株式会社TIMEWELLの濱本 隆太です。
インドは「AI法を作らない」と決めました。これが、EU AI Act・韓国 AI 基本法・ベトナム AI法が次々と施行される2026年において、私が一番面白いと感じている規制スタンスです。
ところが「作らない」というのは「無規制」という意味ではありません。DPDP Act 2023(個人データ保護法)に 最大250億ルピーの罰則、IT Rules改正(2026年2月施行)に 10%ラベリング義務 を仕込んで、既存法のフレームワークでAIを間接的に縛りに来ました。さらに2025年11月、MeitY が「7つの Sutras(経典)」を提示する AI Governance Guidelines を発表しています。
日本のAI関連メディアで「Sutras」というインド固有のネーミングを使った規制設計を真正面から扱った記事はほとんど見ません。Bengaluru でビジネスを展開する日本企業、インド人材を雇用する企業、そしてグローバル AI 戦略を考えるすべての企業に、このフレームの読み方を伝えます。
要約
- インドは 包括的AI法を作らず、DPDP Act + IT Rules + AI Governance Guidelines の3本柱で対応
- AI Governance Guidelines(2025年11月)は 7つのSutras(経典)と6つのPolicy Pillars で構成
- IT Rules改正(2026年2月施行)でシンセティックメディアに 10%以上のラベリング を強制
- DPDP Actの罰則は 最大250 crore rupees(約42億円)。2027年5月から全エンティティ適用
- 3つの機関:AI Governance Group、Technology and Policy Expert Committee、AI Safety Institute を設立
- AI Impact Summit 2026(2月、ニューデリー)で グローバルサウス・リーダーシップ をアピール
なぜインドは「AI法を作らない」を選んだのか
2025年11月4日、MeitY(電子情報技術省、Ministry of Electronics and Information Technology)が発表した India AI Governance Guidelines は、文章の冒頭で「light-touch(軽い手)」というキーワードを明示しています[^1]。これは中国式の重い国家主導規制、EU式の包括的ハードロー、米国式のセクター別パッチワーク、いずれとも異なる 「第4のスタンス」 を明確に打ち出した宣言です。
なぜインドはAI法を作らないのか。私が複数のインド人弁護士・政策研究者にヒアリングしてまとめると、3つの理由に集約できます。
第一に、インドのAI産業競争力の保護。インドは世界最大のIT サービス輸出国で、TCS・Infosys・Wipro・HCL・Tech Mahindra といったグローバルプレイヤーが、AI 開発と AI 採用の両面で巨大な市場規模を持ちます。EU AI Act のような重い規制を作ると、これらの企業の国際競争力を損なう。
第二に、既存法の充実度。インドは IT Act 2000(情報技術法)、DPDP Act 2023(個人データ保護法)、Information Technology (Intermediary Guidelines and Digital Media Ethics Code) Rules 2021(IT中間者規則)、各セクター規制(RBI 金融、SEBI 証券、IRDAI 保険)と、AI を縛れるツールを既に持っていました。新法は要らない、解釈で射程を広げればよい という戦略です。
第三に、AI Impact Summit 2026 のリーダーシップ宣言。2026年2月19〜20日、ニューデリーで開催された AI Impact Summit は、グローバルサウス初のマルチラテラル AI サミット という位置づけでした[^2]。「重い規制で発展を阻まない、グローバルサウスの代表」として、インドは自国の規制スタンスを国際的にアピールしました。
私はこのスタンスを「戦略的非規制(strategic non-regulation)」と呼びたい。規制を作らないこと自体が戦略であり、その間隙にインドのAI産業が世界市場で優位を取りに来る設計です。日本にとって直接の競合関係にあり、しかし学べる点も多い戦略です。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
7つの Sutras ─ 哲学を法律にしない巧妙さ
AI Governance Guidelines の中核は 「7つのSutras」 です[^3]。サンスクリット語の「Sutra(経典・原則)」を借りた命名は、インド独自の文化的フレーミングを明示しています。
| Sutra | 内容 | 実務インパクト |
|---|---|---|
| 1. Trust | 信頼の確立 | ガバナンス全般の基底原則 |
| 2. People First | 人優先 | AIによる人権侵害の予防 |
| 3. Innovation over Restraint | イノベーション優先 | 過剰規制の自己抑制 |
| 4. Fairness & Equity | 公平性と公正性 | アルゴリズム差別の禁止 |
| 5. Accountability | 説明責任 | AIシステム提供者の責任体制 |
| 6. Understandable by Design | 設計による理解可能性 | 説明可能AI(XAI)の組込み |
| 7. Safety, Resilience & Sustainability | 安全性・回復性・持続可能性 | AI事故対応、長期社会影響評価 |
