サイバーセキュリティ規制についての比較:インドネシア

    By Danar Sunartoputra、Indra Allen、とDaniel Aryo Radityo、Melli Darsa & Co
    0
    244

    中国

    インド

    台湾

    さまざまなインドネシアの政府機関や企業が、「メタ(超越)」と「ユニバース(宇宙)」の混成語であるメタバースと呼ばれる新たな先進テクノロジーを検討しています。このテクノロジーは、インターネットによって社会的なつながりを劇的に促進することを約束するものであり、観光事業や文化探訪からインタラクティブな銀行業務、消費者への販売、オフィスでのコミュニケーション、教育、日常生活に至るまで、さまざまな場面においてバーチャルな3D体験を推進します。

    しかしながら、デジタル世界と実世界の融合がこのように徐々に進むことで特に議論を呼んでいるのは、バーチャルなメタバースで個人の特性を明らかにするために、本人認証として使用する生体認証データを収集することが必要であるということです。潜在的な脅威に対する固有の脆弱性を考慮すると、生体認証データの取得は慎重を期する問題ですが、インドネシアの規制の枠組みは、個人情報の保護およびサイバー攻撃対策に限定されています。

    本稿では、既存の枠組み、およびインドネシアの国民議会で最近可決された待望の個人情報保護法(以下「PDP法」)、さらにメタバースの進化を見越して、生体認証データに関するより具体的な規制が必要かどうかを論じています。本稿の執筆時点では、PDP法は、大統領の批准が条件となっていますが、批准がなされない場合でも、本法は30日後に自動的に発効します。

    メタバースの登場

    Danar Sunartoputra, Melli Darsa & Co
    Danar Sunartoputra
    パートナー
    Melli Darsa & Co(ジャカルタ)
    電話: +62 815 9728 113
    Eメール: danar.sunartoputra@pwc.com

    パンデミックによって、多くの企業は、事業の効果的な実施方法について再考を迫られました。当然のことながら、大半の企業が、テレビ会議、ウェビナー、その他のインターネット通信などの多数のデジタル会議プラットフォームを使用してオンラインへの転換を図りました。しかしながら、明らかなメリットがあるにもかかわらず、現実世界における柔軟な体験と比較すると、やや柔軟性に欠けると考えられるような制限もありました。そのため、メタバースが登場し、形而上学的なギャップを埋めることで上記の問題を解決し、物理的な領域のレプリカによって仮想世界における実体験を提供し、各関係者が、現実には存在しない自分の分身であるアバターを通して、より効果的に人付き合いを行い、会議やイベントに参加することができます。

    他国同様、インドネシアでも、このメタバースによって、国の経済を向上、促進する機会が多く生まれており、利害関係者は、事業活動を推進するために、この仮想世界の探索をすでに開始しています。インドネシア最大の国営銀行の一つ、バンク・ラクヤット・インドネシア(Bank Rakyat Indonesia)は、メタバースエコシステムを開発するための覚書に署名済みです。これによって、例えば、顧客がバーチャルバンキングサービスを利用するといった、新たな体験や機会が提供される可能性があります。同時に、メタバース企業では、開発コストはかかるものの、物理的なオフィスの建設コストも削減することができます。

    一方で、インドネシアの観光創造経済省は、地元企業がオンラインで製品を販売するための仮想空間と共に、世界的にインドネシアの観光事業を促進するためのメタバースプラットフォームである「ワンダーバース(WonderVerse)」を立ち上げる共同計画に先日調印しました。

    メタバースは登場したばかりで、いまだ進化途中であり、完成形とは程遠いものです。開発は初期段階にあるため、最適なエコシステムを競って構築しているテクノロジー企業でさえ、最終的なメタバースの全体像をただイメージしているに過ぎません。仮想世界に参加する方法が多数ある一方で、すでに注意を要する一つの欠点となっているのがアクセスの不変性です。つまり、権限を与えられた関係者だけがシステムにアクセスできるようにするため、生体認証データなどのユーザープロファイルの登録に必要となるさまざまなデータの提出が必要です。

    生体認証データについての規制

    Indra Allen, Melli Darsa & Co
    Indra Allen
    パートナー
    Melli Darsa & Co(ジャカルタ)
    電話: +62 811 1071 678
    Eメール:
    indra.allen@pwc.com

    生体認証データに若干関連するインドネシア初の法律は、市民権管理に関する法律23号(2006年)であり、本法は2013年に法律24号によって改正されました。同法では、どちらも生体認証データである指紋や目の虹彩など、保護されるべきさまざまな種類の個人情報について説明しています。しかし、同法によって、生体認証データについて具体的に定義され、最新の保護が提供されているわけではありません。最近まで、生体認証データを規定した規制はありませんでした。2016年に法律第11号として改正された、電子情報および電子商取引に関する法律第11号(2008年)でさえ、生体認証データを規制したものではありませんでした。

