対象範囲 — インド国内外問わず
なります。DPDP法はEUのGDPRと同じ域外適用の構造をとっています。インド国内に拠点や法人がなくても、インドのユーザーに向けてWebサイトを公開したり、広告を配信したり、商品・サービスを提供している場合は対象となります。
「インド向けのビジネスをしている」という事実だけで適用されます。違反時の最大ペナルティは約2,800万米ドルです。
はい、対象になり得ます。以下のいずれかに該当する場合、DPDP法上の義務が発生します。
- お問い合わせフォームを設置し、氏名・メールアドレスを収集している
- Google Analytics(GA4)でユーザーの行動を計測している
- Metaピクセルを導入し、インドユーザーにリターゲティング広告を配信している
- HubSpotなどのCRMと連携し、メールを配信している
「B2Bだから関係ない」「コーポレートサイトだけだから関係ない」とは言い切れません。インドユーザーのIPアドレスやCookieIDも個人データに該当するため、GA4やMetaピクセルを使っている時点で対象です。
対象になります。Amazonのセラーセントラルを通じてアクセスできる顧客データ(氏名・配送先住所・注文履歴)は、DPDP法上の「個人データ」に該当します。
自社サイトを持っていなくても、モールを通じてインドユーザーのデータにアクセスしている以上、プライバシーポリシーの整備が最低限必要です。モール広告(Amazonスポンサー広告・Meta広告等)でリターゲティングを行っている場合は、行動データの利用に対する同意フローの確認も必要です。
あります。ディストリビューターが運営するInstagramアカウントでブランドの製品を宣伝している場合、ブランドと代理店は「共同データ管理者(Joint Data Fiduciary)」とみなされる可能性があります。
EUではFacebookページの運営者に対して「Metaと共同でデータを管理している」という判断が下されており、DPDP法でも同様の解釈が適用されると考えられます。
「自分たちは運営していない」という主張は通りにくく、以下の対応が必要です。
- 代理店との契約にDPDP準拠条項(目的外利用禁止・漏洩通知義務・削除義務)を追加する
- 代理店が使用するMetaピクセルの同意フローが適切か確認する
範囲は広く、1項目でも個人を識別できれば対象です。DPDP法はGDPRと異なり、「個人データ」と「センシティブな個人データ」を区別せず、すべて同じ水準で保護対象とします。
- 氏名・メールアドレス・電話番号
- IPアドレス・CookieID・デバイスID
- 購買履歴・行動データ
- 配送先住所・支払い情報
「個人情報収集はフォームだけ」と思っている企業でも、GA4やMetaピクセルを使っている時点でIPアドレス・CookieIDを収集しているため対象になります。
データの扱い — 保管・削除・同意のルール
DPDP法は「最低保管義務」ではなく「最大保管制限」という設計です。基本原則として、データ収集の目的が達成されたか、ユーザーが同意を撤回した時点で削除しなければなりません。
ただし、個人データ本体とは別に以下の保管義務があります。
| 対象 | 保管期間 |
|---|---|
| 処理ログ・トラフィックデータ | 最低1年(その後削除義務) |
| 同意記録 | 7年間 |
| 大規模ECサイト等のユーザーデータ | 最終アクセスから最大3年 |
また、データ削除の期限が来る48時間前にユーザーへの通知が義務付けられています。「とりあえず長く持っておく」という従来の慣行は通じません。
必要です。DPDP法はGDPRより同意要件が厳格です。GDPRでは「正当な利益(Legitimate Interest)」を根拠にユーザーの同意なしに個人データを利用できるケースがありましたが、DPDP法はこの抜け道を閉じています。
マーケティング目的での個人データ利用には原則としてユーザーの明示的な同意が必要です。GDPR対応済みでも、以下の点を追加確認してください。
- 同意取得が「正当な利益」ではなく明示的な同意に基づいているか
- 同意の撤回が同意の取得と同等の容易さで行えるか
- インドの地域言語(ヒンディー語等)での通知に対応しているか
DPDP法では同意に4つの要件が求められます。
- 自由意思:強制なしに取得されること。「同意しないとサービスを使えない」設計は原則として認められません
- 明確:「マーケティング目的全般」ではなく、「ニュースレター配信」「行動ターゲティング広告」などと個別に目的を明示する
- インフォームド:何のためにデータを使うかを平易な言葉で伝える。地域言語での通知提供も推奨
- 取り消し可能:いつでも同意を撤回できる状態にあること。撤回手続きは同意取得と同等の容易さが必要
実務的には、CookieバナーとCMPツール(同意管理プラットフォーム)を組み合わせた実装が標準的なアプローチです。
対応の進め方 — いつ・何から・誰が
完全施行は2027年5月13日の予定です。ただしデータ保護委員会(Data Protection Board)はすでに2025年11月に設立・稼働しています。
「2027年まで余裕がある」という判断は危険です。CRMの設定変更・同意管理プラットフォームの導入・ポリシー文書の改訂・ベンダー契約の見直しは、いずれも数ヶ月単位の時間を要します。
| フェーズ | 時期 | 主な対応 |
|---|---|---|
| フェーズ1 | 今すぐ | データフローの棚卸し・現状把握 |
| フェーズ2 | 2026年内 | 同意管理・CRM・ポリシー文書整備 |
| フェーズ3 | 2027年5月まで | ベンダー契約・監査体制の完成 |
まず「自社がどのデータをどこで収集しているか」を把握することが出発点です。GA4・Metaピクセル・HubSpot等のツールを棚卸しするデータマッピングが最初のステップになります。
弊社の無料診断フォームでは、ツール・業種・データの取り扱い状況を選択式で回答いただくだけで、DPDPリスクスコアと対応が必要な領域を自動で可視化します。まず現状を把握したい方はご活用ください。
はい、対応しています。弊社の無料診断フォームは「わからない」を選択できる設計になっており、技術的な知識がなくても回答できます。
「わからない」と回答した項目については、コンサル時に情報システム・マーケティング部門への確認リストとして整理した上でご案内します。不明な点がある状態でもお気軽にご相談ください。
弊社はデジタルマーケティング領域の実装支援を担当しており、法律的な助言は提携する専門家と連携して対応します。
具体的には、CRM・CMP導入・フォーム改修・ポリシー文書のテンプレート提供は弊社が対応します。法的精査・重要データ受託者(SDF)の該当性判断・契約書の法的審査は提携専門家の領域です。一つの窓口でまとめてご相談いただける体制をとっています。
まず無料診断で現状を把握する
フォームにて、「DPDP法対応無料診断」よりお申し込みください。無料診断リンクをお送りいたします。ご回答後いただいたのちに簡易診断レポートをお送りいたします。