LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link

データ保護とサイバーセキュリティは、アジアにおいて進化する規制分野です。ここでは、専門家が主要な国に見られる法律に光を当てます

我々は今、非常に困難な時期に直面しております。新型コロナウイルスによる感染症の拡大で、国際往来が大幅に減らしました。数多くの国や都市がほぼ封鎖の状態になっております。社交における距離を保つために、私たちは自宅に止めることになり、仕事や交流、娯楽などもオンラインに頼ることになっています。これまでにインターネットサービスにこれほどに密接することはなかったでしょうか。このように徹底的にネット環境に浴びることやこのように真剣に自分の個人情報やプライバシー保護の問題に直面することもなかったでしょう。

cybersecurity
王筱東
グローバル弁護士事務所(上海)パートナー
連絡先: +86 21 2310 9517
Eメール: vincentwang@glo.com.cn

これに関しまして、企業は、関連ビジネスでの個人情報の使用することから生じるコンプライアンスのリスクについても非常に警戒しています。世界を見渡ると、EUは伝統的な産業の巨人として、データ保護に関する『一般データ保護規則』(GDPR)を発行しています。インターネットの発祥の地であり、多くの有名なインターネット企業の拠点であるカリフォルニアは、『カリフォルニア州消費者プライバシー保護法』(CCPA)にも関連する内容を取り入れています。その一方で、長き歴史を持つ古代文明国である中国は、近年、グローバルなインターネット技術の革新と開発のテスト拠点となっていますが、データ保護法制の観点から、今どこまで進んでいるのでしょうか。

法律体制

中国はまだ制定しておらず、データ保護のすべての側面を対象とする包括的な法律を制定する見通しもないです。2019年12月、全国人民代表大会の常任委員会が発行した2020年度の立法計画には、『個人情報保護法』と『データセキュリティ法』の草案が明確に含まれていました。これは主に、国のデータ保護メカニズムが市民の個人情報とオンラインプライバシーだけでなく、政府に関連する重要なデータも保護可能ということを立法者が望んでいるためです。グローバリゼーションが進んでいる中、「二重目的」を強調するこの立法計画は、より保守的な選択のようです。しかし、一部の主要な西欧諸国でのポピュリズムの台頭によって引き起こされた反グローバリゼーションの波に参照すると、この立法モデルも保守的ではなくなりました。

現在の中国のデータ保護メカニズムのもとで、データ保護に関連する要件は広範囲の法律体制に分散しており、データ保護に関連する推奨される運用慣行はいくつかの国家基準を通じて推進されています。具体的には、中国のデータ保護法制度は、主に次の4つの面で構成されることが想定できます。

(1)『ネットワークセキュリティ法』およびその関連規制、規則、規格を含む一般的なデータセキュリティ要件;

(2)『国家機密厳守法』およびその裏付けとなる実施規則を含む、国家機密の保護;

(3)『民法』の関連規則や、『消費者権利保護法』および関連する国家基準の規定を含む個人情報保護;

(4)各産業の関連部門の規制や現地の規制を含む、重要なるデータ保護。

規制当局

前述の中国のデータ保護メカニズムの「二重目的」を考慮して、データ保護計画システムに基づく両方の機能を確実に発揮するには、複数の監督者が協力する必要があります。中国の主なデータ保護当局とその機能は次のとおりです。

(1)国立インターネット情報弁公室は、立法を主導し、関連する法律と規制の実施を指導および調整する責任があります。

(2)公安部は、データセキュリティ犯罪とネットワークセキュリティ違反の撲滅に責任が追われています。

(3)国家市場監督管理総局は、消費者のプライバシーを違法に侵害する商慣行など、個人情報のセキュリティを伴う市場経済活動の実施を監督する責任があります。

(4)産業及び情報化部は、電気通信サービス産業のデータ保護を担当されています。

(5)他の関連部門は、各業界におけるそれぞれのデータセキュリティコンプライアンス状況を監督する責任があります。

一般規定:個人データ及び情報の保護

合法性、正当性および必要性の原則。法律は、ネットワークオペレーターが個人情報に関連するビジネスを合法的に行うことを義務付けており、正当な理由があり、個人情報の収集と使用の必要性を証明することができる場合のみ関連業務を展開可能です。合法性、正当性、および必要性の原則はその具体的な基準が、「情報セキュリティ技術個人情報セキュリティ仕様」など、国家情報セキュリティ標準化技術委員会(TC260)が発行する各推奨国家標準に記載されています。

同意の原則。この原則に従って、ネットワークオペレーターは、個人情報の収集と使用に関する規則とポリシーを公開し、収集の目的、手段、および範囲を個人情報主体に通知する必要があります。個人の機密情報を収集する前に、ネットワークオペレーターは個人情報主体の明示的な同意を得て、個人情報主体の明示的な同意が完全に理解した上にご自身の情報を提供することを確認する必要があります。個人の機密情報には、顔や銀行口座などの機密情報が含まれます。

個人情報のライフサイクル全体の保護要件。個人情報を保護する要件は、収集から保管、使用、処理、共有、転送、削除と廃棄までのライフサイクル全体をカバーします。ライフサイクル各段階における個人情報保護のポイントを以下に示します。

