サイバーセキュリティ法案は、ずさんなデータ収集に終止符を打つ

この変更は、法的な空白を埋めるだけでなく、厳格な技術的障壁を設定し、組織の責任者にサイバーセキュリティ認定を取得することを義務付け、企業による「簡単な」データ収集の時代を終わらせます。

データは国家存亡に関わる問題となる

11月24日午後、国家サイバーセキュリティ協会が主催したセミナー「サイバーセキュリティ法2025：データセキュリティ保護への一歩前進」において、専門家らは、旧法の枠組みは当初の使命を果たしたものの、現在のデジタル変革のスピードに対応するには包括的ではないという点で満場一致で同意した。

サイバーセキュリティ部門（ 公安省サイバーセキュリティおよびハイテク犯罪防止管理部門）の副部門長、グエン・ディン・ドー・ティ中佐は、データをデジタル経済の「血液」とみなし、サイバーセキュリティとデータセキュリティを確保するための国家の主要政策を特定する際の国家管理の考え方の変化を強調した。

第一に、サイバーセキュリティを国防、安全保障、社会経済、科学技術、外交のあらゆる分野において最優先事項とする。第二に、国家の安全保障と社会秩序を損なわない安全なサイバー空間を構築する。

第三に、専門部隊の構築、優秀な人材の育成、サイバーセキュリティ技術の研究開発の促進に資源を集中させる。第四に、組織や個人がリスク対応に参加し、管轄当局と連携することを奨励する。第五に、ベトナムのサイバーセキュリティ産業の製品とサービスの利用を優先する。第六に、サイバーセキュリティ保護のための国際協力を強化する。

データ セキュリティ法の緊急性は、データの安全性が脅かされるリスクがますます深刻化しているという事実から生じています。

ティ大佐は、ベトナムでは2024年だけで60万件以上のサイバー攻撃が記録され、そのうち数万件が政府機関のシステムを標的にしていたと指摘した。

さらに、ランサムウェア攻撃により、多くのベトナム企業がデータと引き換えに数百万ドルの身代金を支払わざるを得なくなりました。これは、米国で最大4,000万ドルが支払われた事例に似ています。データの売買は公然と行われており、2月に最大600万件の個人データを違法に売買していた集団が摘発された事例がその典型です。

同じ見解を共有する研究、コンサルティング、技術開発、国際協力部門（国家サイバーセキュリティ協会）の責任者であるヴー・ゴック・ソン氏は、「データセキュリティ」の概念が追加されたことは、データをセキュリティ業務の中心に置いた法案の大きな成功であると評価しました。

孫氏によれば、新しい規制は厳格な審査プロセスを生み出し、市場を「本物」ユニットと「偽物」ユニットの2つの明確なグループに分けることになるという。

これまで、企業はセキュリティ投資をすることなく、自由にデータを収集・保管することができました。しかし、この法案により、こうした状況は終焉を迎えると予想されます。インフラとサイバーセキュリティ対策を整備していない企業は、データの収集・保管ができなくなります。

孫氏はデータをお金に例え、人々は保護基準を満たした銀行にのみお金を預け、同様に、セキュリティを確保する能力がない組織にはデータを提供しないと述べた。

この変化は、サイバーセキュリティ産業と並んで、データ産業という新たな経済セクターの出現を促すでしょう。自社でデータを保護する能力を持たない企業は、自らデータを収集するのではなく、サービスを購入したり、国のデータベースに接続したり、信頼できるデータ交換に参加したりする必要に迫られるでしょう。

