2024年11月5日 マレーシアは、サイバーセキュリティ法 2024 を定め、サイバーセキュリティサービス事業者をライセンス制とした。事業者は行政長官に申請し、ライセンスフィーを支払って所定の記録を保持しなければならない。この法律には域外適用要件があるため、外国事業者であってもマレーシア国内でサービスを提供する場合には遵守が求められる。ライセンスに関する罰則としては罰金や禁固刑が科されることとなっている。

有料会員になって頂くと、以下のコンテンツをご覧いただけます。

  • 【What’s Happening】 ・・・概要
  • 【At a Glance】・・・要点
  • 【In Depth】・・・情報の詳細
  • 【Essential insights】・・・情報のポイント
  • 【情報ソース】・・・情報の出所(オリジナル情報へのリンク)

【What’s Happening】

マレーシア議会は、国家のサイバーセキュリティを強化するためにサイバーセキュリティ法 2024 (Cyber Security Act 2024) 制定し、サイバーセキュリティサービス事業者の義務を定めた。本法は2024年8月26日に施行された。
【Essential Insights】

定義

  • 行政長官 (Chief Executive):
    • 国家サイバーセキュリティ庁の最高経営責任者 (Chief Executive of the National Cyber Security Agency)
  • サイバーセキュリティサービス事業者 (Cyber security service provider) :
    • サイバーセキュリティサービスを提供する者
  • 大臣 (Minister):
    • サイバーセキュリティの責任を担う大臣

域外適用

  • サイバーセキュリティ法 2024 は、あらゆる者に、その国籍や市民権の如何に関わらず、マレーシア国外および国内で効力を有し、本法への違反行為がマレーシア国外の如何なる場所で行われた場合であっても、違反行為はマレーシア国内のいかなる場所で違反行為が行われたかのように取り扱われる
  • 違反行為が国内の重要な情報インフラストラクチャの全部または一部に関わる場合には、サイバーセキュリティ法 2024を適用する

サイバーセキュリティサービス事業者

サイバーセキュリティサービス事業者のライセンス

  • サイバーセキュリティサービスを提供する者は、サイバーセキュリティサービスを提供するライセンスを保有していない限り、サイバーセキュリティサービスの提供者であると宣伝したり、名乗ったりしてはならない
  • 罰則:
    • この要件に違反した者は犯罪を犯したことになり、有罪判決を受けた場合、50 万リンギット (11万4995米ドル) 以下の罰金、10 年以下の禁固刑、またはその両方に処される
  • 大臣は、サイバーセキュリティ法第 VI 部に基づき、ライセンスを取得すべきサイバーセキュリティサービスを規定できる
  • 会社法 2016 で定義されている関連会社に対して企業がサイバーセキュリティサービスを提供する場合は、本法第 VI 部は適用されない

ライセンス申請の資格

行政長官が定める前提条件を満たし、詐欺、不誠実、または道徳的腐敗に関わる犯罪で有罪判決を受けていない者であれば、誰でもライセンスを申請することができる。

ライセンス申請

  • サイバーセキュリティサービスを提供するライセンスの申請は、規定の方法で行政長官に対して行うものとする
  • 申請には、規定の料金を支払い、行政長官が定める情報、詳細、書類を添付しなければならない
  • 申請を検討した後、行政長官は申請を承認し規定の料金の支払い後に申請者にライセンスを発行するか申請を拒否し、拒否の理由を述べることができる
  • 発行されたライセンスは、ライセンスに明記された期間有効である

ライセンスの発行

  • サイバーセキュリティサービスを提供するライセンスは、行政長官が決定する条件および基準に従って発行する
  • 行政長官は、いつでもライセンスに課した条件を変更、または取り消すことができる
  • 罰則:
    • ライセンスの条件に違反した者は犯罪を犯したとみなし、有罪判決を受けた場合、10 万リンギット (2万2999米ドル) 以下の罰金、2年以下の禁固刑、またはその両方に処される

ライセンスの取り消しまたは停止

行政長官は、以下のいずれかに該当すると判断した場合は、ライセンスを取り消しまたは停止することができる。

  • ライセンス取得者がライセンスの条件に従わなかった場合
  • ライセンス取得者が、ライセンス対象の事業を停止した場合
  • ライセンス取得者が破産または清算手続きに入った場合
  • ライセンス取得者が本法に違反した場合、詐欺、不誠実、不道徳に関わる犯罪で有罪判決を受けた場合
  • ライセンスが詐欺または虚偽の申告によって取得された場合
  • ライセンスの発行または更新時に、その事情を当時行政長官が知っていた場合、ライセンスの発行または更新を拒否していたであろう事情が発生した場合
  • 取消または停止が公共の利益または国家安全保障に資する場合

ライセンスの更新

  • ライセンス取得者は、ライセンスの有効期限が切れる少なくとも 30 日前までに、ライセンスの更新を申請することができる
  • 更新申請には、規定の料金の支払い、行政長官が定める情報、詳細、書類を添付しなければならない
  • 行政長官は申請を検討後、申請を承認し規定の料金の支払いによりライセンスを更新するか、申請を拒否し拒否の理由を説明する

記録保管要件

  • ライセンス取得者は、サイバーセキュリティサービスを提供する場合には、その都度、以下の記録を保管し、維持しなければならない
    • ライセンス取得者にサイバーセキュリティサービスを依頼した者の氏名および住所
    • ライセンス取得者に代わってサイバーセキュリティサービスを提供する者がいる場合はその者の氏名
    • ライセンス取得者またはライセンス取得者に代わってサイバーセキュリティサービスを提供する者が提供したサイバーセキュリティサービスの実施日時
    • 提供したサイバーセキュリティサービスの種類の詳細
    • 行政長官が定めるその他の詳細
  • これらの記録は、行政長官が定める方法で保管および維持しなければならず、サイバーセキュリティサービスが提供された日から6年以上保持されなければならない
    • また、要求に応じていつでも行政長官に提出および開示しなければならない
  •  罰則:
    • 記録保管要件に違反した者は、有罪判決を受けた場合、10万リンギット (2万2999米ドル) 以下の罰金、2年以下の禁固刑、またはその両方に処される

ライセンスの譲渡または譲渡

  • ライセンスは、いかなる人物に対しても譲渡または譲渡してはならない
  • 罰則:
    • ライセンスを他の人物に譲渡または譲渡した人物は犯罪を犯したことになり、有罪判決を受けた場合、20万リンギット (45,998米ドル) 以下の罰金、3年以下の禁固刑、またはその両方に処される
  • 例外:
    • ライセンス取得者が行政長官に書面で申請を行い、行政長官がライセンスの譲渡先がライセンスの条件を遵守するための財政的および技術的資源を有していると判断した場合、行政長官の承認があれば、ライセンスを譲渡することができる

【Source Title and Document】

Malaysia Federal Legislation – Act 854 – Cyber Security Act 2024