  • 収集:ネットワークオペレーターは合法性、正当性、必要性及びインフォームドコンセントの原則を厳密に遵守する必要があります。
  • 使用と処理:個人情報の使用と処理においては、収集前に取得した許可の範囲を超えてはなりません。対応する同意なしに個人情報の使用及び処理する必要が生じる場合、ネットワークオペレーターは個人情報の追加の使用範囲について追加の同意を取得する必要があります。データ処理のアウトソーシングの場合、ネットワーク事業者は、アウトソーシング業者が当該処理活動の上記の要件に厳密に従うことを確認する必要があることに注意することが重要です。
  • 保管:個人情報の保管は、対象者の許可された使用を達成するために必要な最短の期間のみ許可すること。個人情報を保管する際には、匿名化を実施し、孤児情報の復元や個人の特定に利用できる情報と別に保管することをお勧めします。個人の機密情報を保管するには、暗号化された保存方法を利用することもお勧めします。
  • 共有と送信:個人情報を第三者に共有または送信する前に、ネットワークオペレーターは、個人情報の件名の関連する同意を追加で取得する必要があります。ネットワークオペレーターは、共有と送信する前に、セキュリティ影響評価を実施する必要が生じることもあります。共有と送信完了後、ネットワークオペレーターは個人情報の受信者に対する責任と義務を明確にし、受信者の行動に対する合理範囲内に監督することも必要です。
  • 個人情報主体の権利の尊重:ネットワークオペレーターは、同意の撤回、個人情報の修正または削除、バックアップデータの提供、またはアカウントの削除などの個人主体からの要求を尊重し、対応する義務があります。

一般規定:重要なデータの保護

個人情報保護とは異なり、重要なデータの保護は、「二重目的」立法システムのもう1つの柱として、中国ではまだ初期段階にあります。『サイバーセキュリティ法』といくつかの地方の規制は、いくつかのマクロ性の原則と参照基準のみを規定しました。当分野の特定的な規制である『データセキュリティ管理対策』(意見募集稿)は、まだ正式には出されていない現状です。

重要なデータ保護のためのローカリゼーションルールはまだほとんど不明確です。『サイバーセキュリティ法』によると、重要情報インフラストラクチャの運営者(CIIO)は、中国での運営中に収集および生成された個人情報および重要なデータをローカライズする義務がつけられています。このデータローカリゼーションの要件には、上記の重要なデータは原則として中国に保存する必要があり、国境を越えた送信は必要な場合にのみ実行する必要があります。それとともに、国境を越えたデータ転送が実装される前に、関連するセキュリティ評価に合格する必要があります。

CIIOは、重要なデータの処理中にバックアップと暗号化の対策も講じる必要があります。『データセキュリティ管理措置』(意見募集稿)は、データローカリゼーションの実現のために、『ネットワークセキュリティ法』よりも詳細かつ具体的な要件を提供しようとするものです。ただし、『ネットワークセキュリティ法』も『データセキュリティ管理措置』(意見募集稿)も、「CIIO」と「重要なデータ」の2つの主要な概念について、明確な判断プロセスや決定基準を提供していません。上記の法律と規制が曖昧性があるため、一部の行政規制と部門規制は、データローカリゼーションルールの範囲を他のデータタイプに拡張するか、CIIO定義の解釈を拡張しようとしました。しかし、このアプローチは混乱を引き起こしただけでなく、積極的な結果も得られませんでした。

肯定すべくは、いくつかの省庁および地方政府が、その管轄下にある産業または地域の重要なデータを特定または決定し始めたことです。決定された重要なデータには、たとえば、人間の遺伝資源、人口健康情報、地理的マッピング情報、個人の信用情報、個人の財務情報などがあります。これから、ますます多くの業界や地方自治体が管轄内の重要なデータの範囲を明確にするために同じ行動をとることを期待しています。

規制に関する最近のホットトピック

アプリ:2019年、顕著な進展の中で、いくつかの政府機関が合同で違法的なアプリ運用に対する法律を施行しました。ネット情報弁公室や産業と情報化部、公安部、市場監督総局は共同で、『アプリでの個人情報の違法な収集および使用に関する特別なガバナンスの実施に関する公告』を発表しました。取り締まりは2019年を通して行われ、特に不適切なプライバシーポリシー、個人情報の収集と使用の範囲の誤った説明、および不要な個人データの収集に焦点が当てられました。課されたペナルティには、不正行為の情報公開、休業是正、関連営業許可や営業証書を取り消すなどが含まれていました。

同時に、一連のアプリに置いての違法行為に関する評価ガイダンスと認定方式が公開されました。この中では、APPオペレーターがユーザーフレンドリーなプライバシー条件を提供し、データ収集の正しい範囲と目的を十分に詳細にユーザーに通知し、データ収集の前に明示的な同意を得る必要があります。

クッキー(Cookie):Cookieおよび同様のテクノロジーは、ユーザーのステータス情報を追跡および記憶するため、またはWebサイトでのユーザーの行動を記録するために一般的に使用されます。Cookieの使用を規制する特定の法律はありませんが、Cookieの使用は個人データを収集する手段であるという司法慣行には、一般的の理解があります。したがって、ネットワークオペレーターは、Cookieまたは類似のテクノロジーを使用する場合、収集する個人データの主体に収集の目的やデータの種類を通知し、同意を得て、潜在的な法的リスクと紛争を最小限に抑える必要があります。

Webクローラー:Webクローラーは、自動データ収集に広く使用されている技術ツールです。ただし、ツールのユーザーがWebサービスプロバイダーによるツールの使用の制限または禁止を意図的に無視したりされることがありますが、意図的に無視したりした場合、法的なリスクが生じます。このようなクローラーの違法な使用は、管理上または刑事上の責任の対象となります。

