2023年电気通信法の第22条および第56条に基づいて制定された2024年电気通信(电気通信サイバーセキュリティ)规则が、最近、施行されました。これは、电気通信分野の安全性と回復力を强化するための初の体系的な措置で、2017年モバイル机器识别番号の不正操作防止规则に代わるものです。本规制は、通信事业者に対して説明责任の确立、セキュリティ体制の强化、サイバーインシデントへの迅速な対応を义务付けることにより、デジタル通信ネットワークを混乱させるサイバー胁威の増加を防ぐことを目的にしています。
パートナー
Phoenix Legal
本规则は、すべての通信事业者が、セキュリティ対策、リスクの特定、评価、管理、セキュリティインシデントの防止と復旧を定めたサイバーセキュリティ?ポリシーを导入することで、これらの目标を达成することを目的としています。セキュリティインシデントとは、电気通信のサイバーセキュリティに、现実の、あるいは潜在的なリスクをもたらす事象と定义されています。これには実际の攻撃や侵害だけでなく、サイバーセキュリティを胁かす可能性のある电気通信ネットワークや関连机器、サービスでの潜在的な脆弱性も含まれます。电気通信事业者は、新たなサイバー胁威への対応を确かなものにするため、认定机関による定期的な监査を受けることが义务付けられています。
重要な规定として、すべての电気通信事业者はチーフ?テレコミュニケーション?セキュリティ?オフィサー(颁罢厂翱)を任命することが定められています。颁罢厂翱はインド国内に居住するインド国民でなければなりません。また颁罢厂翱は、规则の実施や必要に応じた报告において、政府と电気通信事业者との间の主要な连络役となります。电気通信事业者は、セキュリティ侵害を検知してから6时间以内に政府に通知し、24时间以内にその范囲と影响を概説する详细なインシデント报告书を提出しなければなりません。
政府には、电気通信のサイバーセキュリティを确保するため、电気通信事业者からメッセージの内容を除くトラフィックやその他のデータを、认可机関を通じて収集する権限が与えられています。コンテンツ以外のデータを収集する际には、サイバーセキュリティの目的のみに使用されることを保証する安全対策が规定されています。国际移动体装置识别番号(滨惭贰滨)を付与されたデバイスの製造业者や输入业者は、贩売または输入前に、それら识别番号を政府に登録することが义务付けられています。滨惭贰滨番号などの通信识别子の改ざんは禁止されており、罚则の対象となります。电気通信事业者には、サイバー胁威を监视、検知、対応するためのセキュリティ?オペレーション?センター(厂翱颁)の设置も义务付けられています。セキュリティ?オペレーション?センターは、リアルタイムの胁威の评価とインシデント管理において重要な役割を果たします。政府は通信事业者に対し、进化するサイバー问题に対応するために、特定されたリスクを軽减し、フォレンジック分析を実施し、セキュリティ?インフラのアップグレードをするよう指示する権限があります。しかし、本规则では、厂翱颁がどのようにこれに対応するかについては言及されていません。
広范な范囲をカバーする本规则ですが、课题は残されています。セキュリティインシデントの定义が広范囲であるため、解釈や施行の际に一贯性に欠ける可能性があります。データ保护については言及されていますが、データの保存、保持、共有に関する明确なガイドラインが欠如しているため、悪用やプライバシー侵害の悬念が生じます。规则5に基づく政府に与えられた広范な権限の中には、识别子を通じて特定されたユーザーに罚则を科すことも含まれていますが、适切な手続き上の保护措置が欠けています。サービスの一时的な中断や利用停止などの措置は、事前通知なしに実施される可能性があります。正当なセキュリティ上の悬念が、恣意的な施行や不正使用によって悪用される恐れがあります。
本规则および电気通信法では、2013年情报技术(インドコンピューター紧急対応チームおよびその机能と职务の遂行方法)规则で定义されているセキュリティインシデントとサイバーインシデントが重复するかどうかについては不明确です。
电気通信事业者に対して财务上および运用上の负担が悬念されます。厂翱颁の设置やその他のセキュリティ対策を遵守するには、特に小规模事业者にとって多大なコストとなるでしょう。これにより市场の不均衡が生じる可能性があります。
本规则は、新たに発生するサイバー胁威から电気通信分野を守るために、政府が协力的に取り组んだことを示すものです。しかし、その広范な适用范囲や运用上の课题、コストの高さについては大幅な修正が必要でしょう。手続き上での安全対策を组み込み、グローバル?スタンダードに準拠し、业界固有の悬念に対処することで、本规则は国家安全保障と个人のプライバシーのバランスを取ることができるでしょう。
Aman Avinav氏はPhoenix Legalのパートナーです。
Phoenix Legal
Phoenix House,
254, Okhla Industrial Estate
Phase III, New Delhi – 110 020,
India
Vaswani Mansion, 3/F, 120 Dinshaw Vachha Road,
Churchgate, Mumbai – 400 020
India
Contact details:
T: +91 11 4983 0000,
+91 11 4983 0099
+91 22 4340 8500
E: delhi@phoenixlegal.in | mumbai@phoenixlegal.in
