　ところで、本連載第89回で、米国の消費者IoT（モノのインターネット）セキュリティ新制度動向を取り上げたが、これに関連して米国大統領行政府は2023年7月18日、「バイデン・ハリス政権が米国の消費者を保護するためにスマートデバイス向けサイバーセキュリティラベリングプログラムを発表」と題するプレスリリースを発表した（関連情報）。当日の発表会には、Amazon、ベスト・バイ、カーネギーメロン大学、CyLab、シスコシステムズ、コネクティビティ・スタンダード・アライアンス（CSA）、コンシューマーレポート、全米民生技術協会、Google、インフィニオン・テクノロジーズ、米国情報技術工業協議会、IoXT、キーサイト・テクノロジー、LGエレクトロニクスU.S.A.、ロジテック、OpenPolicy、クォルボ、クアルコム、サムスン電子、ULソリューションズ、イェール＆オーガストU.S.が参加している。

　新たな消費者IoT機器／ソフトウェア向け認証・ラベリングプログラムとなる「U.S.サイバートラストマーク」は、無線通信デバイスを所管する連邦通信委員会（FCC）が提案したものであり、消費者が家庭に持ち込むために選択する製品の相対的セキュリティに関して、十分な情報に基づいた意思決定を行うツールを提供することを目的として、2024年からの導入を明言している。第89回で触れた国立標準技術研究所（NIST）の標準規格に準拠した自主的ラベリングプログラムであり、認証を取得した機器／ソフトウェアは、図1に示すような認証マークを表示する仕組みになっている。

図1　U.S.サイバートラストマークの認証マーク［クリックで拡大］出所：U.S. Federal Communications Commission (FCC)「Certification Mark - U.S. Cybersecurity Labeling Program for Smart Devices」（2023年7月24日更新）

　具体的な対象製品としては、スマート冷蔵庫、スマート電子レンジ、スマートテレビ、スマート気候制御システム、スマートフィットネストラッカーなどを挙げている。前述の発表会参加企業のうち、Amazon、ベスト・バイ、Google、LGエレクトロニクスU.S.A.、ロジテック、サムスン電子が、本プログラムに対する支援／コミットメントを表明している。メガプラットフォーム事業者や外国メーカーが初期段階から名を連ねている点が注目される。

　そして、FCCをはじめとする各連邦政府機関は、プログラムの透明性と競争力を強化するために、以下のような施策を実行するとしている。

FCCは、スマート製品に関する特別で比較可能なセキュリティ情報を消費者に提供するために、認証を受けた機器の国内登録へのQRコードのリンクを利用する。他の規制機関および米国司法省と協力しながら、FCCは、プログラムにおける信頼や信用を維持するために、監視・法執行の保護対策を設定する計画である
NISTは、消費者グレードのルーターのサイバーセキュリティ要求事項を明確化する取り組みを直ちに引き受ける。例えば、高リスクのタイプの製品が危険にさらされたら、盗聴やパスワードの盗み出し、他の機器や価値の高いネットワークに対する攻撃のために利用される可能性がある。NISTはこの作業を2023年末までに完了し、FCCが、ラベリングプログラムを拡張して、消費者グレードのルーターをカバーするために、これらの要求事項の活用を検討できるようにする
米国エネルギー省は、将来のクリーンなスマートグリッドの不可欠なコンポーネントであるスマートメーターおよび電力変換器向けのサイバーセキュリティラベリング要求事項を研究／開発するために、国立研究所および産業パートナーとの協働イニシアチブを発表した
米国務省は、国際的な標準規格の調和および同様のラベリングへの取り組みの相互理解の追求に向けて、FCCが同盟国やパートナーと従事するよう支援する

　その後FCCは2023年8月10日、IoT向けサイバーセキュリティラベリングに関する規則制定案告示（NPRM）を公表した（関連情報）。このNPRMは、以下のような構成になっている。

I．イントロダクション
II．背景

A．Internet of Things（IoT）の動向
B．公共および民間のIoTセキュリティへの取り組み

III．考察

A．自主的なサイバーセキュリティラベリングプログラムの創設
B．適格な機器または製品
C．IoTサイバーセキュリティラベリングプログラム案の監視と管理
D．IoTサイバーセキュリティ基準と標準規格の開発
E．IoTラベリングプログラムの運営
F．法的権限
G．デジタルエクイティの推進

IV．手続上の問題
V．命令の条項
附表A－IoT製品の基準
附表B－初期規制柔軟性分析

　日本では経済産業省の産業サイバーセキュリティ研究会において、「ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」が、IoT製品のセキュリティ適合性評価スキームの検討を行っている（関連情報）。今後、U.S.サイバートラストマークとのハーモナイゼーションをどのように進めていくのかが注目される。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
米国で約1億人が利用する最大規模の医療施設チェーンで進むゼロトラストの実装
米国最大規模の医療施設チェーンである米軍医療システム（MHS）では、DevSecOpsやゼロトラスト環境といったクラウドネイティブセキュリティの実装が急ピッチで進んでいる。
米国の事例に見る、マルチデバイス化する「非医療機器」のリスク管理
近年、健康増進用途の消費者向けウェアラブル端末やモバイルソフトウェアなど、医薬品医療機器等法（薬機法）の適用対象外となる「非医療機器」のマルチデバイス化が進んでいる。それに伴ってどのようなリスクが出てくるのか。米国の動向をみてみよう。
大統領令で加速する米国のバイオエコノミーR&Dとデータ保護
米国では、本連載第44回で取り上げたAI、第80回で取り上げたサイバーセキュリティなどのように、大統領令を起点として、省庁横断的なトップダウン型で、一気に科学技術支援策を推進しようとするケースが多々見られる。今注目を集めているのはバイオエコノミーだ。
米国の消費者IoTセキュリティラベル表示制度とESG戦略
本連載第54回で、2020年1月に施行されたカリフォルニア消費者プライバシー法（CCPA）およびIoT機器セキュリティ法が非医療機器に及ぼす影響について取り上げたが、2023年に向けて消費者IoTセキュリティの新制度を巡る動きが加速している。
米国のヘルスデータ研究を支えるAPI／相互運用性の標準化
本連載第61回で、COVID-19対応を契機とするクラウドネイティブなAPI連携の導入について取り上げたが、米国の研究開発領域ではAPIやデータの相互運用性標準化に向けた動きが本格化している。