ソフトウェア開発キット(SDK):サードパーティが提供するSDKは、ユーザーやサービスプロバイダーに知られることなく、デバイス情報やユーザーの個人データを収集する場合があります。2019年の法執行措置において、SDKが個人データ保護違反の多くのケースを引き起こしたことが判明しました。SDKの使用による潜在的な違反と損害は、立法上の注目を集めています。『データセキュリティ管理措置』(意見募集稿)では、ネットワークオペレーターが特定のデータセキュリティ要件と責任をSDKプロバイダーに課すことを要求しています。

SDKの法的リスクを回避するために、推奨される方法は次のとおりです。(1)データ保護コンプライアンスの目的で、SDKプロバイダーからの表明および保証を求めること。(2)SDKまたはSDKを使用するアプリケーションに対して妥当な技術テストを実施すること。(3)SDKまたはSDKを使用するアプリケーションのリアルタイム監視を実施し、個人データへのSDKのアクセスをタイムリーに遮断しすること。

顔認識:顔認識やその他の類似の生体認証アプリケーションは、人々の身元を識別または検証するために広く使用されています。法律の下では、人間の顔は一種の生体認証データであり、厳格な保護の対象となる機密個人データです。個人の生体データは、デバイスを制御するオペレーターがモバイルまたはその他のデバイスを介して収集および使用します。顔画像の不適切な収集と使用は、重大な法的リスクをもたらします。

例を挙げると、2019年、顔のスワッピングアプリでユーザーが有名な俳優を真似ることができるZaoは、中国でプライバシー保護の懸念を引き起こしました。Zaoのユーザー協定に同意することにより、Zaoの開発者にユーザーの顔画像を収集して保存し、それ以上の同意なしに第三者に販売することを許可しないことを発見しました。

産業と情報化部はZaoをそのような行為について非難し、Zaoにそのような個人データのセキュリティ問題を解決するためにユーザー同意を変更するよう要求しました。これは、2019年6月25日に更新された国家標準で、生体認証データ保護のために特別に提供されたTC260の理由の一部でもあります。

ブロックチェーン:ブロックチェーンは、企業が安全な取引記録を維持するのに役立つ安全で分散した台帳です。ただし、プライベートブロックチェーンは個人データを収集して保存する可能性があります。たとえば、小売業者は、顧客とその好み、購入履歴、支払いの傾向と金額に関する大量のデータを収集して保存できます。

2019年2月15日に発効した『ブロックチェーン情報サービスの管理に関する規定』は、ブロックチェーン情報サービスプロバイダーに情報コンテンツの安全管理の義務を課し、ユーザー登録、情報レビュー、緊急対応および安全保護などのコントロールシステムです。

法的義務が確立された以来、プライベートブロックチェーンユーザーが関与する個人データ違反の事例は公開されていませんが、次の論争または違反が間近に迫っている可能性があります。

データ保護コンプライアンスストラテジー

世界中の個人データを保護するためのさまざまなアプローチがあります。米国はより寛大なアプローチをとり、個人データはデータ主体の完全な管理下にあるべき個人の利益であるが、データ主体は彼ら自身を保護するために主たる努力と責任を負うべきであり、政府は副次的な責任を負うことです。

このようなアプローチでは、高度なテクノロジーにより、ほとんどのハイテク企業が個人データを「ワイルドウエスト」の「無料」の金として扱うことができます。このような状況において、『カリフォルニア州消費者パライバシー権法案』(CCPA)は、多くのハイテク企業の本拠地であるカリフォルニアで打ち出されました。データ主体に対する個人データの使用に対する力のバランスを回復しました。ただし、そのようなリベラルなアプローチは、多くのトレーニングと分析データを必要とする新しいテクノロジーの開発を促進し、米国の「新しいテクノロジーファースト」の方針を表しています。

EUは異なるアプローチをとり、個人データはデータ主体の絶対的な管理下にあるべき個人の利益であり、すべてのEU主体の個人データの集約は、EU委員会に属する貴重な無形資産の新しい形態を構成したと考えました。したがって、EUは、そのような個人の利益が十分に保護されるように努めています。

そのような考え方に沿っていくと、そのような個人的利益の政府による保護活動に資金を供給するために、いわゆるデジタル資産の課税または税金が課されることは当然のことです。そのような保守的なアプローチは、米国からの技術の巨人の侵入に耐える比較的不利な技術的能力を所有していたEUによって使用されています。

中国のデータ保護メカニズムはまだ発展中ですが、中央政府は、正しいデータ保護アプローチが国の将来を決定することを認識しているようです。歴史的および政府の構造的観点から、中国はEUの『一般データ保護条例』(GDPR)に基づくものと同様のデータ保護メカニズムに傾向しています。ただし、中国は、GDPRのデータ保護メカニズムを完全にコピーすることで、特に人工知能(AI)などの特定のテクノロジーの開発を大量のデータによって発展する分野で、テクノロジーの巨人と彼らの米国の敵対者間の競争に不利益をもたらす可能性があることも理解しています。

その結果、中国はデータ保護の目的で「二重目的」の並列構造を構築しました。一方では、個人データ保護はGDPRよりも技術の進歩と調査の余地を残すという制限がはるかに少ないですが、データの保護においてより制限的であることにより、これを調整しています。もう一方では、CIIOの概念と重要なデータを定義して、より高度なテクノロジー所有者からの潜在的な侵入に対する障壁を作成しようとします。このようなアプローチは、データ保護メカニズムにおけるテクノロジーと個人のプライバシーの間の競合する利益を定義する際の中国の特徴を表しています。