7つの順序にもメッセージがあります。第3 Sutra「Innovation over Restraint」が3番目 に置かれているのは、インドが「規制よりイノベーション」のスタンスを真ん中に据えた証拠です。EU AI Act が「Trustworthy AI」を一番上に置くのとは異なる優先順位です。
注目したいのは、7つの Sutras が 法律ではなくガイドライン に書かれているという点です。罰則は付いていない。しかし、IT Rules改正やDPDP Act のような既存法の 解釈基準 として参照される可能性が高く、訴訟・行政手続きで「Sutras に違反するAI設計」が論じられることになります。
これがインドの巧妙さです。哲学(Sutras)を法律にせず、既存法の解釈フックとして使うことで、柔軟に射程を伸縮させる仕組み を作りました。日本企業がインド事業で AI を使う場合、「Sutras を遵守していない」という指摘で訴訟リスクが顕在化する可能性があります。
6つの Policy Pillars と3つの機関 ─ 制度設計の中身
7つの Sutras を支える 6つの Policy Pillars が、ガバナンス機構の骨格です[^4]。
| Pillar | 内容 |
|---|---|
| 1. Infrastructure | IndiaAI Mission、計算インフラ、GPU共有プラットフォーム |
| 2. Capacity Building | AI 教育、人材育成、研究者ネットワーク |
| 3. Policy & Regulation | 法的フレームワークの整備 |
| 4. Risk Mitigation | リスク管理、インシデント対応 |
| 5. Accountability | 責任体制、苦情処理メカニズム |
| 6. Institutions | 新機関の設立 |
そして第6 Pillar「Institutions」のもとで設立されるのが、次の3つの機関です。
AI Governance Group (AIGG):省庁横断の意思決定主体。MeitY が事務局を務め、財務省・労働省・厚生省・運輸省などが構成員になります。インドの AI 政策決定の 司令塔 として、現在は組織立ち上げフェーズにあります。
Technology and Policy Expert Committee:技術・政策のアドバイザリー組織。学術研究者、産業界代表、市民社会代表、国際専門家で構成され、AIGG に技術提言を提供します。透明性確保のため公開議事録を発行する設計です。
AI Safety Institute (AISI):技術中核機関。安全性テスト、基準策定、国際協力 の3つを主機能とします。英国 AISI(2023年設立)、米国 AISI(2024年設立)、日本 AISI(2024年設立)との 国際協力ネットワーク を構築する設計で、グローバルサウスのAI Safety hub を狙っています。
3機関の発足は段階的で、AIGG と AISI は2026年内に立ち上げ、Technology and Policy Expert Committee は2026〜2027年に組成される予定です。私が興味深く見ているのは、インド AISI が日本 AISI と直接連携する 可能性。アジア圏の AI Safety 協力で、日本とインドが第1線に立つ構図が見え始めています。
シンセティックメディア10%ラベリング ─ IT Rules改正の実装インパクト
3本柱のうち、最も具体的に効くのが IT Rules改正(2026年2月20日施行) です[^5]。Information Technology (Intermediary Guidelines and Digital Media Ethics Code) Amendment Rules 2026 として、シンセティックメディア(synthetically generated information, SGI)を中間者責任に追加しました。
主な要件は次の3点です。
(1) 10%以上のラベリング義務
AI で生成されたビジュアルコンテンツ(画像・動画)には、表示時間または領域の少なくとも10% にラベリングが必要。音声コンテンツも同等。「AI生成」「Synthetically Generated」などの明示的なテキストが要求されます。
(2) 永続的なウォーターマーク または メタデータ
ラベルはユーザーが除去できない形式 で実装する必要があります。ステガノグラフィ的なメタデータ埋込み(C2PA、IPTC Photo Metadata)か、視覚的な永続透かしのいずれかが採用されます。
(3) Significant Social Media Intermediaries(SSMIs)の追加義務
500万ユーザー超のプラットフォーム(SSMIs)には次の義務が追加されます。
- ユーザーから SGI である旨の宣言を収集
- 合理的かつ適切な自動検知ツール(AI 生成検出)の運用
- 確認されたSGIに目立つラベルを表示
この10%という数字は世界初の具体的閾値で、EU AI Act の「明確かつ識別可能なラベル」、韓国 AI 基本法の「視認可能ラベル」よりも 数値で明示 している点が特徴です。日本企業がインド向けに AI 生成コンテンツを配信する場合、生成パイプラインに 10%閾値を満たすラベリング機構 を組み込む必要があります。
DPDP Act の250億ルピー罰則とAIへの間接適用
包括的AI法がない代わりに、DPDP Act 2023 の重罰がAI規制の事実上の射程を担います[^6]。
| 違反類型 | 罰則上限 |
|---|---|
| 重大なデータ侵害 | 250 crore rupees(約42億円、約3,000万米ドル) |
| 子どもデータ保護違反 | 200 crore(約34億円) |
| 通知義務違反 | 150 crore(約25億円) |
| 個人データの不適切取扱い | 50 crore(約8億円) |
