米国の消費者IoTセキュリティラベル表示制度とESG戦略：海外医療技術トレンド（89）（2/3 ページ）

本連載第54回で、2020年1月に施行されたカリフォルニア消費者プライバシー法（CCPA）およびIoT機器セキュリティ法が非医療機器に及ぼす影響について取り上げたが、2023年に向けて消費者IoTセキュリティの新制度を巡る動きが加速している。

[笹原英司，MONOist]

消費者向けIoTソフトウェアのセキュリティを支えるSSDFやSBOM

　他方、「消費者向けソフトウェアのサイバーセキュリティラベル表示に関する推奨基準」は以下のような構成になっている。

• 1．イントロダクション
1. 1.1 背景
2. 1.2 文書のスコープと目標
3. 1.3 ラベル表示スキームとスキームオーナー
4. 1.4 文書の構造
• 2．消費者ソフトウェアラベル表示向けベースライン技術基準
1. 2.1 手法
2. 2.2 推奨される基準
• 3．ラベル表示基準
1. 3.1 バイナリラベル表示
2. 3.2 階層化アプローチ
• 4．適合性評価基準
• 参考文献
• 附表A - ラベル表示基準の追加コンテキスト
• 附表B - 省略されたSSDFの例

　このうち「2．消費者ソフトウェアラベル表示向けベースライン技術基準」の「2.1 手法」では、NISTが大統領令第14028号を受けて改定、公表した「SP 800-218 セキュアソフトウェア開発フレームワーク第1.1版」（2022年2月3日、関連情報）を参照している。

　NISTセキュアソフトウェア開発フレームワーク（SSDF）は、本連載第82回で取り上げたFDAの「医療機器におけるサイバーセキュリティ：品質システムの考慮事項と市販前申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」（関連情報）でも参照されている。さらに、SSDF第1.1版をみると、商務省傘下の国家電気通信情報庁（NTIA）が大統領令第14028号を受けて、2021年7月12日に公表した「ソフトウェア部品表（SBOM）向けの最小要素」（関連情報）が参照されている。非医療機器に該当する消費者ソフトウェアでも、SSDFやSBOMが、共通開発フレームワーク／コンポーネントとして組み込まれている。

　次に「2.2 推奨される基準」では、消費者ソフトウェアセキュリティのラベルを表示するために、スキームオーナーが、主張者に対し、最小限全ての基準を処理するよう求めるべきだと推奨している。具体的な属性として、主張（Claim：主張の短いタイトル）、記述（Description：主張が取り込むべき情報は何かについての声明）、期待される成果（Desired Outcome：ラベル表示のユーザーに便益をもたらす方法に注目して、ラベル表示に主張を含めるための成果およびまたは論拠）、要点（Assertions：主張を伝えられた主張者による事実の声明）を挙げている。

　さらに「4．適合性評価基準」では、推奨される基準に対する適合性を訴求するために、消費者ソフトウェアスキームで活用することができる適合性評価活動として、以下のような例を挙げている。

• ソフトウェアを提供する組織が実行する適合性宣言があるところでの、サプライヤーの適合性宣言（自己評価）
• 明確な基準に基づいた消費者ソフトウェアの決定または検証が行われるところでの、第三者の検証または調査
• 消費者ソフトウェアの第三者認証