データ保護とサイバーセキュリティは、アジアにおいて進化する規制分野です。ここでは、専門家が主要な国に見られる法律に光を当てます
台湾のサイバーセキュリティ法は、さまざまな体制で設定された,さまざまな法律と規制で構成されています。サイバーセキュリティ管理法(CSMA)は2018年に公布されましたが、主に政府機関と特定の非政府機関のためのサイバーセキュリティ管理メカニズムを確立しています。他の関連する法律や規制は重要で、とりわけ、刑法、個人データ保護法(PDPA)、および新しい侵入防止法が含まれるでしょう。
刑法
サイバーセキュリティに関する規定は、刑法第36条「コンピューター犯罪」に規定されています。下記の行為は、懲役や罰金を含む、しかしこれらに限定されない、刑事罰の対象となります。
台北のFormosa Transnationalのシニアパートナー
連絡先: +886 2 2755 7366
Eメール: shuai-sheng.huang@taiwanlaw.com
(1)他人のコンピュータへのハッキング(刑法358条)。人の次の場合。(i)他人のアカウントIDとパスワードを入力する。 (ii)コンピュータ保護対策を破る。 または、(iii)正当な理由なしに他人のコンピュータまたは関連機器にアクセスするシステムの抜け穴を利用する。それらの行為は、刑法358条に基づく違反行為となります。「理由」という用語には、関連する他者の承認、または法的要件が含まれるでしょう。
(2)電子または磁気記録の違法廃棄。他人のコンピュータまたは関連機器の電子記録または磁気記録を違法に入手、削除、または変更した場合、その行為は刑法359条に違反する可能性があります。「電子的または磁気的記録」という用語は、「電子的、磁気的、光学的、または他の同様の手段の使用を通じて行われるコンピュータ処理のための記録」を指します。
(3)コンピュータまたは関連機器の使用の妨害。他人のコンピュータまたは関連機器の使用を妨害し、公衆または他の人に危害を引き与えた場合、その行為は刑法362条に違反する可能性があります。
刑法の第36章で指定された犯罪を犯すようにコンピュータープログラムを作成する。上記の第358条、第359条、および第362条の違反を犯す目的で、個人または他人用に特別にコンピュータープログラムを作成した場合、その行為は刑法第363条に違反する可能性があります。
民法
民法には、サイバーセキュリティ違反に対する民事責任に関する特定の法律や規制はありません。ただし、誰かが他人のコンピューターをハッキングすることによって、またはサイバーセキュリティに影響を与える他の手段によって他人に損失または被害を負わせた場合、被害者/主体は、民法(不法行為)の第184条およびその他の規定に従って補償を請求することができます。原則として、第18条(個人の権利の侵害)および第195条(名誉の侵害)、および特定の状況に関連する可能性のあるその他の関連規定を含みますが、これらに限定されません。
個人情報保護法
個人データの保護のために、PDPAは政府/非政府機関が個人データの盗難、改ざん、損傷、破壊または開示を防ぐために適切なセキュリティ対策を実施する必要があることを規定しています。これらの規定は、サイバーセキュリティに直接関係するものではありません。ただし、個人データは現在インターネットを利用して収集、処理、転送されているため、セキュリティ対策もサイバーセキュリティ対策の全体的な有効性を高めるのに役立ちます。
PDPAは、特定の業界を担当する中央管轄当局が特定の非政府機関(民間団体)を指名して、個人データファイルの保護のためのいわゆるセキュリティおよび保守計画を確立し、事業終了に伴う、個人データーの処分に関して、ガイドラインを策定し、実装するように指示することも規定していますたとえば、台湾の金融監督委員会は、「金融監督委員会によって指定された非政府機関の個人データファイルの保護のためのセキュリティおよび保守計画」を制定しました。
これらの規制の下で、電子商取引サービスを提供する非政府機関は、次の情報セキュリティ対策を活用する必要があります。(1)本人確認、(2)個人データを隠ぺい、3)インターネット経由で送信するための安全な暗号化、 (4)特定のアプリケーションシステムの開発、オンライン化、保守のプロセスを検証および確認、 (5)個人データファイルとデータベースの保護と監視の手段を確立して実装、 (6)外部の不正アクセスを防止するための解決策を策定、 (7)違法/異常なアクセスと使用に対する解決策と監視を策定。
