頻発するサイバー攻撃に対して世界各国で対策が進むにつれ、各地域の政策立案者はデータセキュリティ対策を強化しており、さらに企業のコンプライアンスも極めて重要になっています。

中国

インド

インドネシア

台湾

中国

中国は近年、サイバースペースとデータにおける主権と支配意識を、より一層強調してきました。サイバーセキュリティとデータに関する制度は急速な発展を遂げ、多くの関連規則・基準・政策の立案を加速しています。プライバシーとセキュリティにおける基本原則の法的な基となるものは、「中華人民共和国憲法」「中華人民共和国民法典」「中華人民共和国国家安全法」であり、次の３つの基本的法律が制定されました。

• 「中華人民共和国サイバーセキュリティ法」（CSL：以下「サイバーセキュリティ法」）
• 「中華人民共和国データ安全法」（DSL：以下「データ安全法」）
• 「中華人民共和国個人情報保護法」（PIPL：以下「個人情報保護法」）

３つの基本的法律の相互作用

上記の３つの法律を柱とするシステムの中で、「サイバーセキュリティ法」はその法的根拠であり、サイバースペースセキュリティにおける全体的な法的枠組みを確立しました。「データ安全法」はデータのセキュリティを保護することに注目し、「個人情報保護法」は個人情報の処理プロセスを規制することに注目するものです。

「データ安全法」と「個人情報保護法」は、「サイバーセキュリティ法」によって保護されたインフラで処理されるデータと個人情報のセキュリティを確保するために、治外法権を行使する条項を明確に規定しています。中国国外でのデータ処理が中国の国家安全保障、公共の利益、または中国の国民や組織の正当な権利・利益を損なう場合、「データ安全法」に、法律に従って法的責任を追及することが規定されています。それと同様に、中国国内の自然人に製品またはサービスを提供する目的で、中国国内にいる個人の情報を処理し、または個人の行動を分析および評価する行為が海外で行われたとしても、依然として「個人情報保護法」に規制されます。

業界規制

中国企業は、業界固有の規制と各地方のデータ保護法規に従わねばなりません。中国の各業界の監督機関と地方政府は、関連する規制規則を改善し、さまざまな業界や地域のネットワークセキュリティの問題を解決しようとしています。その監督の焦点は、ヘルスケア、金融、自動車、インターネット情報サービス（例えばアルゴリズム技術を使うことによるレコメンデーションサービス）に置かれています。

サイバーセキュリティ審査

中国の国家サイバースペース管理局（CAC）は、配車大手のDiDi（ディディ）に対するサイバーセキュリティ審査の結果を最近発表し、80億元（約1600億円）の罰金を言い渡しました。DiDiのサイバーセキュリティ審査は、2022年2月15日に最新の改訂が行われた「サイバーセキュリティ審査弁法」が施行する前に開始されています。

今回の改正により、サイバーセキュリティ審査措置の適用範囲が拡大し、特に、100万人以上のユーザーの個人情報を処理し、海外での上場を目指すネットワーク・プラットフォーム事業者に対して適用されるようになりました。

さらに、ネットワーク製品やサービスを購入する重要情報インフラ運営者、または国家安全保障に影響を与える、あるいは影響を与える可能性のあるデータ処理活動を行うネットワーク・プラットフォーム運営者にも、サイバーセキュリティ審査が適用されます。

サイバーセキュリティ審査を請求する義務のある上記の３つの状況の中で、ネットワーク・プラットフォーム事業者は、データ処理の行為がサイバーセキュリティ審査を受ける可能性があるかどうかについて、自ら判断する必要がありますが、それが恐らく現時点で最も難しいことでしょう。それは今の法律は曖昧で、現時点においてネットワーク・プラットフォーム事業者が、その事業が審査を申請する義務の範囲内にあるかどうかを自己判断するための、正式な詳細規則がないためです。これは、プラットフォームが大量のデータまたは複数の種類のデータを同時に処理する場合、プラットフォーム事業者がサイバーセキュリティ審査を受ける可能性が、常に存在することを意味しているようです。

その審査を避けるためには、最も安全な方法は次のとおりです。（1）大規模なプラットフォームを運営しないこと、または（2）運営者が自ら積極的に審査を申請し、関連当局から明らかにこれ以外の申請は必要ない通知が届くことを確保すること。そうでなければ、中国最大の学術研究データベースであるCNKIが直面にしているのと同様のリスクにさらされる可能性が生じます。CNKIは現在、国家データのセキュリティリスクの可能性があることから、サイバーセキュリティ審査を受けているところです。

サイバーセキュリティ等級保護

情報システムおよびネットワークに適応するサイバーセキュリティ等級保護要件は、「サイバーセキュリティ法」の下で更新されています。更新された要件は「等級保護2.0」として知られており、等級保護2.0は実際サイバーセキュリティ等級保護の適用範囲を、インターネットを利用して中国でビジネスを行っている企業ほぼ全般に拡大し、クラウドコンピューティングやモノのインターネット（IoT）などの新技術に、特別な安全基準が設定されています。

