| 法令の情報時期:2019年05月 公布版 | ページ作成時期:2024年08月 |
目的
目的は、国家の安全と国内の平和に影響を与えるサイバー上の脅威からのリスクを防止、対処、および軽減するために確立されたサイバーセキュリティを効果的に維持すること。
概要
本法が公布された理由は、現在コンピューターネットワーク、インターネット、電気通信ネットワークのサービスまたはアプリケーションの提供が盛んに行われており、国家のセキュリティに影響を与える可能性のあるサイバーインシデントに対して危険な状況が生じているためである。
国内の平和を維持することができるようにサイバーインシデントに対処する政府機関と民間機関の両方は重要情報インフラストラクチャの重要な任務またはサービスの特性を規定することは好都合とされた。
サイバーインシデントのリスクを防止し、対処し、削減に努め、政府機関と民間機関の両方の運営を調整する責任を負う機関を設立することを含む、さまざまな分野のセキュリティに影響を与えないようにするため一般的な状況またはセキュリティに深刻な脅威をもたらす状況であるかどうか、およびサイバーセキュリティを維持するためのアクションプランと対策が必要かどうか効果的な防止策と対応の結果方法を本法によって制定する必要がある。
規定は計83条で構成され、国家の安全保障、経済の安定、及び公共の利益を守るために、サイバーセキュリティの維持に関する委員会の設立、監督、及び運営に関する枠組みや手続きが定められている。
また、サイバーインシデントに対応するための基準とガイドラインの策定、重要情報インフラストラクチャ機関の管理、及び国家サイバーセキュリティ委員会事務局の役割と権限が規定されている。
本条例に違反した者は、情報漏洩や命令不履行などに対して、罰金や懲役刑が科せられ、法人の場合は管理者もその責任を負う。
注目定義
■ 「重要情報インフラストラクチャ機関」
| 「重要情報インフラストラクチャ機関」とは、重要情報インフラストラクチャサービスを提供する政府機関または民間機関をいう。(第3条) |
■ 「委員会」
| 「委員会」とは、国家サイバーセキュリティ委員会をいう。(第3条) |
■ 「事務局長」
| 「事務局長」とは、国家サイバーセキュリティ委員会事務局長をいう。(第3条) |
■ 「事務局」
| 「事務局」とは、国家サイバーセキュリティ委員会事務局をいう。(第3条) |
■ 「サイバーセキュリティ」
| 「サイバーセキュリティ」とは、国家の安全、経済の安全、軍事安全保障に影響を与える国内および国外の両方のサイバー上の脅威からのリスクを防止、対処、および軽減するために確立された対策または行動をいう。(第3条) |
■ 「サイバー」
| 「サイバー」とは、一般に接続されているコンピューターネットワークのサービスまたはアプリケーションの提供から生じる情報および通信インターネットシステムまたは通信ネットワーク衛星や同様のネットワークによるサービスをいう。(第3条) |
■ 「行動規範」
| 「行動規範」とは、サイバーセキュリティ監査役会によって規定された規則または基準をいう。(第3条) |
■ 「サイバーインシデント事例」
| 「サイバーインシデント事例」とは、コンピューターシステム、コンピューターデータまたはその他の関連する情報に損害を与えたり影響を及ぼしたり、そのような可能性のある、コンピューターまたはコンピューターシステムを介して実行された不正な行為または操作に起因する事件や状況をいう。(第3条) |
■ 「サイバーセキュリティ対策」
| 「サイバーセキュリティ対策」とは、コンピューターシステムを介して人員、課程、技術のためのコンピュータープログラムまたはコンピューターのサイバーセキュリティを確保および強化するためのコンピューター関連サービス、コンピューターデータ、コンピューターシステムに関連するその他の情報によって問題を解決することをいう。(第3条) |
■ 「重要情報インフラストラクチャ」
