サイバーセキュリティ規制についての比較:インド

    By Nehaa Chaudhari、Vijayant Singh、とAnand Krishnan、Ikigai Law
    0
    767
    LinkedIn
    Facebook
    Twitter
    Whatsapp
    Telegram
    Copy link

    中国

    インドネシア

    台湾

    いくつかの法律、規則、およびセクター別の規制により、インドのサイバーセキュリティに関する法律上、規制上および制度上の枠組みが定められており、セキュリティ基準の整備の推進や、サイバー犯罪の定義、インシデント報告が義務付けされています。

    概要

    Nehaa Chaudhari, Ikigai Law
    Nehaa Chaudhari
    パートナー、
    Ikigai Law(ベンガルール)
    Eメール: nehaa@ikigailaw.com

    2000年情報技術法(以下「IT法」)は、サイバーセキュリティ、データ保護、サイバー犯罪に対処する主要な法律です。

    その主な特徴は以下の通りです。

    • 電子取引および電子通信を法令によって承認、保護します。
    • 電子データ、情報、および記録の保護を目的としています。
    • コンピュータシステムの不正使用または違法な使用の阻止を目的としています。
    • ハッキング、サービス拒否(DoS)攻撃、フィッシング、マルウェア攻撃、なりすまし、および電子窃盗を犯罪として認定しています。

    IT法に基づき策定された規則や規制によって、以下のさまざまなサイバーセキュリティの側面が規制されます。

    • 2013年情報技術(インドコンピュータ緊急対応チームと機能および義務の実行方法)規則(以下「2013年規則」)によって、サイバーセキュリティインシデントに関する情報の収集、分析、発信、ならびに緊急対応措置を担当する行政機関として、コンピュータ緊急対応チーム(CERT-In)が設立されました。同規則によって、仲介業者およびサービスプロバイダーに対して、サイバーセキュリティインシデントをCERT-Inに報告することも義務化されました。
    • CERT-Inが2022年に出した「安全で信頼性の高いインターネットのための情報セキュリティの実践、手順、予防、対応、およびサイバーセキュリティインシデントの報告に関する指示」によって、2013年規則に基づく既存のサイバーセキュリティインシデントの報告義務に追加、修正が加えられています。
    • 2011年情報技術(合理的なセキュリティの実践と手順、および機密性の高い個人情報または情報)規則(以下「SPDI規則」)は、機密性の高い個人データや情報を処理、収集、保存、転送する企業に、合理的なセキュリティの実践や手順を実施することを義務付けています。
    • 情報技術(2021年仲介業者ガイドラインおよびデジタルメディア倫理規定)によって、仲介業者は、各自のコンピュータリソースや情報を保護するために、合理的なセキュリティの実践および手順を実施するよう義務づけられているため、結果的にセーフハーバーの保護が維持されます。仲介業者も、サイバーセキュリティインシデントをCERT-Inに報告する義務が課されています。
    • 2018年情報技術(保護システムに関する情報セキュリティの実践と手順)規則によって、IT法に基づき定義されている保護システムを有する企業は、特定の情報セキュリティ対策を整備するよう義務があります。
    Vijayant Singh, Ikigai Law
    Vijayant Singh
    シニアアソシエイト
    Ikigai Law(ニューデリー)
    Eメール: vijayant@ikigailaw.com

    サイバーセキュリティ関連の規定を含むその他の法律には、誹謗中傷、詐欺、脅迫罪、わいせつ行為など、サイバースペースで行われる犯罪を罰する1860年インド刑法や、企業に対して、電子記録や電子システムが不正アクセスや改ざんの被害がないことを求める2014年会社(経営・管理)規則などがあります。また、インド準備銀行、インド保険規制開発局、電気通信局、インド証券取引委員会、インド国家保健機関(National Health Authority of India)などの規制当局や政府機関が発令したセクター別の規則もあり、これらは特に、規制対象事業者に対してサイバーセキュリティ基準を維持するよう義務付けています。

    重要情報インフラ(CII)のサイバーセキュリティは、それらの機能が停止するか、または破壊されると、国家安全保障、経済、公衆衛生または安全を揺るがすような影響を与えかねないコンピュータリソースであると定義されており、国家重要情報インフラ保護センター(NCIIPC)が発行するガイドラインによって規制されています。

    政府は、IT法に基づき、CIIの施設に影響を与えるコンピュータリソースを保護システムとする通知を出し、保護システムを運営する企業に対してサイバーセキュリティの義務を規定することができます。指定されたCIIセクターには、運輸、通信、銀行、金融、電力、エネルギー、電子政府などが含まれます。こうしたセクター内では、関係当局が、特定のコンピュータシステムを保護システムとして通知することができます。中央電力庁など、セクター別の規制当局や政府機関も、サイバーセキュリティやCIIに関する規則やガイドラインを策定しました。