現在の等級保護システムでは、ネットワーク事業者は、運営しているネットワーク／情報システムの重要性と、発生する可能性のあるリスクを評価する必要があります。ネットワーク・情報システムの性質と重要性および破壊後国家安全保障、社会秩序、公共の利益、国民、法人およびその他の組織の正当な権利と利益にもたらされる被害の程度に応じ、各ネットワーク・情報システムは、それぞれ「安全レベル」に分類されます。「安全レベル」は１から５までであり、レベルが高いほど、ネットワーク事業者が履行すべきセキュリティ保護義務が厳しくなります。この格付けの後、ネットワーク事業者は実施されたセキュリティ対策の対応するレベルで規定された最低限のセキュリティ要件を満たすために、所属機関に、運営するネットワーク／情報システムを報告、評価、修正する必要が生じます。

データにおける主権

データの主権を保護するために、「サイバーセキュリティ法」は、重要情報インフラ事業者に、データのローカリゼーションの原則を課しています。そして「データセキュリティ法」と「個人情報保護法」では、外国の司法機関または法律を執行する機関に、中国に保存されているデータ・個人情報提供する際、前もって関連する部門に承認を得る必要があります。

中国の国家サイバースペース管理局が発表した「データ越境移転安全評価措置」（以下「措置」）は、2022年9月1日に正式に施行されました。それにより、データ処理業者には６カ月の移行期間が与えられ、「措置」に規定されている最新の要件を遵守するよう、「措置」の施行前にすでに行われていたデータの移転を見直さねばなりません。「措置」が公布される前、中国のサイバースペース管理局は既に、EUの標準契約条項（SCC）に類似する「個人情報越境標準契約に関する規則（意見募集稿）」を発表しています。一方、中国全国情報セキュリティ標準化技術委員会（TC260）は「サイバーセキュリティ基準　越境個人情報処理活動を認定するための技術基準」を公表しています。

これらによれば、国家サイバースペース管理局が主導する強制的なセキュリティ評価は、「措置」に規定された法廷状況下で発動します。

それに比べ、セキュリティ認証は主に、同じ多国籍企業グループの子会社、または関連会社間で頻繁に行われる、個人情報の越境移転に関する問題を解決することを目的としていますが、ほとんどのデータ処理業者は標準契約条項をデータの越境移転の際の主な手段にしたいと考えています。これは、標準契約条項は、中国国家サイバースペース管理局からの事前承認の取得に依存しないからです。ただし、「措置」で規定されているセキュリティ評価のしきい値が高くないことを考えると、セキュリティ評価は、実際にデータを越境提供する際の普遍的なメカニズムになるでしょう。

データの性質分類と保護等級分類

「データ安全法」は、経済社会におけるデータの重要性、および改竄、破壊、漏洩、あるいは違法に取得・利用された場合、国家安全保障、公共の利益、または個人および組織の正当利益にもたらされた損害に応じて、国からのデータ分類管理と保護等級分類の一般要件を規定しました。国家コアデータは、３段階のデータ分類システムのうちの最高レベルに属し、最も厳格に保護される対象で、国家コアデータの目録は、中央政府によって決定されることが想定されています。

一方、重要データは３段階の中間に属し、各地域・部門は、それぞれの地域、部門、および関連業界・分野において重要データの具体的な目録を決定し、目録に記載されているデータの保護に重点を置くこととなります。また、各データ処理者は目録に従って、重要データがあるかどうか、および重要データの具体的な範囲を判断します。ただし現時点では、参考可能な重要データの識別に関する規則は次の規則にとどまります。重要データの識別に関する国家標準草案「重要データの識別に関するガイドライン」、自動車業界の「自動車データ安全管理に関する諸規定（試行）」、産業・情報技術分野の「産業・情報技術分野におけるデータ安全管理措置（試行）」。これらにより、重要データの認定基準が一応定められました。このことから、全国のコアデータと重要データの識別目録が確定するまでには、まだ長い道のりがあることが伺えます。

個人情報保護

「個人情報保護法」は、個人情報の処理サイクル全体をカバーし、個人情報の処理に関する全面的な保護要件を規定しています。これは、個人情報の処理者が個人情報の安全を確保するために、適切な態勢と技術的措置を取ることを要求するものであり、その上、機微な個人情報の処理に対して、より厳格な保護義務が課されています。処理者は個人情報を処理する前に、個人の同意を得る、または同意以外の他の法的根拠が適用されることを確認するなど、個人情報の処理に関する法的根拠を得ていることを確認する必要があります。個人情報を処理する際、処理者は常に合法性、正当性、必要性、完全性の基本原則に従い、法律の関連規定を遵守し合法性を証明する、あるいは潜在的な紛争に対処するために、関連する処理活動の記録を保管する必要が生じています。

