IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します

これらの課題を解決するため、本制度では、IoT製品共通の最低限の脅威に対応するための基準（★1）やIoT製品類型ごとの特徴に応じた基準（★2、★3、★4）を定め、求められるセキュリティ水準に応じた複数の適合性評価レベルを設定しました。適合が認められた製品には、二次元バーコード付きの適合ラベルを付与することで、製品詳細や適合評価、セキュリティ情報・問合せ先等の情報を調達者・消費者が簡単に取得できるようにしています。(図2)



[画像1]https://digitalpr.jp/simg/2314/95932/300_153_2024093009550466f9f6e8e45f9.jpg
[画像2]https://digitalpr.jp/simg/2314/95932/250_126_2024093009551766f9f6f50d4a8.jpg


図1 本制度のロゴ　　　　　　　　　図2　適合ラベル(イメージ)



適合ラベルの取得方法は、適合基準により異なります。★1と★2は、各ベンダーが本制度で定められた適合基準・評価手順により自己評価を行った結果を記載したチェックリストに基づき、IPAが適合ラベルを付与する自己適合宣言方式です。疑義が生じた場合には、IPAが検査やサーベイランスを実施し、その結果次第で適合ラベルの取消しも有り得る仕組みを入れることで、適合ラベルの取得負担の軽減と信頼性確保のバランスをとっています。一方、★3以上では、政府機関等や重要インフラ事業者等向け製品を想定し、独立した第三者評価機関による評価報告書に基づき、IPAが認証・適合ラベルを付与することでより高い信頼性を確保しています。
なお、★1のセキュリティ要件・適合基準を記載したリストを本制度の概要サイトで公開しました。
本制度は任意制度ですが、特に、政府機関、重要インフラ事業者、地方公共団体等で調達する製品については、各組織の求めるセキュリティ水準に合致するラベルが付与されたIoT 製品を選定・調達するように、経済産業省と関係組織間とで調整しています。例えば、2024年7月に一部改定された「政府機関等の対策基準策定のためのガイドライン（令和５年度版）」にて、本制度開始後の活用と、普及後のラベル付与製品の調達必須化の方針が示されています。

■国際連携

本制度では、諸外国におけるIoT 製品の適合性評価制度設立の動向も踏まえ、各国の制度との連携を図り、相互承認することも目指しています。これにより、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減できます。現在、シンガポール（Cybersecurity Labelling Scheme）、英国（PSTI法）、米国（U.S. Cyber Trust Mark）、EU（CRA法）等の各国担当機関との間で相互承認に向けた交渉を行っています。また、日米（首脳級）、日EU（閣僚級）、G7（首脳級）等において、相互承認に向けて取り組む旨を合意しています。