インド、テクノロジー企業とクラウドサービスプロバイダーに6時間以内に違反を報告するよう要求

ジャカルタ - インド政府は、5月18日水曜日に、業界の懸念が高まっているにもかかわらず、ソーシャルメディア、テクノロジー企業、クラウドサービスプロバイダーにデータ侵害の迅速な報告を強制する今後のサイバーセキュリティ規則を改正しないと発表しました。

インドのコンピュータ緊急対応チームは4月、ハイテク企業に対し、「このような事件に気づいてから6時間以内にデータ侵害を報告し、ITおよび通信ログを6ヶ月間維持するよう求める指令を出した。

また、Amazonや仮想プライベートネットワーク(VPN)企業などのクラウドサービスプロバイダーに、顧客名とIPアドレスを少なくとも5年間保持することを義務付けています。会社のサービスの利用を停止した後でも。

この措置により、業界内ではコンプライアンスの負担の増加とコストの増加に関する懸念が高まっています。

インドのラジーブ・チャンドラセカール次官は、懸念にもかかわらず変化はないだろうと述べた。彼は、テクノロジー企業は誰が彼らのサービスを使用しているかを知る義務があると述べた。

インドは近年、大手ハイテク企業に対する規制を強化しており、産業界からの抵抗を促し、場合によってはニューデリーとワシントンの間の貿易関係を強化することさえある。

ニューデリーは、サイバーセキュリティインシデントは定期的に報告されるため、新しいルールが必要であると述べていますが、それらを調査するために必要な情報はサービスプロバイダーから常に入手できるとは限りません。

しかし、この規則は広範な不満を引き起こしている。今週の非公開の会議で、多くのソーシャルメディアとハイテク企業の幹部が、ニューデリーにルールを遅らせるよう促す戦略について議論したと、この問題を直接知っている情報源は言う。

情報筋によると、欧州当局はデータ侵害を約72時間以内に報告することを要求しているという。彼はまた、6時間以内に事件を報告することは困難であると付け加えた。

チャンドラセカールは、いくつかの国が直ちに報告を義務付けたため、インドは寛大であると述べた。

この規則は6月末から施行されます。発表後、世界最大のVPNプロバイダーの1つであるNordVPNは、インドからサーバーを削除すると発表しました。

プライバシー活動家は、この規則は、内部告発者などの個人の身元を監視から保護するというVPNの考え方に反していると言います。

「これらのルールに従いたくないなら、そして辞任したいのなら、率直に言って...辞任しなければならない」とチャンドラセカール氏はロイターを含む記者団に語った。