（2）インド

3 その他

（1）セキュリティにかかわる法律および規則とその動向

インドの社会のデジタル化に関する法としては、2000年情報技術法（IT法）^*16、2008年情報技術改正法^*17があり、現在、デジタルインディア法の提案がなされています。デシタルインディア法は、上記の情報技術法を置き換えるべきであるとして提案されています^*18。

また、関連する法律として、デジタル個人データ保護法^*19は、独立して、2023年8月に議会を通過しています。インドの法規制としては、前述のIT法以外に、2011年情報技術規則^*20、2011年インドSPDI規則^*21、2021年IT規則^*22などがあります。

（2）IoTセキュリティに関する動向

IoTについての政策に関しては、政府は、2015年4月に「IoT政策」の草案^*23を発表し、IoTに関する政府のイニシアチブとしては、国家デジタル通信政策（NDCP）2018年^*24、スマートシティ・ミッション（SCM）、NASSCOM（National Association of Software and Services Companies）・MeitY・ERNET（Education & Research Network）によるIoT Centre of Excellence（CoE）、IoTラボなどがあります。IoTセキュリティに関するガイドライン等としてはTEC（電気通信エンジニアリングセンター）やDSCI（インドデータセキュリティ評議会）の公表している標準等があります。例えば、DSCIは、「IoTセキュリティガイド」^*25、「IoTセキュリティ・ベストプラクティス」*²⁶を公表しています。

この法的背景としては、2017年インド電信（改正）規則529条（強制試験）が、電信機器の強制試験認証手続を定めており、その担当電信当局としては、インドTEC（Telecommunication Engineering Centre）が指定されています。TECは、この強制認証手順において求められている必須要求事項をそのポータルで公開しているとともに種々の技術報告^*27を公表しています。「消費者IoT製品をセキュアにするための行動規範」（Code of Practice for Securing Consumer Internet of Things (IoT) TEC 31318:2021）が、2021年8月に定められており^*28、この行動規範においてETSI（欧州電気通信標準化機構）の要求に対応する13の項目が挙げられています。

（3）その他の情報技術の進展と動向

スマートなクラウド利用へのセキュリティ対応の状況

政府がクラウド・コンピューティングを活用して電子サービスを効果的に提供できるようにするために、国家レベルでのクラウド・コンピューティング環境の形成と実装をなして、共有可能なクラウドベースのインフラ・リソースとアプリケーションの共通リポジトリとして機能させようとするものが「GIクラウド」（MeghRajともいわれる）です。インド政府の電子情報技術省はGIクラウドの方向性と活用アプローチを提示するために、2013年に「インド政府のGIクラウド戦略指示文書（Government of India’s GI Cloud （Meghraj）Strategic Direction Paper）^*29」という文書を公表しています。

ゼロアーキテクチャへの取り組み

「政府機関のための情報セキュリティ実務に関するガイドライン」^*30においては、ゼロトラストの採用を考慮するようにというガイダンスが明らかにされています。そこでは、ゼロトラストの定義、特徴、その柱、実装のための方法が記載されています（同ガイドライン14.6）。

AIについて

AIに関する研究所であるNITI Aayog^*31は、2018年6月に「人工知能のための国家戦略#AIForAll」と題したディスカッションペーパー^*32を発表しています。またインドにおける全てのAI関連開発のワンストッププラットフォームとして機能することを目指しているインド国家AIポータル「INDIAai」^*33が、2020年5月30日に開設されています。2020年には、社会的エンパワーメントのための責任あるAI（RAISE）国際会議（2020）^*34が開催され、電気通信省「AIスタック」（2020）が提案されています。ほかに責任あるAI報告書（2021）^*35、インディアAI2023^*36などの報告書も公表されています。また、2024年3月には、インディアAIミッションというエコシステム^*37が提唱されました。同年7月にはグローバルAIサミットが開催され^*38、そこでは、グローバルサウスの強化というテーマでの議論もなされています。

^*1 https://cag.gov.in/uploads/media/PC-03-National-e-gov-plan-20210331115146.pdf（2025年1月31日閲覧）

