あらゆるものがインターネットにつながる時代、その製品がセキュリティ上の要件を満たしているかどうかは消費者が生活を守るために重要な要素となる。既にシンガポールやドイツでは、信頼できる製品にラベルが貼付されており、2024年からは米国でもラベリングプログラムの導入が予定されている。ここでは米国におけるラベリングプログラムの概要について紹介する。

セキュリティ要件を満たしたIoT製品を見分けるためのマーク

冷蔵庫、電子レンジ、TV等のスマート家電、フィットネストラッカーなどのウェアラブルデバイス、そしてIoT住宅などなど。これらのIoT（Internet of Things）製品を既に使用されている方も多いだろう。便利な半面、これらのIoT製品はハッキングされると事故や情報の不正取得などの被害が生じうる。そのため、消費者にとってIoT製品を購入／使用する際にはサイバーセキュリティ機能も重要な要素であるはずだが、取扱説明書などを熟読してセキュリティ機能を理解するのは非現実的だ。

しかしこの問題は、IoT製品のサイバーセキュリティ・ラベリング制度でクリアされている。この制度は既にシンガポールやドイツなどで実施されており、2024年下旬には米国でも始動する予定だという。

サイバーセキュリティ・ラベリング制度は、国（又は国が指定した審査機関）により一定のセキュリティ要件を満たしていると審査判断されたIoT製品には、国が承認したマークを付することができるというものである。つまり消費者側は、IoT製品にそのマークが付いていれば一定のセキュリティを満たしていることが分かる。JISマークを思い浮かべれば分かりやすいであろう。米国は2023年7月、このラベリング制度で使用するマークとして「U.S. Cyber Trust Mark」を発表した（マークの絵柄についてはこちらをご参照いただきたい）。

制度内容はまだ流動的ではあるものの、ここではその概要についてお伝えしたい。

一般消費者用のIoT製品にはセキュリティ機能を義務付ける法律がなかった

米国ではこれまでに、IoTのサイバーセキュリティに関する法律、大統領令、米国国立標準技術研究所（NIST）によるガイドライン等を発表してきた。しかし、いずれも消費者向けIoT製品については推奨にとどまり、一定のセキュリティ機能を搭載するよう法的拘束力とともに義務付ける内容ではない。現時点で米国連邦レベルにおいて義務付けられているのは、連邦政府が所有／管理するIoTデバイスについてNISTの定めるサイバーセキュリティ要求事項を満たすことだけであり、消費者向けIoT製品のサイバーセキュリティ全般についてはソフトローのアプローチを採っていると言える（もっとも、個別法令において各論的に（データ保護など）法的拘束力を伴う規制があるので注意を要する）。

※本稿は、モダンタイムズに掲載された記事の前半部分です。
（安全なIoT製品を見分けるためのラベリングプログラムの続きを読む）
この筆者の記事をもっと読む

『モダンタイムズ』の無料メルマガ受信はこちらから