シンガポールでのビジネス拡大に必要な【企業検索機能】や【最新ビジネス情報】をお届け!

広告掲載をご希望の方
HOMEコラム【~連載~One Asia Lawyers Groupのシンガポール法律コラム】
-第25回- シンガポールにおける最近のサイバー犯罪対策などについて
2025.12.15
facebookシェア xポスト lineLINEで送る

【~連載~One Asia Lawyers Groupのシンガポール法律コラム】
-第25回- シンガポールにおける最近のサイバー犯罪対策などについて

弁護士(日本法) 伊奈 知芳

1.シンガポールのサイバー法制の全体像

皆さん、こんにちは。One Asia Lawyers Groupのシンガポールメンバーファーム Focus Law Asia LLCです。

シンガポールにおいては、政府が早くから「スマート ネーション構想(Smart Nation)」を掲げ、行政・企業・市民生活のデジタル化を強力に推進していますが、一方で、オンライン詐欺、ランサムウェア被害、AIを活用したディープフェイク詐欺など、多様なサイバー犯罪やオンラインでの有害行為も年々増加しています。

こうした背景を踏まえ、2024年9月には「Singapore Cyber Landscape 2024/2025」も発表され[1]、各種法制度の強化や官民連携・国際協力などによる対策を推進していく方針が示されています。

そこで、以下では、主要法令の概要と最新動向、企業実務における留意点を整理します。

2.Cybersecurity Act 2018(2024年改正)

(1)基本的枠組み

Cybersecurity Actは、2018年に施行され、国家レベルの重要情報インフラ (Critical Information Infrastructure:CII)を保護することを目的に制定されました。管轄機関はCyber Security Agency of Singapore(CSA)であり、電力、金融、通信、運輸、医療、政府情報システムなど、社会機能を支える事業者に対し、一定のサイバーセキュリティ対策義務を課しています。

CII事業者はCSAに指定されると、システムの保護、リスク管理体制の維持、定期監査、インシデント報告などの義務を負います。また、重大なサイバーインシデントが発生した場合、CSA長官は調査・介入の権限を有します。

(2)2024年改正の概要

同法においては2024年に改正が行われ、デジタル化の進展やサプライチェーンの多層化に対応するため、制度が大幅に拡充されました。これは2025年10月31日から施行されますが、主な改正点は次の通りです[2]

1.適用対象の拡大

国家レベルのサイバー上の脅威を一時的に「重大な懸念」として指定し、政府が迅速に介入・対応できるようにする制度である「System of Temporary Cybersecurity Concerns(STCCs)」や国の経済や社会の中核を支える基幹的なデジタルインフラ(例:クラウドサービス、データセンター、国の通信ネットワークなど)を政府が指定し、特別なサイバーセキュリティ要件を課すことができるとする「Foundational Digital Infrastructure(FDI)」など、新たなカテゴリが導入され、クラウド基盤、データセンター、通信網の一部も規制対象に含まれるようになりました。

2.Entities of Special Cybersecurity Interest(ESCI)事業者の新設

CIIほど国家的影響は大きくないものの、一定規模以上のデジタルサービスを提供する民間企業を「ESCI事業者」として登録し、インシデント報告やリスク管理の一定義務を課しています。

3.サプライチェーン全体への監視拡大

下請けやクラウドプロバイダなどを経由したリスクにも対応するため、委託先・外部ベンダーへのリスク管理責任が明確化されました。

4.CSAの権限強化と柔軟運用

上記のSTCCs、FDI、ESCI等は、CSA長官が状況に応じて、通知等により各種事業者を指定できる枠組みであり、これにより当局が突発的な状況にも従前以上に機動的に関与できるようになることが期待されます。

この改正により、SaaS事業者やクラウドベンダーも新たに規制対象となる可能性があるため、企業は、自社が上記カテゴリのいずれかに該当しないかどうかを確認する必要があります。

3Computer Misuse Act 1993CMA

CMAは1993年に制定され、サイバー犯罪取締りの基本法として位置付けられています。同法はもともと、不正アクセスやデータ改ざんを禁止する刑事法でしたが、その後の改正で、攻撃ツールや不正認証情報の販売・仲介、ボットネット運用などの周辺行為も犯罪に含まれるようになりました。

特に2021年以降の改正では、以下の行為が新たに明示的に禁止されています。

▪他人の認証情報(IDやパスワード)を不正に取得・保有・販売する行為
▪マルウェア、ハッキングツール、フィッシングキットの配布・提供
▪攻撃代行やアクセス権限の不正譲渡

さらに、国外で行われた行為であっても、シンガポール国内に被害を及ぼす場合はCMAの適用対象となります。

4.Online Criminal Harms Act 2023(OCHA)

OCHAは2023年に施行され、オンライン詐欺や有害情報拡散への対策を目的としています。この法律では、プラットフォーム事業者や通信サービス提供者に対して、当局の指示に基づき、迅速な削除・遮断・アクセス制御を義務付けています。

同法に基づき、Infocomm Media Development Authority(IMDA)や警察(Singapore Police Force、SPF)は、SNS、マーケットプレイス、メッセージングアプリなどに対し、有害投稿や詐欺広告、詐欺サイトへのリンク削除を命じることができます。また、検索結果からの除外命令や、支払処理ルートの遮断も可能です。