また、「個人情報保護法」では、データ主体およびその個人情報に、知る権利、決定する権利、データ処理先を変更する権利、苦情を申し立てる権利などという、実体的権利や手続的権利を含む包括的な権利も認められています。

施行と罰則

中国の基本的な法律は、サイバーセキュリティおよび個人のプライバシー権の侵害に対し、刑事、行政、および民事責任を厳しく規定しています。例えば「個人情報保護法」によると、個人情報に対する不正処理に対し、個人情報保護に関する部門には、違法所得の没収および100万元（約2000万円）以上、5000万元（約1億円）以下、あるいは前年の売上高の5%以下の罰金が科されることが含まれています。同時に、直接責任を負う主要責任者およびその他の直接責任者に対し、10万元（約200万円）以上、100万元以下の罰金が科されます。DiDiのケースの記録的な金額の罰金は、最も代表的な例です。2022年9月14日、国家サイバースペース管理局は、「サイバーセキュリティ法の改正に関する決定（意見募集案）」を公表し、「個人保護法」の罰則に適応するために、サイバーセキュリティ法に違反した場合の罰則の強化を提案しました。前述の規制および法律の執行に加え、各レベルの裁判所と検察庁も、個人情報保護に関連する民事および刑事事件の判決に力を入れています。

動向と展望

中国政府は、デジタル経済とデータ資産が、グローバルな競争環境において次の争奪目標になると固く信じています。そのため、国家のサイバー空間主権の確立、維持、防衛を優先しています。

今後３年から５年間は、関連する法律制度の発展に次のような傾向が予想されます。

• 「サイバーセキュリティ法」は、等級保護2.0（MLPS 2.0）の完全実施を中心に、法律規制と法律執行の基盤を強固にし、国家のサイバースペースにおける主権を守る。
• 「データ安全法」で定められた個人情報分類・等級保護制度は徐々に改善され、最終的に各産業、分野、地域を完全にカバーして施行する。
• 「個人情報保護法」は、引き続きより多くの司法および法律執行を通じて、個人情報のローカライゼーションを実現し、最終的には法律の範囲内にある外国企業に対する強制執行を可能とする。

中国のサイバースペースセキュリティに関連する上記の法律の発展動向は、今後、行政処罰、司法審査と国外での法律執行に、より一層注力します。したがって、中国にある多国籍企業および中国と取引を行っているオフショア事業体は、関連する法律、行政法律執行の動向を注視し、現地の資格のある弁護士との相談と協力を通じて、迅速かつ明確に関連する法的要件を理解し、法律の進展の概要と影響を把握する必要があり、合法性を確保する、あるいは潜在的な法的リスクを回避できるよう、関連するビジネスを適切に調整しなければならなりません。

GLOBAL LAW OFFICE
35 & 36/F Shanghai One ICC, No.999
Middle Huai Hai Road, Xuhui District
Shanghai, 200031, China
電話: +86 21 2310 8288
Eメール: shanghai@glo.com.cn

www.glo.com.cn

Back to top

インド

いくつかの法律、規則、およびセクター別の規制により、インドのサイバーセキュリティに関する法律上、規制上および制度上の枠組みが定められており、セキュリティ基準の整備の推進や、サイバー犯罪の定義、インシデント報告が義務付けされています。

概要

2000年情報技術法（以下「IT法」）は、サイバーセキュリティ、データ保護、サイバー犯罪に対処する主要な法律です。

その主な特徴は以下の通りです。

• 電子取引および電子通信を法令によって承認、保護します。
• 電子データ、情報、および記録の保護を目的としています。
• コンピュータシステムの不正使用または違法な使用の阻止を目的としています。
• ハッキング、サービス拒否（DoS）攻撃、フィッシング、マルウェア攻撃、なりすまし、および電子窃盗を犯罪として認定しています。

IT法に基づき策定された規則や規制によって、以下のさまざまなサイバーセキュリティの側面が規制されます。

• 2013年情報技術（インドコンピュータ緊急対応チームと機能および義務の実行方法）規則（以下「2013年規則」）によって、サイバーセキュリティインシデントに関する情報の収集、分析、発信、ならびに緊急対応措置を担当する行政機関として、コンピュータ緊急対応チーム（CERT-In）が設立されました。同規則によって、仲介業者およびサービスプロバイダーに対して、サイバーセキュリティインシデントをCERT-Inに報告することも義務化されました。
• CERT-Inが2022年に出した「安全で信頼性の高いインターネットのための情報セキュリティの実践、手順、予防、対応、およびサイバーセキュリティインシデントの報告に関する指示」によって、2013年規則に基づく既存のサイバーセキュリティインシデントの報告義務に追加、修正が加えられています。
• 2011年情報技術（合理的なセキュリティの実践と手順、および機密性の高い個人情報または情報）規則（以下「SPDI規則」）は、機密性の高い個人データや情報を処理、収集、保存、転送する企業に、合理的なセキュリティの実践や手順を実施することを義務付けています。
• 情報技術（2021年仲介業者ガイドラインおよびデジタルメディア倫理規定）によって、仲介業者は、各自のコンピュータリソースや情報を保護するために、合理的なセキュリティの実践および手順を実施するよう義務づけられているため、結果的にセーフハーバーの保護が維持されます。仲介業者も、サイバーセキュリティインシデントをCERT-Inに報告する義務が課されています。
• 2018年情報技術（保護システムに関する情報セキュリティの実践と手順）規則によって、IT法に基づき定義されている保護システムを有する企業は、特定の情報セキュリティ対策を整備するよう義務があります。

