日本の経済産業省と英国の科学・イノベーション・技術省(DSIT)は、11月5日(水曜日)、英国・ロンドンにて、英国PSTI法(Product Security and Telecommunications Infrastructure Act)が要求する技術基準(3要件)と我が国のJC-STAR(「セキュリティ要件適合評価及びラベリング制度」)のラベル取得に必要な技術基準の3要件が同等であるとみなす旨に合意する、「IoT製品のためのサイバーセキュリティ制度の相互承認に関する協力覚書」に署名しました。
このプレスリリースばこちらです。
覚書自体は、こちらです。ちなみにNotebookLMを使って、インフォグラフィックを作成するとこんな感じ。
1 覚書の内容
条文のタイトルは、これです
| 英語の条文タイトル | 日本語訳 |
|---|---|
| MEMORANDUM OF COOPERATION | 協力覚書 |
| PARAGRAPH 1: Objective | 第1条:目的 |
| PARAGRAPH 2: Definitions | 第2条:定義 |
| PARAGRAPH 3: Recognition of Label and Law | 第3条:ラベルおよび法の承認 |
| PARAGRAPH 4: Forms of cooperation | 第4条:協力の形式 |
| PARAGRAPH 5: Funding and Resources | 第5条:資金およびリソース |
| PARAGRAPH 6: Confidentiality | 第6条:機密保持 |
| PARAGRAPH 7: Dispute Settlement | 第7条:紛争解決 |
| PARAGRAPH 8: Relationship with national law and international law | 第8条:国内法および国際法との関係 |
| PARAGRAPH 9: Modifications | 第9条:修正 |
| PARAGRAPH 10: Preservation of Authority of a Participant | 第10条:参加者の権限の保持 |
| PARAGRAPH 11: Final Items | 第11条:最終項目 |
1条は、目的で、
参加当事者(日本国経済産業省及び英国科学・イノベーション技術省)は、それぞれの権限と責任の範囲内、かつ各自の国内法令に従い、適宜において、双方の間で IoT サイバーセキュリティ分野における協力関係を強化するよう努めるものとする。本覚書の各項目に沿って、双方がそれぞれの IoT サイバーセキュリティ制度の相互承認を追求することを目的とする。
となっています。
2条の定義で定められている用語は、
-
-
適合性評価手続(Conformity Assessment Procedures)
-
整合性確認(Consistency check)
-
サイバーセキュリティ制度(Cyber Security Scheme)
-
IoT製品(IoT Products)
-
ラベル(Label)
-
法令適合(英国法令適合)(Law-Compliant / Compliant with UK’s Law)
-
要求事項(Requirements)
-
自己宣言(Self-declaration)
-
となります。
3条は、ラベルと法の承認の規定で
各参加当事者は、他の参加当事者のサイバーセキュリティ制度を信頼できるものとして認識するよう努めるものとする。
参加当事者は、以下のように他の参加当事者のサイバーセキュリティ制度を認識するよう努めるものとする:
a. 英国の法令に適合しているIoT製品は、英国法令適合IoT製品の自己宣言書をオンラインで公表することを示すことにより、独立行政法人情報処理推進機構が定める日本のサイバーセキュリティ制度の下でラベルを取得するための簡素化された申請手続を経るものとする。
b. 以下の(c)に従い、日本の適合性評価手続に基づいて適合することによりラベルが付与され、かつ有効なラベルを保持するIoT製品は、英国の要求事項に適合するものとして扱われるものとする。
c. 本覚書の目的に沿ったIoT製品の認識は、適用される製品安全規制などの他の適用される英国法令に製品が適合する必要がある場合を排除するものではない。
疑義を避けるために、本項は、第三者との相互承認の取り決めに基づいてIoT製品に発行されたラベルや要求事項への適合には及ばないものとする。参加当事者が、IoT機器のラベリングや要求事項の充足に関する他の参加当事者の決定に不満を有する場合、両参加当事者は相互協議を通じてこの不満を解消するよう努め、これを目的として関連情報を共有することができるものとする。参加当事者がこの不満を解消できない場合、当該IoT製品のラベルおよび当該要求事項への適合は、第3条第2項に基づき認識され得ないものとする。
となっています。
4条の協力の形式は、
参加当事者は、適用される標準の開発、IoT機器に対するサイバーセキュリティ脅威および攻撃方法、要求事項、並びにその他のIoTサイバーセキュリティに関する慣行に関して情報を交換し、適宜ベストプラクティスを共有することができる。
参加当事者は、各自のIoTサイバーセキュリティ制度、法令およびそれに対応する要求事項に関する最新情報を提供するため、少なくとも年に一度協議を行うよう努めるものとする。
本覚書の文脈において、適切な場合には、参加当事者は各自のサイバーセキュリティ制度および法令のさらなる発展について協力するよう努める。
本覚書に基づく情報交換、検証、証拠の提供その他の活動の目的で発行された関連文書は、必要かつ適切な場合には、英語でない場合に英語の翻訳コピーを添付するよう努めるものとする。
5条 資金およびリソース、第6条:機密保持、第7条:紛争解決以下については、省略します。
2 英国 PSTI法(Product Security and Telecommunications Infrastructure Act 2022)における IoT サイバーセキュリティ制度とは
-
2.1 国務大臣の権限
- PSTI法については、「IoTラベリングのアプローチ-セキュリティ/セーフティと市場・認知バイアスそして介入のもつれ」でみています。
- そこで構成として1部 製品セキュリティの規定があり、定義規定において、「「英国の消費者向コネクト可能製品」の意味」をみました。
- 製品のセキュリティ要件については、国務大臣が定める権限があるとされています(1条)
-
第1部 製品のセキュリティ
第1章 セキュリティの要件
製品に関するセキュリティの要件
1 セキュリティの要件を定める権限
(1)国務大臣は、規則により、次のもののセキュリティを保護し、または向上させるための要件(「セキュリティの要件」)を定めることができる。(a)英国において消費者に提供される関連接続可能製品;
- (b)当該製品の使用者。
- (2) セキュリティ要件とは、次の要件をいう。
- (a) 関連接続可能製品、または特定された種類の関連接続可能製品に関連する要件、および
(b) 関連者、または特定された種類の関連者に適用される要件。
この項において「特定された」とは、規則で特定されたことを意味する。
(3)以下の規定を参照のこと:
「関連接続可能製品」の意味については第4条、
「関連者」の意味については第7条。
(4)関連者に対するセキュリティ要件遵守義務を課す規定については、第8条、第14条及び第21条を参照のこと。
(5)本条に基づく規則に関する追加規定は第2条に定める。
2.2 具体的な定め
PSTI法の条文レベルで「Statement of Compliance(適合表明書)」について規定しているのは、主に PSTI Act 本体の Section 9 にあります。ここで「どのような場合にStatement of Complianceが必要か」「Statement of Complianceとは何か」という要件が定められています。加えて、Statement of Complianceの具体的な内容・形式は、PSTI Regulations 2023 の Schedule 4 に規定されています。
2.2.1 PTSI法9条
Section 9 – Statements of compliance
(第9条:適合性宣言)
(1)次の各号のいずれかに該当する場合、関連接続可能製品の製造業者は本項(2)の適用を受ける。
(a)当該製品を英国消費者向け接続可能製品とする意図がある場合、または
(b)当該製品が英国消費者向け接続可能製品となることを認識している、または認識すべきである場合。
(2)製造者は、以下のいずれかを添付しない限り、当該製品を英国において提供してはならない。
(a)適合性宣言書、または
(b)適合性宣言書の要約(その様式及び記載事項は、国務大臣が定める規則で規定されるものとする)。
(3)製品に関する「適合性宣言書」とは、次の各号に該当する文書をいう。
(a)当該製品の製造業者により、又はその代理人により作成されたもの
(b)国務大臣が定める規則で規定する様式及び情報を含むもの
(c)製造業者の見解において、製造業者が適用される安全要件を遵守したことを表明するもの
(4)本条において「該当する保安要件」とは、製品の製造業者に関連して、当該製品に関連する以下の要件以外のいかなる関連保安要件をいう。
(a)当該製品が英国において提供された後にのみ適用される保安要件、または
(b)製造業者が当該製品を英国の顧客に提供している場合にのみ適用される保安要件。
とされています。 (5)以下は省略
2.2.2 PSTI Regulations 2023 の Schedule 4
製品を特定するための情報です。モデル名や製品カテゴリーだけでなく、特定の製造ロットを識別できるバッチ番号などの詳細な識別子を含める必要があります。
- Name and address of each manufacturer of the product and, where applicable, each authorised representative:
当該製品の各製造業者の名称および住所、また該当する場合は、各認可代理人の名称および住所:
製品の責任主体を明確にするための項目です。製造業者が英国外に所在し、英国内の認可代理人(Authorised Representative)を立てている場合は、その情報も併記しなければなりません。 - A declaration that the statement of compliance is prepared by or on behalf of the manufacturer of the product:
当該コンプライアンス声明書が、当該製品の製造業者によって、または製造業者に代わって作成されたものである旨の宣言:
この文書が正当な権限を持つ者によって作成されたものであることを明示する一文です。 - A declaration that the product complies with the applicable security requirements in Schedule 1:
