サイバーセキュリティ法に関するアジアの視点 – 印度

データ保護とサイバーセキュリティは、アジアにおいて進化する規制分野です。ここでは、専門家が主要な国に見られる法律に光を当てます

医学、天文学、金融、法律、社会生活など、私たちの生活のすべての側面は、伝播と存在のためにコンピューターによって営まれるか、間接的に依存しています。コンピュータは私たちの生活を楽にする一方、それらはまた、新しい一連の課題をもたらしました。

Microsoftの創設者であるBill Gatesが言った良く知られる言葉に、「コンピューターは、以前には存在しなかった問題を解決するために生まれました。」があります。いずれにしろ、コンピューターへの依存から生じる特定の課題は社会に悪影響を及ぼす可能性があり、強力で強固な法的枠組みがない限り、社会を保護することはできません。この記事は、インドのサイバーセキュリティとデータプライバシーを現在管理している法令を対象にすることを目的としています。

生活のすべての分野でのデジタル化の出現で、政府が講じた最初の手段は、電子記録の承認、およびデジタル処理の承認と制裁に向けられていました。この点で、デジタル化から生じる新しい課題に対応するため、いくつかの既存の法律が改正されました。

それでも、インドのサイバーセキュリティに向けて取られた最初の主要なステップは、2000年情報技術法（IT法）の制定でした。その後の法学の発展は、不十分ですが、さらなる進化への道を開き、2008年に可決された情報技術（修正）法につながりました。

IT法は、さまざまなサイバー犯罪およびサイバー違反を広く網羅しています。情報技術に関連する刑事犯罪を構成するほとんどすべての既知の活動は、IT法の対象です。

. ハッキング。IT法ではハッキングについて具体的に言及していませんが、IT法の43条では、所有者の許可なしにコンピュータ、コンピュータシステム、またはコンピュータネットワークにアクセスした場合（第a款）、ダウンロード、コピー、データ（第ｂ款）を抽出した場合、またはシステムに混乱（第e款）を引き起こした場合、そのような人は、影響を受けた人への補償として損害賠償を支払う責任があります。IT法の66条はさらに、ハッキングを含む、43条で言及された犯罪が、最長3年間、または最高7,100米ドルの罰金、あるいはその両方を課す可能性があると規定しています。

. フィッシング。 IT法はフィッシングを明確に定義していません。ただし、IT法の66条Cおよび66条Dは、フィッシングの一種である犯罪に対する処罰を規定しています。66条Cは、詐欺または不正に電子署名、パスワード、または他の人物のその他の一意の識別機能を使用する者は、最大3年間の懲役および最高$ 1300の罰金を課すことを規定しています。IT法とは別に、1860年のインド刑法第419条も、なりすましによる不正行為に対する同様の罰則を規定しています。

. マルウェア/ウイルス攻撃。IT法の43条の第c款に基づき、所有者の許可なしにコンピュータリソースにコンピュータ汚染またはコンピュータウイルスを導入した場合、その人は補償として損害賠償を支払う責任があります。そのような行為はまた、その法律の第66条に基づく罰を引き起こします。

. サイバーテロ。サイバーテロは、新しい66条Fが追加された2008年に導入された改正IT法で具体的に取り扱われました。第66F条に基づき、犯罪がインドの単一性、統合性、安全保障または主権を脅かす、または人々にテロを犯し、またはその行為が死傷または人身傷害を引き起こし、財産の損害またはサービスの中断を引き起こし、そして 生命に不可欠な供給、または重要な情報インフラに脅威を及ぼす場合、それはサイバーテロリズムを構成し、終身刑をもたらす可能性があります。

情報技術の分野は急速に進歩しており、時間の経過とともに、インド政府は新しい課題に対応するため、IT法の範囲を拡大し、いくつかの規則や規制を策定し続けています。時が経つにつれ、政府はさまざまな規則を策定し、そのうちのいくつかは、サイバーセキュリティとデータプライバシーに重要な役割を果たしています。

