タイにおける電子システムを利用した会議の新セキュリティ基準の概要について
タイにおける電子システムを利用した会議の新セキュリティ基準の概要について報告いたします
→電子システムを利用した会議の新セキュリティ基準施行について
電子システムを利用した会議の新セキュリティ基準施行について
2020 年 6 月 8 日
One Asia Lawyers タイ事務所
2020 年 4 月 19 日に「電子システムを利用した会議に関する勅令」が施行された時点では、同勅
令第 7 条で定めるセキュリティ基準が発行されておらず、2014 年に施行されたセキュリティ基
準を引き続き順守する必要がありましたが、5 月 27 日に新セキュリティ基準に関するデジタル
経済社会省の告示が施行され、それに伴い電子取引開発機構(ETDA)により情報セキュリティ
保全基準及び会議管理システムの認証における規則、手順、条件が施行されています。
本ニュースレターでは、電子システムを利用した会議(以下、「オンライン会議」)に関する
法規制のまとめと、5 月 27 日に施行された新セキュリティ基準の概要について、以下の通り解
説致します。
なお、ETDA が定める情報セキュリティ保全基準及び会議管理システムの認証における規則、
手順、条件については、資料が膨大なため、個別にお問合せ頂ければ幸いです。
1 オンライン会議に関する法規制のこれまでの経緯と要点
|
オンライン会議に関する法規制、ガイドライン |
||||
|
1 |
2014 年 施行 |
国家平和秩序 評議会 告示 |
第 74/2557 号:電子システムを利用した会議 |
無効 |
|
2 |
2014年 施行 |
情報技術・通 信省(現デジ タル経済社会 省)告示 |
電子システムを利用した会議のセキュリティ基準に ついて(旧セキュリティ基準) |
無効 |
|
3 |
2020 年 4月19 日 |
勅令 |
電子システムを利用した会議 |
有効 |
|
4 |
2020 年 5月27 日 施行 |
デジタル経済 社会省 告示 |
電子システムによる会議のセキュリティ基準につい て(以下、「新セキュリティ基準」) |
有効 |
|
5 |
2020 年 5月 29 日 施行 |
ETDA ガイドライン |
会議管理システムの情報セキュリティ保全基準 |
有効 |
|
6 |
2020 年 5月 29 日 施行 |
ETDA 告示 |
会議管理システムの認証における規則、手順、条件 について |
有効 |
2 新セキュリティ基準の概要について
2020 年 5 月 27 日に施行された新セキュリティ基準のポイントとしては、オンライン会議開催の
際に少なくとも以下に挙げる(1)~(7)のプロセスについて、各社が明確な基準を規定し、
遵守する必要があることです。
また、機密情報に関してオンライン会議を開催する際は、通常のプロセスに加え、別途基準を
規定する必要があります。各プロセスの具体的な実施事項については、後述する告示の規定事
項と別途施行された会議管理システムの情報セキュリティ保全基準に準ずる必要があります。
これらの規定は、別途付属定款で定めることも可能ですが、付属定款では詳細に触れず、別途
オンライン会議の運用に関する社内規定を制定し、会議の招集通知と合わせて会議参加者に送
付することも可能であると考えます。詳しい運用方法については別途お問合せ下さい。
なお、希望者に限り、自社のオンライン会議システムが新セキュリティ基準に適合しているか
否かについて ETDA に評価を依頼し、認証を受けることも可能となっています。
|
最低限の規定事項 |
|
|
通常のオンライン会議 |
機密情報を扱うオンライン会議 |
|
(1) 会議前の会議参加者の本人確認 |
|
|
(2) 音声、または音声+画像による双方向のコミュニケーション |
|
|
(3) 会議参加者の会議資料へのアクセス |
|
|
(4) 会議参加者による投票(通常投票、秘密投票) |
|
|
(5) 関連データまたは証拠の保管及び保管基準 |
|
|
(6) 会議参加者全員のログデータの保管と保管基準 |
|
|
(7) エラー発生時の通知方法 |
|
|
– |
※部外者が会議の内容を知り得ないようにするための安全対策を講じること。 |
|
– |
※部外者の出入りを防止するために閉鎖された場所で会議が行われていることを証明すること。 |
|
– |
※音声、または音声及び画像の保存を禁止すること。 |
|
– |
※ETDA が定める会議管理システムの情報セキュリティ保全基準に準ずること。 |
デジタル経済社会省告示
「電子システムによる会議のセキュリティ基準について」
2020 年 5 月 27 日施行
重要事項抜粋(日訳)
第1章:一般
✓ オンライン会議を開催する際は、定められた方法で事前に通知すること。(第 4 条)
✓ 最低限、規定された7つのプロセスを有すること。(第 5 条)
✓ 別の政府当局がそれぞれ管轄する法規制において、会議開催に関連する別の運用方法を
規定する場合、新セキュリティ基準を考慮した上で、それぞれが管轄する法規制に従い
その運用方法の詳細を追記できる。(第 6 条)
✓ 秘密会議は、第 2 章に加え、第3章の規定にも従うこと。(第 7 条)
第2章:オンライン会議開催基準
✓ オンライン会議主催者は、自社で開発した会議管理システムまたはプロバイダーが提供
する会議管理システムを使用可能。(第 5 条)
✓ 7つのプロセスの基準を規定。
(1) 会議前のオンライン会議参加者の本人確認
• ユーザーネームやパスワードを使用(第 8 条)