サイバーセキュリティ関連の規定を含むその他の法律には、誹謗中傷、詐欺、脅迫罪、わいせつ行為など、サイバースペースで行われる犯罪を罰する1860年インド刑法や、企業に対して、電子記録や電子システムが不正アクセスや改ざんの被害がないことを求める2014年会社（経営・管理）規則などがあります。また、インド準備銀行、インド保険規制開発局、電気通信局、インド証券取引委員会、インド国家保健機関（National Health Authority of India）などの規制当局や政府機関が発令したセクター別の規則もあり、これらは特に、規制対象事業者に対してサイバーセキュリティ基準を維持するよう義務付けています。

重要情報インフラ（CII）のサイバーセキュリティは、それらの機能が停止するか、または破壊されると、国家安全保障、経済、公衆衛生または安全を揺るがすような影響を与えかねないコンピュータリソースであると定義されており、国家重要情報インフラ保護センター（NCIIPC）が発行するガイドラインによって規制されています。

政府は、IT法に基づき、CIIの施設に影響を与えるコンピュータリソースを保護システムとする通知を出し、保護システムを運営する企業に対してサイバーセキュリティの義務を規定することができます。指定されたCIIセクターには、運輸、通信、銀行・金融、電力、エネルギー、電子政府などが含まれます。こうしたセクター内では、関係当局が、特定のコンピュータシステムを保護システムとして通知することができます。中央電力庁など、セクター別の規制当局や政府機関も、サイバーセキュリティやCIIに関する規則やガイドラインを策定しました。

制度的枠組み

サイバーセキュリティは分野横断的な問題であるため、インドには、サイバーセキュリティに関する省庁間の複雑な制度的枠組みがあり、複数の省庁や機関が主要な役割を果たしています。例えば、電子情報技術省（MeitY）は、サイバー法など、IT、エレクトロニクス、インターネットに関連する政策に取り組んでいます。また、電子情報技術省は、サイバーインシデント対応活動を調整、実施するための中核機関としてCERT-Inを立ち上げました。

内務省は、サイバーセキュリティなど国内のセキュリティについて調査します。こうした目的のために、内務省は、サイバー犯罪部、サイバーセキュリティ部、監査部から構成されるサイバーおよび情報セキュリティ課を設置しました。また、サイバー犯罪への対策を行うため、2018年にインドサイバー犯罪調整センターも設置しました。CIIの中核機関であるNCIIPCは、国家安全保障顧問の直属機関として設置されています。国家サイバーセキュリティコーディネーターは、首相府の下で働き、連邦レベルでさまざまな機関と連携するサイバーセキュリティの担当官です。

セキュリティ対策

IT法は、連邦レベルで、機密性の高い個人情報を扱う組織に対してセキュリティに関する義務を課しています。これについては、企業に対して、経営面、技術面、運用面、および物理面でのセキュリティ管理対策を義務付けているSPDI規則で説明されています。同規則も、情報セキュリティ管理に関する国際規格であるISO/IEC 27001に準じているため、法人は、政府が承認する独立監査人による監査チェックを少なくとも年１回、あるいはプロセスやコンピュータリソースを大幅に改良した時点で受けなければなりません。

セクター別の規制当局や中核機関もまた、セキュリティ対策を規定しています。インド準備銀行は、インシデントに対処、報告する仕組み、サイバー危機管理、ならびにシステムの継続的な監視および顧客情報の保護に関する取り決めなど、銀行に関する基準を定めています。また、銀行に対して、ISO/IEC 27001規格およびISO/IEC 27002規格に従うことを義務付けています。

同様の枠組みは、ノンバンク金融会社にも適用することができます。インド証券取引委員会は、証券取引所、受託所、決済機構に対して、ISO/IEC 27001、ISO/IEC 27002、およびCOBIT 5などの規格に従うことを義務付けています。

サイバーインシデントの報告

2013年規則では、組織に対して、適切な時間内にインシデントをCERT-Inに報告するよう義務付けています。インシデントには、サービス拒否（DoS）攻撃、フィッシング、ランサムウェアインシデント、ウェブサイト改ざん、ネットワークまたはウェブサイトの標的型スキャンなどがあります。