^*2 https://www.digitalindia.gov.in/（2025年1月31日閲覧）

^*3 https://www.meity.gov.in/content/india-portal（2025年1月31日閲覧）

^*4 https://www.csc.gov.in/

^*5 https://www.meity.gov.in/sites/upload_files/dit/files/Digital%20India.pdf（2025年1月31日閲覧）

^*6 https://www.meity.gov.in/writereaddata/files/downloads/National_cyber_security_policy-2013%281%29.pdf（2025年1月31日閲覧）

^*7 このドクトリンは、サイバー空間での作戦を国家安全保障のより広範な枠組みに組み込むことの必要性を強調するものです（防衛省プレスリリース “CDS Gen Anil Chauhan releases Joint Doctrine for Cyberspace Operations”（2025年1月31日閲覧））

^*8 2023年6月30日、CERTインディアは「政府機関のための情報セキュリティ実務に関するガイドライン」を発表。https://www.meity.gov.in/guidelines-information-security-practices-government-entities-safe-trusted-internet（2025年1月31日閲覧）

^*9 https://www.cert-in.org.in/PDF/Auditor_Guidelines.pdf（2025年1月31日閲覧）

^*10 IT Security Auditing Guidelines for Auditee Organizations Version5.0
https://www.cert-in.org.in/PDF/guideline_auditee.pdf

^*11 https://www.cert-in.org.in/PDF/CyberSecurityAuditbaseline.pdfまた、2024年10月には、サイバーセキュリティ監査エコシステムに関しての推奨事項が公表されています。

^*12 国立情報学センター・インシデントレスポンスチーム

^*13 通信・情報技術省サイバーセキュリティ部は、サイバーセキュリティに関する公的調達に関する命令、安全なアプリ・インフラの一般的ガイドライン、CISOのトップ・ベストプラクティスなどを公表する組織です。

^*14 https://www.cert-in.org.in/（2025年1月31日閲覧）。なお権限は、2000年情報技術（IT）法第70B条に記されています。

^*15 2000年情報技術法第70条A（2008年改正）に基づき、2014年1月16日付官報告示により設立された組織 https://nciipc.gov.in/（2025年1月31日閲覧）。

^*16 2000年情報技術法（Information Technology Act of 2000）は、デジタル署名や電子記録の諸規定（3条から42条）、コンピュータ犯罪の規定（43条ないし78条）、ネットワークサービスプロバイダーの免責規定（79条）などの規定からなりたっています。
統合版についてはhttps://www.indiacode.nic.in/bitstream/123456789/13116/1/it_act_2000_updated.pdf（2025年1月31日閲覧）

^*17 2008年情報技術改正法（IT Act 2008）は2008年10月に成立し、2000年IT法に大幅な追加を行う形で翌年施行されました。現在使用されている用語の更新と再定義が追加され、サイバー犯罪の定義と電子署名の検証が拡大されました。また、より良いデータ・セキュリティの実践を企業に強く奨励し、データ侵害に対する責任を企業に負わせています。

^*18 DIAの中核となる構成要素は、オンラインの安全性、信頼と説明責任、開かれたインターネット、AIやブロックチェーン技術のような新時代の技術の規制となります。この新たな枠組みは、さらにデジタル個人データ保護法、デジタルインディア法規則、国家データ・ガバナンス政策、サイバー犯罪に関するIPC改正から構成されるとされています。2025年1月時点においては、公開された条文案ではなく、デジタルインディア法の背景・内容等を説明するスライド「提案、デジタルインディア法2023」（https://www.meity.gov.in/writereaddata/files/DIA_Presentation%2009.03.2023%20Final.pdf）（2025年1月31日閲覧）が公開されています。

^*19 https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf（2025年1月31日閲覧）

^*20 2011年情報技術規則は、インターネット媒介者の規制、サイバー犯罪、詐欺、誹謗中傷、私的画像の非合意公開に対する罰則や違反金の更新、特定の言論の検閲・制限に関する規定などを含んでいます。

^*21 2011年インドSPDI規則によってIS/ISO/IEC 27001規制は、国際規格と認定されており、「合理的なセキュリティ実務」を満たすのに役立つとされています。