これは社会資源の最適化、分散投資コストの削減、漏洩リスクの制限に役立ちます」とソン氏は付け加えた。

顔認証だけではディープフェイク対策には不十分

ベトナム商工商業銀行（Vietinbank）の副総裁トラン・コン・クイン・ラン氏は、現在同銀行の取引の99％がデジタルチャネルを通じて行われていると語った。

新しい要件を満たすために、VietinBank は多層セキュリティ モデルを導入し、現在適用されている 4 層認証を適用しています。

レイヤー 1 および 2: ユーザー名/パスワードおよび OTP コード。

クラス3: 生体認証（顔）。

レイヤー 4: NFC テクノロジー (近距離無線通信テクノロジー) を使用したチップ付き国民識別カードによる認証。

ラン氏は、身元詐称（ディープフェイク）対策における第4層の保護の役割を強調した。例えば、10億ベトナムドンを超える送金の場合、システムは顔認証だけでなく、チップが埋め込まれた国民IDカードのスキャンによる認証をユーザーに義務付けている。

特に、顧客が携帯電話のデバイスを変更する場合（リスクの高い行為）には、銀行は信頼性を確保するために NFC 認証も適用します。

ラン氏は技術的な解決策のほかに、この法案がもたらす運用上の大きな課題を指摘した。

データ分類：銀行は毎日何百万もの取引について、データの分類とラベル付けを行う必要があります。生体認証データ、金融データ、行動データには、それぞれ異なる保護メカニズムとアクセス権限が必要です。

24 時間以内のインシデント報告:サイバーセキュリティ インシデントを 24 時間以内に対応計画とともに報告する必要があるため、対応プロセスに大きな負担がかかります。

「誰も信用しない」ことが最も安全な防御策

ネットワーク インフラストラクチャに関しては、ネットワーク セキュリティ BU (MobiFone) の責任者である Le Cong Trung 氏が、新しいネットワーク セキュリティ標準を満たすために、誰も信頼しないゼロ トラスト アーキテクチャの適用について説明しました。

このモデルは、ID、デバイス、ネットワーク、アプリケーション、データという5つの柱に基づいて制御します。すべてのアクセスは継続的に再認証される必要があります。

もう一つの重要なポイントは、サプライチェーンのリスクを管理することです。

「モビフォンは、第三者への依存を避けるために、ファイアウォールなどのネットワークセキュリティデバイスや「Make in Vietnam」識別ソリューションを自社で製造するなど、技術の自律戦略を推進しています」とチュン氏は語った。

MobiFoneの代表者は、サイバーセキュリティ法案がサイバーセキュリティに関するTCVN 11423標準に厳密に準拠しており、企業が技術的ソリューションを展開するための具体的な定量的対策（政府機関システムに関する15の要件、重要な国家システムに関する18の要件）を講じるのに役立っている点も高く評価しました。

ヴー・ゴック・ソン氏が特に強調した2025年サイバーセキュリティ法の新たな突破口は、リーダーの要件だ。

一般的な責任のみを規定していた旧法とは異なり、この法案では、組織のトップにサイバーセキュリティ管理に関する知識と資格の取得を義務付けています。孫氏は、これは組織文化を変えるための重要な一歩だと述べました。トップが理解していなければ、効果的な投資判断を下すことはできないからです。

「インターネット利用者も、『楽しみ』から『責任』へと意識を変える必要があります。個人データを不用意に、かつ管理なしに共有することは、資産を無防備な状態に放置することと同じであり、間接的に犯罪行為を助長することになります」と孫氏は付け加えた。

孫氏は国際的な経験を共有し、かつて世界で最も多くのサイバー攻撃を受けた韓国をモデルに挙げた。韓国は、小学校から大学院レベルまで、普遍的なサイバーセキュリティ認定制度を構築している。

「こうした徹底した訓練のおかげで、韓国の人々と職員は非常に優れた防衛スキルを身につけ、すべての関係者がサイバーセキュリティに関する知識と投資を持つことで、国のための強固な『盾』を作り出すことができる」と孫氏は述べた。

出典: https://dantri.com.vn/cong-nghe/du-thao-luat-an-ninh-mang-cham-dut-tinh-trang-thu-thap-du-lieu-de-dai-20251124225636608.htm