「IoT 製品に対するセキュリティ適合性評価制度構築に向けた検討会」が3月15日に最終とりまとめを公表したことを受け、経済産業省は同日、IoT製品のセキュリティ機能を評価・可視化する制度の構築方針案を作成、意見公募を実施しました（受付は4月15日まで）。

IoT機器の普及に伴ってIoT機器の脆弱性を突いたサイバー攻撃が増加しています。検討会ではIoT製品にセキュリティ対策を求めるガイドラインなどがあるものの、適切なセキュリティ対策が講じられているIoT製品が広く普及する仕組みにはなっていないと指摘。ベンダーに費用が発生する一方、その取り組みを調達者や利用者にアピールする仕組みがないためで、政府主導で制度の整備が必要と提言しました。

意見公募が行われているのは「IoT製品に対するセキュリティ適合性評価制度構築方針案」と「【別添】☆1セキュリティ要件・適合基準」です。同方針案では、IoT製品共通のセキュリティ要求基準を設けるとともに適合性を評価・認証し、ラベルを付与する制度となります。法令に基づく義務ではなく任意制度とし、インターネットプロトコルを使用する通信機能を持つ幅広いIoT製品を対象とします（インターネットに直接接続されない製品を含む）。

セキュリティ要求基準はレベルに応じて「☆1～4」まで定めます。「☆1」は最低限の脅威に対応するための基準となり、「☆1、☆2」は自己適合宣言によってラベルが付与されます。一方、「☆3、☆4」は政府機関や重要インフラ事業者の調達要件になることを想定しており、自己適合宣言ではなく第三者評価による認証、ラベル付与とします。

「☆1」については求めるセキュリティ要件として16項目の適合基準のほか、評価手順などを示しました（【別添】☆1セキュリティ要件・適合基準）。一方、「☆2」以上については2024年度以降に検討を行うとしました。

スキームオーナーは情報処理推進機構(IPA）とし、2024年7～9月頃にIPAが制度の開始について発表する予定です。なお、「☆1」については2025年3月ごろの自己適合宣言受け付けとラベル付与開始を目指す計画です。