経済産業省と情報処理推進機構(IPA)は3月25日、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を開始しました。
JC-STARとは、共通の基準でIoT製品に具備されているセキュリティ機能を評価・可視化する制度です。この制度によって、IoT製品の購入者・調達者(政府機関や民間企業、一般消費者)は自らが求めるセキュリティ水準の製品を簡単に選ぶことができるようになります。対象となるのは、インターネットに直接接続されない製品も含め、インターネットプロトコルを使用する通信機能を持つ幅広いIoT製品です(パソコン、スマートフォン等は対象外)。
JC-STARでは、IoT製品共通の最低限の脅威に対応するための基準(★1)と、IoT製品類型ごとの特徴に応じた基準(★2、★3、★4)があります。★1、★2については、自己適合宣言に基づきIPAからラベルが付与されます。★3、★4については、独立した第三者による評価を受けてラベルが与えられます。
ラベルを取得したIoT製品には「適合ラベル」が発行され、製品やそのパッケージなどに掲示することができます。適合ラベルには、製品固有の「適合ラベル取得IoT製品情報ページ」のURLを埋め込んだ二次元バーコードが含まれます。
今後の予定としては、5月上旬頃に★1ラベル取得製品のリストがIPAのホームページで公開されます。その後、新規ラベル取得製品が随時追加されます。
★2以上の整備については、ネットワークカメラと通信機器の2つの製品類型を対象に具体的な検討が行われており、2026年1月以降に当該製品分野の★2以上の申請受付が始まる予定です。スマートホーム関連機器など、その他の製品類型の★2以上の基準も順次整備され、制度が拡張される予定です。
また、今後は制度の活用促進も図られます。例として、地方公共団体や重要インフラ事業者の調達でもJC-STARが活用されるよう、関係するガイドライン類への反映について政府内での協議が行われています。
さらに、IoT製品を海外へ輸出するベンダーの適合性評価に関する負担を軽減するため、国際連携・相互承認が引き続き行われます。具体的には、シンガポール(Cybersecurity Labelling Scheme)、英国(PSTI法)、米国(U.S. Cyber Trust Mark)、EU(Cyber Resilience Act)との相互承認に向け、海外当局との交渉が進められます。
