検 索
初めての方へ Cカレンダー AgencyNavi 無料メルマガ
絞り込み検索
検 索
ログイン
お問い合わせ
無料メルマガ
絞り込み検索

解説米国 – IoT製品のサイバーセキュリティラベル規則

HOME > 法令解説 > 解説|米国 – IoT製品のサイバーセキュリティラベル規則
法令の情報時期:2024年10月 改正版 ページ作成時期:2025年04月

目的

目的

規則では、連邦通信委員会(Federal Communications Commission、FCC)は、国のサイバーセキュリティ態勢を強化し、消費者に基本的なサイバーセキュリティに関する保証を提供することを目的としている。

具体的には、消費者向けインターネット接続(モノのインターネット、IoT)製品に有害な無線周波数干渉が発生するリスクに対処するため、消費者向けIoT製品に対するラベリングプログラムを確立している。

概要

概要

インターネットサービスのプロバイダー(供給者)は、利用するユーザーなどにセキュリティ侵害を開示するなど、サイバーネットのセキュリティ方針を文書化しそれを遵守する必要がある。

米国において、消費者向けIoT製品にFCC IoTラベルを表示するためには、ラベリングプログラム要件へ準拠する必要がある。

公安および国土安全保障事務局が設定する対象リストに記載されている、例えば中国政府に関連する製造者の製品は、FCC IoTラベルの使用が禁止されている。そのため、IoT製品に関連する事業者は更新されるこの対象リストの内容を知る必要がある。

注目定義

■ 「エッジプロバイダー」(エッジプロバイダーEdge provider)

「エッジプロバイダー」とは、インターネット上でコンテンツ、アプリケーション、またはサービスを提供する個人または事業体、およびインターネット上でコンテンツ、アプリケーション、またはサービスにアクセスするためのデバイスを提供する個人または事業体をいう。

■ 「エンドユーザー」(End user)

「エンドユーザー」とは、ブロードバンドインターネットアクセスサービスを利用する個人または団体をいう。

■ 「関連会社」(Affiliate)

「関連会社」とは、サブパートおよびIoTラベリングプログラムにおいて、他者を所有または管理する者、他者に所有または管理される者、あるいは他者と共通の所有権または管理下にある者をいう。このサブパートにおいて、所有とは、10%以上の持分(またはそれに相当するもの)を所有することをいう。

■ 「サイバーセキュリティラベル管理者(CLA) 」(Cybersecurity Label Administrator(CLA) )

「サイバーセキュリティラベル管理者(CLA)」とは、本サブパートの委員会規則に従い、ラベリングプログラムを管理・運営することを委員会から認められ、認可された第三者機関をいう。

■ 「サイバーセキュリティ試験所(サイバーラボ)」」(Cybersecurity Testing Laboratory (CyberLAB))

「サイバーセキュリティ試験所(サイバーラボ)」とは、消費者向けIoT製品がラベリングプログラムの要件に準拠しているかどうかを評価するために、CLAによって認められ、認可された認定第三者機関をいう。

■ 「主管理者」(Lead Administrator)

「主管理者」とは、サイバーセキュリティラベル管理者(Cybersecurity Label Administrator、CLAs)の中から選ばれ、ラベリングプログラムの追加管理責任を担うCLAをいう。

■ 「ブロードバンドインターネットアクセスサービス」(Broadband Internet access service)

「ブロードバンドインターネットアクセスサービス」とは、有線または無線による大衆向け小売サービスで、すべてのインターネットのエンドポイントにデータを送信し、そこからデータを受信する機能を提供するもの(通信サービスに付随し、通信サービスの運用を可能にする機能を含む)をいう。

■ 「合理的なネットワーク管理」(Reasonable network management)

「合理的なネットワーク管理」とは、主として技術的なネットワーク管理を正当化する慣行であり、その他のビジネス慣行は含まない。ネットワーク管理慣行は、ブロードバンドインターネットアクセスサービスの特定のネットワークアーキテクチャおよび技術を考慮し、主として正当なネットワーク管理目的の達成のために使用され、かつそれに適合するものであれば、合理的となる。

