I cover the control of content on the internet.

Getty Images

インド政府は、VPNやクラウドサービスの事業者に対し、ユーザーデータを保持し、政府と共有することを命じる計画を延期した。インドのコンピュータ緊急対応チーム(CERT-In)は、事業者に対し、新ルールの施行まで3ヶ月の猶予を与え、この命令に従わない場合はインドから撤退するよう求めている。

VPNプロバイダーやクラウドサービス事業者に加え、サイバーセキュリティの専門家やプライバシー保護団体は、インド政府の対応に強く反発しており、今回の延期措置は、こうした意見に配慮したものだ。

6月27日には、20名以上がCERT-INと電子情報技術省(MeitY)に書簡を送り、新ルールの適用を延期するよう求めていた。

彼らは、書簡の中で次のように述べている。「我々は、CERT-Inが2022年4月28日に発表した指示に深い懸念を抱いている。ついては、その実施を先延ばしし、公開協議を行って全ての利害関係者や専門家から意見を収集した上で、指示内容を修正することを求める」

新ルールは、VPNサービスの提供者がユーザーの名前やメールアドレス、電話番号、IPアドレスを収集・保存することを義務付けている。他にも、登録時のタイムスタンプに基づく利用期間やサービスの利用理由、所有パターンも記録しなければならない。違反した場合は、懲役刑、または10万ルピー(約17万円)の罰金が科される可能性がある。

「現状の政府指示は、サイバーセキュリティや、その重要な構成要素であるオンラインプライバシーを弱体化するという、意図せぬ結果を招くだろう」と専門家は指摘している。「我々は、サイバーインシデント報告を管轄する枠組みが必要であることは認識しているが、政府指示が定める報告期限や、過剰なデータ保持の義務は悪影響を及ぼし、有効性を阻害するだけでなく、オンラインプライバシーとセキュリティを危険にさらすことになる」と専門家は書簡の中で述べている。

いくつかのVPNプロバイダーは、既にインドから撤退している。例えば、ExpressVPNはインドで稼働していた2つの物理サーバーを閉鎖し、2つの仮想サーバーのみ運用を継続している。Surfsharkも同様の対応をしている。一方、プロトンはこれまで通り運用を続けながら、状況を見守っている。今回の延期は一時的な措置であり、新ルールは9月25日に施行される予定だ。

編集=上田裕資

PICK UP

あなたにおすすめ