2027年5月13日に 全エンティティへの適用 が開始される予定で、日本企業のインド事業はDPDPコンプライアンス整備が急務です。「公布から18か月」というスケジュールが既に動いており、2025〜2026年は移行期間です。
私は「DPDP Act は AI規制の代替 として機能する」と読んでいます。AI生成コンテンツが個人データを含む場合(顔・声・名前等)、DPDP Act の同意・通知・削除権の規定が適用されます。AI モデルの学習データに個人データが含まれていれば、データ主体の権利行使(アクセス権・修正権・削除権)が AI モデル運用にも及びます。
具体的に日本企業が要注意なのは次のケースです。
- HR Tech と従業員データ:インド人スタッフの履歴書・評価データを米国本社の AI モデルが学習している場合、DPDP の越境移転規制と削除権が適用
- コールセンター AI と顧客音声:インド顧客からの問合せ音声を AI 学習に使う場合、明示同意と利用目的限定が必須
- 生成 AI と顔データ:インド向け広告で実在しないモデルの顔を生成する場合、特定のインド人をベースにしていないことの 証跡保全 が必要
最大250億ルピーの罰則は、これらすべての領域に 同じ計算式で適用 されます。これがインド「AI規制を作らずに既存法で射程を伸ばす」戦略の中身です。
日本企業のインド展開を整理する ─ WARP SECURITYの活かし方
TIMEWELL の WARP SECURITY では、インド展開する日本企業に対して、3本柱(DPDP Act + IT Rules + AI Governance Guidelines)の 統合コンプライアンスマップ を作成する支援を提供しています。
私が現場で多く相談されるのは、次の3つの設計判断です。
(1) インド AISI との関係構築:日本 AISI と直接連携する可能性が高いインド AISI に対して、自社の AI Safety 取組みをどう開示するか。自主的な提出ファイルの設計 が始まっています。
(2) シンセティックメディア生成基盤の改修:日本本社の生成AIツール(Stable Diffusion、Midjourney API、社内 LLM)に対して、インド向け配信時に10%ラベリング機構を自動付与する エッジレイヤーの導入。
(3) DPDP Act 越境移転対応:インド人個人データの本社移転に関する説明同意・暗号化・削除権の運用設計。EU GDPR と類似だが、インド独自の Significant Data Fiduciary 概念への対応も必要。
エンタープライズ向けの設計では、インド・EU・韓国・米国の同時対応 が前提になります。Singapore framework(前記事)を「規制ハブ」として中央に置きつつ、インドの DPDP + 7 Sutras を アジア圏ローカル要件 として追加するレイヤー構造が、私が推奨している標準アーキテクチャです。
7つの Sutras を社内文書に翻訳して掲示する取組みを始める企業も増えてきました。表面的なポーズに見えがちですが、AI 倫理委員会の議事録で 「我々の意思決定は第3 Sutra(Innovation over Restraint)に整合するか」 を問う運用は、思いのほか議論を活性化させると感じています。
まとめ
- インドは 包括的AI法を作らない「light-touch」戦略。既存法 + ガイドラインの3本柱
- AI Governance Guidelines は 7つのSutras + 6つのPillars + 3つの機関(AIGG、Expert Committee、AISI)
- IT Rules改正で シンセティックメディアに10%以上のラベリング を強制
- DPDP Actは最大 250 crore rupees(約42億円) の罰則、2027年5月から全エンティティ適用
- AI Impact Summit 2026 で グローバルサウス・リーダーシップ をアピール
「規制を作らない」というのは、規制設計の高度な選択肢です。EU や中国のように包括的法律で囲い込む戦略がある一方、インドのように既存法と哲学を組み合わせて柔軟に射程を伸縮させる戦略もある。どちらが正しいかは10年後にしか分からないかもしれませんが、現時点では両方が成立する ことが、AI 規制の世界の面白さだと思っています。
日本企業がインド事業を進める時、「AI法がないから安心」と考えるのは最も危険な誤読です。DPDP Act の250億ルピー、IT Rules の10%ラベリング、AI Governance Guidelines の7 Sutras。3本の柱が交差する場所に、コンプライアンスの本当の急所があります。
合わせて読みたい:韓国AI基本法2026年1月施行、ベトナムAI法ASEAN初の包括的AI法、シンガポール Agentic AI ガバナンスフレームワーク。
参考文献
[^1]: India AI Governance Guidelines - PIB India [^2]: India AI Governance Guidelines: Empowering Ethical and Responsible AI - IndiaAI Official [^3]: Decoding the India AI Governance Guidelines - Saikrishna & Associates [^4]: India Issues 2025 AI Governance Guidelines - Privacy World [^5]: India's Deepfake Crackdown: IT Rules 2026 Amendment - Rotavision [^6]: DPDP Penalties: 250 Crore Fine Explained - Guardata