| 「重要情報インフラストラクチャ」とは、国家の安全、経済的安定または公共の利益に関連する活動において、政府機関または民間機関によって使用されるコンピューターまたはコンピューターシステムをいう。(第3条) |
適用除外(対象外・猶予・免除等)
本法令には、法令全体からの適用除外や免除を規定する内容はない。
事業者が注意すべき内容
| 本法令が定める事業者に係わる主な要件は次の通りとなります。本項は網羅的なものではないため、詳細や罰則については、個別調査にて承ります。 ご関心がございましたら、お気軽にお問い合わせください。 |
国家サイバーセキュリティ委員会(略称「กมช.」、英語では「National Cyber Security Committee」または「NCSC」)の委員長は首相が務める。
委員には国防大臣、デジタル経済社会大臣、財務省事務次官、国家警察長官、国家安全保障会議事務局長が含まれる。
有資格委員会は、内閣が任命する個人情報保護、科学、工学、法律、金融、情報通信技術などのサイバーセキュリティ分野で経験を持つ専門家7人以内で構成され、事務局長が事務官として事務局を率いる。
退任する委員の後任は内閣によって指名され、その手続きは内閣規則に従って行われる。(第5条)
国家サイバーセキュリティ委員会(略称「กมช.」、英語では「National Cyber Security Committee」または「NCSC」)の委員長は首相が務める。
委員には国防大臣、デジタル経済社会大臣、財務省事務次官、国家警察長官、国家安全保障会議事務局長が含まれる。
有資格委員会は、内閣が任命する個人情報保護、科学、工学、法律、金融、情報通信技術などのサイバーセキュリティ分野で経験を持つ専門家7人以内で構成され、事務局長が事務官として事務局を率いる。
退任する委員の後任は内閣によって指名され、その手続きは内閣規則に従って行われる。(第5条)
第9条に基づき、サイバーセキュリティ監督委員会(タイ語略称「กกม.」)が設立される。
この委員会は、デジタル経済社会大臣を委員長とし、外務省や運輸省、エネルギー省などの事務次官、国家警察庁長官や国軍最高司令官、国家情報局長官、タイ銀行総裁など、幅広い政府機関の高官が委員となる。
有資格委員は、サイバーセキュリティ監督委員会が選出した専門家から構成される。
事務局長が委員兼事務官として、補佐する事務員を任命し、委員会の運営を支える。これらの選任や手続きは内閣の規定に従う。(第12条)
サイバーセキュリティ監督委員会は、以下の義務と権限を持つ。まず、第9条および第42条に基づく方針と計画の実施を監視し、第61条から第66条までに定められたサイバーセキュリティインシデントを監視・対処する措置を講じる。
また、国家コンピュータシステムセキュリティ調整センターのインシデント対応、データ収集と分析を監督し、重大なサイバーインシデントが発生した場合には、迅速なリスク評価やサイバーセキュリティの回復を図るための規則とフレームワークを策定する。
重要情報インフラストラクチャ機関の責務を決定し、監督機関としての義務に基づき、適切なサイバーセキュリティ基準を策定することも求められる。
さらに、予防策を詳細に策定し、サイバーインシデントが発生した際の対応やその段階の判断、分析、評価を行い、委員会に報告する義務がある。(第13条)
サイバーセキュリティ監督委員会の事務局は、委員会の管理業務、学術業務、会議業務、秘書業務を担当し、サイバーセキュリティに関する行動計画の策定支援や、サイバーセキュリティ基準の策定、インシデント対応の調整を行う。
国内外のセキュリティセンター設立や、政府機関および民間機関との調整、リスク監視、情報分析、アラート発令などの役割も担う。
事務局はサイバーインシデントのリスク管理、予防策の実施、訓練の実施、知識の普及を推進し、国内外の関連機関と協力してサイバーセキュリティを維持する。
また、サイバーセキュリティ委員会事務局管理委員会の承認を得て、規則やサービス料を設定し、運営資金の管理も行う。
さらに、法的手段を活用し、財産権の確立や所有など、運営に必要な権利と義務を有する。(第22条、第23条)
