目的であっても「ビジネス上の必要性」を理由に同意なしでデータを使うことができました。
インドデジタル個人情報保護法(DPDP法)はこの抜け道を閉じます。原則として、ユーザーから「はい(同意します)」をもらわない限り、個人データは使用できません。
なぜインドは「正当な利益」を認めなかったのか
背景には3つの理由があります。
①GDPRの先例から学んだ
「正当な利益」はMeta・Googleといったメガプラットフォームに広く解釈され、事実上の抜け道として機能しました。
②デジタルリテラシーの格差
インドではパソコンの時代を飛ばしてスマートフォンからインターネットに入った人口が数億人います。PwC調査によれば、自分のデータがどう使われているか知らないユーザーが約70%以上に上ります。
③同意を「国家インフラ」として整備する長期計画
UPIでキャッシュレス化を一気に実現したように、同意の仕組みも国家インフラとして標準化しようとしています。あいまいな「正当な利益」はこの設計と相容れません。
なお「正当な利用」として認められる例外は存在しますが、GDPRのような開かれた概念ではなく、法律・緊急医療・雇用・国家安全保障など限定列挙された8つの状況のみです。マーケティング目的での活用はこの例外に含まれません。
ユーザーが知らぬうちにアクセスする第三者とその仕組み
現代のWebサイトは、広告配信・アクセス解析・チャットボット・フォント読み込みなど、さまざまな機能を「外部サービスのスクリプト(他者が作ったプログラムの断片)」を貼り付けることで実現しています。
ユーザーが example.com を開いた瞬間、ブラウザはそのページのHTMLを読み込み、書かれているすべてのスクリプトを自動的に実行します。Meta広告(Facebook運営会社) もGoogle広告も、サイト運営者がコードを一行貼るだけで起動し、ユーザーの画面から直接、MetaやGoogleのサーバーへ通信が走ります。ユーザーには何も表示されません。同意を求める画面も出ません。
これが「第三者(サードパーティ)」です。ユーザーはexample.comにアクセスしたつもりですが、同時にfacebook.comやdoubleclick.netにもアクセスしているのです。
クッキーの仕組みを図で説明します。クッキーの仕組みは2段階で理解すると掴みやすいです。まず「ファーストパーティクッキー」。ユーザーが訪れたサイト自身が発行する基本の仕組みから。
ファーストパーティクッキー(1st party cookie)は、ブラウザに小さなメモを残す仕組みです。ログイン状態やカートの中身を記憶するのがこれです。ユーザーとサイトの1対1の関係なので、インドデジタル個人情報保護法(DPDP法)でも比較的問題になりにくいです。
上記が基本の動き方です。サーバーがブラウザに「あなたはabc123番です」と番号札を渡し、次回からブラウザが自動でその番号を提示する。これだけなら1対1の関係で完結しています。
問題は「サードパーティクッキー」になったとき。ページの中にMetaやGoogle広告のスクリプトが埋め込まれていると、ユーザーが自社サイトにいながら、別ドメインのサーバーにも同時にクッキーを送ることになります。
これがインドデジタル個人情報保護法の文脈でのポイントです。
ユーザーは「example.comを見ている」つもりですが、ページに埋め込まれたMetaピクセルやGoogleタグが裏で動き、MetaやGoogleのサーバーにも同時にアクセスしています。
その結果、Metaはユーザーがどのサイトをどんな順番で見たか。例えば、「Aという商品を見た、次にBというサービスを調べた」という行動履歴を、ユーザーが知らないうちに把握できます。
これが「プラットフォームがデータを所有する」という構造の正体です。ブランドはMetaに広告費を払ってターゲティングを借りているわけですが、そのデータの根拠はユーザーの同意なしに収集されたサードパーティクッキーです。インドデジタル個人情報保護法(DPDP法)はここに「明示的な同意が必要」と言っている、ということになります。
3つのフェーズで考える優先順位
2027年5月の完全施行に向けて、以下の優先順位でアクションを取ることを推奨します。フェーズ3は、IT・総務・法務・コンプラ担当者と連携しながら進める必要があります。
押さえておきたい「同意」に求められる4つの要件
企業のサイズやフェーズ、実施しているデジタルマーケティング施策によって、対応は多岐にわたりますが、以下の4点を抑えておくことが重要です。
1. 自由意思(Free)
強制なしに取得されること。「同意しないとサービスを使えない」という設計は原則として認められません。
2. 明確であること(Specific)
「マーケティング目的全般」ではなく、「ニュースレター配信」「行動ターゲティング広告」「第三者への情報提供」などと個別に目的を明示したうえで同意を取得する必要があります。
3. インフォームドであること(Informed)
何のためにデータを使うのかを明確かつ平易な言葉で伝えること。地域言語での通知提供も推奨されています。
4. 取り消し可能であること(Revocable)
ユーザーはいつでも同意を撤回できる状態にあること。かつ、撤回の手続きは同意を求めることと同じくらい簡単でなければなりません。
特に注意が必要な「子どものデータ」