CERT-Inは2022年4月、サイバーセキュリティインシデントをその発生認識後６時間以内に報告する義務、システムクロックと政府のサーバーが提供する時刻との同期、インドにおけるセキュリティログの管理、顧客の追加情報の保存など、2013年規則に基づく義務を修正する新たな指示を発令しました。2021年IT規則においても、仲介業者に対して、CERT-Inにセキュリティ侵害について通知することをデューデリジェンス義務の一環として義務付けています。

さまざまなセクター別の報告義務についても適用されます。例えば、金融サービスセクターでは、全銀行に対して、インシデントを認識してから２～６時間以内に報告するよう義務付けられています。同様に保険会社も、サイバーセキュリティインシデントを認識してから48時間以内に、保険規制開発局に報告しなければなりません。電気通信事業者は、技術施設への侵入、攻撃、不正行為の監視設備を設置し、そのような侵入、攻撃、不正行為の報告を電気通信局に提出するよう義務付けられています。

サイバー犯罪

窃盗、詐欺、偽造、誹謗中傷、いたずらなど従来の犯罪行為はすべて、1860年インド刑法の対象となっており、サイバー犯罪に含まれる可能性があります。IT法は、改ざん、ハッキング、わいせつ情報の公開、保護システムへの不正アクセス、守秘義務違反やプライバシーの侵害、虚偽のデジタル署名証明書の公開など、現代の犯罪に対処しています。脅迫メール、中傷的な内容のメールを送ること、電子記録の偽造、サイバー詐欺、なりすましメール、サイトジャック、メールの不正使用も犯罪です。

今後の方針

インド連邦政府は、国家サイバーセキュリティコーディネーターを介して、新たな国家サイバーセキュリティ戦略の策定過程にあります。この戦略の目的は、インドのサイバーセキュリティの枠組みにおける特定のギャップに対処し、国家全体のサイバーセキュリティ体制を強化することです。

インド政府は、国内ならびに世界のデジタルおよびテクノロジー環境における進歩と足並みを揃えるべく、IT法の改訂も検討中です。これによって、既存のサイバー犯罪、インシデント報告、セキュリティ対策、および基準の枠組みが変化する可能性があります。

IKIGAI LAW
New Delhi | Bengaluru
Eメール: contact@ikigailaw.com

www.ikigailaw.com

Back to top

インドネシア

さまざまなインドネシアの政府機関や企業が、「メタ（超越）」と「ユニバース（宇宙）」の混成語であるメタバースと呼ばれる新たな先進テクノロジーを検討しています。このテクノロジーは、インターネットによって社会的なつながりを劇的に促進することを約束するものであり、観光事業や文化探訪からインタラクティブな銀行業務、消費者への販売、オフィスでのコミュニケーション、教育、日常生活に至るまで、さまざまな場面においてバーチャルな3D体験を推進します。

しかしながら、デジタル世界と実世界の融合がこのように徐々に進むことで特に議論を呼んでいるのは、バーチャルなメタバースで個人の特性を明らかにするために、本人認証として使用する生体認証データを収集することが必要であるということです。潜在的な脅威に対する固有の脆弱性を考慮すると、生体認証データの取得は慎重を期する問題ですが、インドネシアの規制の枠組みは、個人情報の保護およびサイバー攻撃対策に限定されています。

本稿では、既存の枠組み、およびインドネシアの国民議会で最近可決された待望の個人情報保護法（以下「PDP法」）、さらにメタバースの進化を見越して、生体認証データに関するより具体的な規制が必要かどうかを論じています。本稿の執筆時点では、PDP法は、大統領の批准が条件となっていますが、批准がなされない場合でも、本法は30日後に自動的に発効します。

メタバースの登場

パンデミックによって、多くの企業は、事業の効果的な実施方法について再考を迫られました。当然のことながら、大半の企業が、テレビ会議、ウェビナー、その他のインターネット通信などの多数のデジタル会議プラットフォームを使用してオンラインへの転換を図りました。しかしながら、明らかなメリットがあるにもかかわらず、現実世界における柔軟な体験と比較すると、やや柔軟性に欠けると考えられるような制限もありました。そのため、メタバースが登場し、形而上学的なギャップを埋めることで上記の問題を解決し、物理的な領域のレプリカによって仮想世界における実体験を提供し、各関係者が、現実には存在しない自分の分身であるアバターを通して、より効果的に人付き合いを行い、会議やイベントに参加することができます。

他国同様、インドネシアでも、このメタバースによって、国の経済を向上、促進する機会が多く生まれており、利害関係者は、事業活動を推進するために、この仮想世界の探索をすでに開始しています。インドネシア最大の国営銀行の一つ、バンク・ラクヤット・インドネシア（Bank Rakyat Indonesia）は、メタバースエコシステムを開発するための覚書に署名済みです。これによって、例えば、顧客がバーチャルバンキングサービスを利用するといった、新たな体験や機会が提供される可能性があります。同時に、メタバース企業では、開発コストはかかるものの、物理的なオフィスの建設コストも削減することができます。