    制度的枠組み

    サイバーセキュリティは分野横断的な問題であるため、インドには、サイバーセキュリティに関する省庁間の複雑な制度的枠組みがあり、複数の省庁や機関が主要な役割を果たしています。例えば、電子情報技術省(MeitY)は、サイバー法など、IT、エレクトロニクス、インターネットに関連する政策に取り組んでいます。また、電子情報技術省は、サイバーインシデント対応活動を調整、実施するための中核機関としてCERT-Inを立ち上げました。

    内務省は、サイバーセキュリティなど国内のセキュリティについて調査します。こうした目的のために、内務省は、サイバー犯罪部、サイバーセキュリティ部、監査部から構成されるサイバーおよび情報セキュリティ課を設置しました。また、サイバー犯罪への対策を行うため、2018年にインドサイバー犯罪調整センターも設置しました。CIIの中核機関であるNCIIPCは、国家安全保障顧問の直属機関として設置されています。国家サイバーセキュリティコーディネーターは、首相府の下で働き、連邦レベルでさまざまな機関と連携するサイバーセキュリティの担当官です。

    セキュリティ対策

    Anand Krishnan, Ikigai Law
    Anand Krishnan
    シニアアソシエイト
    Ikigai Law(ニューデリー)
    Eメール: anand@ikigailaw.com

    IT法は、連邦レベルで、機密性の高い個人情報を扱う組織に対してセキュリティに関する義務を課しています。これについては、企業に対して、経営面、技術面、運用面、および物理面でのセキュリティ管理対策を義務付けているSPDI規則で説明されています。同規則も、情報セキュリティ管理に関する国際規格であるISO/IEC 27001に準じているため、法人は、政府が承認する独立監査人による監査チェックを少なくとも年1回、あるいはプロセスやコンピュータリソースを大幅に改良した時点で受けなければなりません。

    セクター別の規制当局や中核機関もまた、セキュリティ対策を規定しています。インド準備銀行は、インシデントに対処、報告する仕組み、サイバー危機管理、ならびにシステムの継続的な監視および顧客情報の保護に関する取り決めなど、銀行に関する基準を定めています。また、銀行に対して、ISO/IEC 27001規格およびISO/IEC 27002規格に従うことを義務付けています。

    同様の枠組みは、ノンバンク金融会社にも適用することができます。インド証券取引委員会は、証券取引所、受託所、決済機構に対して、ISO/IEC 27001、ISO/IEC 27002、およびCOBIT 5などの規格に従うことを義務付けています。

    サイバーインシデントの報告

    2013年規則では、組織に対して、適切な時間内にインシデントをCERT-Inに報告するよう義務付けています。インシデントには、サービス拒否(DoS)攻撃、フィッシング、ランサムウェアインシデント、ウェブサイト改ざん、ネットワークまたはウェブサイトの標的型スキャンなどがあります。

    CERT-Inは2022年4月、サイバーセキュリティインシデントをその発生認識後6時間以内に報告する義務、システムクロックと政府のサーバーが提供する時刻との同期、インドにおけるセキュリティログの管理、顧客の追加情報の保存など、2013年規則に基づく義務を修正する新たな指示を発令しました。2021年IT規則においても、仲介業者に対して、CERT-Inにセキュリティ侵害について通知することをデューデリジェンス義務の一環として義務付けています。

    さまざまなセクター別の報告義務についても適用されます。例えば、金融サービスセクターでは、全銀行に対して、インシデントを認識してから2~6時間以内に報告するよう義務付けられています。同様に、保険会社もサイバーセキュリティインシデントを認識してから48時間以内に保険規制開発局に報告しなければなりません。電気通信事業者は、技術施設への侵入、攻撃、不正行為の監視設備を設置し、そのような侵入、攻撃、不正行為の報告を電気通信局に提出するよう義務付けられています。

    サイバー犯罪

    窃盗、詐欺、偽造、誹謗中傷、いたずらなど従来の犯罪行為はすべて、1860年インド刑法の対象となっており、サイバー犯罪に含まれる可能性があります。IT法は、改ざん、ハッキング、わいせつ情報の公開、保護システムへの不正アクセス、守秘義務違反やプライバシーの侵害、虚偽のデジタル署名証明書の公開など、現代の犯罪に対処しています。脅迫メール、中傷的な内容のメールを送ること、電子記録の偽造、サイバー詐欺、なりすましメール、サイトジャック、メールの不正使用も犯罪です。

    今後の方針

    インド連邦政府は、国家サイバーセキュリティコーディネーターを介して、新たな国家サイバーセキュリティ戦略の策定過程にあります。この戦略の目的は、インドのサイバーセキュリティの枠組みにおける特定のギャップに対処し、国家全体のサイバーセキュリティ体制を強化することです。

    インド政府は、国内ならびに世界のデジタルおよびテクノロジー環境における進歩と足並みを揃えるべく、IT法の改訂も検討中です。これによって、既存のサイバー犯罪、インシデント報告、セキュリティ対策、および基準の枠組みが変化する可能性があります。

    Ikigai Law Logo

    IKIGAI LAW
    New Delhi | Bengaluru
    Eメール: contact@ikigailaw.com

    www.ikigailaw.com

    LinkedIn
    Facebook
    Twitter
    Whatsapp
    Telegram
    Copy link