    最近可決されたPDP法は、より厳格かつ厳重に、総合的な保護を提供することで、個人情報を規制する、最も重要な法律です。これによって、個人情報は一般データと具体的なデータに分類され、生体認証データについては、EU一般データ保護規則で「機密性の高い」データに分類されているのと同様に、具体的な個人情報に分類されています。

    PDP法では、生体認証データを、顔認証または指紋データなど、個人の唯一性を特定することができる個人の身体特性、生理学的特性、または行動特性に関連するデータと定義しています。また、指紋記録、目の網膜のスキャン、およびDNAサンプルなど、維持および管理しなければならない個人の唯一性や特性についても説明しています。

    サイバー面での脆弱性

    Daniel Aryo Radityo, Melli Darsa & Co
    Daniel Aryo Radityo
    シニアアソシエイト
    Melli Darsa & Co(ジャカルタ)
    電話: +62 813 1771 8778
    Eメール:  daniel.radityo@pwc.com

    識別のための生体認証データは、パスワードベースの方法よりも安全であると考えられていますが、依然として機密性や危険性が非常に高いため、人物のプロフィールや特性が複数のサイバー脅威に晒される可能性があります。ITシステムを介したサイバー攻撃であろうと、アクセスレベルによる単なるインサイダー脅威であろうと、生体認証データへのハッキング方法は多くあり、またその他の可能性も多数存在します。例えば、高解像度のデジタル写真は、顔認証システムの処理に使用される可能性があります。

    PDP法の第27条、第28条は、個人情報管理者に対して、法的に有効かつ透明性の高い限定された特定の方法によってのみ、個人情報の処理を行うよう法的に義務付けています。つまり、個人情報の収集は、処理の目的に従って制限され、収集時に明確に決定されていることが必要です。

    処理については、関係法令に従って実施しなければならず、またデータ主体は、個人情報の処理方法について十分に把握していなければなりません。また、第34条では、データ処理が主体にとって危険性が高いと考えられる場合、個人情報管理者は、個人情報保護に与える影響についても評価しなければならないことが強調されています。

    政府は第58条に基づき、大統領が直接任命し(大統領直属の)情報保護機関を設立することによって、法律に従って個人情報を保護する役割を果たします。本機関は、個人情報保護、監督、行政上の法執行、法廷外での紛争解決の促進に関する政策や戦略を策定し、定める権限が委任されます。

    つまり、PDP法によって、以前よりはるかに重要な政策が策定されたため、特に法人については、データ漏洩について72時間以内にデータ主体と当局に通知しなかった場合、年間の利益または収益の最高2%に相当する高額な罰金が科せられることになります。生体認証データの機密性を考慮すると、大企業にとって収益の2%の罰金額は低いと考える意見もある一方で、企業は、通知期間がこれまでの14日間と比較して非常に短くなったことを意識し、その準備を整えなければなりません。

    将来への展望

    メタバースは、インドネシアのデジタルエコノミーを強化するための文字通り一つの解決策となる可能性があります。しかし、今日、テクノロジーがますます進化する中、サイバー攻撃は止むことがないと考えられています。メタバースに不可欠な要素である生体認証データは、現在も、また今後も変わらず、特別な注意を必要とする、機密性や危険性が非常に高い情報です。PDP法は、生体認証データの保護に関する具体的な規制を定めたものと考えられており、同法に基づき、その処理については厳重かつ非常に限定された方法で実施されなければなりません。今日のビジネス環境において、より高度なテクノロジーが今後も引き続いて活用されると世界が予測する中、現行の法令が、いかに法の番人として、中心的な役割を効果的に果たせるかは興味深いところです。

    PDP法によって、情報保護管理機関の設立が義務付けられる一方で、そうした機関が完全に独立したものであるかどうかもまた現時点では依然として不明です。将来のサイバー脅威を防止するために、生体認証データの取得、処理、管理、破棄の基準を規制し、最高水準の監督機能を持つ、独立した生体認証データの監視機能を確立することは検討に値することです。

    いったん個人情報が違法に漏洩されると修復はほぼ不可能であるため、個人情報保護にいかなる違反があった場合も、法律に従って捜査および処罰が確実に行われることで、強力な抑止力が働くように、最終的には、法執行機関が、(高度な技術支援などの)十分な機能や能力を備えていることも重要になります。

    Melli Darsa & Co Logo

    MELLI DARSA & CO
    Indonesian member law firm of PwC global network
    World Trade Center III
    Jl Jenderal Sudirman Kavling 29-31, Kuningan
    South Jakarta – 12920, Indonesia
    電話: +62 21 521 2901
    Eメール: id_contactus@pwc.com

    www.pwc.com/id

    RELATED ARTICLESMORE FROM AUTHOR