インドの新しい VPN ガイドラインが VPN サービス プロバイダーとユーザーにとって何を意味するか

2022 年 4 月 28 日、インドのコンピューター緊急対応チーム (CERT-In) は、2000 年情報技術法第 70B 条のサブセクション (6) に基づいて付与された権限に基づいて、特定の指示を出しました。これらの指示は、情報セキュリティの実践に関連しています。 、手順、予防、対応、およびサイバーインシデントの報告。

CERT-In は、サイバー セキュリティの分野で次の機能を実行するための国家機関です。

• サイバーインシデント情報の収集・分析・発信
• サイバーセキュリティインシデントの予測とアラート
• サイバーセキュリティインシデントへの緊急対応
• サイバーインシデント対応活動の調整
• サイバーインシデントの情報セキュリティ慣行、手順、防止、対応、および報告に関連するガイドライン、勧告、脆弱性ノート、およびホワイトペーパーを発行する
• 規定される場合があるサイバーセキュリティに関連するその他の機能。

これらの新しい方向性では、サービス プロバイダー、仲介者、データ センター、企業体、および政府組織は、次のことを遵守する必要があります。

サイバーインシデントの報告義務

関係するすべての利害関係者は、そのようなインシデントに気付いた、またはそのようなインシデントについて通知されてから 6 時間以内にサイバー インシデントを報告する必要があります。 しかし、どのような行動が「気づく」または「気付かされる」に相当するかについての明確な定義はありません。 さらに、これらのルールは、まだ答えられていない多くの疑問を提起します。

1 つ目は、ルールが正確に誰に適用されるかについての不確実性です。 ルールは、一般大衆向けの VPN サービス プロバイダーのみを対象としていますか? それとも、企業や企業の VPN サービス プロバイダーにも適用されますか? これは、パンデミック後、VPN を介して企業ネットワークに接続された在宅勤務の従業員に影響を与える可能性があります。

必須のロギング

これには、すべての ICT (情報通信技術) システムのログを有効にし、180 日間のローリング期間にわたって安全に維持する必要があります。

問題は、ICT が非常に広い用語であるということです。 これは、情報技術の拡張用語として機能し、ユーザーが情報にアクセスできるようにするための通信と技術の統合を強調しています。

これを厳密に解釈すると、すべてのログを 6 か月間維持することになります。 インド政府によって許容されると見なされ、遵守されていると見なされるリベラルな解釈が見られるかどうかはまだ不明です.

あなたにおすすめ:

資力

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか

アミット・ダス

2022 年 7 月 31 日

ニュース

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...

ジャスプリート K.

2022 年 7 月 31 日

資力

メタバースがインドの自動車産業をどのように変革するか

バイバブ S.

2022 年 7 月 31 日

資力

反営利条項はインドのスタートアップ企業にとって何を意味するのか?

チャラニャ L.

2022 年 7 月 31 日

資力

Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...

アンクシュ S.

2022 年 7 月 31 日

ニュース

今週の新時代のテック株：Zomatoのトラブルは続き、EaseMyTripはスト...

タパンジャナ R.

2022 年 7 月 31 日

インドの管轄内ですべてのログを維持する

政府は、消費者データの保存には関心がないと述べて、この動きを正当化しています。 代わりに、彼らはサービスプロバイダーにデータを保存してもらいたいと考えています。データは、法的に必要な場合、裁判所の命令の下、または犯罪捜査でのみ政府と共有できます.

