インドにおけるサイバーセキュリティ規制～インシデント認識から6時間以内の報告義務等の導入について

2022年9月13日 12:51

文責：佐藤賢紀、上村彩、新田荘作

インドでは2022年4月28日にサイバーセキュリティに関する新たな通達が発行されました。本件通達により企業には一定のインシデントの発生を認識した場合に6時間以内に政府に報告をすること等が義務付けられました。違反者には罰則が科せられる可能性があり、インドで事業を行う企業においては早急に通達に則った体制を整備することが求められます。

1．はじめに

近時、会社や個人に対するサイバー攻撃や情報漏洩事故などのサイバーセキュリティに関する問題は、世界的に増加しています。インドにおいても、サイバーセキュリティ対策の一環として、2022年4月28日に、国家機関であるインドコンピュータ緊急対応チーム（Indian Computer Emergency Response Team 。以下「CERT-In」といいます。）による新たな通達[1]（以下「本件通達」といいます。）が発行され、サイバーセキュリティを強化するために政府機関や法人が取るべき対策が定められました。

特筆すべきは、本件通達が、一定のインシデントの発生を認識した場合、企業に対し、6時間以内に政府へ報告する義務を課している点です。後述のとおり、この義務に違反する場合には刑罰を科されるおそれがあり、インド国内で活動する企業[2]は、本件通達への対応を迫られています。本件通達には、発行日（2022年4月28日）から60日後に効力が生じる旨が規定されており、日系企業も早急に対応を検討する必要があります。

以下に、本件通達の要点について解説します。

2．CERT-Inとは

CERT-Inとは、2000年情報技術法（The Information Technology Act, 2000。以下「IT法」といいます。）に基づいて設置された、インド国内のサイバーセキュリティインシデント(Cyber Security Incident。以下「サイバーセキュリティインシデント」といいます。) の対応及び防止のための対策を講じる国家機関です。インド通信・情報技術省（Ministry of Electronics and Information Technology）の管轄下にあり、IT法に基づくサイバーセキュリティ対策を行っています。

3．本件通達に基づくCERT-Inへの報告義務について

(1) 報告義務の内容及び主体について

本件通達には、サイバーセキュリティインシデントの発生を認識した場合、CERT-Inに対し、6時間以内に報告する義務が定められています。この報告義務を負うのは、全ての法人、サービスプロバイダー、仲介業者、データセンター及び政府機関（以下「対象法人等」といいます。）とされています。

(2) 報告義務の対象

報告義務が課されるサイバーセキュリティインシデントとしては、20項目の類型が規定されています[3]。主な事象は以下の通りです[4]。

a. 重要なネットワーク/システムを標的としたスキャン/プロービング

b. ITシステム/データへの不正なアクセス

c. ウェブサイトの改ざん、ウェブサイトへの侵入、悪質なコードの挿入や外部ウェブサイトへのリンクなどの不正な変更

d. ウイルス／ワーム／トロイの木馬／ボット／スパイウェア／ランサムウェア／クリプトマインダーの蔓延などの悪質なコード攻撃

e. データベース、メール、DNSなどのサーバーやルーターなどのネットワーク機器への攻撃

f. 偽モバイルアプリ

g. ソーシャルメディアアカウントへの不正なアクセス

(3) CERT-Inへの報告方法

CERT-Inへの報告は、前述の通り、メール、電話、ファクシミリで行うものとされており、CERT-Inのウェブサイトには、報告に関する所定のフォーマットが公開されています。

(4) 顧客に対する契約上の秘密保持義務との関係性

こうした報告義務に関しては、対象法人等が顧客に対して負っている秘密保持義務との関係が問題となりえます。この点について、本件FAQsでは、情報を開示しないことを契約上合意していたような場合であっても、上記CERT-Inへの報告義務は当該合意に優先することが明記されています。

4．報告義務以外に対象法人等に課される義務

(1) サイバーセキュリティインシデント発生認識後に必要な対応

対象法人等は、サイバーセキュリティインシデントへの対処のため、CERT-Inからの指示又は通達に従い、CERT-Inに対して必要な情報を提供すること及びその他の協力をすることが義務付けられています。

(2) CERT-Inとの連絡担当者の選任

対象法人等は、サイバーセキュリティインシデントの発生を認識した場合、CERT-Inと必要な連絡を取るための連絡担当者（Point of Contact）を定め、CERT-Inに通知する必要があります。この情報は常に最新のものに更新される必要があり、当該連絡担当者は、CERT-Inからの情報の徴求及びコンプライアンス維持のための指示等の連絡を担当することになります。

なお、インド国内に事業所など物理的な拠点がない場合であっても、インド国内に所在するユーザーにサービスを提供する対象法人等は連絡担当者を選任する必要があり、この点は注意が必要です。

(3) 情報通信技術（information communication technology。以下「ICT」といいます。）ログの維持

本件通達は、サイバーセキュリティインシデント発生の有無にかかわらず、対象法人等に対し、全てのICTシステムのログを180日間保存する義務を課すとともに、ログの保存をインド国内で行うことを要求しています。