マクロ視点のコンプライアンスアドバイス

GDPRの要件に完全に準拠している外国の技術会社である場合、中国の個人情報保護に関する法律の要求が満たしている可能性もあります。

米国の会社であり、適切なGDPRコンプライアンスストラテジーがない場合、現段階で必要とされることは、現在米国の個人データ保護の政策と中国の個人情報保護要件の間にある差を明らかにし、中国法律に基づきこの差を縮めていくことです。ただし、CCPAの規定に満たす米国会社である場合、中国の個人情報保護の要件に準拠しているか、または少しの手間で準拠することが可能です。

EUの会社であろうか、米国の会社であろうか、重要なデータの保護要件に準拠できるために、CIIOと重要なデータの保護に関する法規制の情報を密接に関心するとともに、中国で収集された情報が重要なデータであるかどうかのも刻々に分析する必要があります。重要なデータである場合、特定のコンプライアンスストラテジーを策定することで、中国においての重要なデータの保護に関することを解決します。そうでなければ、ほぼ法規制の要件に満たしたことと理解してもよろしいです。

追記:趙欣瑶さんと王旖璞さんは本文作成にあたり、サポートしていただきました。

cybersecurity

グローバル弁護士事務所(上海)

上海市徐滙区淮海中路999号環貿広場一期(One ICC)36階 〒200031

電話:+862123109517

ファックス:+862123108299

ホームページ:www.glo.com.cn


インド

医学、天文学、金融、法律、社会生活など、私たちの生活のすべての側面は、伝播と存在のためにコンピューターによって営まれるか、間接的に依存しています。コンピュータは私たちの生活を楽にする一方、それらはまた、新しい一連の課題をもたらしました。

cybersecurity
Manisha Singh
ニューデリーのLexOrbisのマネージングパートナー
連絡先: +91 9811161518
Eメール: manisha@lexorbis.com

Microsoftの創設者であるBill Gatesが言った良く知られる言葉に、「コンピューターは、以前には存在しなかった問題を解決するために生まれました。」があります。いずれにしろ、コンピューターへの依存から生じる特定の課題は社会に悪影響を及ぼす可能性があり、強力で強固な法的枠組みがない限り、社会を保護することはできません。この記事は、インドのサイバーセキュリティとデータプライバシーを現在管理している法令を対象にすることを目的としています。

生活のすべての分野でのデジタル化の出現で、政府が講じた最初の手段は、電子記録の承認、およびデジタル処理の承認と制裁に向けられていました。この点で、デジタル化から生じる新しい課題に対応するため、いくつかの既存の法律が改正されました。

cybersecurity
Varun Sharma
ニューデリーのLexOrbisのアソシエイトパートナー
連絡先: +91 11 2371 6565
Eメール: varun@lexorbis.com

それでも、インドのサイバーセキュリティに向けて取られた最初の主要なステップは、2000年情報技術法(IT法)の制定でした。その後の法学の発展は、不十分ですが、さらなる進化への道を開き、2008年に可決された情報技術(修正)法につながりました。

IT法は、さまざまなサイバー犯罪およびサイバー違反を広く網羅しています。情報技術に関連する刑事犯罪を構成するほとんどすべての既知の活動は、IT法の対象です。

  • ハッキング。IT法ではハッキングについて具体的に言及していませんが、IT法の43条では、所有者の許可なしにコンピュータ、コンピュータシステム、またはコンピュータネットワークにアクセスした場合(第a款)、ダウンロード、コピー、データ(第b款)を抽出した場合、またはシステムに混乱(第e款)を引き起こした場合、そのような人は、影響を受けた人への補償として損害賠償を支払う責任があります。IT法の66条はさらに、ハッキングを含む、43条で言及された犯罪が、最長3年間、または最高7,100米ドルの罰金、あるいはその両方を課す可能性があると規定しています。
  • フィッシング。 IT法はフィッシングを明確に定義していません。ただし、IT法の66条Cおよび66条Dは、フィッシングの一種である犯罪に対する処罰を規定しています。66条Cは、詐欺または不正に電子署名、パスワード、または他の人物のその他の一意の識別機能を使用する者は、最大3年間の懲役および最高$ 1300の罰金を課すことを規定しています。IT法とは別に、1860年のインド刑法第419条も、なりすましによる不正行為に対する同様の罰則を規定しています。
  • マルウェア/ウイルス攻撃。IT法の43条の第c款に基づき、所有者の許可なしにコンピュータリソースにコンピュータ汚染またはコンピュータウイルスを導入した場合、その人は補償として損害賠償を支払う責任があります。そのような行為はまた、その法律の第66条に基づく罰を引き起こします。
  • サイバーテロ。サイバーテロは、新しい66条Fが追加された2008年に導入された改正IT法で具体的に取り扱われました。第66F条に基づき、犯罪がインドの単一性、統合性、安全保障または主権を脅かす、または人々にテロを犯し、またはその行為が死傷または人身傷害を引き起こし、財産の損害またはサービスの中断を引き起こし、そして 生命に不可欠な供給、または重要な情報インフラに脅威を及ぼす場合、それはサイバーテロリズムを構成し、終身刑をもたらす可能性があります。

