セキュリティ要件を満たしたIoT製品を見分けるためのマーク
冷蔵庫、電子レンジ、TV等のスマート家電、フィットネストラッカーなどのウェアラブルデバイス、そしてIoT住宅……。これらのIoT(Internet of Things)製品を既に使用されている方も多いだろう。便利な反面、これらのIoT製品はハッキングされると事故や情報の不正取得などの被害が生じうる。そのため、消費者にとってIoT製品を購入・使用する際にはサイバーセキュリティ機能も重要な要素であるはずだが、取扱説明書などを熟読してセキュリティ機能を理解するのは非現実的だ。
しかしこの問題は、IoT製品のサイバーセキュリティ・ラベリング制度でクリアされている。この制度はすでにシンガポールやドイツなどで実施されており、2024年下旬には米国でも始動する予定だという。
サイバーセキュリティ・ラベリング制度は、国(又は国が指定した審査機関)により一定のセキュリティ要件を満たしていると審査判断されたIoT製品には、国が承認したマークを付することができるというものである。つまり消費者側には、IoT製品にそのマークが付いていれば一定のセキュリティを満たしていることが分かる。JISマークを思い浮かべれば分かりやすいであろう。米国は2023年7月、このラベリング制度で使用するマークとして「U.S. Cyber Trust Mark」を発表した(マークの絵柄についてはこちらをご参照いただきたい)。
制度内容はまだ流動的ではあるものの、ここではその概要についてお伝えしたい。
一般消費者用のIoT製品には、セキュリティ機能を義務付ける法律がなかった
米国ではこれまでに、IoTのサイバーセキュリティに関する法律、大統領令、米国国立標準技術研究所(NIST)によるガイドライン等を発表してきた。しかしいずれも消費者向けIoT製品については推奨にとどまり、一定のセキュリティ機能を搭載するよう法的拘束力を もって義務づける内容ではない。現時点で米国連邦レベルにおいて義務づけられているのは、連邦政府が所有・管理するIoTデバイスについてNISTの定めるサイバーセキュリティ要求事項を満たすことのみであり、消費者向けIoT製品のサイバーセキュリティ全般についてはソフトローのアプローチを採っていると言える(もっとも、個別法令において各論的に(データ保護など)法的拘束力を伴う規制があるので注意を要する。)