■ 「消費者向けIoT製品」(Consumer IoT products)

「消費者向けIoT製品」とは、企業用または産業用ではなく、主に消費者用のIoT製品をいう。消費者向けIoT製品として、米国食品医薬品局(FDA)が規制する医療機器や米国運輸省道路交通安全局(NHTSA)が規制する自動車および自動車機器は除外される。

■ 「IoTデバイス」(IoT device)

「IoTデバイス」とは、(1) 物理的世界と直接相互作用するための少なくとも1つのトランスデューサ(センサーまたはアクチュエーター)を有する、意図的に高周波エネルギーを放出することができるインターネット接続機器、または(2) デジタル世界と連動するための少なくとも1つのネットワークインターフェース(Wi-Fi、Bluetoothなど) をいう。

■ 「IoT製品」(IoT product)

「IoT製品」とは、IoTデバイス、および基本的な動作機能を超えてIoTデバイスを使用するために必要な追加的な製品コンポーネント(バックエンド、ゲートウェイ、モバイルアプリなど)をいう。

■ 「製品コンポーネント」(Product components)

「製品コンポーネント」とは、ハードウェアデバイスと、NISTIR8425により一般的に3つの主な種類に分類されるサポートコンポーネントをいう。 特殊なネットワーキング/ゲートウェイハードウェア(例えば、IoTデバイスが使用されるシステム内のハブ)、コンパニオンアプリケーションソフトウェア(例えば、IoTデバイスと通信するためのモバイルアプリ)、およびバックエンド(例えば、IoTデバイスからのデータを保存および/または処理するクラウドサービス、または複数のサービス)を含む。 製品コンポーネントが、代替機能およびインターフェイスを通じて他のIoT製品もサポートする場合、これらの代替機能およびインターフェイスは、リスク評価を通じて、認可の目的上、IoT製品とは別個のものであり、IoT製品の一部ではないとみなされる可能性がある。

■ 「インターネット接続機器」(Internet-connected device)

「インターネット接続機器」とは、インターネットに接続し、インターネットを介して他のデバイスまたは集中システムとデータを交換できるデバイスをいう。

■ 「サイバートラストマーク」(Cyber Trust Mark)

「サイバートラストマーク」とは、消費者向けIoT製品が、ラベリングプログラムの要件および本サブパートにおけるFCCのサイバーセキュリティ要件に準拠していることを示す視覚的表示をいう。

■ 「FCC IoTラベル」(FCC IoT Label)

「FCC IoTラベル」とは、ラベリングプログラムの要件に準拠する消費者向けIoT製品とともに表示可能なバイナリラベルであり、サイバートラストマークが付されたバイナリラベル、および準拠する消費者向けIoT製品に関する詳細情報を含むレジストリに消費者を誘導するスキャン可能なQRコードをいう。

■ 「ラベリングプログラム」(Labeling program)

「ラベリングプログラム」とは、準拠する消費者向けIoT製品にFCC IoTラベルを表示することを認める、消費者向けIoT製品の自主的プログラムをいう。

■ 「レジストリ」(Registry)

「レジストリ」とは、適合する消費者向けIoT製品とともに表示されるFCC IoTラベルのQRコードからのリンクを通じて一般にアクセス可能な登録情報をいう。適合する消費者向けIoT製品の製造事業者などラベリングプログラム要件が要求するその他の情報が含まれる。

適用除外(対象外・猶予・免除等)

本法令には、法令全体からの適用除外や免除を規定する内容はない。

事業者が注意すべき内容

本法令が定める事業者に係わる主な要件は次の通りとなります。本項は網羅的なものではないため、詳細や罰則については、個別調査にて承ります。
ご関心がございましたら、お気軽にお問い合わせください。
禁止