情報技術の分野は急速に進歩しており、時間の経過とともに、インド政府は新しい課題に対応するため、IT法の範囲を拡大し、いくつかの規則や規制を策定し続けています。時が経つにつれ、政府はさまざまな規則を策定し、そのうちのいくつかは、サイバーセキュリティとデータプライバシーに重要な役割を果たしています。

  1. 情報技術(合理的なセキュリティ慣行と手順、および機密性の高い個人データまたは情報)規則、2011年(SPDI規則)。
  2. 情報技術(仲介者ガイドライン)規則2011、
  3. 情報技術(サイバーカフェのガイドライン)規則2011、
  4. 情報技術(電子サービス提供)規則2011、
  5. 情報技術(インドのコンピューター緊急対応チームおよび実行機能と義務の方法)規則、2013年(CERT-In規則)、
  6. 情報技術(情報セキュリティの実践と保護されたシステムの手順)規則、2018年。

政府によって制定されたさまざまなIT規則は、安全な慣行を確実にし、サイバーセキュリティ事故を報告するために、個人および組織に重大な義務を課しています。

上記のCERT-In規則では、「サイバーセキュリティ事故」の影響を受けた個人および企業は、インドのコンピュータ緊急対応チーム(CERT-In)に報告する必要があります。サイバーセキュリティ事故とは、明示的または暗黙的に適用されるセキュリティ政策を害する、サイバーセキュリティに関連する実際のまたは疑わしい有害事象を意味します。

CERT-Inは、サイバーセキュリティの緊急事態に対応して、調整し、サイバーセキュリティの改善に役立つ情報を提供するように構成されています。

IT法から生じる論争は、解決するために特別な専門知識を必要とするテクノロジーに関するより深い質問に遭遇することは間違いありません。したがって、IT法は、法に起因する紛争に対して特別な「裁定役員」を任命することを規定しており、これらの裁定役員の決定は、この法律に基づいて特別に構成された上訴裁判所に再度上訴することができます。

2000年IT法の第48条(1)に基づき、電子情報技術省は2006年10月にサイバー規則上訴裁判所(CRAT)を設立しました。2008年のIT(改正)法により、裁判所はサイバー上訴裁判所(CyAT)に名称を変更しました。IT法に従い、認証局の管理者またはこの法律に基づく裁判官の命令により苦情を申し立てられた者は、CyATに控訴することができます。

インドは個人データの保護を確実にするために重要な措置を講じており、その法的枠組みが世界の動きに劣らないよう努めています。規則と規制の一部は、所有するデータを保護するための適切なインフラとセキュリティを確保する義務を組織に課すことを目的としています。SPDI規則に従って、財務、健康、パスワード、生体認証などのデータを保存する企業や組織には、保護が求められる情報資産に見合った技術的、運用的、物理的なセキュリティ管理対策を含む政策が必要です。

規則の他の部分では、個人データとは何か、およびデータプライバシーと情報の開示に準拠する必要がある政策を定義します。SPDI規則の規則2(i)は、個人情報とは、自然の人に関し、直接または間接的に、他の利用可能な情報、または企業が利用できる可能性が高い他の情報と組み合わせて、個人を特定できる情報を意味すると規定しています規則3は、パスワード、財務情報、身体的および精神的健康状態、性的指向、生体認証などの特定の情報を、機密データとして分類します。

これらの規則に基づいて、企業または個人は、個人データ、そのような情報の収集および使用の目的、情報の開示に関する政策、及び適切な採用されるセキュリティ手順に関する政策の表明を(ウェブサイトまたは契約において)明確に開示する必要があります。 これらの規則は、個人データが保護され、そのようなデータを漏らす人はそのようなデータの収集の趣旨、およびそのようなデータを求める組織がデータは保護されているという確信をもたらかどうかを確認します。

複雑さが増すにつれて、データプライバシーに関する既存の法律は不十分であると認識されました。2017年8月、個人データを保護するためのより強固な法律の必要性は、インド最高裁のKS Puttaswamy 対 India of Union裁判で認識されました。個人のプライバシーに対する基本的権利と個人データのより強力な保護の必要性を明確に認めました。

その後、司法長官BN Srikrishnaが議長を務める専門家委員会による報告書と法案の発表が続きました。専門家委員会の法案に沿って、又2018年のEU一般データ保護規則(GDPR)にも従っている、2019年のデータ保護法案は、現在、インドの議会で保留中です。

ITの動的性質を考えると、ITに関連する法律も、他の法律よりも速いペースで継続的な進化の過程を経ます。インド政府はこのダイナミズムを認識しており、IT法の適用範囲を随時拡大することにより、情報技術に関する法律を継続的に改革しています。

最近、2018年の情報技術(情報セキュリティ慣行と保護されたシステムの手順)規則とデータ保護法案の導入により、政府はデータプライバシーに関する法律をさらに強化することの重要性を認識しました。それは国境を越えた情報の流れへの自信を深める前向きな動きです。

LEXORBIS
709/710 Tolstoy House
15-17 Tolstoy Marg
New Delhi – 110 001 India
連絡先: +91 11 2371 6565
ファックス: +91 11 2371 6556
Eメール: mail@lexorbis.com
www.lexorbis.com


