医療機器よりも難題!? Non-SaMDに影響が及ぶ米国のIoTセキュリティ政策:海外医療技術トレンド(106)(2/3 ページ)
米国では、本連載第98回で取り上げた消費者IoT製品向け認証/ラベリングプログラム「U.S.サイバートラストマーク」の導入準備など、非医療機器/Non-SaMD(Software as a Medical Device)を取り巻く動きが加速している。
米国FCCがU.S.サイバートラストマークを正式に採択
NISTの消費者グレードルーター向けセキュリティ対策と並行して、米国連邦通信委員会(FCC)は、前述の米国大統領行政府の発表を受け、消費者IoT製品に関わるサイバーセキュリティラベリングプログラムの導入準備作業を行っている。FCCは、2024年3月15日、無線消費者IoT製品向けの自主的なサイバーセキュリティラベリングプログラムである「USサイバートラストマーク」を採択したことを発表した(関連情報)。
FCCで採択された報告および命令ならびに追加の規則制定提案告示(関連情報、PDF)は、以下のような構成になっている。
- I.イントロダクション
- II.背景
- A.Internet of Things(IoT)の動向
- B.官民におけるIoTセキュリティの取り組み
- III.報告および命令
- A.自主的IoTラベリングプログラム
- B.適用対象デバイス/製品
- C.IoTラベリングプログラムの監督と管理
- 1.密接な官民連携の促進
- 2.サイバーセキュリティラベル・アドミニストレータ(CLA)
- 3.リードアドミニストレータおよびCLAの責任
- 4.FCC IoTラベルの利用申請を許可するCLAおよび失効機関の選定
- D.CyberLAB、CLA運営ラボ、内製化したテストラボ
- E.FCC IoTラベルを利用する権限を取得するための二段階プロセス
- 1.認定・承認されたラボによる製品テスト
- 2.申請書のCLAへの提出
- F.消費者IoT製品サイバーセキュリティの基準と標準規格
- G.FCC IoTラベル(サイバートラストマークとQRコード)
- H.登録
- I.FCC IoTラベルの利用を認定された主体の継続的責務
- J.監査、市販後調査、法執行措置
- K.サイバートラストマークの国際相互承認
- L.消費者教育
- M.費用/便益分析
- IV.法的権限
- V.追加の規則制定提案告示
- VI.手続上の問題
- VII.条文の指定
- 附表A - 最終規則
- 附表B - 最終規制柔軟性分析
- 附表C - 初期規制柔軟性分析
この中でFCCは、IoT機器について、「デジタルの世界と相互作用するために、少なくとも1つのネットワークインタフェース(例:Wi-FiやBluetooth)を装備し、無線で物理的世界と直接相互作用できるようなインターネット接続型機器」と定義している。また、IoT製品について、「基本的な操作機能を超えたIoT機器の利用に必要となる機能および追加的な製品コンポーネント(例:バックエンド、ゲートウェイ、モバイルアプリケーション)であり、このスコープ外にあるコンポーネントへのデータ通信リンクを含むが、製造業者のコントロール外にある外部コンポーネントおよび外部サードパーティー製コンポーネントを除く」と定義している。そして、消費者IoT製品について、「企業または産業利用よりも、消費者利用を最初に意図したIoT製品であり、米国食品医薬品局(FDA)が規制する医療機器や、米国運輸省道路交通安全局(NHTSA)が規制する自動車および自動車部品を除く」と定義している。
本連載第8回や第77回、第98回で、ヘルスケアデータを扱う消費者向け非医療機器/Non-SaMDについて取り上げた。FDAが所管しないこれらの製品は、FCCが定義する消費者IoT製品に該当し、U.S.サイバートラストマークの適用対象になる。
SBOMや国家安全保障にも関連するUSサイバートラストマーク
FCCは、採択したUSサイバートラストマークプログラムの特徴として、以下のような点を挙げている。
- U.S.サイバートラストマークのロゴは、プログラムのサイバーセキュリティ基準を満たす無線消費者IoT製品上で最初に現れる
- そのロゴは、製品のサポート期間、ソフトウェアのパッチやセキュリティアップデートが自動化されているかなど、製品セキュリティに関する分かりやすい説明のために、消費者がスキャンできるよう、2次元コードを伴う
- 自発的プログラムは、FCCが行う監視と、製品申請の評価、ラベル利用の認可、消費者教育など、サードパーティーのラベルアドミニストレータによる管理活動による官民連携に委ねる
- コンプライアンステストは、認定ラボにより処理される
- 適用対象製品の例としては、ホームセキュリティカメラ、音声起動型ショッピングデバイス、インターネット接続型アプライアンス、フィットネストラッカー、ガレージドアオープナー、ベビーモニターなどがある
前述の規則制定提案告示の「H.登録」に関連してFCCは、製造業者に対し、共通APIを介して、表1のような情報を登録/開示するよう求めている。
表1 U.S.サイバートラストマークで製造業者が登録・表示すべき情報[クリックで拡大] 出所:U.S. Federal Communications Commission (FCC)「REPORT AND ORDER AND FURTHER NOTICE OF PROPOSED RULEMAKING」を基にヘルスケアクラウド研究会作成
ここで注意すべきは、「(10)製造業者がハードウェア部品表(HBOM)および/またはソフトウェア部品表(SBOM)を維持しているかに関する開示」である。本連載第82回で触れたように、FDAが所管する医療機器サイバーセキュリティガイダンスでは、SBOMの役割が明記されているが、非医療機器/Non-SaMDの製造業者がU.S.サイバートラストマークを取得/維持する場合、製造業者による宣言またはFCCやCyberLAB、CLAの要求により、HBOM/SBOMの利用が可能になる。なお、SBOMの具体的な基準については、本連載第89回で触れた通り、商務省傘下の国家電気通信情報庁(NTIA)が2021年7月12日に公表した「ソフトウェア部品表(SBOM)向けの最小要素」(関連情報)を参照している。HBOMについては、国土安全保障省傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、2023年9月25日に「サプライチェーンリスクマネジメント向けハードウェア部品表(HBOM)フレームワーク」(関連情報)を公表している。
さらに、日本を含む米国外の企業が非医療機器/SaMD製品に関わる場合、国家安全保障上の配慮が不可欠となる。米国大統領行政府は、2022年9月15日に発出された「対米外国投資委員会による国家安全保障リスクの進展に対する堅牢性の考慮の確保に関する大統領令」(関連情報)の中で、重点領域としてマイクロエレクトロニクス、AI(人工知能)、バイオ技術/バイオ製造などを挙げ、特に米国市民の機微な個人データに対するリスクについて言及している。
前述の規則制定提案告示の公表と合わせてFCCは、製品向けのソフトウェア/ファームウェアが、国家安全保障上の懸念を表す国/地域(例:香港特別行政区を含む中華人民共和国、キューバ共和国、イラン・イスラム共和国、朝鮮民主主義人民共和国、ロシア連邦、ベネズエラのニコラス・マドゥロ政権)にある企業により開発/実装されているか、製品により収集される消費者データがこのような国にあるサーバに送信されるかなど、追加の可能性がある開示要求事項に関するパブリックコメント募集を予定している(募集期間:コメント - 2024年4月24日まで、返答コメント - 2024年5月24日まで)。
Copyright © ITmedia, Inc. All Rights Reserved.