一方で、インドネシアの観光創造経済省は、地元企業がオンラインで製品を販売するための仮想空間と共に、世界的にインドネシアの観光事業を促進するためのメタバースプラットフォームである「ワンダーバース（WonderVerse）」を立ち上げる共同計画に先日調印しました。

メタバースは登場したばかりで、いまだ進化途中であり、完成形とは程遠いものです。開発は初期段階にあるため、最適なエコシステムを競って構築しているテクノロジー企業でさえ、最終的なメタバースの全体像をただイメージしているに過ぎません。仮想世界に参加する方法が多数ある一方で、すでに注意を要する一つの欠点となっているのがアクセスの不変性です。つまり、権限を与えられた関係者だけがシステムにアクセスできるようにするため、生体認証データなどのユーザープロファイルの登録に必要となるさまざまなデータの提出が必要です。

生体認証データについての規制

生体認証データに若干関連するインドネシア初の法律は、市民権管理に関する法律23号（2006年）であり、本法は2013年に法律24号によって改正されました。同法では、どちらも生体認証データである指紋や目の虹彩など、保護されるべきさまざまな種類の個人情報について説明しています。しかし、同法によって、生体認証データについて具体的に定義され、最新の保護が提供されているわけではありません。最近まで、生体認証データを規定した規制はありませんでした。2016年に法律第11号として改正された、電子情報および電子商取引に関する法律第11号（2008年）でさえ、生体認証データを規制したものではありませんでした。

最近可決されたPDP法は、より厳格かつ厳重に、総合的な保護を提供することで、個人情報を規制する、最も重要な法律です。これによって、個人情報は一般データと具体的なデータに分類され、生体認証データについては、EU一般データ保護規則で「機密性の高い」データに分類されているのと同様に、具体的な個人情報に分類されています。

PDP法では、生体認証データを、顔認証または指紋データなど、個人の唯一性を特定することができる個人の身体特性、生理学的特性、または行動特性に関連するデータと定義しています。また、指紋記録、目の網膜のスキャン、およびDNAサンプルなど、維持および管理しなければならない個人の唯一性や特性についても説明しています。

サイバー面での脆弱性

識別のための生体認証データは、パスワードベースの方法よりも安全であると考えられていますが、依然として機密性や危険性が非常に高いため、人物のプロフィールや特性が複数のサイバー脅威に晒される可能性があります。ITシステムを介したサイバー攻撃であろうと、アクセスレベルによる単なるインサイダー脅威であろうと、生体認証データへのハッキング方法は多くあり、またその他の可能性も多数存在します。例えば、高解像度のデジタル写真は、顔認証システムの処理に使用される可能性があります。

PDP法の第27条、第28条は、個人情報管理者に対して、法的に有効かつ透明性の高い限定された特定の方法によってのみ、個人情報の処理を行うよう法的に義務付けています。つまり、個人情報の収集は、処理の目的に従って制限され、収集時に明確に決定されていることが必要です。

処理については、関係法令に従って実施しなければならず、またデータ主体は、個人情報の処理方法について十分に把握していなければなりません。また、第34条では、データ処理が主体にとって危険性が高いと考えられる場合、個人情報管理者は、個人情報保護に与える影響についても評価しなければならないことが強調されています。

政府は第58条に基づき、大統領が直接任命し（大統領直属の）情報保護機関を設立することによって、法律に従って個人情報を保護する役割を果たします。本機関は、個人情報保護、監督、行政上の法執行、法廷外での紛争解決の促進に関する政策や戦略を策定し、定める権限が委任されます。

つまり、PDP法によって、以前よりはるかに重要な政策が策定されたため、特に法人については、データ漏洩について72時間以内にデータ主体と当局に通知しなかった場合、年間の利益または収益の最高２％に相当する高額な罰金が科せられることになります。生体認証データの機密性を考慮すると、大企業にとって収益の２％の罰金額は低いと考える意見もある一方で、企業は、通知期間がこれまでの14日間と比較して非常に短くなったことを意識し、その準備を整えなければなりません。

将来への展望

メタバースは、インドネシアのデジタルエコノミーを強化するための文字通り一つの解決策となる可能性があります。しかし、今日、テクノロジーがますます進化する中、サイバー攻撃は止むことがないと考えられています。メタバースに不可欠な要素である生体認証データは、現在も、また今後も変わらず、特別な注意を必要とする、機密性や危険性が非常に高い情報です。PDP法は、生体認証データの保護に関する具体的な規制を定めたものと考えられており、同法に基づき、その処理については厳重かつ非常に限定された方法で実施されなければなりません。今日のビジネス環境において、より高度なテクノロジーが今後も引き続いて活用されると世界が予測する中、現行の法令が、いかに法の番人として、中心的な役割を効果的に果たせるかは興味深いところです。