インドネシア

インドネシアは東南アジアで最も急速に成長しているデジタルベースの経済を持っています。政府がデジタルビジネスの発展を促進し、「インダストリー4.0」の時代を迎え、インターネットとテクノロジーの利用に中小企業(SME)が参加するように奨励しているため、この成長は続くと予想されます。

cybersecurity
Emir Nurmansyah
ジャカルタのABNR Law のパートナー
連絡先: +62 21 250 5125
Eメール: enurmansyah@abnrlaw.com

インドネシア経済では情報技術が重要な役割を果たしており、デジタル産業の急速な成長により、より高度で包括的なサイバーセキュリティおよびデータ保護規則の必要性が高まっています。

デジタルテクノロジーの急速な成長に照らして、インドネシアは2008年以降、電子情報と取引を具体的に規制する法律を導入しています。2016年法律第19号(EIT法)の改正による、電子情報および取引に関する2008年法律第11号、この法律は、サイバーセキュリティや個人データ保護などを含む、さまざまな状況における電子情報とシステムの運用と関与に基本的なルールを定めています。

それにもかかわらず、インドネシアの電子商取引プラットフォームは内部データベースの侵害から解放されておらず、感染ユーザーデータ(ユーザー名、電子メールアドレス、電話番号、暗号化されたパスワード)の大量のデータ漏洩を引き起こしています。これらの事件により電子システムのセキュリティの脆弱性が露呈した一方で、インドネシアは経済の重要なサポートシステムとしてeコマースにますます舵を取っています。したがって、政府の政策と規制もこれらの技術開発と課題に適応しようとしています。

サイバーセキュリティ

cybersecurity
Ammalia Putri
ジャカルタのABNR Law のパートナー
連絡先: +62 21 250 5125
Eメール: aputri@abnrlaw.com

EIT法と電子システムと取引に関する規定に関する2019年の政府規則71号などのその実施規則は、中立の技術の原則を維持しながら、電子システムへの依存を促進し、対応することが期待されるサイバーセキュリティに対する一般規定を対象としています。セキュリティの側面には、物理的および非物理的な電子システムの保護が含まれ、規則 71号に基づくハードウェアおよびソフトウェアのセキュリティが含まれます。さらに、この規則では、ESOがセキュリティの脅威や、攻撃を防止し、軽減するためのセキュリティ手順、設備、システムを、維持かつ実装する必要があります。

情報セキュリティ管理システムに関する2016年の通信情報大臣(MOCI)規則4号(規制4号)に従う情報セキュリティ管理基準の遵守要件は、関連する電子システムのリスク分類に依存します。この規則では、リスク分類を次のように分けています。1)戦略的、 (2)高い、 (3)低い。

情報セキュリティに関しISO / IEC 27001規格を実装するには、戦略的で高いと分類された電子システムが必要です、一方、低いと分類された電子システムは、情報セキュリティインデックスのガイドラインを実装する必要があります。

cybersecurity
Desi Rutvikasari
ジャカルタのABNR Law のシニアアソシエイト
連絡先: +62 21 250 5125
Eメール: drutvikasari@abnrlaw.com

ただし、規則4号は、規則71号の前身でつくられたESOの分類を引き続き参照しているため、将来的に更新される予定です。電子システムと取引の規則に関する2012年政府規則82号は、規則71号によって取り消されました。

該当する情報セキュリティインデックスを含む情報セキュリティ管理の技術要件の決定は、当初MOCIに割り当てられました。  ただし、この役割は現在、国家サイバーおよび暗号機関 (Cyber and Crypto National Agency:Badan Siber dan Sandi Negara、またはBSSN)に割り当てられています。BSSNは将来、情報セキュリティの要件と遵守に関する技術規則を確立することが期待されています。

BSSNに加えて、サイバーセキュリティ問題の処理を許可されている別の機関は、2007年にMOCIによって設立されたインターネットインフラ/調整センター(ID-SIRTII)のインドネシアセキュリティインシデント対応チームです。ID-SIRTIIの権限は、ITセキュリティ、高度な監視、高度な検出、および通信ネットワーク、特にインターネットにおける脅威への高度な警告に関する、意識を高めることに重点を置いています。
刑事上の観点から、EIT法の第46条は、サイバーセキュリティの違反と見なされた行為には、最長8年の懲役や、または8億ルピア(53,000米ドル)の罰金に処せられると規定しています。

データ保護

データとプライバシーの保護は、インドネシア憲法の第28G条の下で基本的な人権として認められています。この条項は、すべての人は自身、家族、名誉、尊厳および財産を保護する権利を有するとしています。ただし、これまでのところ、インドネシアはデータとプライバシーの保護に関する専用の法律を発行していないため、ルールはいくつかの分野の法律や規則に分散しています。

ただし、EIT法、第71規則、および第20規則は現在、個人データの管理の傘と見なされており、あらゆる分野の電子システムの運用に適用されます。

これらの規則は、関連する法律や規則によって別段の定めがない限り、個人データを含む電子メディアを介した情報の使用について同意を得ることが重要であることを強調しています。

EIT法に基づく「個人データの保護は個人のプライバシー権の一部である」という概念は、個人データの取り扱いや管理、および処理される個人データの検証、および個人データに対するデータ主体の権利の保護について、データ主体の同意を得る必要性を強調する、規則20号の包括的な原則を確立しています。

規則20号は、ESOが個人データの収集、処理、保存、配布、削除を含む個人データ処理のすべての段階について、データ主体の同意を得ることを要求しています。

規則71号に従い、より一般的な基準に基づく個人データ保護規則を適用しようとする政府の試みは、以下の分析からわかるように、EUの一般データ保護規則(GDPR)が大きく影響していることを示しています。