インターネット事業者は以下の事などを守ってサービスを提供しなければならない。(8.3)

    • ブロッキングの禁止:ブロードバンドインターネットのアクセスサービスのプロバイダー(以下、プロバイダー)は、合法的なコンテンツ、アプリケーション、サービス、または無害なデバイスを遮断してはならない。
    • スロットリングの禁止:プロバイダーは、合法的なインターネットトラフィックを障害または劣化させてはならない。
    • 有料の優先順位付けの禁止:プロバイダーは、有料の優先順位付けを行ってはならない。ここでの「有料の優先順位付け」とは、トラフィックシェーピング、優先順位付け、リソース予約、または他の形態の優先的トラフィック管理などの技術を使用することを含め、直接的または間接的に、あるトラフィックを他のトラフィックより優遇するブロードバンドプロバイダーの「ネットワークの管理」をいう。
情報伝達、連絡

ブロードバンドインターネットアクセスサービスのプロバイダーは、影響を受けるユーザーや規制機関にセキュリティ侵害を開示しなければならない。サイバーセキュリティ方針を明確に文書化し、遵守する必要がある。(8.2)

情報伝達、連絡

ブロードバンドインターネットアクセスサービスのプロバイダーは、ブロードバンド消費者情報開示ラベル(8.2(a)(1)図1)を各販売地点に表示しなければならない。(§8.2)

制限、限定

米国では、国のサイバーセキュリティ態勢を強化し、消費者に基本的なサイバーセキュリティに関する保証を提供するため、消費者向けインターネット接続(モノのインターネット、IoT)製品に有害な無線周波数干渉が発生するリスクに対処するための、ラベリングプログラム(表示プログラムともいう)の要件が確立されている。(§8.202)

8

ラベリングプログラムにおけるサイバーセキュリティラベルの認可は、CLAにより発行され、FCCの権限の下で認可される認可である。

ラベリングプログラム要件に準拠する消費者向けIoT製品の申請者に対し、消費者向けIoT製品の関連包装にFCC IoTラベルを表示することが認められる。(8.205)

禁止

中国もしくはロシアに関連する製品の一部など、以下のように製造された製品はFCC IoTラベルの使用が禁止されている。(8.204)

    • 47 CFR 1.50002 に従って、公安および国土安全保障事務局(Public Safety and Homeland Security Bureau)が設定する対象リスト上のすべての通信機器。
    • 以下に記載される事業体によって製造された IoT 機器または製品部品を含むすべての IoT 製品:
      (1) 47 CFR 1.50002に従って策定される、対象機器を製造するものとして対象リストで特定される事業体、その関連会社、または子会社が製造する IoT機器またはIoT製品および、
      (2) 商務省の企業リスト(15 CFR パート744、補足番号4)、および/または国防総省の中国軍需企業リスト(U.S. Department of Defense, Entities Identified of Chinese Military Companies, U.S.)で特定される事業体、その関連会社、または子会社によって製造される IoT デバイスまたは IoT 製品。
    • 連邦調達または財務上の賞の受領を停止または免責された個人または団体が所有または管理する、またはその個人または団体と提携する団体が製造する製品など。
文書登録、文書管理、文書作成

申請要件として、
(a) FCCが規定する書式およびフォーマットで、CLAに提出する申請書、
(b) その他、CLAがプログラム要件への準拠を判断するために必要となるすべての情報、
(c) 申請者の宣誓書を提出する必要がある。

また、申請者は、サポート期間の終了日などを開示しなければならない。また、海外の申請者は送達を受理するため、米国内に所在する代理人を指定しなければならない。

また、CLAに提出された技術試験データには、試験を実施または監督した者が署名し当該データの正確性を証明しなければならない。

CLA は、試験データに署名した者に、測定を実施または監督する資格があることを示す陳述書の提出を要求することができる。(§8.208)

