タイの国家サイバーセキュリティ委員会(NCSC : National Cyber Security Committee)は、2024年1月18日にサイバーセキュリティ法に基づく3つの通知を発表し、主要な組織と資産に対するサイバーセキュリティ関連の要件を設定した。これらの通知のうち1つは既に施行されているが、最も注目すべき2つは2025年1月18日(すなわち、官報に掲載された日から1年間した日)に施行する。
これら2つの通知は、NCSC Notification Re: Standards for Defining the Security Category for Data or Information Systems B.E.2566(2023)(「データ・情報システムのセキュリティカテゴリに関する通知」)とNCSC Notification Re: Minimum Standards for Data and Information Systems B.E.2566(2023)(「データ・情報の最低基準に関する通知」)である。
これらの通知は次の場合に適用される。
- 国家機関
- 監督又は規制機関(すなわち、国家機関、民間機関、あるいは、国家機関又は重要な情報基盤組織の業務を規制又は監督するために法律によって指定された個人)
- 重要情報基盤組織(すなわち、国家安全保障、重要な公共サービス、銀行及び金融、情報技術及び電気通信、輸送及び物流、エネルギー及び公益事業、並びに公衆衛生に関連する又はこれらを提供する組織)
上記は、通知の下でまとめて「組織」として定義される。
セキュリティカテゴリに関する通知
セキュリティカテゴリに関する通知は、「組織」のデータ又は情報システムのリスクベースのセキュリティ分類、つまり「セキュリティカテゴリ」を示している。
セキュリティカテゴリの評価のために、組織は、3つの主要なセキュリティ目標(つまり、機密性(confidentiality)、完全性(integrity)、可用性(availability))に基づいて、データ・情報システムの自己評価を実行することが要求される。これらの各目標は、以下の分野における潜在的影響の評価を考慮して、さらに3つのリスクレベル(低、中、高)に分類される。
- 組織の財務的価値又は評判
- 組織のサービス利用者数
- 組織の職務遂行能力
- 国家の安定又は公の秩序
3つの目的のリスクレベルは、以下に説明するように、「最小限(minimal)」、「重度(severe)」、又は「深刻(serious severe)」に影響があるかどうかを考慮して決定される。
- 機密保持(異なる基準に従って「機密」として分類されるデータは含まれない):データの不正開示が組織の評判や財務的価値に及ぼす影響
- 完全性:データの不正な変更又は破壊が組織のパフォーマンスに及ぼす影響
- 可用性:データ・情報システムにアクセスできない、又は使用できないことが組織のパフォーマンスに与える影響
組織のシステムが異なるカテゴリのデータを扱う場合、組織は、各タイプを評価し、特定された最も高いリスク・レベルに基づいてセキュリティカテゴリを設定しなければならない。
セキュリティカテゴリは、少なくとも3年に1回見直しを行い、その結果を適切に記録すべきである。
最低基準に関する通知
セキュリティカテゴリが決定された後、組織は、最低基準に関する通知に規定された最低限のサイバーセキュリティ対策を適用する責任を負う。これらの対策の概要を次の表に示し、各セキュリティカテゴリの最低限のサイバーセキュリティ対策に必要な項目を示す。
サイバーセキュリティ法にの詳細については、Athistha (Nop) Chitranukroh ([email protected]), Nopparat Lalitkomon ([email protected]), Napassorn Lertussavavivat ([email protected]), 又はRada Lamsam ([email protected])までお問い合わせください。
備考:本和文は英文記事を翻訳したものです。原文については、以下のリンクをご参照ください。