PDP法によって、情報保護管理機関の設立が義務付けられる一方で、そうした機関が完全に独立したものであるかどうかもまた現時点では依然として不明です。将来のサイバー脅威を防止するために、生体認証データの取得、処理、管理、破棄の基準を規制し、最高水準の監督機能を持つ、独立した生体認証データの監視機能を確立することは検討に値することです。

いったん個人情報が違法に漏洩されると修復はほぼ不可能であるため、個人情報保護にいかなる違反があった場合も、法律に従って捜査および処罰が確実に行われることで、強力な抑止力が働くように、最終的には、法執行機関が、（高度な技術支援などの）十分な機能や能力を備えていることも重要になります。

MELLI DARSA & CO
Indonesian member law firm of PwC global network
World Trade Center III
Jl Jenderal Sudirman Kavling 29-31, Kuningan
South Jakarta – 12920, Indonesia
電話: +62 21 521 2901
Eメール: id_contactus@pwc.com

www.pwc.com/id

Back to top

台湾

台湾では主要な政府機関や大企業のウェブサイトが、頻繁にサイバー攻撃の標的となっており、その対応として、行政院（内閣）は最近、サイバーセキュリティを監視、規制する全く新しい機関である、デジタル発展省（MoDA）を設立しました。

8月27日に業務を開始したMoDAは、電子商取引、電子署名、電子政府、データ管理を中心とした全般的なデジタル開発も管轄しています。

サイバーセキュリティ法

サイバーセキュリティ管理法は、台湾におけるサイバーセキュリティを管理する主要な法律です。しかし、本法は政府機関、ならびに重要インフラ提供者、国有企業、政府出資の財団法人など特定の非政府機関にのみ適用されます。

金融機関または通信事業者など特定の業種に適用できる特定のサイバーセキュリティ要件を除いて、すべての非政府事業体に全般的に適用できるサイバーセキュリティ要件はありません。

同法の対象となるすべての機関は、サイバーセキュリティの責任レベルに従い、独自のサイバーセキュリティ保全計画を策定および実施し、サイバーセキュリティインシデントの報告および対応メカニズムを構築しなければなりません。

サイバーセキュリティインシデントは、発見後１時間以内に報告しなければならず、被害対策または修復に関するあらゆる措置を、その深刻度に応じて、発見から36～72時間以内に完了する必要があります。

さらに同法によって、関連業界を担当する中央の所轄官庁は、その監督下にある特定の非政府機関のサイバーセキュリティ問題に関する規制ガイドラインを公布する権限を与えられており、そうしたガイドラインでは、情報セキュリティ管理に関するISO/IEC 27001国際規格に基づいた関連要件が、参照および推奨されています。

行政院は、サイバーセキュリティ対策を強化するために、政府機関、公立学校、国有企業、および行政法人に対して、国家のサイバーセキュリティを危険にさらす恐れのある情報通信技術製品の使用を制限するガイドラインも定めました。政府機関もまた、その監督下にある重要インフラ提供者や政府出資の財団法人に対して、本ガイドラインに従うよう要請しなければなりません。

ガイドラインのポイント３および４に従い、行政院は、関連事業者が調達または使用してはならない情報通信技術製品、およびサービスの禁止ブランドのリストを公表することができます。

最近発生した電光掲示板などのハッキング事件の後、経済部は、店舗用の電光掲示板のサイバーセキュリティ管理に関するガイドラインを公布し、電光掲示板に中国製ソフトの使用を禁じるとともに、事業者に中国製の電光掲示板の使用を控えるよう求めています。

サイバー犯罪

種々のサイバー犯罪行為は、以下の法律を中心とする、さまざまな台湾の法律に違反しています。

• 刑法第358条から第362条までの条項では、以下の特定の種類のサイバー犯罪を禁止しています。正当な理由なく他人のコンピュータおよび付属機器、またはそのいずれかに侵入すること、正当な理由なく、コンピュータおよび付属機器、またそのいずれかに保存されている電磁的記録の取得、削除、または改ざん（フィッシングなど）、コンピュータプログラムまたはその他の電磁技術を使用して、正当な理由なく、他人のコンピュータおよび付属機器、またそのいずれかを妨害すること（サービス拒否（DoS）攻撃またはマルウェアなど）、ならびにこうした犯罪を行うために特別にコンピュータプログラムを作成すること。
• 刑法におけるその他の関連条項は以下の通りです。第210条（偽造罪）、第309条から第313条まで（名誉および信用毀損罪）、第315条または第318条第1項（プライバシー侵害罪）、第339条第3項（詐欺罪）、第346条（恐喝罪）、ならびに第352条（器物損壊罪)。
• その一方で、個人情報保護法の第41条および第42条は、個人情報侵害罪に対処するものであり、著作権法の第92条および第93条では、著作権侵害を禁じています。電気通信法第56条では、他人の電気通信設備への不正なアクセスや使用を禁止しています。また、通信セキュリティおよび監視法（Communication Security and Surveillance Act）の第24条では、違法な通信監視を禁止しています。

