IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
インドにおけるデータ保護法規制の現状
2023年8月にインドのデジタル個人情報保護法が成立しました。本法令の成立後から半年以上が経過しましたが具体的な施行日は未定となっており、引き続き動向の注視が必要です。また、インドではデジタル個人情報保護法のほか、2000年情報技術法(以下、IT法)および情報技術規則(以下、IT規則)やIT法に基づくサイバーセキュリティ規則(以下、CS規則)も施行済みとなっています。
本状況を踏まえ、インドのデータ保護法規制への対応にあたっては並立する各法令および規則の内容を包括的に把握し、デジタル個人情報保護法の施行後も見据えた対策を講じる必要があります。本インサイトでは各法令および規則の概要と企業として注意すべきポイントを解説します。
2000年情報技術法および情報技術規則への対応
デジタル個人情報保護法が未施行であるため、引き続きIT法およびIT規則に沿った個人情報保護対応が求められています。IT法は情報技術産業に関する全般的な法令であり、個人情報保護に関する具体的な規制内容への言及は限定的です。一方、IT規則には諸外国の個人情報保護法令において確認されるような要件も複数含まれます。
IT規則にはセンシティブ個人情報の取り扱いに係る規制、本人同意の取得、データ主体による権利行使への対応などが含まれます。IT規則の施行から10年程度経過していますが、すでに対応済みの企業においても要件に沿った運用が問題なく実施されているかの確認が推奨されます。
サイバーセキュリティ規則への対応
CS規則はIT法の規定に基づき2022年4月に発行され、同年9月に施行されています。対象はインターネットサービスプロバイダー、仲介業者、企業、データセンターなど幅広く情報技術を取り扱う者とされており、日本所在の多くの企業も対象になると考えられます。内容として特に注意すべき点としては、サイバーインシデント検知後の当局(Computer Emergency Response Team、Cert-In)への報告が要求されていること、インド国内でのログの保存義務が課せられていることなどが挙げられます。
※Cert-In:インド政府の電子情報技術省の機関であるComputer Emergency Response Team
個人情報保護に限らず、CS規則では企業などでのサイバーインシデントの発生に備えた要求事項が複数存在する点に注意が必要です。IT法、IT規則およびデジタル個人情報保護法に対する個人情報対応のみではカバーしきれないシステムが関連する要件も含まれます。企業としてはインド関連でのサイバーセキュリティ対策の状況について整理し、充足できていない要件が存在する場合は速やかな対応をとることが要請されます。
デジタル個人情報保護法への対応
デジタル個人情報保護法では「個人データ」の定義は定められている一方で、「センシティブ個人データ」の定義は定められていません。規制対象となるのは個人データがデジタル形式で収集された場合、または、非デジタル形式で収集された後にデジタル化される場合とされています。また、インド国外でデジタル形式のデータが処理される場合であっても、当該処理がインド国内の消費者に対する製品またはサービスの提供に関して実施される場合には適用されます。このため、インド国内向けにサービスを展開する幅広い日本企業も規制対象になると言えます。
本人同意の取得要件が厳格に定められていることに加え、「重要データ受託者」に対してはデータ保護責任者(DPO)の設置やデータ保護影響評価(DPIA)の実施などの追加要件が課されますが、本稿公表時点では「重要データ受託者」の該当要件は明確に公表されていません。また、インド政府としてデータ受託者によるインド国外への移転を制限することが可能な文言も法令上存在します。今後、デジタル個人情報保護法の要件が具体的に定められた規則などが発行されることが予測され、企業は施行のタイミングと併せて動向の注視が必要です。
企業に求められるインド向けのデータ保護法規制対応
デジタル個人情報保護法の施行に向けた動向が不透明であるため、これまで本格的なインド向け対応を見送っていた企業も多いと推察されます。一方でIT法に基づくCS規則をはじめ、インドでは法体系整備が進んでいるのは明白であり、今後もデジタル個人情報保護法の要件詳細を示した規則やガイドラインの発行が予想されます。特にインド向けにアプリケーションやデジタルサービスを展開している企業では、デジタル個人情報保護法施行前の現段階からシステムおよび運用状況の確認と不足箇所の整備が推奨されます。
また、CS規則への対応ではサイバーセキュリティ対策の見直しが必要となる可能性もあり、対策に時間がかかるケースも想定されます。CS規則への対応状況確認と併せ、デジタル個人情報保護法の施行に備えられるよう早期の対応が必要です。
プライバシー法規制のトレンドと企業に求められる対応
54 results
Loading...
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Loading...
インサイト/ニュース
40 results
Loading...
グローバルで本格化するAI関連法規制整備を受け、AI活用を推進するために日本企業はどうするべきか
慶應義塾大学大学院特任准教授の吉永京子氏、アレシア国際法律事務所代表弁護士の有本真由氏をお迎えし、AI活用におけるガイドラインや規制に関する世界の最新動向を踏まえつつ、日本企業に求められる戦略と実務対応について考察します。
国内で進む経済安全保障関連法整備の狙いと企業の対応
世界に先駆けて経済安全保障の包括的対策を法制化した日本。法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。
日本企業は新世界秩序と大国間の対立をどう乗り越えられるか
コロンビア大学ロースクール教授でPwC Japanグループ顧問のアニュ・ブラッドフォードが、米国の新政権誕生によって米国・欧州・中国関係が転換点を迎える今、国際貿易とデジタル規制の最新動向を分析し、日本企業がとるべき具体的な対応策を解説します。
デジタル規制、いま企業に求められること ビジネスパーソンとメディアの新たな関係
NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。
Loading...
