「ISO/IEC 30147:2021 Internet of Things (IoT)」が発行されたという記事がでています。
METIの「IoT製品・システムを安全に実装するための国際規格が発行されました」は、こちら。
IPAの「IoT製品・サービスにセーフティ・セキュリティ等を実装するプロセスが国際標準として出版 ~日本提案の規格が国際標準化団体ISO/IECにて出版~」は、こちらです。
ISO/IEC 30147:2021 Internet of Things (IoT)– Integration of IoT trustworthiness activities in ISO/IEC/IEEE 15288 system engineering processesの本文は、こちらです。
目次については、サンプルの頁からみることができます。 でもって、日本語訳については、丸山さんの頁でどうぞ。
これをどのように位置づけるかということになります。
まずは、ISO//IEC 30147:2021 Internet of Things (IoT)は、そのサブタイトルが、「ISO/IEC/IEEE 15288システム・エンジニアリング・プロセスにおけるIoT信頼性活動の統合」となっていて、「ISO/IEC/IEEE 15288システム・エンジニアリング・プロセス」の文脈から検討されているということですね。
すると「ISO/IEC/IEEE 15288システム・エンジニアリング・プロセス」って何?となるわけです。この資料は、雑賀充宏 「ISO/IEC/IEEE 15288:2015 の情報システム構築にもたらす影響 」とかIPA「システムズエンジニアリング プロセスの解説方法 」とかです。あと、「システムズエンジニアリングって? 」の22頁以下です。
でもって、「IoT製品・サービスにセーフティ・セキュリティ等を実装するプロセス」を考えるのにどうなるの?ということかと思いますが、この国際標準は、そのプロセスの標準ということで、実際の要求事項自体について触れているわけではないです。下の図でいくと右側のVカーブの図です。(ちなみにJAXAの参考文献があります「システムズエンジニアリングの基本的な考え方 」)
むしろ、ポイントは、付録の
- 一般
- 例1:セキュリティリスク
- 例2:信頼性リスク
- 例3:安全性のリスク
- 例4:プライバシーリスク
- 例5:耐障害性のリスク
- 例6:相互に接続された IoT の信頼性要素から生じるリスク
ということになるかと思います。
これらを含めて図解してみました。
まず、システム・エンジニア・プロセスのお約束のVカーブですが、その最初の要求事項の確定の際に、特有のリスクを考慮すべきであり、その際に「法的要求事項」を考えなくてはならないということを示しています。そして、法的な仕組みに対してガイダンスをなすスタンスの方々は、
これらの特有のリスクに対して、法的な仕組みが十分に整備されているかということをみないといけない
ということを示しています。
当社のIoTについてのこの特有のリスク分析については、IPAの「情報システム等の脆弱性情報の取扱いに関する研究会」2016年度報告書において、「7. IoTの脆弱性を巡る法制度の整理に関する調査」で関与しております。
同報告書の43頁以降になります。基本的には、これらの個々のリスクは、
- そのIoTが問題となる業種・モノとしての有体物、そして、それを接続するシステムとして考えなければならないこと
- 従って、その業種・物・システムに関す個別法として議論されるべきこと
- 特に、人の生命・身体・事業の運営に対するリスクを「安全性」(セーフティ)と認識して、それらのリスクに対して、基準が整備されなくてはならないと考えられること
- 2016年度においては、電気事業法など、これらのリスク(特に安全性)に対して、対応がなされているものもあるが、そのほとんどにおいては、いまだ十分なものとはいえないこと
を指摘したところです。そこで、情報家電・スマートハウス・自動車・医療/ヘルスケア・工場・発電・送電・配電・スマートメーターの各分野について検討しています。その後、特に、自動車については、自動運転等のための準備もあり、安全基準としての整備がなされているかと思います。
この点については、「IoT の脆弱性と安全基準との法的な関係」という論文を記して(InfoCOM Review 第69号(2017年7月31日発行) )もおります。このブログですと「IoTの法的定義」 とか 「Cyber Physical System」もあります。
前の報告から、5年も経過しており、このISO/IEC 30147:2021における例1:セキュリティリスク、例2:信頼性リスク、例3:安全性のリスク、例4:プライバシーリスク、例5:耐障害性のリスク、例6:相互に接続された IoT の信頼性要素から生じるリスク という分類を深く分析した上で、それぞれの法的要求事項についてのガイダンスを行うという分析が必要かと思います。
ということで、上の各分野について、法的要求事項という観点から、この付録Aの各リスクの分類に従って、分析するのは有意義かと思います。
ということで、そのような視点をお持ちの方がいらっしゃいましたら、是非ともご用命ください。世界各国の分析にチャレンジいたします。