12

FCCのIoTラベルを使用する認可の付与は、破棄、取り消しもしくは撤回、放棄など、またはFCCが別途終了日を定めるまで有効である。(§8.213)

9

消費者向けIoT製品が表示プログラムに準拠していないことに関して、FCCに直接苦情が提出された場合、FCCは、当該事業者に対し、当該苦情を調査し、20日以内に調査結果を委員会に報告するよう求めることができる。

この報告書には、今後の生産や、使用者、販売者、流通業者の手元にある成形品に関して、欠陥を是正するために被付与者(事業体)がどのような措置を講じたか、または講じる予定がある場合には、その内容を示さなければならない。(§8.214)

文書登録、文書管理、文書作成

FCC IoTラベルの使用を許可された消費者向け IoT 製品について、被付与者(事業体)は、
(1) IoT製品に対して行われたすべての変更の記録、
(2)このサブパートの基準および試験手順への適合を保証するための製造検査および試験に使用された手順の記録、(3)このパートの適切な規制への適合を証明する試験結果の記録、
を関連製品の販売が恒久的に中止された後2年間保管しなければならない。(§8.215)

制限、限定

FCC IoTラベルの使用許可は、以下の場合FCCにより終了され、インターネットセキュリティのラベリングプログラム要件の不遵守となる。(§8.216)

  • (1) 申請書、それに関連して提出された資料もしくは回答、または§8.215により保管が義務付けられた記録のいずれかに虚偽の記述または表明があった場合、
  • (2) その後の検査又は操作により、消費者用IoT製品が本パートの関連技術要件又は当初の申請書に記載された表明事項に適合していないと判断された場合、
  • (3) FCC IoTラベルの使用を許可しないことを正当化するような状況がFCCの知るところとなった場合、
  • (4) ラベル付与対象者または関連会社が、§8.204「対象リスト」に記載されている場合。
資格、認定

FCC IoTラベルを使用する権限の付与者(FCCなど)は、準拠する消費者向けIoT製品に関する情報をアプリケーション・プログラミング・インタフェース(API)を通じて、一般に公開する。

レジストリには製造者名、サポート期限、デバイスを安全に設定する方法に関する追加情報などが公開される。(8.222)

目次

パート8 – インターネットの保護とセキュリティ8.1 – 8.222

サブパートA-インターネット開放の保護 §8.1 – 8.222

§8.1 定義

§8.2 透明性

§8.3 行為に基づく規則

§8.6 諮問的意見

サブパート B IoT製品のサイバーセキュリティのラベリングプログラム §8.201 – 8.222

§8.201 参照による組み込み

§8.202 基本と目的

§8.203 定義

§8.204 記載された情報源によって製造された製品へのFCC IoTラベルの使用の禁止

§8.205 サイバーセキュリティラベルの認可

§8.206 同一の定義

§8.207 責任当事者

§8.208 申請要件

§8.209 FCC IoTラベルの使用認可の付与

§8.210 申請の却下(Dismissal of application)

§8.211 申請の拒否(Denial of application)

§8.212 CLAの決定の見直し

§8.213 FCC IoTラベルの使用許可に関する制限

§8.214 IoT製品の欠陥および/または設計変更

§8.215 記録の保持

§8.216 FCC IoTラベルの使用認可の終了

§8.217 サイバーラボ

§8.218 サイバーラボ認定機関の承認

§8.219 サイバーセキュリティラベル管理者の承認/認定

§8.220 CLAの要件

§8.221 主管理者の要件

§8.222 IoTレジストリの確立

基礎情報

法令(現地語)

Part 8—SAFEGUARDING AND SECURING THE INTERNET
法令(日本語)

IoT製品のサイバーセキュリティラベル規則
公布日

2024年10月改正版
所管当局

連邦通信委員会(Federal Communications Commission、FCC)

作成者

LOGO-600w

株式会社先読

この続きは有料会員になるとお読みいただけます。

ログインして続きを読む
Page Top