検索
連載

米国でヘルスケアデータを扱う非医療機器の規制がさらに強化される理由海外医療技術トレンド(98)(3/3 ページ)

本連載第8回で取り上げた米国の「非医療機器(Non-SaMD)」を取り巻くプライバシーやサイバーセキュリティの規制が大きく変わりつつある。

Share
Tweet
LINE
Hatena
前のページへ |       

米国政府機関がU.S.サイバートラストマーク導入に向けて始動

 ところで、本連載第89回で、米国の消費者IoT(モノのインターネット)セキュリティ新制度動向を取り上げたが、これに関連して米国大統領行政府は2023年7月18日、「バイデン・ハリス政権が米国の消費者を保護するためにスマートデバイス向けサイバーセキュリティラベリングプログラムを発表」と題するプレスリリースを発表した(関連情報)。当日の発表会には、Amazon、ベスト・バイ、カーネギーメロン大学、CyLab、シスコシステムズ、コネクティビティ・スタンダード・アライアンス(CSA)、コンシューマーレポート、全米民生技術協会、Google、インフィニオン・テクノロジーズ、米国情報技術工業協議会、IoXT、キーサイト・テクノロジー、LGエレクトロニクスU.S.A.、ロジテック、OpenPolicy、クォルボ、クアルコム、サムスン電子、ULソリューションズ、 イェール&オーガストU.S.が参加している。

 新たな消費者IoT機器/ソフトウェア向け認証・ラベリングプログラムとなる「U.S.サイバートラストマーク」は、無線通信デバイスを所管する連邦通信委員会(FCC)が提案したものであり、消費者が家庭に持ち込むために選択する製品の相対的セキュリティに関して、十分な情報に基づいた意思決定を行うツールを提供することを目的として、2024年からの導入を明言している。第89回で触れた国立標準技術研究所(NIST)の標準規格に準拠した自主的ラベリングプログラムであり、認証を取得した機器/ソフトウェアは、図1に示すような認証マークを表示する仕組みになっている。

図1
図1 U.S.サイバートラストマークの認証マーク[クリックで拡大] 出所:U.S. Federal Communications Commission (FCC)「Certification Mark - U.S. Cybersecurity Labeling Program for Smart Devices」(2023年7月24日更新)

 具体的な対象製品としては、スマート冷蔵庫、スマート電子レンジ、スマートテレビ、スマート気候制御システム、スマートフィットネストラッカーなどを挙げている。前述の発表会参加企業のうち、Amazon、ベスト・バイ、Google、LGエレクトロニクスU.S.A.、ロジテック、サムスン電子が、本プログラムに対する支援/コミットメントを表明している。メガプラットフォーム事業者や外国メーカーが初期段階から名を連ねている点が注目される。

 そして、FCCをはじめとする各連邦政府機関は、プログラムの透明性と競争力を強化するために、以下のような施策を実行するとしている。

  • FCCは、スマート製品に関する特別で比較可能なセキュリティ情報を消費者に提供するために、認証を受けた機器の国内登録へのQRコードのリンクを利用する。他の規制機関および米国司法省と協力しながら、FCCは、プログラムにおける信頼や信用を維持するために、監視・法執行の保護対策を設定する計画である
  • NISTは、消費者グレードのルーターのサイバーセキュリティ要求事項を明確化する取り組みを直ちに引き受ける。例えば、高リスクのタイプの製品が危険にさらされたら、盗聴やパスワードの盗み出し、他の機器や価値の高いネットワークに対する攻撃のために利用される可能性がある。NISTはこの作業を2023年末までに完了し、FCCが、ラベリングプログラムを拡張して、消費者グレードのルーターをカバーするために、これらの要求事項の活用を検討できるようにする
  • 米国エネルギー省は、将来のクリーンなスマートグリッドの不可欠なコンポーネントであるスマートメーターおよび電力変換器向けのサイバーセキュリティラベリング要求事項を研究/開発するために、国立研究所および産業パートナーとの協働イニシアチブを発表した
  • 米国務省は、国際的な標準規格の調和および同様のラベリングへの取り組みの相互理解の追求に向けて、FCCが同盟国やパートナーと従事するよう支援する

 その後FCCは2023年8月10日、IoT向けサイバーセキュリティラベリングに関する規則制定案告示(NPRM)を公表した(関連情報)。このNPRMは、以下のような構成になっている。

  • I.イントロダクション
  • II.背景
    1. A.Internet of Things(IoT)の動向
    2. B.公共および民間のIoTセキュリティへの取り組み
  • III.考察
    1. A.自主的なサイバーセキュリティラベリングプログラムの創設
    2. B.適格な機器または製品
    3. C.IoTサイバーセキュリティラベリングプログラム案の監視と管理
    4. D.IoTサイバーセキュリティ基準と標準規格の開発
    5. E.IoTラベリングプログラムの運営
    6. F.法的権限
    7. G.デジタルエクイティの推進
  • IV.手続上の問題
  • V.命令の条項
  • 附表A−IoT製品の基準
  • 附表B−初期規制柔軟性分析

 日本では経済産業省の産業サイバーセキュリティ研究会において、「ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」が、IoT製品のセキュリティ適合性評価スキームの検討を行っている(関連情報)。今後、U.S.サイバートラストマークとのハーモナイゼーションをどのように進めていくのかが注目される。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る