サイバーセキュリティに悪影響を与え、脅かすいかなる行為も、当該行為に関する現状に応じて、上記に挙げた１つ以上の犯罪行為とみなされる可能性があります。

こうした犯罪は、台湾領土内における行為および人物、またはそのいずれか、もしくはサイバー犯罪の発生場所に適用され、台湾の裁判所が管轄します。

個人情報保護

個人情報保護法は、台湾において個人情報の収集、処理、および使用を規制する一般法です。

データ漏洩の通知に関して、同法の第12条では、個人情報の盗難、漏洩、改ざんまたは侵害などの事件が発生した場合、情報管理者は、当該事件の調査後に、適切な方法で被害を受けたデータ主体に通知しなければならない、と定めています。

データセキュリティの義務に関して、同法の第27条第1項では、情報管理者に対して、個人情報の盗難、改ざん、毀損、破壊、紛失、開示を防ぐ適切な対策の整備を求めています。

同法の施行規則の第12条第2項ではさらに、情報管理者が、比例原則、つまり関連する個人情報の質と量に基づいて講じることを検討できる、特定の技術的および組織的な対策について規定しています。

厳密にいえば、個人情報保護法もその施行規則も、情報管理者に対して、特定のセキュリティ対策の整備を義務付けていません。具体的なセキュリティ対策を講じるかどうかは、情報管理者の判断に委ねられています。

しかしながら、同法第27条第2項に従い、中央の所轄官庁は、その監督の下、１つ以上の業種を指定し、そうした業種に対して、個人情報ファイルのセキュリティ保守計画を策定するよう求めることができます。

省庁および委員会に対して、その管轄下にある非政府機関の監督を行うよう要請するために、行政院は、2020年以来、定期的に共同会議を招集、開催してきました。

2021年2月3日付けの会議決議では、情報漏洩に関する継続的な報告を確実に行い、時系列を把握するために、省庁および委員会に対して、その監督下にある特定の業種の既存の情報保護規制を修正するよう明確に要請するとともに、非政府機関に対して、提供された報告様式を用いて、データ漏洩について72時間以内に中央の所轄官庁に報告するように求めました。

行政院は2021年8月に、さらに個人情報保護の実施に関する共同実践ガイドライン（collaborative practice guideline）を定め、省庁や委員会に対して、その監督下にある特定の業種の既存の情報保護規制を修正するよう要請するとともに、ITシステムを利用して個人情報を収集、処理、使用している非政府機関に対して、情報セキュリティを確保するために追加的な対策を講じるように求めました。

同ガイドラインでは、非政府機関の規模、保管している個人情報の量または性質、データ漏洩の結果、データ主体に及ぼす可能性のある影響、データの越境移転の頻度、ならびにその他の要因を考慮し、省庁および委員会に対して、その監督下にある特定の業種の新たなデータ保護規則を策定する必要性についても、定期的に見直すよう要請しました。

コーポレートガバナンス

台湾では、取締役は企業に対して信認義務を負い、その義務に違反した場合、責任を問われます。しかし、企業がサイバーセキュリティインシデントの防止、軽減、管理、または対応を怠った場合、取締役がその信認義務に違反したとは必ずしも結論付けられない場合があります。

むしろ、それは、当該インシデントが取締役会に報告されるべきであったかどうか、また取締役会が措置を講じる義務を負っていたかどうかによって決まります。

その一方で、台湾の法律は、金融機関などの特定の業種を除いて、企業に対して、情報セキュリティ最高責任者（CISO）の任命を義務付けていません。

しかし、金融監督管理委員会は現在、台湾証券取引所（TWSE）または台北証券取引所（TPEx）に上場する以下の企業に対して、情報セキュリティポリシーの実施責任者であるCISOを任命し、さらに2022年12月31日までに少なくとも役員１名とスタッフ２名が在籍する情報セキュリティに特化した部署を設置するよう要請しています。100億ニュー台湾ドル（3億2520万米ドル）以上の払込資本金を持つ企業、前年末時点でTWSE台湾50インデックスを構成する企業、主として電子商取引を行っている企業が対象となります。

その他のTWSEまたはTPExの上場企業は、さらに裁量が与えられており、2023年12月31日までにCISOおよび情報セキュリティを専門とする少なくともスタッフ１名を任命する必要があります。ただし、上記企業のうち、過去３年間で損失を計上している企業、または１株当たりの正味価額が１株当たりの額面金額を下回っている企業は対象外となります。

LEE AND LI
8/F No.555, Sec. 4, Zhongxiao E. Rd.
Taipei – 11072, Taiwan
電話: +886 2 2763 8000
Eメール: attorneys@leeandli.com

www.leeandli.com

Back to top