JC-STARの現況と今後の展望－他国制度を見据えた企業に求められるアクション－

2. JC-STARの利活用状況

JC-STARは運用が開始されてからおよそ半年経過しており、いわゆる「立ち上がり期」のさなかにあるといえます。このような中で、政府統一基準（「政府機関などのサイバーセキュリティ対策のための統一基準群」）や各種ガイドラインへの反映など、主にトップダウンによる情報展開がなされている他、各種イベントなどでJC-STARをテーマとした議論が行われるなど、周知活動が活発化しています。

政府統一基準では、2025年9月に一部改定された「政府機関等の対策基準策定のためのガイドライン（令和7年度版）」にて、基本対策事項4.3.1(1)-2として、IoT機器などの選定基準にJC-STAR★1の取得相当を含めることが示されました。これは、JC-STAR開始前であった昨年度の本ガイドライン改定時点では解説欄への記載にとどまっていたものが、制度開始に合わせてより具体的に政府方針として示されたこととなり、今後、政府調達における活用が浸透していくものと考えられます。また、政府統一基準は地方公共団体や民間企業でも参考にされているため、政府以外の調達での活用の普及も期待されます。

実際の取得状況に関して述べると、2025年10月22日時点で41社89申請（ひとつの申請に複数型番の製品が含まれているものもある）がラベルを取得しています。これらの製品については、各社の製品紹介ページなどでもラベル取得報告やラベルが掲載されるなど、JC-STARへの適合を可視化する動きも並行して進んでいます。今後は、ECサイトや店舗に並ぶ製品の外箱などでも確認できるようになるなど、同制度の啓蒙活動の浸透とともにユーザーがよりセキュアな製品を選択できるような状況になることが期待されます。

図表2：製品類型別の取得件数
（2025年10月22日時点のIPA公開情報³を基にPwCが作成）

図表2で示す通り、JC-STAR★1ラベルを取得している製品類型としては、「エネルギー関連機器」「通信機器」に次いで、「防犯関連機器」の件数が多くなっています。「エネルギー関連機器」や「発電所施設などの遠隔監視および制御」については、2025年5月に「エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン（ERABガイドライン）」が改定され、JC-STAR★1取得製品を選択する旨が追加されたことに伴う動向だと言えます。「通信機器」および「防犯関連機器」の件数が多い理由は、昨年度（2024年度）より該当製品類型について政府調達を見越した★3の検討が進められていることで、関連企業が早期に対応に動いた結果と考えられます。

JC-STAR以外の適合基準としては、OA機器については別の国内制度である、一般社団法人 ビジネス機会・情報システム産業協会（JBMIA）で運営しているBMSec（事務機セキュリティプログラム）がありますが、JC-STARとの制度統合が発表⁴されています。この制度移行期間は2026年3月末までとなっており、この期間中においては引き続きBMSec適合が可能となっていることから、少なくとも2026年4月以降はさらにJC-STAR取得製品数が増加することが予想されます。

3. 国際連携状況

JC-STARは設計当初より、国際的な枠組みとの整合を重視しており、欧州で広く使用されているETSI EN 303 645を中心に、米国・NISTのNISTIR 8425（U.S. Cyber Trust Markの基盤となっている）、シンガポールCLS（ETSI準拠の4段階ラベル）と、評価の基準や内容ができるだけ揃うよう意識しています。また、多くの企業が目下対応に注力している、欧州CRAで求められる脆弱性対応・更新・情報提供などとの整合も視野に検討が進んでいます。

現在の連携状況としては、2025年11月6日に、日英間で「JC-STARと英国PSTI法の相互承認に関する協力覚書」へ署名した旨が発表されました⁵。発表によると、今後は英国内における法改正に必要な手続きが完了次第、2026年1月1日以降、JC-STAR★1適合ラベルを取得した製品は、英国PSTIが要求する以下3点全ての適合基準⁶に適っているとみなされるとのことです。

1. Passwords
2. Information on how to report security issues
3. Information on minimum security update periods

このように、各国との連携に向けた交渉が現在も進んでおり、英国だけでなく前述の米国やシンガポールのようなラベリング制度を運用している各国との連携が、来年以降に順次行われていくことが予想されます。

標準規格に関する動向としては、制度設計に関して2025年10月に「ISO/IEC 27404:2025 Cybersecurity — IoT security and privacy — Cybersecurity labelling framework for consumer IoT⁷」が発行されています。本規格では、ラベリング制度を設計するうえでの要求事項と指針を定義しています。

• 消費者向けIoT製品に関連するリスクと脅威
• ステークホルダーの役割と責任
• 関連する標準および指針文書
• 適合性評価
• ラベルの発行及および維持管理
• 相互承認

4. 今後の動向予測

JC-STARでは、★2以上は製品類型毎に基準が整備される、★3以上はさらに第三者評価が求められるというレベル別の制度設計となっていることから、今後さまざまな製品類型への拡充が行われる見込みです。

具体的には、政府調達を視野に入れた情報通信機器および防犯関連機器（ネットワークカメラ）の★3基準の公開・運用に向けた検討が現在進められており、並行して同製品類型（★2）やスマートホーム関連機器 （★2）なども検討対象となっています。これ以外に、金融・流通関連端末における★2・★3基準を検討するワーキンググループ（WG）であるCCDS⁸が立ち上がっている他、ビルSWG（産業サイバーセキュリティ研究会WG1）は、2025年4月に発足したスマートビルディング共創機構⁹のセキュリティWGと合流し、その中で★2以上の基準におけるセキュリティ要件が検討される見通しとなっています。

今後は、制度をより広く活用してもらうために、調達側のニーズや業界としてセキュリティレベルを担保する目的でさまざまな製品類型に波及してくことが予想されます。政府検討の優先度としては、前述のいるようなすでに業界として活動が進んでいる流通・金融関連端末からまず進んでいくと考えられますが、その他の例としては、重要インフラなどでも活用あるいはその検討が進んでいるドローンやサービスロボットなどが挙げられます。また、すでに存在している製品類型である防犯関連機器のネットワークカメラから派生して、映像を記録するネットワーク接続型ストレージ（NAS）なども検討候補に挙がることが予想されます。

国際連携についてもJC-STARの制度拡充とともに各国の規制・制度の検討、運用状況や市場インパクトを考慮し、順次相互承認取極（または相互承認協定）が進んでいく見込みです。