IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会による中間とりまとめの公表
アンダーソン・毛利・友常法律事務所 外国法共同事業
弁護士 井 上 乾 介
弁護士 吉 田 崇 裕
1 はじめに
近年、IoT製品の利便性はますます高まっており、製品数も急速に増加しているとともに、今後の増加も見込まれている。そのような状況下において、下図のとおりIoT製品の脆弱性を狙ったサイバー脅威も増加傾向にある。
出典:「IoT製品に対するセキュリティ適合性評価制度の構築について」[1](三菱総合研究所、2022年11月1日)4頁
下記2のとおり、諸外国はそれぞれIoT製品の安全性確保のための取り組みを行っているが、経済産業省が産業サイバーセキュリティ研究会のワーキンググループ3として設置した「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」[2](以下「検討会」という。)は、制度構築のためにこれまで行われた議論について中間とりまとめ[3](以下「本とりまとめ」という。)を公表した。
本とりまとめは、今後のIoT製品のセキュリティ適合性評価制度のあり方を考えるための参照資料として有用であるため、本稿で紹介する。
2 諸外国および日本でのこれまでの取り組み[4]
本段落では、IoT製品の安全性確保のために諸外国および日本が行っている取り組みについて解説する。
⑴ 諸外国の取り組み
まず、米国連邦レベルにおいては、2020年に成立した法律である「IoT Cybersecurity Improvement Act of 2020[5]」や2021年に署名された大統領令である「Executive Order on Improving the Nation’s Cybersecurity[6]」などが挙げられる。
これらを踏まえ、NIST(National Institute of Standards and Technology)は、2021年11月、連邦政府がIoT製品を調達する際のガイドラインである「NIST SP 800-213[7]およびNIST SP 800-213A[8]」を公表したほか、2022年2月、消費者向けIoT製品に対するラベリング制度に関する考慮事項を示した文書[9]を発表し、ラベリングのためのベースライン基準として、NISTIR 8259[10]に基づく基準を推奨した。ただし、評価方法およびラベルの種類等は具体的には定められておらず、今後の検討事項とされている。
また、州レベルにおいても、カリフォルニア州[11]やオレゴン州[12]において、IoT製品に対するセキュリティ対策が義務化されている。詳細は下図を参照されたい。
この記事はプレミアム向け有料記事です
ログインしてご覧ください
(いのうえ・けんすけ)
アンダーソン・毛利・友常法律事務所外国法共同事業 スペシャル・カウンセル。2004年一橋大学法学部卒業。2007年慶応義塾大学法科大学院卒業。2008年弁護士登録(東京弁護士会)。2016年カリフォルニア大学バークレー校・ロースクール(LLM)修了。2017年カリフォルニア州弁護士登録。著作権法をはじめとする知的財産法、個人情報保護法をはじめとする各国データ保護法を専門とする。
(よしだ・たかひろ)
アンダーソン・毛利・友常法律事務所外国法共同事業アソシエイト。2018年東京大学工学部卒業。2020年東京大学大学院情報理工学系研究科数理情報学専攻修士課程修了。2022年弁護士登録(第二東京弁護士会)。
アンダーソン・毛利・友常法律事務所外国法共同事業 https://www.amt-law.com/
<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。
<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング