　NISTは、上記2つの文書に対するパブリックコメントを募集し、2022年5月10日には、レビュー結果および各界からのコメントを整理した「消費者向けサイバーセキュリティラベル表示に関する国家安全保障問題担当大統領補佐官（APNSA）宛の報告書：IoT機器とソフトウェア」（関連情報、PDF）を公表している。

　図2は、最終版の消費者IoT製品向けサイバーセキュリティ基準である。

図2　消費者IoT製品向けサイバーセキュリティ基準・最終版［クリックで拡大］出所：National Institute of Standards and Technology (NIST)「Report for the Assistant to the President for National Security Affairs (APNSA) on Cybersecurity Labeling for Consumers: Internet of Things (IoT) Devices and Software」（2022年5月10日）

　「技術的製品基準」として、「資産の特定」「製品の構成」「データの保護」「インタフェースのアクセス制御」「ソフトウェアの更新」「サイバーセキュリティ状態の認識」を設定し、非技術的製品基準として「文書化」「情報と問合せの受け取り」「情報の普及」「教育と認識」を設定している。

　他方、図3は、最終版の消費者ソフトウェア向けサイバーセキュリティ基準である。

図3　消費者IoTソフトウェア向けサイバーセキュリティ基準・最終版［クリックで拡大］［クリックで拡大］出所：National Institute of Standards and Technology (NIST)「Report for the Assistant to the President for National Security Affairs (APNSA) on Cybersecurity Labeling for Consumers: Internet of Things (IoT) Devices and Software」（2022年5月10日）

　「説明的主張」として、「主張者」「ラベル表示のスコープ」「ラベル表示とソフトウェアのリンク」「主張の日付」「セキュリティの更新状態」「セキュリティ更新サポートの最小間隔」「セキュリティ更新手法」を設定し、「セキュアなソフトウェア開発の主張」として、「セキュアな開発プロセスの展開」「セキュアな設計と脆弱性の救済策の実践」「ソフトウェアの完全性と来歴の提供」「多要素認証の利用」「ハードコード化された秘密からの解放」「強力な暗号化の利用」「ユーザーデータの識別とセキュア化」を設定している。

　最後に結論として、消費者サイバーセキュリティラベル表示プログラム向け戦略を展開するに際して、以下のような考慮事項を組み込む必要があるとしている。

一貫したラベル表示のデザインが、消費者の混乱を低減し、ラベル表示の認識を構築し、消費者のラベル表示付き製品に対する需要を拡大させる
サイバーセキュリティレベルについて公衆を教育する取り組みの規模を過小評価してはならず、大規模な資源の投資が必要となる
サイバーセキュリティラベル表示の取り組みについての消費者の認識と教育は、消費者がサイバーセキュリティ課題に取り組むよう備えるような幅広いイニシアチブの一部となる必要がある
幅広い製品の機能や構成を取り込むための柔軟性を提供すべきである
複数のスキームオーナーが必要となる可能性がある
スキームオーナーおよびその他の主要なステークホルダー間を調整する第三者機関の関与が必要である
エコシステムを通して主要なステークホルダーの責任が、サイバーセキュリティレベルの自主的な採用を妨げる可能性がある
ラベル表示を支える成果ベースのサイバーセキュリティ基準は、常に維持、更新される必要がある
産業界が実行でき、スキームオーナーがラベル表示される製品の一貫した評価に従事できるような標準規格の堅牢なマーケットプレースへのニーズがある（産業界や連邦政府機関が国際標準規格の取り組みに参加し、国際調和を推進することが必要）
ラベル表示／認証スキームに対する国際的／複数経済間での関心が高まっていることを考慮すると、製造業者の負担を低減するために、国民経済の間でスキームの相互認識に対する強力な支援があった

企業のESG戦略を担う消費者IoTセキュリティラベル表示制度へ

　その後2022年10月19日、米国家安全保障会議（NSC）は、民間セクターや学術機関、連邦政府機関のリーダーを招集し、IoT機器向けサイバーセキュリティラベル表示プログラムに関する会議を実施した。そこでは、米国市民が利用するIoT機器やソフトウェアのサイバーセキュリティ基準の順守状況を簡単に認識できる、サイバーセキュリティ版「エネルギースター（Energy Star）」のような表示プログラムの導入について、議論が行われた。同会議には、NSC、国家サイバー長官室、科学技術政策局、国家経済会議、商務省、エネルギー省、国家安全保障省、国務省、連邦通信委員会、連邦取引委員会、消費者製品安全委員会、欧州委員会、アトランティック・カウンシル、カーネギーメロン大学、Rストリートインスティテュートの他、アマゾン、米国国家規格協会（ANSI）、AT&T、シスコシステムズ、コムキャスト、コンシューマーレポート、全米家電協会（CTA）、コネクティビティスタンダードアライアンス（CSA）、CTIA、グーグル、インテル、ioXt、LG、全米小売業協会（NRF）、サムスン、ソニー、ULソリューションズが参加している。

　翌10月20日、NSCは、ホワイトハウスが2023年春の導入に向けて、家庭用IoT（Internet of Things）機器製品を対象とするサイバーセキュリティラベル表示プログラムを導入の構築作業を継続する方針であることを表明した（関連情報）。

　ホワイトハウスが参考にしているエネルギースターは、米国エネルギー省と環境保護庁（EPA）が1992年に開始した省エネルギー型電気製品向けの環境ラベル表示プログラムである（関連情報）。各連邦政府機関が、エネルギースターを環境調達基準として採用している他（関連情報）、医療分野では、カリフォルニア州のカイザーパーマネンテ（関連情報、PDF）など、ESG（環境、社会、ガバナンス）戦略を推進する医療提供組織も広く採用している。日本国内でも、日米両政府合意のもと、1995年10月より「国際エネルギースタープログラム」（関連情報）として普及している。

　米国では、証券取引委員会（SEC）が株式公開企業のセキュリティインシデントに関する情報開示をルール化しており（関連情報）、セキュリティ／プライバシーへの取り組みもESG戦略の一環と捉えられている。エネルギースターと同様に、消費者IoTセキュリティラベル表示制度も自主的なプログラムであるが、最終消費者との接点におけるESGコミュニケーションツールとしての役割を担うとなれば、企業の捉え方も変わってくるだろう。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
APIエコノミーが主導する米国の医療データ連携とAI
本連載ではこれまでにも何度か米国の医療データ相互運用性標準化動向を紹介してきた。これに関連して、新たな経済インセンティブの仕組みづくりが加速している。
AI実装に踏み込む米国FDAの医療機器ガイドライン策定計画
本連載第78回、第79回と、欧州の医療機器に関わる規制動向を取り上げた。一方、米国のFDAはAIをはじめとする新技術利用に重点を置いた規制改革を推進している。
米国規制当局のDXが医療イノベーションに及ぼす影響
本連載第23回で米国保健医療行政のIT戦略を取り上げたが、その後、デジタルトランスフォーメーション（DX）の取り組みが加速している。
EUで加速する保健データ越境利用の共通ルールづくり
本連載70回で、欧州のデータ駆動型次世代健康戦略を取り上げたが、新型コロナウイルス感染症（COVID-19）に関わる制限が緩和される中、社会実装に向けた制度的仕組みづくりが本格化している。
米国のデジタル駆動型バイオエコノミーとサイバーセキュリティ
本連載第52回で、気候変動や環境問題の観点から欧州のバイオエコノミー戦略を取り上げたが、米国ではDXやサイバーセキュリティの観点からも注目されている。