「データの海外移転」にも要注意
自社では直接対象にならないと思っていても、利用しているSaaSやCRMツールがデータを他国のサーバーに保存している場合があります。インドの個人データを米国などのサーバーに保存することは、インドデジタル個人情報保護法(DPDP法)上「国外データ移転」に該当し、明示的な同意が必要です。
HubSpot・Salesforce・Google Analytics・Metaなどは、現時点データ保管を海外サーバーで保有しているため代表的な例です。
テックで対応|同意管理プラットフォームという選択肢
大規模なサイトや個人情報を多く扱うEコマース・金融系には、同意管理プラットフォーム(CMP)の導入が実務上の現実解です。インド市場向けまたはインド市場に対応するCMPをいくつかご紹介します。
- Privy(IDfy社): インドの22言語に対応。同意記録のSHA-256ハッシュ化と電子署名、AIによるリアルタイムコンプライアンス診断を備えたインド専用設計。
- Concur: 2023年設立のインド発CMP。同意管理に加え、違反通知やコンプライアンス運用支援も提供。
- Consentin(Leegality社): ウェブ・アプリ・オフラインの全接点で同意を収集・管理でき、同意撤回時は自動的にデータ削除指示を送信。
- CookieYes: GDPR・CCPA・インドデジタル個人情報保護法(DPDP法)など複数の規制に対応するグローバルCMP。WordPressを含む主要CMSへの導入が容易で、小〜中規模サイトの入門ツールとして導入コストが低い。インド特化設計ではないが、インドデジタル個人情報保護法(DPDP法)対応のバナー設定・同意ログ保存・クッキースキャン機能を備える。
小規模コーポレートサイトの場合
ツールに頼らずルールと文書管理で対応する方法もありますが、以下の4点を最低限の対応として整えてください。
- プライバシーポリシーのDPDP準拠更新
- お問い合わせフォームへの同意チェックボックス追加
- 同意記録の手動管理
- データ削除リクエスト対応フローの社内整備
ただし件数が増えると運用が破綻しやすく、人に依存する作業が多いため、監査時の証跡提出も困難になる可能性があります。あくまで応急処置として実施することを推奨します。
デジタルマーケター向け実践のポイント
今回の法規制の施行は単なる「コンプライアンス整備」に留まらない、デジタル上のマーケティング戦略の転換点となると捉えています。
STORYTELLINGが考える3つの方向性を以下に示します。
1. ファーストパーティデータを「最重要資産」へ
MetaやGoogleのクッキーデータ、サードパーティのターゲティングリストに依存してきた時代は終わります。インドデジタル個人情報保護法(DPDP法)施行後、マーケターが合法的に使えるのは原則として自社が直接収集したファーストパーティデータ(自社サイト登録情報、購買履歴、メール購読者、ロイヤルティ会員情報など)に限られます。
実践のポイント:
- お問合せフォームの入力項目を必要最小限に絞る(不要なデータ収集自体がリスクに)
- 顧客管理システム(CRM)の統合を強化し、顧客の行動データを自社内に蓄積できる仕組みを作る
- アンケートやプリファレンスセンターを活用し、ゼロパーティデータ(ユーザーが自発的に開示する情報)を収集する
プリファレンスセンターとは、ユーザーが自分のデータや通知設定を自分で管理できるページのことです。よくある実装例としては、メールマガジンの配信停止リンクを押した先に「全解除」だけでなく「週1回だけ受け取る」「お得情報だけ受け取る」といった選択肢が並んでいるページがこれにあたります。
2. オーディエンス追跡の「精度低下」に備える
クッキーベースのリターゲティングやサードパーティDMPを通じたオーディエンス構築は、明示的な同意なしには行えなくなります。ROAS計測自体が難しくなる局面に備えて、以下の代替手法への移行が必要です。
- コンテクスチュアルターゲティング:「誰か」ではなく「何を読んでいるか」に広告を当てる手法です。ユーザー追跡ではなくコンテンツの文脈が軸になります。
- コホートベースのターゲティング:個人を特定せず、似た行動パターンを持つグループ単位でアプローチします。GoogleのTopics APIはこの方向性を表しています。
- モデリングと統計的推定の活用:GA4のコンバージョンモデリングやMeta Advantage+は、取得できないデータを機械学習で補完する機能を強化しています。「完璧な計測」ではなく「統計的な精度」を許容するメンタルシフトが必要です
実践のポイント: - サーバーサイドタグマネジメントへの移行を検討する
- GA4のコンバージョンモデリング機能を正しく設定する
- Meta広告ではコンバージョンAPIの導入を優先する
- KPIをラストクリックCPAだけでなく、ブランド検索量・NPS・顧客生涯価値(LTV)の組み合わせに再設計する
3. プライバシーを「信頼構築のツール」に変える
今後、消費者のデジタルリテラシーが向上するにつれて、プライバシー保護がブランドの信頼にもつながっていくことが予測されます。
- プライバシー通知を法律文書にするのではなく、「あなたのデータをこう使います。嫌なら、こう断れます」と平易に伝えるコンテンツとして設計する