サイバーセキュリティの維持は政府機関と民間機関の一致と統合を考慮に入れなければならない。
そして、経済と社会のためのデジタル開発に関する法律に基づいて、国家安全保障会議の安全保障に関連する政策と主要方針は国の政策と計画と一致していなければならない。
サイバーセキュリティの維持によって国家の重要な情報インフラストラクチャをサイバーインシデントから保護、対処する。(第41条)
サイバーセキュリティの維持に関する方針と計画には、以下の目標とガイドラインが必要である。まず、国家のサイバーセキュリティを統合管理するための仕組みが求められる。
また、サイバーインシデントによるリスクを防止、対処、軽減するためのメカニズムと手段を開発する必要がある。
さらに、国家の重要情報インフラストラクチャを保護するための対策も確立すべきである。
これらに加えて、政府機関と民間機関の連携や国際協力が重要であり、サイバーセキュリティ関連の技術と知識体系の研究開発も促進されるべきである。
さらに、サイバーセキュリティに関する人材と専門家の育成が不可欠であり、一般の意識と知識の向上も図る必要がある。
最後に、サイバーセキュリティを維持するための規制と法律の策定が求められる。(第42条)
重要情報インフラストラクチャは国家の安全にとって重要な活動であり、サイバーインシデントから軍事安全保障、経済の安定と国内の平和を守るために、リスクの防止、対処、およびサイバーインシデント発生の軽減を行うことは事務局の義務とされる。(第48条)
重要情報インフラストラクチャ機関の監査人は内部監査人または独立した外部監査人のいずれかによるサイバーセキュリティのリスク評価を少なくとも年に一度実施する。
重要情報インフラストラクチャ機関は監査完了日から30日以内に運用報告の要約を事務局に提出する。(第54条)
重要情報インフラストラクチャ機関は、関連するサイバーインシデントを監視するための仕組みまたは手順を確立しなければならない。
サイバーセキュリティ監督委員会または委員会が決定した基準に従い、監督機関が設定した基準に基づいて、サイバーインシデント解決やサイバーセキュリティ維持のための対策を検討する必要がある。
重要なサイバーセキュリティインシデントが発生した場合、重要情報インフラストラクチャ機関は、第4条の規定に従い、サイバーセキュリティ監督委員会からの指示により、地方政府当局や監督機関に対して報告するよう通達される。(第56条、第57条)
政府機関または重要情報インフラストラクチャ機関でサイバーインシデントが発生した、または発生する可能性がある場合、当該機関は関連するコンピューターデータとコンピューターシステムの調査を開始し、サイバーインシデントの発生や予兆に関する証拠を評価する。
調査後、行動規範と標準フレームワークに従い、サイバーインシデントによる脅威を軽減するための予防措置を講じ、監督機関に速やかに通知する必要がある。
また、サイバーインシデントの防止、対処、軽減において障害や問題が発生した場合には、政府機関や個人は事務局に支援を要求することができる。(第58条)
サイバーインシデントは三つのレベルに分類される。軽度のインシデントは、重要インフラや政府機関のシステムに機能不全を引き起こす。
重大なインシデントは、国家の安全保障、経済、公衆衛生に深刻な影響を与え、業務やサービスを停止させる。
深刻なインシデントは、国家の重要インフラ全体に広範囲な影響を及ぼし、従来の手段では対処できず、多大なリスクと国家危機を引き起こす。(第60条)
重大なサイバーインシデントが発生した、または発生する恐れがあるとサイバーセキュリティ監督委員会が判断した場合、委員会は事務局に次の指示を行う。
まず、状況分析のために情報、証拠、目撃者の証言を収集し、インシデントの影響を評価する。
次に、リスク防止、対策、削減のサポートを提供し、再発防止のための対抗策を講じ、サイバーセキュリティソリューションの適用を指示する。
また、関連機関による防止、対抗、軽減を支援し、インシデントの重大度に応じて公表を行う。最後に、関連機関間の調整を実施してリスク管理を行う。(第61条)