^*22 2021年2月25日、電子情報技術省は、2011年IT規則の代わりとして、2021年情報技術（インターネット媒介者のためのガイドラインとデジタルメディア倫理コード）規則（The Information Technology (Intermediary Guidelines and Digital Media Ethics Code) Rules, 2021）を導入しました。この規則は、2000年情報技術法の87条（1）等による規制権限を明確にするものです。同規則は、インターネット媒介者の相当な注意義務を明らかにし（同2部）、デジタルメディアの倫理規定および安全策を定めています（同3部）。

^*23 この政策草案は、2025年1月時点で正式版になるという動きは見受けられません。https://www.meity.gov.in/sites/upload_files/dit/files/Draft-IoT-Policy%20%281%29.pdf（2025年1月31日閲覧）

^*24 https://dot.gov.in/sites/default/files/EnglishPolicy-NDCP.pdf（2025年1月31日閲覧）

^*25 https://www.dsci.in/files/content/knowledge-centre/2023/IoT-Security-Guide.pdf（2025年1月31日閲覧）

^*26 https://www.dsci.in/content/iot-security-best-practices-document（2025年1月31日閲覧）

^*27 http://tec.gov.in/M2M-IoT-Technical-reports（2025年1月31日閲覧）

^*28 https://www.tec.gov.in/pdf/M2M/Securing%20Consumer%20IoT%20_Code%20of%20pratice.pdf（2025年1月31日閲覧）

^*29 https://xn--m1bdba5a7gresc7dsa.xn--11b7cb3a6a.xn--h2brj9c/sites/upload_files/dit/files/GI-Cloud%20Strategic%20Direction%20Report%281%29.pdf（2025年1月31日閲覧）

^*30 https://email.gov.in/videos/docs/Guidelines_informationsecurity_practices_for_govt_entities_June2023.pdf（2025年1月31日閲覧）

^*31 NITI Aayogは、インド変革のための国家機構（National Institution for Transforming India）の略称で、インドの政策シンクタンクおよび政府機関です。計画委員会に代わって2015年1月1日に設立されました。NITI Aayogは政府の「シンクタンク」として、中央・州レベルの政府に対し、政策の重要な要素全般にわたり、関連する戦略的・技術的アドバイスを提供しています。

^*32 https://www.niti.gov.in/sites/default/files/2019-01/NationalStrategy-for-AI-Discussion-Paper.pdf（2025年1月31日閲覧）

^*33 https://indiaai.gov.in/（2025年1月31日閲覧）

^*34 https://indiaai.gov.in/raise（2025年1月31日閲覧）

^*35 「責任あるAI #AIFORALLインディアのためのアプローチ文書」は、2020年8月からの公開諮問を経て、NITI Aayogが公開した報告書であって、パート1「責任あるAIの原則」（2021年2月）とパート2「責任あるAIの運営原則」（同8月）にわかれています。（2025年1月31日閲覧）

^*36 これは、2023年10月に公表された専門家委員会による通信・情報技術省（MeitY）に対しての報告書（一版）です。通信・情報技術省は、国内における最先端技術の活用事例を育成・促進するという首相のビジョンにコミットしており、データ管理室、AIナショナルセンター、AIスキリング、責任あるAIという4つの構成要素を含む「AIに関する国家プログラム」の実施に取り組んでいます。前述の「IndiaAI」は、AIエコシステムにおける特定のギャップに対処する集中的かつ包括的な枠組みを確立するものでもあります。https://www.meity.gov.in/content/indiaai-2023-expert-group-report-%E2%80%93-first-editionthe-ministry-electronics-and-information（2025年1月31日閲覧）

^*37 IndiaAIミッションは、電子・情報技術省（MeitY）が主導し、デジタル・インディア・コーポレーション（DIC）傘下のインドAI独立事業部門（IBD）が実施するものであって官民パートナーシップモデルによってAI環境の創出と経済成長の推進を図ろうとするものです。https://pib.gov.in/PressReleasePage.aspx?PRID=2012375（2025年1月31日閲覧）

^*38 https://indiaai.gov.in/article/indiaai-summit-sees-international-collaboration-for-making-ai-work-for-global-south（2025年1月31日閲覧）