• ワンタイムパスワードを使用(第 8 条)
• その他の参加者による会議前または会議中の本人確認(第 8 条)
(2) 音声、または音声+画像による双方向のコミュニケーション
• 十分な回線容量を有すること。(第 9 条)
• 電話やテキストメッセージによるコミュニケーション等、トラブルが起
こった際の予備の方法が用意されていること。(第 9 条)
• 議長またはシステム管理者が必要に応じて音声または音声及び画像の送
信を中断する等、会議参加者の権限の管理が可能なこと。(第 10 条)
(3) 会議参加者の会議資料へのアクセス
• 会議資料は会議前または会議中に送付すること。(第 11 条)
• 会議資料へのアクセス方法を事前に通知すること。(第 11 条)
• 招集通知、会議資料、議事録、そのた会議関連資料は、データの形でも
可能。(第 12 条)
(4) 会議参加者による投票(通常投票、秘密投票)
• 通常投票については、声、署名、またはメッセージ送信などの方法によ
り、投票権限を有する参加者及び投票内容を特定できるようにすること。
(第 13 条)
• 秘密投票については、投票者を特性せずに、投票者全体の人数及び全票
数についてオンラインアンケートを利用するなどして明示できるように
すること。(第 13 条)
(5) 関連データまたは証拠の保管及び保管基準
• 議事録として記録する、全参加者数や参加者名簿を含むオンライン会議
参加者の特定時に生じるデータまたは証拠(第 14 条)
• 議事録として記録する、会議参加者の投票結果を含む投票時に生じるデ
ータまたは証拠(第 14 条)
• 会議システムまたはその他の方法で保存されるオンライン会議中の参加
者の音声、または音声及び画像データ(秘密会議を除く)(第 14 条)
• 会議中、7つのプロセスを実行中に発生したエラー(第 14 条)
(6) 会議参加者全員のログデータの保管と保管基準
• 参加者の識別情報またはユーザーネーム(第 14 条)
• 標準時間に基づく、会議の開始及び終了時間(第 14 条)
• オンライン会議の主目的に影響しないエラーによって会議は無効とはな
らない。(第 14 条)
• 会議の主催者は、エラーの是正とその影響に関するガイドラインを別途
定款に定めることが可能。(第 14 条)
(7) エラー発生時の通知方法
• 会議主催者はエラーの際、エラー修正について通知する方法を確保する
こと。(第 16 条)
✓ (5)及び(6)で保管されるデータは、以下の手順に従うこと。
(1) 改ざんまたは編集を防止するため手順。ただし、データの内容に影響を及ぼさな
い変更を除く。(第 15 条)
(2) 保存後、データを再利用し表示する手順。(第 15 条)
(3) データへのアクセス権限付与手順、アクセス権のない者へのアクセス拒否手順、
及びシステム管理者および会議主催者が保存されているデータを編集してはなら
ない措置を備えた手順。(第 15 条)
✓ プロバイダーの会議システムを使用する場合は、プロバイダーは会議開催語 7 日以内に
システム内に保存された情報を引き渡すこと。(第 17 条)
✓ 会議に関する情報が破損した場合、会議主催者またはサービスプロバイダーは保存媒体
から安全な方法で削除すること。(第 18 条)
第3章:機密情報に関するオンライン会議開催基準
✓ 会議で扱う情報について、部外者が知り得ないようにするための安全対策を講じること。
(第 19 条)
✓ 会議参加者は、部外者が会議で扱う情報を知り得ないこと、及び部外者の出入りを防止
するために閉鎖された場所で会議が行われていることを証明すること。(第 20 条)
✓ 音声、または音声及び画像の保存を禁止すること。(第 21 条)
✓ ETDA が定める会議管理システムの情報セキュリティ保全基準に準ずること。(第 22 条)
第4章:情報セキュリティ保全基準
✓ 最低限、以下の情報セキュリティ保全基準を定めること。(第 23 条)
• 機密性(Confidentiality)
• 完全性(Integrity)
• 入手可能性(Availability)
• 個人情報保護
• その他、会議に関連して生成されるデータの真正性(Authenticity)、責任
(Accountability)、否認防止(Non-reputation)、信頼性(Reliability)
✓ ETDA の定める情報セキュリティ保全基準に従うこと。(第 24 条)
✓ ETDA 又は ETDA が指定する機関は、同告示に定める基準に適合していることの評価及
び認証を行うことができる。(第 25 条)
✓ 当該機関の認証を受けた会議管理システムは、当該告示に定める基準に適合した手順を
有しているものとみなされる。(第 25 条)
✓ 会議管理システムの適合性の評価及び認証手続きは、ETDA が定める基準及び手続きに
従うこと。(第 25 条)
✓ ETDA は、国内外の機関による会議管理システムの全部または一部が、第 24 条で規定さ
れる ETDA の情報セキュリティ保全基準に適合している場合には、第 25 条の規定を順
守しているとみなす旨、規定できる。(第 26 条)
✓ 同告示の施行前に準備され、まだ完了していないオンライン会議は、2557 年の旧セキュ
リティ基準に従い実施すること。(第 27 条)
✓ 2557 年の旧セキュリティ基準に基づくオンライン会議の実施は、同告示施行後 60 日を
超えない期間、許可される。(第 27 条)
以上
本記事に関するご照会は以下までお願い致します。
yuto.yabumoto@oneasia.legal
藪本 雄登