- 「このデータを提供してくれると、あなたにとってこんなメリットがあります」という価値提案とセットで提示する
- 同意管理ページ(プリファレンスセンター)を、ユーザーが実際に使いやすいUXで設計する
デジタル上での真摯な姿勢が、ブランドとユーザーの間に信頼構築につながります。
まとめ:制約はチャンスに
インドデジタル個人情報保護法(DPDP法)は、ブランドにとって確かな制約になっていきます。しかし同時に、ユーザーの信頼を資産として積み上げるためのチャンスでもあります。
サードパーティデータに依存してきたブランドには痛みを伴う移行になるでしょう。一方、ファーストパーティデータを持ち、ユーザーとの直接的な関係を育んできたブランドは、この変化から相対的に大きな恩恵を受けます。
コンプライアンスを「コスト」として捉えるか、「信頼資産への投資」として捉えるか。その視点の違いが、数年後のマーケティング競争力の差として現れてくることが予測されます。
STORYTELLINGでは、DPDP法施行に向けたCRM・CMP導入支援から自社コンテンツ構築まで、一貫してサポートしています。まずはお気軽にご相談ください。
- Digital Personal Data Protection Act, 2023(DPDP法本文) https://www.meity.gov.in/content/digital-personal-data-protection-act-2023
- Digital Personal Data Protection Rules, 2025(DPDP規則2025・官報) https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- General Data Protection Regulation(GDPR全文) https://gdpr-info.eu/
- PwC India「How aware and prepared are Indian consumers and businesses to navigate the new era of digital privacy?」(2024年10月) ※69%がデータ権利不認知、16%のみDPDP法認知、84%がDPDP法未認知の数値の出典 https://www.pwc.in/consulting/risk-consulting/the-digital-personal-data-protection-act-2023.html
- Deloitte試算:GDPR施行によるEU広告損失(32億ユーロ) https://www.scrut.io/post/dpdp-rules(記事内引用として参照)
- Libert, Graves, Nielsen「Changes in Third-Party Content on European News Websites after GDPR」Reuters Institute(2018年) ※サードパーティクッキー22%減の数値の出典 https://reutersinstitute.politics.ox.ac.uk/
- Wang, Jiang, Yang「The Early Impact of GDPR Compliance on Display Advertising」Journal of Marketing Research(2024年) ※クリック単価5.7%低下の数値の出典 https://journals.sagepub.com/doi/abs/10.1177/00222437231171848
- Vibrant Media調査「Biggest Brands Will Lose 43% of EU Audience Data Following GDPR」(2018年) ※EUオーディエンスデータ43%喪失の数値の出典 https://www.mediapost.com/publications/article/319774/
- Future of Privacy Forum「Data Empowerment and Protection Architecture(DEPA)」 ※インドの同意インフラ国家計画に関する背景 https://fpf.org/
- India Briefing「DPDP Rules 2025 Notified」 https://india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html/
- EY India「Transforming data privacy: DPDP Act, 2023 and DPDP Rules, 2025」 https://www.ey.com/en_in/insights/cybersecurity/transforming-data-privacy-digital-personal-data-protection-rules-2025
著者
Masaki Mikami
Storytelling LLP 創業者兼CEO。国際的なローカライゼーションの分野で13年以上、デジタルコミュニケーションの分野10年以上の経験を積み、日本ブランドと海外市場をつなぐことに従事。インド・中東チームの多国籍チームとともに、日系企業の海外進出を支援する。