CSMA
CSMAは2018年6月6日に台湾で公布されました。CSMAは、刑法およびPDPAとは別に、国家のサイバーセキュリティを保護する環境を構築するための政府または特定の非政府機関によるサイバーセキュリティプログラムの管理を主に規制しています。CSMAの管轄当局は行政院であり、台湾で最高の行政中央政府当局です。経済部は、台湾の企業がCSMAごとに関連するサイバーセキュリティメカニズムを確立するためのガイドラインも公開しています。
CSMAの適用範囲には、政府機関と特定の非政府機関が含まれます。具体的な非政府機関には、国有企業、政府寄付の財団、および「インフラプロバイダー」が含まれます。
これは、インフラプロバイダーは、CSMAが必要とする範囲でサイバーセキュリティ保護メカニズムを確立し、関連する機密情報が安全であり、悪意を持って他者に漏洩しないようにし、国家安全を守ることが期待されているため、重要です。
インフラスプロバイダーとは、関連する業界を担当する中央当局によって指定された重要なインフラを全体的または部分的に維持または提供する組織を指し、その指定は、承認のために所管官庁に提出されます。
重要なインフラには、エネルギー、水、電気通信、金融、輸送、救急医療、政府機関、ハイテクパークなどの分野の施設のサプライヤーが含まれます。
サプライヤがインフラプロバイダとして指定されると、国家安全に悪影響を与える可能性のあるインターネットを介した機密情報の予期しない開示を防ぐためのサイバーセキュリティ保護メカニズムを確立するという政府機関と同じ義務も負います。
CSMAに基づく政府機関および特定の非政府機関の責任は、次の3つの段階に分類されます。
(1)事前計画。CSMAは、政府機関または特定の非政府機関に、担当者が適切に実装できるように、「セキュリティおよび保守計画」と「報告および対応メカニズム」を事前に確立することを要求します。機関は、ビジネスの重要性、機密性、秘密度、機関の階層、保管または処理された情報の分類、量、属性、および機関の情報と通信システムの規模と属性について、基準を検討することにより、サイバーセキュリティの責任レベルを述べることも要求されます。
(2)保守。政府機関は中央政府当局に定期的に報告書を提供する必要があり、当局はCSMAに従って現場の遵守チェックを実施する可能性があります。サイバーセキュリティに影響を与える事象が発生した場合、機関は中央政府当局に報告し、損失を制御し、中央政府当局によって制定されたメカニズムに従って運用を回復するための対策を講じる必要があります。
(3)事象発生後の是正。サイバーセキュリティ事象が発生した後、または中央政府当局が機関のサイバーセキュリティ制御メカニズムに欠陥を見つけたときに、組織はそのような欠陥を修正し、欠陥を是正するために取られる対策を示す報告書を提出する必要があります。機関は、是正の実施と有効性および欠陥が包括的に是正されることを確約する是正策を突き止めるように要求されます。
CSMAはまた、サイバーセキュリティに対する脅威が世界中のさまざまな場所から発生する可能性があるため、政府に情報共有メカニズムの確立を要求しています。サイバーセキュリティネットワークを強化するために、政府機関と非政府機関の間で情報を共有することが推奨されます。
確立された情報共有メカニズムには、国家情報共有分析センター(N-ISAC)、国家コンピュータ緊急対応チーム(N-CERT)、国家安全保障運用センター(N-SOC)が含まれます。
浸透防止法
浸透防止法は2020年1月初旬に発効し、「浸透源」の指示に基づいて、または資金提供を受けて行動する人々が、違法なキャンペーンやロビー活動に従事したり、違法な政治献金を受け取ったり、社会秩序を混乱させたりすることを禁止します。
侵入防止法の起草と成立の背景は台湾当地での最近の大統領選挙です。つまり台湾の内外の人々が選挙結果に影響を与えるようにインターネット上でいわゆる「フェイクニュース」を作り出していたためです。
FORMOSA TRANSNATIONAL ATTORNEYS AT LAW
13/F, 136 Jen Ai Road, Sec. 3, Taipei
連絡先: +886 2 2755 7366
ファックス: +886 2 2755 6486
www.taiwanlaw.com