当該製品が付録1(Schedule 1)に定める適用可能なセキュリティ要件に準拠している旨の宣言:
PSTI規則の核心である「パスワードの初期設定禁止」「脆弱性報告ポリシーの公表」「セキュリティアップデート提供期間の明示」といった付録1の要件を満たしていることを宣言します。 - The defined support period for the product that was correct when the manufacturer first supplied the product:
製造業者が当該製品を最初に供給した時点で正確であった、当該製品の定義されたサポート期間:
「定義されたサポート期間(Defined Support Period)」とは、製造業者がセキュリティアップデートを提供することを約束する期間です。この日付は、消費者が購入の意思決定を行う際の重要な判断材料となります。 - The signature, name and function of the signatory:
署名者の署名、氏名および役職:
法的な責任を負う人物による署名が必要です。通常、企業の品質保証責任者やコンプライアンス担当役員などがこれに当たります。 - The place and date of issue of the statement of compliance:
当該コンプライアンス声明書の発行場所および発行日:
文書がいつ、どこで作成されたかを記録する情報です。
2.3.3 日本の製造業者が英国で提供するために
PTSI法の9条(2)は、製造者は、以下のいずれかを添付しない限り、当該製品を英国において提供してはならない。としているので、
覚書の
日本の適合性評価手続に基づいて適合することによりラベルが付与され、かつ有効なラベルを保持するIoT製品は、英国の要求事項に適合するものとして扱われるものとする。
というのが意味をもってくるということにとなります。
3 影響/まとめについて
このような覚書がどのような影響があるのか、というのをまとめると、以下のようになるとのことです。
3.1 実務上の影響点と文献上の根拠
- コスト低減(重複評価の削減)
- OECDは、相互承認(Mutual Recognition)を国際規制協力(IRC)の主要メカニズムの一つとして位置付け、制度運用上の強みとして「重複の削減」や「貿易コスト・事業者負担の低減」につながり得る点を整理しています。
参考文献:
Anabela Correia de Brito, Céline Kauffmann, Jacques Pelkmans,The Contribution of Mutual Recognition to International Regulatory Co-operation,
OECD (2016).
OECD公式ページ - 予見性向上(年次協議・定期的な協議枠組み)
- 国境を越えた規制協力は、各国の解釈・運用差による分断を抑え、制度の透明性や予見可能性(predictability)を高める方向に働く、という整理がなされています。定期協議は、そのための実装手段(情報共有・調整)として位置付けられます。
参考文献:
Usman Ahmed,
“The Importance of Cross-Border Regulatory Cooperation in an Era of Digital Trade,”
World Trade Review 18(S1), S99–S120 (2019).
Cambridge University Press(論文ページ) - 標準化・共有(ベストプラクティス共有の促進)
- デジタル分野の協定・枠組みに関する政策研究では、各国間でのベストプラクティス共有や制度調整が、標準・ルールの整合(alignment)や運用の共通化を促す、という文脈で議論されています(※デジタル協定一般の整理として)。
参考文献:
Digital Economy Agreements in Asia and the Pacific(PDF).SPREP Library(PDF) - 英語・文書化対応(国際運用に耐える文書整備)
- 相互承認の枠組み(国際アコード等)では、各国・各機関が参照可能な共通言語(通常は英語)での情報提供や文書の整備が、実務上の前提になりやすい。Sydney Accordのような国際枠組みは、相互承認の運用にあたり共通の基準・情報共有を前提としています。
参考文献:
International Engineering Alliance,“Sydney Accord (Overview),” (公式ページ).
IEA公式(Sydney Accord) - 制度変更の察知(透明性・情報共有によるリスク低減)
- OECDは国際規制協力(IRC)を、不要な規制の分断・重複を減らし、各国の制度運用の整合や執行の一貫性を高める枠組みとして整理しています。
その中で、協力・情報共有は制度変更への対応力(早期把握・調整)を高め、事業者側の不確実性を下げる方向に働き得る。参考文献:
OECD,
International Regulatory Co-operation: Addressing Global Challenges,OECD (2013).
OECD公式ページ -
3.2 未来志向・まとめ・チェックリスト
上の資料をもとに、ポイントをまとめるとNotebookLMでは、以下のようなまとめを作ってくれました。スライドのセンスでは、負けているのは、仕方がないとしても、TakeawyとChecklistを最後にもってくるのは、いプレゼンの必須ですね。見習いたい構成です