(1) 情報技術（合理的なセキュリティ慣行と手順、および機密性の高い個人データまたは情報）規則、2011年（SPDI規則）。

(2) 情報技術（仲介者ガイドライン）規則2011、

(3) 情報技術（サイバーカフェのガイドライン）規則2011、

(4) 情報技術（電子サービス提供）規則2011、

(5) 情報技術（インドのコンピューター緊急対応チームおよび実行機能と義務の方法）規則、2013年（CERT-In規則）、

(6) 情報技術（情報セキュリティの実践と保護されたシステムの手順）規則、2018年。

政府によって制定されたさまざまなIT規則は、安全な慣行を確実にし、サイバーセキュリティ事故を報告するために、個人および組織に重大な義務を課しています。

上記のCERT-In規則では、「サイバーセキュリティ事故」の影響を受けた個人および企業は、インドのコンピュータ緊急対応チーム（CERT-In）に報告する必要があります。サイバーセキュリティ事故とは、明示的または暗黙的に適用されるセキュリティ政策を害する、サイバーセキュリティに関連する実際のまたは疑わしい有害事象を意味します。

CERT-Inは、サイバーセキュリティの緊急事態に対応して、調整し、サイバーセキュリティの改善に役立つ情報を提供するように構成されています。

IT法から生じる論争は、解決するために特別な専門知識を必要とするテクノロジーに関するより深い質問に遭遇することは間違いありません。したがって、IT法は、法に起因する紛争に対して特別な「裁定役員」を任命することを規定しており、これらの裁定役員の決定は、この法律に基づいて特別に構成された上訴裁判所に再度上訴することができます。

2000年IT法の第48条（1）に基づき、電子情報技術省は2006年10月にサイバー規則上訴裁判所（CRAT）を設立しました。2008年のIT（改正）法により、裁判所はサイバー上訴裁判所（CyAT）に名称を変更しました。IT法に従い、認証局の管理者またはこの法律に基づく裁判官の命令により苦情を申し立てられた者は、CyATに控訴することができます。

インドは個人データの保護を確実にするために重要な措置を講じており、その法的枠組みが世界の動きに劣らないよう努めています。規則と規制の一部は、所有するデータを保護するための適切なインフラとセキュリティを確保する義務を組織に課すことを目的としています。SPDI規則に従って、財務、健康、パスワード、生体認証などのデータを保存する企業や組織には、保護が求められる情報資産に見合った技術的、運用的、物理的なセキュリティ管理対策を含む政策が必要です。

規則の他の部分では、個人データとは何か、およびデータプライバシーと情報の開示に準拠する必要がある政策を定義します。SPDI規則の規則2（i）は、個人情報とは、自然の人に関し、直接または間接的に、他の利用可能な情報、または企業が利用できる可能性が高い他の情報と組み合わせて、個人を特定できる情報を意味すると規定しています規則3は、パスワード、財務情報、身体的および精神的健康状態、性的指向、生体認証などの特定の情報を、機密データとして分類します。

これらの規則に基づいて、企業または個人は、個人データ、そのような情報の収集および使用の目的、情報の開示に関する政策、及び適切な採用されるセキュリティ手順に関する政策の表明を（ウェブサイトまたは契約において）明確に開示する必要があります。 これらの規則は、個人データが保護され、そのようなデータを漏らす人はそのようなデータの収集の趣旨、およびそのようなデータを求める組織がデータは保護されているという確信をもたらかどうかを確認します。

複雑さが増すにつれて、データプライバシーに関する既存の法律は不十分であると認識されました。2017年8月、個人データを保護するためのより強固な法律の必要性は、インド最高裁のKS Puttaswamy 対 India of Union裁判で認識されました。個人のプライバシーに対する基本的権利と個人データのより強力な保護の必要性を明確に認めました。

その後、司法長官BN Srikrishnaが議長を務める専門家委員会による報告書と法案の発表が続きました。専門家委員会の法案に沿って、又2018年のEU一般データ保護規則（GDPR）にも従っている、2019年のデータ保護法案は、現在、インドの議会で保留中です。

ITの動的性質を考えると、ITに関連する法律も、他の法律よりも速いペースで継続的な進化の過程を経ます。インド政府はこのダイナミズムを認識しており、IT法の適用範囲を随時拡大することにより、情報技術に関する法律を継続的に改革しています。

最近、2018年の情報技術（情報セキュリティ慣行と保護されたシステムの手順）規則とデータ保護法案の導入により、政府はデータプライバシーに関する法律をさらに強化することの重要性を認識しました。それは国境を越えた情報の流れへの自信を深める前向きな動きです。

LEXORBIS
709/710 Tolstoy House
15-17 Tolstoy Marg
New Delhi – 110 001 India
連絡先: +91 11 2371 6565
ファックス： +91 11 2371 6556
Eメール: mail@lexorbis.com
www.lexorbis.com