規則71号の第14条(1)は、個人データ保護の一般原則に言及しています(GDPRの第5条とおおまかに類似しています)。

データ主体の1つ以上の目的への同意に基づく合法的な個人データ処理の要件、およびGDPRの第6条に基づく他の要件の遵守は、処理の合法性の基礎と見なされます。ただし、同意要件を免除する代わりに、規則71号では同意が依然として、必須要件であるとの別のアプローチを採用しています。

「個人データ管理者」(pengendali data pribadi)という用語の使用は、GDPRから直接のものです。この用語が規則71号に現れるのは、第14条だけであり、用語の詳細はありません。さらに、GDPRと比較して、規則71号では「個人データ管理者」と「個人データ処理者」という用語を明確に区別していません。

一般的な「忘れられる権利」の展開は、EIT法によって最初に確立されました。これは、ESOがその管理下にある電子情報や、または電子文書を削除することを要求し、これは、行使されている特定の権利が上場廃止権であるか消去権であるかに応じて、裁判所命令またはデータ主体の要求に基づいて、もはや関係性がないとすることです。

政府は個人データ保護に関する法案を準備中で、著者の見解では、最新の草案に基づいて、GDPRの原則をさらに取り入れるようです。これは、インドネシアの規則と業界全体の標準との互換性を高める機会と見なすことができます。たとえば、個人データ管理者と個人データ処理者の違いが導入され、そして法案では違反の通知により敏速な時間枠が必要となります(規則20号で規定されている14日間と比較して3日間です)。しかし、法案がいつ成立するかは明記されていません。

近い焦点

いくつかのデジタルプラットフォーム企業に対する最近のサイバー攻撃を考慮すると、データの悪用が犯罪者にとって非常に魅力的であることは明らかです。そして、サイバー犯罪は必然的に増える傾向にあります。現在、データは企業の重要な資産と見なされているため、一連の予防措置を損なうことなく、政府と民間部門はサイバーセキュリティとデータ保護に関連する問題により注意を向けることが求められています。したがって、サイバー犯罪と闘い、効果的かつ効率的な個人データ保護を確立する必要性を認識することは、政府と企業部門の両方にとって重要な焦点となるでしょう。

ABNR COUNSELLORS AT LAW
Graha CIMB Niaga 24/F
Jl Jenderal Sudirman Kav 58
Jakarta 12190 Indonesia
連絡先: +62 21 250 5125
Eメール: info@abnrlaw.com
www.abnrlaw.com


台湾

台湾のサイバーセキュリティ法は、さまざまな体制で設定された,さまざまな法律と規制で構成されています。サイバーセキュリティ管理法(CSMA)は2018年に公布されましたが、主に政府機関と特定の非政府機関のためのサイバーセキュリティ管理メカニズムを確立しています。他の関連する法律や規制は重要で、とりわけ、刑法、個人データ保護法(PDPA)、および新しい侵入防止法が含まれるでしょう。

刑法

サイバーセキュリティに関する規定は、刑法第36条「コンピューター犯罪」に規定されています。下記の行為は、懲役や罰金を含む、しかしこれらに限定されない、刑事罰の対象となります。

cybersecurity
Jackson Huang Shuai-Sheng
台北のFormosa Transnationalのシニアパートナー
連絡先: +886 2 2755 7366
Eメール: shuai-sheng.huang@taiwanlaw.com

(1)他人のコンピュータへのハッキング(刑法358条)。人の次の場合。(i)他人のアカウントIDとパスワードを入力する。 (ii)コンピュータ保護対策を破る。 または、(iii)正当な理由なしに他人のコンピュータまたは関連機器にアクセスするシステムの抜け穴を利用する。それらの行為は、刑法358条に基づく違反行為となります。「理由」という用語には、関連する他者の承認、または法的要件が含まれるでしょう。

(2)電子または磁気記録の違法廃棄。他人のコンピュータまたは関連機器の電子記録または磁気記録を違法に入手、削除、または変更した場合、その行為は刑法359条に違反する可能性があります。「電子的または磁気的記録」という用語は、「電子的、磁気的、光学的、または他の同様の手段の使用を通じて行われるコンピュータ処理のための記録」を指します。

(3)コンピュータまたは関連機器の使用の妨害。他人のコンピュータまたは関連機器の使用を妨害し、公衆または他の人に危害を引き与えた場合、その行為は刑法362条に違反する可能性があります。

刑法の第36章で指定された犯罪を犯すようにコンピュータープログラムを作成する。上記の第358条、第359条、および第362条の違反を犯す目的で、個人または他人用に特別にコンピュータープログラムを作成した場合、その行為は刑法第363条に違反する可能性があります。

民法

民法には、サイバーセキュリティ違反に対する民事責任に関する特定の法律や規制はありません。ただし、誰かが他人のコンピューターをハッキングすることによって、またはサイバーセキュリティに影響を与える他の手段によって他人に損失または被害を負わせた場合、被害者/主体は、民法(不法行為)の第184条およびその他の規定に従って補償を請求することができます。原則として、第18条(個人の権利の侵害)および第195条(名誉の侵害)、および特定の状況に関連する可能性のあるその他の関連規定を含みますが、これらに限定されません。

