2025年7月25日、インド・コンピュータ緊急対応チーム(CERT-In)は「包括的サイバーセキュリティ監査ポリシーガイドライン(以下「ガイドライン」)」を発行しました。CERT-Inは、情報技術法(IT法)第70B条に基づいて設立された国家機関であり、サイバーセキュリティ分野での活動(インシデント対応の調整、情報セキュリティの慣行や手順、防止策、対応およびサイバーインシデントの報告に関するガイドラインや勧告の発行など)を担っています。
このガイドラインは、インドのサイバーセキュリティ体制の強化を目的として、CERT-Inが法定の権限を行使して発行したものです。これは、IT法第70B条に基づく、サービスプロバイダー、仲介業者、データセンター、法人企業への情報提供や指示を出す権限に準じています。また、「2013年 インド・コンピュータ緊急対応チームおよびその職務遂行に関する規則」に基づき、CERT-Inは情報セキュリティ保証や監査に関するサービスの提供も義務付けられています。
適用対象:
本ガイドラインは、CERT-Inにより監査機関として登録されたすべての組織(「監査人」)および、それら監査人により評価・審査される情報技術システム、プロセス、インフラを保有・運営する組織(「被監査者」)に適用されます。
このガイドラインは、公共・民間の両セクターの組織を対象としており、サイバーセキュリティ体制の評価、脆弱性の特定、リスクの評価、および関連法令や業界のベストプラクティスへの準拠を目的とするものです。
したがって、法律や規制に基づいてサイバーセキュリティ監査を行う組織や、CERT-In登録監査人による任意の監査を希望する組織は、このガイドラインに従う必要があります。例えば、インド準備銀行(RBI)やインド証券取引委員会(SEBI)などの規制機関により、CERT-In登録監査人による監査が義務付けられている事例があります。
対象となる監査の範囲:
ガイドラインでは、コンプライアンス監査、リスク評価、脆弱性評価、ペネトレーションテスト、ネットワークインフラ監査、ITセキュリティポリシー評価、ソースコードレビュー、アプリケーションセキュリティテスト、レッドチーム評価、クラウドセキュリティ、IoTセキュリティ、AIシステム監査、ソフトウェア/量子/AIの構成要素監査、ブロックチェーンセキュリティ監査などが挙げられています(ただし、これらに限定されません)。
企業に求められる対応
ガイドラインは、以下のような対応を企業に求めています:
- 年次監査の実施:重要なデジタル資産を対象に、少なくとも年に1回のセキュリティ監査を実施することが必要です。
- 監査人との正式契約:監査の目的、範囲、報告書形式、機密保持などを明記した契約書の締結が義務付けられています。
- インド国内でのデータ保管:監査関連データや被監査者情報は、インド国内に安全に保管されることが求められます。
- 脆弱性の報告と修正:重大なセキュリティ脆弱性が発見された場合、速やかにCERT-Inおよび被監査者に報告し、修正後に最終監査報告を提出することが必要です。
インドは巨大な市場と優れたデジタル人材を持つ魅力的な国である一方、サイバーセキュリティに関する規制は急速に高度化しています。日本企業がインド市場に進出する際には、サイバーセキュリティやIT関連の規制も十分に考慮し、法令順守とリスク管理の両面から体制を整えることがますます重要になってくるでしょう。
本日は以上になります。
弊社では最新の法改正や経済動向のニュースアップデートを通じて企業、インド在住の方へ情報提供を行っております。
会計・税務・法務・労務でお困りの事ありましたらいつでもお気軽にご連絡下さい。
