インドのVPNプロバイダーに対する厳格なプライバシールールが3ヶ月延期

インドのコンピュータ緊急対応チーム（CERT-In）は月曜日に、データセンター、バーチャルプライベートネットワーク（VPN）プロバイダー、バーチャルプライベートサーバー（VPS）プロバイダー、クラウドサービスプロバイダーに対する新しいプライバシールールの施行をさらに3ヶ月延期することを決定しました。

インドにおける新しいプライバシールールの遵守期限は2022年6月27日に発効する予定でしたが、現在は2022年9月25日に延長されました。

「2022年4月28日のサイバーセキュリティ指針の実施期限の延長は、これらの指針の実施に必要な能力構築のための合理的な時間を提供するために、マイクロ、小規模、中規模企業（MSME）に関して求められました」とCERT-Inは月曜日の新しい通知で強調しました。

「また、データセンター、バーチャルプライベートサーバー（VPS）プロバイダー、クラウドサービスプロバイダー、バーチャルプライベートネットワークサービス（VPNサービス）プロバイダーによる加入者/顧客の検証メカニズムの実施のためにも追加の時間が求められています。」

知らない方のために、2022年4月28日にCERT-Inはデータセンター、VPSプロバイダー、クラウドサービスプロバイダー、バーチャルプライベートネットワークサービス（VPNサービス）プロバイダーに対してサイバーセキュリティ指針を発行しました。これにより、ユーザーがサービスの利用を停止した後も、少なくとも5年間ユーザー情報を収集/保存し、機関に引き渡すことが求められます。遵守を拒否した場合、最大1年の懲役に直面する可能性があります。

新しいルールでは、以下の情報を収集する必要があります：

2. サービスを利用する加入者/顧客の確認された名前

3. 利用期間（日付を含む）

4. メンバーに割り当てられた/使用されているIP

5. 登録/オンボーディング時に使用されたメールアドレス、IPアドレス、タイムスタンプ

6. サービスを利用する目的

7. 確認された住所と連絡先番号

8. サービスを利用する加入者/顧客の所有権パターン

正当な理由から、新しいルールはVPNプロバイダー、サイバーセキュリティ専門家、技術者から広く批判されており、インド市場のプライバシーとセキュリティを著しく弱体化させると述べています。

インドおよび世界中の地元のサイバーセキュリティ専門家は、4月に発行された指針の遵守の延期を求めています。彼らは月曜日にCERTおよび電子情報技術省（MeiTY）に共同の手紙を送り、指針がサイバーセキュリティとプライバシーに与える悪影響について警告しました。

「現行の形の指針は、サイバーセキュリティとその重要な要素であるオンラインプライバシーを損なう意図しない結果をもたらすでしょう。サイバーインシデントを報告するためのフレームワークを作成する必要があることは理解していますが、ガイドラインに設定された報告期限と過剰なデータ保持命令は、実際に悪影響を及ぼし、効果を妨げ、プライバシーとオンラインセキュリティを脅かすことになります」と彼らは書いています。

一方、NordVPN、Surfshark、ExpressVPN、PureVPNなどのVPNプロバイダーは、インドにおける新しいVPNルールがプライバシー保護の権利を侵害すると感じて、すでにインドの物理的VPNサーバーを閉鎖しています。

インド政府は、新しいルールを緩和する意図はなく、この件について公の議論を行うつもりもないことを明確にしています。