個人情報保護法

個人データの保護のために、PDPAは政府/非政府機関が個人データの盗難、改ざん、損傷、破壊または開示を防ぐために適切なセキュリティ対策を実施する必要があることを規定しています。これらの規定は、サイバーセキュリティに直接関係するものではありません。ただし、個人データは現在インターネットを利用して収集、処理、転送されているため、セキュリティ対策もサイバーセキュリティ対策の全体的な有効性を高めるのに役立ちます。

PDPAは、特定の業界を担当する中央管轄当局が特定の非政府機関(民間団体)を指名して、個人データファイルの保護のためのいわゆるセキュリティおよび保守計画を確立し、事業終了に伴う、個人データーの処分に関して、ガイドラインを策定し、実装するように指示することも規定していますたとえば、台湾の金融監督委員会は、「金融監督委員会によって指定された非政府機関の個人データファイルの保護のためのセキュリティおよび保守計画」を制定しました。

これらの規制の下で、電子商取引サービスを提供する非政府機関は、次の情報セキュリティ対策を活用する必要があります。(1)本人確認、(2)個人データを隠ぺい、3)インターネット経由で送信するための安全な暗号化、 (4)特定のアプリケーションシステムの開発、オンライン化、保守のプロセスを検証および確認、 (5)個人データファイルとデータベースの保護と監視の手段を確立して実装、 (6)外部の不正アクセスを防止するための解決策を策定、 (7)違法/異常なアクセスと使用に対する解決策と監視を策定。

CSMA

CSMAは2018年6月6日に台湾で公布されました。CSMAは、刑法およびPDPAとは別に、国家のサイバーセキュリティを保護する環境を構築するための政府または特定の非政府機関によるサイバーセキュリティプログラムの管理を主に規制しています。CSMAの管轄当局は行政院であり、台湾で最高の行政中央政府当局です。経済部は、台湾の企業がCSMAごとに関連するサイバーセキュリティメカニズムを確立するためのガイドラインも公開しています。

CSMAの適用範囲には、政府機関と特定の非政府機関が含まれます。具体的な非政府機関には、国有企業、政府寄付の財団、および「インフラプロバイダー」が含まれます。

これは、インフラプロバイダーは、CSMAが必要とする範囲でサイバーセキュリティ保護メカニズムを確立し、関連する機密情報が安全であり、悪意を持って他者に漏洩しないようにし、国家安全を守ることが期待されているため、重要です。

インフラスプロバイダーとは、関連する業界を担当する中央当局によって指定された重要なインフラを全体的または部分的に維持または提供する組織を指し、その指定は、承認のために所管官庁に提出されます。

重要なインフラには、エネルギー、水、電気通信、金融、輸送、救急医療、政府機関、ハイテクパークなどの分野の施設のサプライヤーが含まれます。

サプライヤがインフラプロバイダとして指定されると、国家安全に悪影響を与える可能性のあるインターネットを介した機密情報の予期しない開示を防ぐためのサイバーセキュリティ保護メカニズムを確立するという政府機関と同じ義務も負います。

CSMAに基づく政府機関および特定の非政府機関の責任は、次の3つの段階に分類されます。

(1)事前計画。CSMAは、政府機関または特定の非政府機関に、担当者が適切に実装できるように、「セキュリティおよび保守計画」と「報告および対応メカニズム」を事前に確立することを要求します。機関は、ビジネスの重要性、機密性、秘密度、機関の階層、保管または処理された情報の分類、量、属性、および機関の情報と通信システムの規模と属性について、基準を検討することにより、サイバーセキュリティの責任レベルを述べることも要求されます。

(2)保守。政府機関は中央政府当局に定期的に報告書を提供する必要があり、当局はCSMAに従って現場の遵守チェックを実施する可能性があります。サイバーセキュリティに影響を与える事象が発生した場合、機関は中央政府当局に報告し、損失を制御し、中央政府当局によって制定されたメカニズムに従って運用を回復するための対策を講じる必要があります。(3)事象発生後の是正。サイ

バーセキュリティ事象が発生した後、または中央政府当局が機関のサイバーセキュリティ制御メカニズムに欠陥を見つけたときに、組織はそのような欠陥を修正し、欠陥を是正するために取られる対策を示す報告書を提出する必要があります。機関は、是正の実施と有効性および欠陥が包括的に是正されることを確約する是正策を突き止めるように要求されます。

CSMAはまた、サイバーセキュリティに対する脅威が世界中のさまざまな場所から発生する可能性があるため、政府に情報共有メカニズムの確立を要求しています。サイバーセキュリティネットワークを強化するために、政府機関と非政府機関の間で情報を共有することが推奨されます。

確立された情報共有メカニズムには、国家情報共有分析センター(N-ISAC)、国家コンピュータ緊急対応チーム(N-CERT)、国家安全保障運用センター(N-SOC)が含まれます。

浸透防止法

浸透防止法は2020年1月初旬に発効し、「浸透源」の指示に基づいて、または資金提供を受けて行動する人々が、違法なキャンペーンやロビー活動に従事したり、違法な政治献金を受け取ったり、社会秩序を混乱させたりすることを禁止します。

侵入防止法の起草と成立の背景は台湾当地での最近の大統領選挙です。つまり台湾の内外の人々が選挙結果に影響を与えるようにインターネット上でいわゆる「フェイクニュース」を作り出していたためです。

FORMOSA TRANSNATIONAL ATTORNEYS AT LAW
13/F, 136 Jen Ai Road, Sec. 3, Taipei
連絡先: +886 2 2755 7366
ファックス: +886 2 2755 6486
www.taiwanlaw.com

LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link