OCHAは刑事法(CMA)と行政法(Cybersecurity Act)の中間に位置付けられ、刑事訴追の前段階で被害拡大を迅速に抑えるための柔軟な制度といえます。

5.Personal Data Protection Act 2012(PDPA)

PDPAは、ご案内の通り、個人情報の保護と適正な利用を定める法律であり、サイバーセキュリティ法制と密接に関連しています。第24条では、事業者に対し合理的なセキュリティ管理措置を講じる義務が規定されています。これは、単なる情報管理にとどまらず、サイバー攻撃防御の技術的・組織的対策も含まれます。

2021年改正により導入されたデータ侵害通知制度では、個人情報の漏えいが一定基準を超えた場合、72時間以内に、Personal Data Protection Commission(PDPC)へ報告し、影響を受ける個人にも通知する必要があります。違反した場合、企業売上高の10%または100万シンガポールドルのいずれか高い方の課徴金が課される可能性があります。

また、AIや自動化ツールの利用が進む中、データの「最小化」「仮名化・匿名化」「説明責任」など、Model AI Governance Frameworkと整合した管理が求められます(詳細は前回コラムをご参照ください。)

6.各企業において実務上求められる対策

以上のような各法令の状況を踏まえ、各企業としては、サイバー犯罪対策として以下のような対応をとることが考えられます。

1.サイバーインシデント発生時の通報ラインを明確化する(CSA/PDPC/警察など)
2.サプライチェーン全体を含むリスクアセスメントを定期的に実施する
3.ログ・監査証跡の完全性を確保し、フォレンジック対応を想定した体制を構築する
4.社内訓練や疑似攻撃演習を通じて、実効的訓練文化を醸成する
5.有事に備えた広報・対外説明テンプレートを整備する

まとめ

現代の高度なデジタル化社会においては、データ漏洩を含むサイバーインシデントの発生リスクを完全にゼロにすることは困難であり、サイバー犯罪に対する対応も、政府当局との間での「いたちごっこ」となる側面も否定できません。

しかしながら、各企業におかれても、自社における被害の発生を可能な限り防ぎ、かつ、発生した被害を最小限に抑えるために、これらの規制の枠組みを把握し、各社の具体的な状況に合った対策を講じていく必要があると考えられます。

[1] 出典: シンガポールのサイバーランドスケープ 2024/2025 | シンガポールサイバーセキュリティ庁

[2] 出典:サイバーセキュリティ法 | シンガポールサイバーセキュリティ庁

執筆者】
One Asia Lawyers Group/Focus Law Asia LLC
 シンガポール法・日本法・アメリカNY州法弁護士 栗田 哲郎
 日本法弁護士 伊奈 知芳

<伊奈 知芳お問い合わせ先>
 E-mail:tomoyoshi.ina@focuslawasia.com

バックナンバーはこちら
【~連載~One Asia Lawyers Groupのシンガポール法律コラム】

One Asia Lawyers Group

One Asia Lawyers Groupは、アジア全域に展開する日本のクライアントにシームレスで包括的なリーガルアドバイスを提供するために設立された、独立した法律事務所のネットワークです。One Asia Lawyers Groupは、日本・ASEAN・南アジア・オセアニア各国にメンバーファームを有し、各国の法律のスペシャリストで構成され、これら各地域に根差したプラクティカルで、シームレスなリーガルサービスを提供しております。

One Asia Lawyersグループ拠点・メンバーファーム 24拠点(2023年8月時点)
・ASEAN(シンガポール、タイ、マレーシア、ベトナム、フィリピン、インドネシア、カンボジア、ラオス、ミャンマー)
・南アジア(インド、バングラデシュ、ネパール、パキスタン)
・オセアニア(オーストラリア、ニュージーランド)
・日本国内(東京、大阪、福岡、京都)
・中東(アラブ首長国連邦(UAE/ドバイ・アブダビ・アジュマン))
・その他(ロンドン、深圳(駐在員事務所))

・メンバー数(2023年8月時点)
全拠点:約400名(内日本法弁護士約40名)

栗田哲郎 Tetsuo Kurita

One Asia Lawyers Group / 弁護士法人 One Asia
代表弁護士(シンガポール法(FPE)・日本法・アメリカNY法)
tetsuo.kurita@oneasia.legal

2004年より日本の大手法律事務所(森・濱田松本法律事務所)に勤務後、スイス・アメリカへの留学を経て、シンガポールの大手法律事務所(Rajah & Tann)にパートナー弁護士として勤務。その後、国際法律事務所(ベーカーマッケンジー法律事務所)においてアジアフォーカスチームのヘッドを務め、日本企業のアジア進出・M&A・紛争解決に従事する。

その後、2016年7月One Asia Lawyers Groupを創設(シンガポールのメンバーファームはFocus Law Asia LLC)し、シンガポールを中心にアジア全般のクロスボーダー法務(クロスボーダーM&A、国際商事仲裁等の紛争解決、国際労働法等)のアドバイスを提供している。

2009年よりシンガポールに拠点を移し、2014年日本法弁護士としては初めてシンガポール司法試験(Foreign Practitioner Certificate)に合格、日本法・アメリカNY州法に加えて、シンガポール法のアドバイスも提供している。

本記事に関するお問い合わせは、こちらから

チェックしたサービス0件を
まとめて請求 まとめて問い合わせ