もっとも、この点については、本件FAQsにおいて、CERT-Inに対して合理的な時間内に報告することができる場合には、インド国外にログを保存することも許容されると明示されています。

(4) 顧客・株主情報の維持

サイバーセキュリティインシデント発生の有無にかかわらず、データセンター、VPS（Virtual Private Server）プロバイダー、クラウドサービスプロバイダー、VPN(Virtual Private Network)サービスプロバイダーは、以下のような顧客又は加入者に関する正確な情報を記録し、維持する義務があります。

a. サービスを利用する加入者／顧客の氏名、住所、連絡先番号[5]

b. 日付を含む利用期間

c. 加入者に割り当てられたIPアドレス

d. 登録時／利用開始時に使用されたメールアドレス、IPアドレス、タイムスタンプ

e. サービス利用目的

f. サービスを利用する加入者／顧客の所有形態

(5) 本人確認（Know Your Customer）情報の維持

暗号資産サービスプロバイダー、暗号資産取引所プロバイダー及びカストディアウォレットサービスプロバイダーは、本人確認の一環として取得した情報及び金融取引履歴を、5年間維持する義務があります。

5．違反時の罰則

本件通達によれば、違反に対しては、IT法に基づき、1年以下の懲役又は10万ルピー以下の罰金、あるいはその併科がなされるとあります[6]。

6．まとめ

上述のとおり、本件通達は、サイバーセキュリティインシデントの発生を認識した時から6時間以内の報告義務をはじめ、企業に課される様々な義務を定めており、それは日系企業のインド現地法人についても例外ではなく、本件通達に対応する体制を早急に整える必要があります。

また、インド国内に居住するユーザーに対してサービスを提供するサービスプロバイダーや仲介業者等については、事業に大きく影響する可能性があり、注意が必要です。

他方で、どのようなケースが「サイバーセキュリティインシデント」に該当するのか、報告を受けたCERT-Inが企業に対してどのような指示をするのか等に関しては、今後の実務上の運用状況を注視していくことが必要です。弁護士等外部専門家に相談するとともに、担当者やレポートラインを定めておくことをお勧めします。

以　上

[1] No. 20(3)/2022-CERT-In。https://www.cert-in.org.in/PDF/CERT-In_Directions_70B_28.04.2022.pdf

[2] 本件通達に関して2022年6月27日にCERT-Inより発行された通達（以下「2022年6月27日通達」といいます。）により、2006年中小零細企業開発法（Micro, Small and Medium Enterprises Development Act, 2006）7条9項及び1項並びにその関連規則の適用を受ける中小零細企業については本件通達の効力発生日が2022年9月25日に延期されました。https://www.cert-in.org.in/PDF/CERT-In_directions_extension_MSMEs_and_validation_27.06.2022.pdf

[3] 本件通達AnnexureⅠ

[4] 各インシデントの詳細については、インド当局が発行する本件通達に関するFAQs（以下「本件FAQs」といいます。）16頁以降参照。https://www.cert-in.org.in/PDF/FAQs_on_CyberSecurityDirections_May2022.pdf

[5] 2022年6月27日通達により、データセンター、VPS（Virtual Private Server）プロバイダー、クラウドサービスプロバイダー、VPN(Virtual Private Network)サービスプロバイダーに課せられる「サービスを利用する加入者／顧客の氏名、住所、連絡先番号」（本稿4(4)a）の情報の記録及び維持の義務が生じる日付が2022年9月25日に延期されました。

[6] 第70B条7項

執筆者

佐藤賢紀
AsiaWise法律事務所パートナー
弁護士（日本）
<Career Summary>
2004年東北大学法学部、2009年首都大学東京法科大学院を卒業、同年司法試験合格。2010年弁護士登録。8年間都内法律事務所にて勤務した後、AsiaWise法律事務所入所。2010年の弁護士登録後、都内法律事務所にて勤務。中小企業から上場企業まで様々なコーポレート案件や、裁判等を中心に執務。
<Contact>
yoshinori.sato@asiawise.legal

上村彩
AsiaWise法律事務所アソシエイト
弁護士（日本）
<Career Summary>
2015年神戸大学、2018年同大学法科大学院を卒業、同年司法試験合格。2019年12月検事任官、東京地方検察庁配属。2021年4月岡山地方検察庁配属、同年10月退官。2022年1月弁護士登録。AsiaWise法律事務所入所。
<Contact>
aya.uemura@asiawise.legal

新田荘作
AsiaWise法律事務所アソシエイト
<Career Summary>
2017年京都大学法学部、2019年一橋大学法科大学院を卒業、同年司法試験に合格。2019年よりインドの会計コンサル事務所にて勤務開始。2021年よりAsiaWise 法律事務所に加入し、AsiaWise GroupのインドメンバーファームWLOに出向。
<Contact>
sosaku.nitta@asiawise.legal