サイバーセキュリティは「信頼のインフラ」である

クリーンで健全なネットワーク環境の構築

サイバーセキュリティ法案は国会議員による審議と意見募集が行われており、第15期国会第10回会期末に成立する見込みです。法案に意見を述べた多くの国会議員は、 科学技術革命の急速な発展に伴い、サイバー犯罪の状況は極めて複雑であると指摘しました。

クリーンで健全なネットワーク環境を構築し、 社会経済発展の促進と国防・安全保障の基盤と手段とするため、党と国家はこれまで、ネットワークセキュリティ確保に関する重要な政策と指針を数多く発表してきました。党の政策を制度化するため、今回の改正法は、2015年の「ネットワーク情報セキュリティ法」と2018年の「ネットワークセキュリティ法」を統合し、立法改革の方針と我が国が加盟している国際条約に基づき、現状の実情に対応しています。

この法案は、ますます巧妙化、組織化される脅威から国家の主権、社会秩序と安全、情報インフラを守ることに貢献する緊急の法的枠組みであり、同時に、安全で健全なサイバー空間の基盤を構築するものである。

ビンロン省国会代表のベ・チュン・アイン議員は、デジタル時代においてサイバーセキュリティは「信頼のインフラ」であり、法案の多くの内容はこの目標を目指していると述べた。今回のサイバーセキュリティ法改正は、既存の規制を整備するだけでなく、サイバーセキュリティが防御の「盾」の役割を果たすだけでなく、デジタル経済成長を促進するインフラとなるような、新たな発展モデルの基盤を構築することを目的としている。

彼は、デジタル経済比率がGDPの25%を超える国々は皆、サイバーセキュリティを統制手段ではなく開発インフラと捉えているという事実を挙げた。「法律が依然として防衛と違反への対処のみに焦点を当てているのであれば、開発の原動力を生み出すことなく、ただ高く厚くなるだけの壁を築いているだけだ」と、代表のベ・チュン・アン氏は述べた。

代表はまた、人工知能が公的データから個人情報を推測・抽出できるようになったことにも言及した。しかし、法案では推測されたデータが特定されておらず、この種のデータに対する保護権も確立されていない。これは人々のプライバシーに直接影響を与える可能性のある抜け穴である。そこで、データ主体の明示的な同意なしに、個人を認証または特定するために推測されたデータを処理することを禁止する条項を追加することを提案した。

サイバーセキュリティは非常に不安定な分野であることを踏まえ、代表は、法律に柔軟な更新メカニズムがなければ、法律は急速に時代遅れになってしまうと分析しました。したがって、政府は3～5年ごとに法律を改正するのではなく、リスクリストとセキュリティ基準を四半期ごとに更新できるようにする必要があります。ベ・チュン・アイン代表は、今回の改正法は、現在の保護から未来の創造へと焦点を移す必要があると強調しました。それは、単なる「盾」ではなく、「デジタル国家が飛躍するための滑走路」となるべきです。この法律は、イノベーションへの道を開き、資源を解放し、デジタル時代における国家の発展の力を解き放つものでなければなりません。

ネットワーク情報セキュリティの確保

ネットワーク情報セキュリティ確保の問題を懸念するディン・ティ・ゴック・ズン国会議員（ハイフォン市国会代表）は、法案草案には「国内外の企業が電気通信ネットワーク、インターネット、サイバースペースでの付加価値サービス上でサービスを提供する際、ネットワークセキュリティに関する法律違反の調査と処理に役立てるため、書面による要請、または電子メール、電話、もしくはその他の確認可能なやり取りの形式を受けてから24時間以内に、公安省傘下のネットワークセキュリティ保護の専門部隊にユーザー情報を提供する責任がある」と規定されていると述べた。

しかし、代表者によると、電話で個人情報を要求する形式を検討する必要があるが、この形式は実際には適切ではなく、正確性を検証するのが難しいとのことです。

「この形式が引き続き規制される場合、電話による申請が許可される人物の役職と地位、そして申請の受付・処理担当者は、通信ネットワーク、インターネット、サイバースペースにおける付加価値サービスを提供する企業の主要人物でなければならないことを、回状や政令で明確にする必要があります。これは人権と個人の権利に関わる問題であるため、情報の活用には厳格なプロセスと手順が確保され、実施プロセスにおいて国民の権利と利益の侵害につながりやすい過度の単純化は避けなければなりません」と、ディン・ティ・ゴック・ズン代表は述べた。

サイバーセキュリティ保護の予算に関して、ディン・ティ・ゴック・ズン代表は、法案草案では、政治機関や組織のサイバーセキュリティ保護の予算は、情報技術の応用と開発のためのプロジェクト、プログラム、投資計画の実施予算全体の少なくとも10％を確保しなければならないと規定されていると述べた。

代表は、情報技術開発プロジェクトにおいてネットワークセキュリティ保護への資金提供を分離することは現実的に困難であるため、この規定についても更なる検討が必要だと示唆した。「アプリケーション、ソフトウェア、システム、運用部分、セキュリティ部分は共に開発されるため、分離することはできません。同時に、一部の法律では、様々な活動を確実に実施するために資金の割合に関する規制も設けていますが、実際には、資金総額や各段階のタスクなど、多くの要因に依存するため、実施は依然として保証されていません」と代表は説明した。

サイバーセキュリティ製品・サービスの事業活動管理に関して、多くの代表者が、サイバーセキュリティ製品・サービスの事業ライセンス付与条件に関する規制案は依然として事前審査が中心であり、事業者に事業ライセンスと実務証明書の取得を義務付けている点を指摘した。このアプローチは、特にテクノロジー分野のスタートアップ企業にとって、行政手続きとコンプライアンスコストの増加を容易に招く。

この現実に直面し、代表団は事後検査メカニズムへの移行を提案しました。これは、企業が技術基準と規制を満たしていれば自由に事業を運営できることを意味します。国家は違反の兆候が見られた場合のみ検査を行います。これは、中央委員会の制度改革と社会経済発展に関する決議第66号にも合致する方向性です。