重大なサイバーインシデントに対処し、被害を軽減、防止するために、サイバーセキュリティ監督委員会は事業所有者、コンピューター所有者、システム管理者、使用者に対して必要な命令を通達する権限を有する。
インシデントに関与する証拠がある場合、以下の対応が求められる。まず、対象のコンピューターまたはシステムを一定期間監視し、欠陥がないか検査し、状況を分析して影響を評価する。
次に、被害からの修復手段を実装し、欠陥の回復や不要なプログラムの排除を行う。さらに、コンピュータフォレンジックを実施し、データやシステムのステータスを維持し、アクセスを制限する。
情報へのアクセスが必要な場合、事務局長に命じて対応を実施させる。深刻なインシデントが確認された場合、理由を指定して裁判所に緊急照会申請を行い、裁判所は速やかに検討する。(第65条)
目次
サイバーセキュリティ法 B.E.2562
第1条
第2条
第3条
第4条
第1章 委員会
第1部 国家サイバーセキュリティ委員会
第5条
第6条
第7条
第8条
第9条
第10条
第11条
第2部 サイバーセキュリティ監督委員会
第12条
第13条
第14条
第15条
第16条
第17条
第18条
第19条
第2章 国家サイバーセキュリティ委員会事務局
第20条
第21条
第22条
第23条
第24条
第25条
第26条
第27条
第28条
第29条
第30条
第31条
第32条
第33条
第34条
第35条
第36条
第37条
第38条
第39条
第40条
第3章 サイバーセキュリティ
第1部 方針と計画
第41条
第42条
第43条
第44条
第2部 管理業務
第45条
第46条
第47条
第3部 重要情報インフラストラクチャ
第48条
第49条
第50条
第51条
第52条
第53条
第54条
第55条
第56条
第57条
第4部 サイバーインシデント対策
第58条
第59条
第60条
第61条
第62条
第63条
第64条
第65条
第66条
第67条
第68条
第69条
第4章 罰則
第70条
第71条
第72条
第73条
第74条
第75条
第76条
第77条
暫定規則
第78条
第79条
第80条
第81条
第82条
第83条
基礎情報
| 法令(現地語) | |
| 法令(日本語) | サイバーセキュリティ法 仏暦2562年(西暦2019年) |
| 公布日 | 2019年05月24日 |
| 所管当局 | 国家サイバーセキュリティ委員会(NCSC) |
作成者
株式会社先読
調査相談はこちら
概要調査、詳細調査、比較調査、個別の和訳、定期報告調査、年間コンサルなど
様々な調査に柔軟に対応可能でございます。
- ●●の詳細調査/定期報告調査
- ●●の他国(複数)における規制状況調査
- 細かな質問への適宜対応が可能な年間相談サービス
- 世界複数ヵ国における●●の比較調査 など
無料相談フォーム
無料メールマガジンの申込み|
希望の情報分野を選択可能
登録はこちらからメールアドレスを入力してお申込みください。
「登録」クリック後、購読したいメールマガジンの種類を選択いただけます。
★配信頻度|各メルマガについて月に1~2回
(不定期)
メルマガ|全般(全分野)
当社で扱う情報分野全般の注目規制動向の情報にご関心がある方はこちら。
メルマガ|化学物質
化学物質分野の注目規制動向の情報にご関心がある方はこちら。一般・工業用化学品や軍事用途の化学品、食品添加物や農薬、医薬品などが対象です。
メルマガ|環境
環境分野の注目規制動向の情報にご関心がある方はこちら。大気・水・土壌汚染のほか、地球温暖化やオゾン層破壊、騒音・振動・悪臭などに対する規制が対象です。
メルマガ|先端技術
先端技術分野の注目規制動向の情報にご関心がある方はこちら。当社で言う先端技術分野とは、人工知能(AI)、仮想・拡張現実(VR・AR)、自動運転、エコカー、デジタルトランスフォーメーション(DX)などをいいます。
メルマガ|新領域
新領域分野の注目規制動向の情報にご関心がある方はこちら。当社でいう新領域分野とは、宇宙、海底・深海底、大深度地下などをいいます。
「目次」