電気通信にサイバーセキュリティは不可欠だが、過度な負担となるべきではない

2023年電気通信法の第22条および第56条に基づいて制定された2024年電気通信（電気通信サイバーセキュリティ）規則が、最近、施行されました。これは、電気通信分野の安全性と回復力を強化するための初の体系的な措置で、2017年モバイル機器識別番号の不正操作防止規則に代わるものです。本規制は、通信事業者に対して説明責任の確立、セキュリティ体制の強化、サイバーインシデントへの迅速な対応を義務付けることにより、デジタル通信ネットワークを混乱させるサイバー脅威の増加を防ぐことを目的にしています。

本規則は、すべての通信事業者が、セキュリティ対策、リスクの特定、評価、管理、セキュリティインシデントの防止と復旧を定めたサイバーセキュリティ・ポリシーを導入することで、これらの目標を達成することを目的としています。セキュリティインシデントとは、電気通信のサイバーセキュリティに、現実の、あるいは潜在的なリスクをもたらす事象と定義されています。これには実際の攻撃や侵害だけでなく、サイバーセキュリティを脅かす可能性のある電気通信ネットワークや関連機器、サービスでの潜在的な脆弱性も含まれます。電気通信事業者は、新たなサイバー脅威への対応を確かなものにするため、認定機関による定期的な監査を受けることが義務付けられています。

重要な規定として、すべての電気通信事業者はチーフ・テレコミュニケーション・セキュリティ・オフィサー（CTSO）を任命することが定められています。CTSOはインド国内に居住するインド国民でなければなりません。またCTSOは、規則の実施や必要に応じた報告において、政府と電気通信事業者との間の主要な連絡役となります。電気通信事業者は、セキュリティ侵害を検知してから６時間以内に政府に通知し、24時間以内にその範囲と影響を概説する詳細なインシデント報告書を提出しなければなりません。

政府には、電気通信のサイバーセキュリティを確保するため、電気通信事業者からメッセージの内容を除くトラフィックやその他のデータを、認可機関を通じて収集する権限が与えられています。コンテンツ以外のデータを収集する際には、サイバーセキュリティの目的のみに使用されることを保証する安全対策が規定されています。国際移動体装置識別番号（IMEI）を付与されたデバイスの製造業者や輸入業者は、販売または輸入前に、それら識別番号を政府に登録することが義務付けられています。IMEI番号などの通信識別子の改ざんは禁止されており、罰則の対象となります。電気通信事業者には、サイバー脅威を監視、検知、対応するためのセキュリティ・オペレーション・センター（SOC）の設置も義務付けられています。セキュリティ・オペレーション・センターは、リアルタイムの脅威の評価とインシデント管理において重要な役割を果たします。政府は通信事業者に対し、進化するサイバー問題に対応するために、特定されたリスクを軽減し、フォレンジック分析を実施し、セキュリティ・インフラのアップグレードをするよう指示する権限があります。しかし、本規則では、SOCがどのようにこれに対応するかについては言及されていません。

広範な範囲をカバーする本規則ですが、課題は残されています。セキュリティインシデントの定義が広範囲であるため、解釈や施行の際に一貫性に欠ける可能性があります。データ保護については言及されていますが、データの保存、保持、共有に関する明確なガイドラインが欠如しているため、悪用やプライバシー侵害の懸念が生じます。規則５に基づく政府に与えられた広範な権限の中には、識別子を通じて特定されたユーザーに罰則を科すことも含まれていますが、適切な手続き上の保護措置が欠けています。サービスの一時的な中断や利用停止などの措置は、事前通知なしに実施される可能性があります。正当なセキュリティ上の懸念が、恣意的な施行や不正使用によって悪用される恐れがあります。

本規則および電気通信法では、2013年情報技術（インドコンピューター緊急対応チームおよびその機能と職務の遂行方法）規則で定義されているセキュリティインシデントとサイバーインシデントが重複するかどうかについては不明確です。

電気通信事業者に対して財務上および運用上の負担が懸念されます。SOCの設置やその他のセキュリティ対策を遵守するには、特に小規模事業者にとって多大なコストとなるでしょう。これにより市場の不均衡が生じる可能性があります。

本規則は、新たに発生するサイバー脅威から電気通信分野を守るために、政府が協力的に取り組んだことを示すものです。しかし、その広範な適用範囲や運用上の課題、コストの高さについては大幅な修正が必要でしょう。手続き上での安全対策を組み込み、グローバル・スタンダードに準拠し、業界固有の懸念に対処することで、本規則は国家安全保障と個人のプライバシーのバランスを取ることができるでしょう。

Aman Avinav氏はPhoenix Legalのパートナーです。