米国、サイバートラストマーク(U.S. Cyber Trust Mark)をIoT製品の認証マークとする

2024年08月09日、米連邦通信委員会(FCC)は、無線でつながる消費者向け「モノのインターネット(IoT)製品」のサイバーセキュリティに関する自主的なラベリングプログラム「米国サイバートラストマーク」を確立する規則を最終規則としました。情報収集要件が最終規則となったことで、今後報告書、命令、規則案に関するさらなる通知が行われる予定です。

この最終規則の内容は、2024年07月30日に89 FR 61242に追加されて2024年08月29日より発効しています。今回は、この内容が管理予算局(Office of Management and Budget、OMB)に認められ、2024年09月09日が遵守日となることが発表されています。IoT製品の製造などに関わる事業主は注意が必要です。

連邦通信委員会とは

連邦通信委員会(Federal Communications Commission、FCC)は、米国政府の独立機関(Independent agencies of the United States government)です。1934年通信法に基づき設立され米国の国内で発信するラジオ、テレビ、電信、電話、衛星、ケーブル、ワイヤレス、インターネットを含むすべての通信を規定、管理していいます。また、規則の制定以外に、事業者に対する免許交付、更新、または法律違反の罰則を下す裁定も行っています。

アメリカの行政機関ですが、大統領を頂点とする行政府に属さず、国民の代表である議会が責任を負う機関です。

米国サイバートラストマークとは

米国サイバートラストマーク(U.S. Cyber Trust Mark)とは、対象IoT製品に関する具体的な情報が記載された登録票内容を消費者が簡単に確認できるQRコードを含むラベルで、FCCが当該製品をサイバーセキュリティに関する要件や基準を満たしていると保証している米国政府の認証マークのことをいいます。

米国サイバートラストマークのラベリングプログラムは、2021年05月に発令された「国家のサイバーセキュリティ向上に関する大統領令」に基づいており、消費者向けIoT製品のセキュリティの向上に向けた米国連邦政府の政策の１つです。ただし、このプログラムにおいて、米国政府は法的遵守義務や、高額な罰則金などは設定せず、あくまでもサイバートラストマークは自主的なマークです。

一方で、米国政府は、このプログラムにおいて、製造者や販売業者などに積極的にこのマークの利用を促すことで競争を促し、消費者にセキュリティ品質の高い製品を購入する環境を整えていくことも狙っているため、IoT製品の関係者は対応が必要とされています。

米国サイバートラストマークの対象製品は、インターネットに接続することができるスマート冷蔵庫、スマートテレビ、スマート空調システム、運動や健康状態を追跡するトラッカーなど、消費者向けIoT製品となっています。

ただし、米国食品医薬品局(FDA)が規制する医療機器、米国運輸省道路交通安全局(NHTSA)が規制する自動車や関連機器は除外されています。一方で、FCCは、今後、消費者向けのルーターや、エネルギー分野に属する企業向けのスマートメーターなど他の製品に拡大する可能性も発表しています。

今回の発表の内容

この最終規則の内容(47 CFR 8.208、8.209、8.212, 8.214, 8.215, 8.217, 8.218、8.219、8.220、8.221、8.222、CFRは連邦規則集)は、2024年07月30日にすでに要件や基準として発表されています。具体的には、IoT製品に「管理のためのＩＤ」「設定機能」「データ保護機能」「アクセス制御機能」「ソフトウェアアップデート」などの技術的な要件を求めるとともに、「サイバーセキュリティに関連する情報の収集と保存の継続」「脆弱性情報に関する問い合わせ」「情報提供」「消費者への教育と啓発」など製造者の体制面に関する要件も求めています。

特徴的な点としては、製造者に対して、①自主的に遵守すること、②「IoT製品が、対象リストに載っている国家(現在は、中国やロシアが含まれます)で製造された構成部品等で構成されていないこと」などを宣言する宣誓書を提出すること、を求めている点です。

今回は、このIoTのためのサイバーセキュリティ・ラベリングの遵守日が2024年09月09日と発表されました。今後、対象となるIoT製品の製造、販売、輸出入を含む流通に関連する事業者、特に要件の内容から中国製の部品や製品と関わる事業者は注意が必要です。

参考情報

IoTのためのサイバーセキュリティ・ラベリングの遵守日を発表