さらに、管轄権の問題があります。 VPN サービス プロバイダーは、インド内外の消費者にサービスを提供しています。 政府がデータのローカリゼーションを推進しているため、これには 2 つの効果がある可能性があります。 インドの消費者がこの規制の対象となるだけでなく、インド国外にサーバーを持つサービス プロバイダーもインドの裁判所の管轄下に置かれます。

さらに、企業はインドの罰則規定の対象となります。 サービス プロバイダー、仲介業者、データ センター、法人または個人が要求された情報を提供しない場合、またはガイドラインに準拠しない場合は、罰せられるものとします。 これには、1 年に及ぶ可能性のある懲役または INR 1 Lakh に及ぶ可能性のある罰金、またはその両方が含まれます。

データの保管

VPN（Virtual Private Network）サービス提供者、クラウドサービス提供者、データセンター、VPS（Virtual Private Server）サービス提供者は、以下の情報を登録し、登録の取消または撤回後5年間、登録を維持する必要があります。ケースは次のとおりです。

• サービスを利用している加入者または顧客の検証済みの名前
• 日付を含む雇用期間
• メンバーに割り当てられた、またはメンバーによって使用されている IP
• 登録またはオンボーディング時に使用される電子メール アドレス、IP アドレス、およびタイム スタンプ
• サービスを利用する目的
• 検証済みの住所と連絡先番号
• サブスクライバーまたはサービスを利用する顧客の所有パターン

特定の重要な問題について明確さが欠けています。 データを保存するために追加のインフラストラクチャを作成する必要があるかどうかについては、まだ曖昧な点があります。 または、データの保管をサードパーティのデータ保管、保持、およびローカリゼーション サービス プロバイダーにアウトソーシングすることが許可されているかどうか。

さらに、これらのサービス プロバイダーが正確な情報を登録するための要件も非常に曖昧です。 ユーザーから提供されたデータの正確性をどのように保証するかは不明です。 また、情報の正確性を確保するために発生する追加費用が必要になる場合もあります。

最後に、規制により、サービス プロバイダーは、CERT-In とのインターフェイスとなる POC (連絡先) を指定することが義務付けられています。 誰がPOCになることができるかということになると、指令はまだ曖昧なままです。 POC はインドの居住者である必要がありますか、それともアウトステーションの職員でもかまいませんか? POC になることができるのは、会社の管理担当者、特定の権限を持つ人物、または主要な管理担当者ですか? この規則は、IT 法および規則に基づく刑事保護の場合、POC が被告人として起訴される問題についても黙っています。

プライバシー制度への挑戦

この規制は、暗号通貨交換を含む多くのサービス プロバイダーを対象としていますが、 VPN サービス プロバイダーが最も影響を受けるようです。 データのローカリゼーション要件とデータ保持ガイドラインをリストアップする政府の新しい指示により、深刻なデータ プライバシーの懸念が生じています

VPN ネットワークの基本原則はプライバシーであり、現在の指令は明らかにそれらの原則と矛盾しています. 正式なプライバシー法がないため、当局はさまざまな最高裁判所の判決、IT 法、IT 規則、およびインド憲法の第 21 条に依存しています。 これにより、業界関係者やサービス プロバイダーがガイドラインに準拠することが難しくなっています。

さらに、VPN サービス プロバイダーは、さまざまな異なるテクノロジを使用しています。 既存のネットワークの一部では、ログのストレージが存在しないままです。 これは、インドでこれらのサービスを運用および維持するためのインフラストラクチャと労働力に対する追加の資金提供を意味します。

コンプライアンスへの道を戦略化

多くのことが未解決のままであるため、基本的な法的戦略の必要性が生じます。 これは、企業が新しい規制を順守するのに役立ちます。政府からそれ以上の説明がない場合に備えてください。 この基本的な法的戦略には、次の手順が含まれます。

• 責任を回避するために、VPN サービス プロバイダーのプライバシー ポリシーを変更または修正し、クリックラップ、シュリンク ラップ、またはその他の承諾と同意の形式で顧客の追加の同意を得てください。
• インドにサーバーを作成し、インフラストラクチャ、プロセス、さらにはリソースを追加して、ルールに準拠します。
• 顧客の KYC 基準を変更して、追加のデータ取得要件に準拠します。
• 規制を遵守するための内部ポリシーを作成します。
• VPN システムが作成される値を変更します。 データのローカリゼーションと保持を推進するには、インド国内でサービスを提供する VPN サービス プロバイダーが、インドの法的要件に合わせて値を変更する必要があります。
• CERT-In と通信する POC として行動するインドの人物を指定します。