制度設計、普及施策、国際相互承認の最新動向を整理する

世界的にIoT製品を狙ったサイバー脅威が高まる中、2025年3月、日本発のセキュリティラベリング制度「JC-STAR」がスタートしました。本稿では制度開始から1年で見えてきた成果と課題を整理しつつ、諸外国制度との相互承認の現状や、今後の海外相互承認の方向性、企業が備えるべきポイントについて、JC-STARの設立・運用に携わるキーパーソンにお話を伺います。前編では、制度の設立背景やその狙い、英国PSTI法との初の相互承認に至った経緯と、欧州CRAや米国USCTMとの対話の現状を取り上げます。（本文敬称略）

登壇者

北島 みづき氏
経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐
有志国をはじめとする諸外国とのサイバーセキュリティに関する政府間協議に参加し、日本の政策発信や連携・協力関係の構築に取り組む。JC-STARでは各国の政府関係者や企業への制度理解の促進を主要業務の一つとしている。

川井 歩夢氏
経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐
JC-STARの国内施策全般を担当。★1の運用開始直後に着任し、製品分野ごとの基準策定の方針立案や、他制度との連携による普及拡大に向けた関係方面との調整を進めている。

奥山 謙
PwCコンサルティング合同会社 ディレクター
IoT製品やサイバーセキュリティの品質向上を中心に、メーカーのものづくり開発プロセスへの組み込みや、出荷後のPSIRT活動を支援。JC-STAR取得支援にも取り組んでいる。

和栗 直英
PwCコンサルティング合同会社 シニアマネージャー
IoTセキュリティの支援に従事。セキュリティテストや技術面の支援を中心に担当している。

JC-STAR制度が目指すもの――その設立背景と狙い

^{※ JC-STAR制度（Japan Cyber-Security Technical Assessment Requirement）。2025年3月に運用開始した任意のIoTセキュリティラベリング制度。IoT製品のセキュリティ対策状況を★1～★4の4段階で示し、★1・★2は製造業者による自己適合宣言、★3・★4は第三者評価を前提とする。対象範囲は消費者向け機器から産業用コネクテッド機器まで、BtoB領域へ段階的に拡大中。なお★1ではIoT製品共通の16項目が評価基準となる。}

奥山：
最初にJC-STAR制度（以下、JC-STAR）が設けられた背景とその狙いを教えてください。

川井：
JC-STARの最終的な目的は、国内で流通・使用されるIoT製品のセキュリティ水準を向上させ、IoT製品を起点としたサイバー攻撃を減少させることです。

まず設立の背景からお話ししましょう。世界で使われるIoT製品は年々増加しており、2026年には500億台を超えると予想されています。それに伴いサイバー脅威も増大しています。例えば、外部からの遠隔操作やDDoS攻撃の踏み台への悪用、機器が保有・処理する機微情報の漏えいなど、いずれも社会と企業経営の双方に重大なインパクトをもたらすセキュリティインシデントです。

こうしたリスクは製造事業者だけでなく、製品を調達する利用者にも及んでいます。そのため各国では、IoT製品を対象としたセキュリティのラベリング制度や法規制の整備が進められているのです。欧州の「Cyber Resilience Act：サイバーレジリエンス法（以下、CRA）」やシンガポールが実施している「Cybersecurity Labelling Scheme（以下、CLS）」などはその代表例です。そういった各国の動きも踏まえつつ、日本でも同様の制度を立ち上げたというのがJC-STAR設立の背景です。

奥山：
各国で制度整備が進む中、JC-STARは産業面でどのようなインパクトがあるのでしょうか。

川井：
先述したとおり、一番の狙いはIoT製品を起点としたサイバー攻撃の減少ですが、日本が輸出する製品をよりセキュアにし、海外製品に対して競争力を高めていくという意図もあります。JC-STARは世界の類似制度と比べても遜色ない水準を目指しており、国際競争力の向上にもつながると考えています。

実際に制度開始から約1年が経ちましたが、製品型番ベースですでに1,000を超える製品が★1を取得しており、当初の目標を上回るペースで普及が進んでいます。ただし取得製品の分野には偏りがあり、まだ浸透していない領域に対してどのように拡大していくかが今後の課題です。制度の目的を達成するには、製造側・調達側の双方に対するさらなる働きかけが必要だと考えています。

JC-STAR普及施策の鍵は「インセンティブ向上」

奥山：
JC-STARは製造業者が自らの判断で取得する任意制度であり、ラベル取得の負荷は製造業者側にあります。法令で義務化されていない中、どのようにラベル取得を促進し、制度を普及させていく方針ですか。

川井：
確かにJC-STARは任意制度ですが、政府機関や地方公共団体、重要インフラ事業者など、セキュリティ確保が特に重要な組織が利用する製品は、適切にセキュリティが担保されていなければなりません。そのため、政府統一基準群や地方公共団体セキュリティポリシーガイドラインにJC-STAR（ラベル）取得製品の調達方針を盛り込み、公共調達での活用を進めています。現在もより高い必須度での位置付けへ改訂するべく、関係者との調整を続けています。

もう一つ進めているのが、補助金制度との連携です。特に重要性の高い製品領域では、補助金の給付条件にJC-STAR取得を組み込むことで、セキュアな製品の調達を後押しします。加えて、公共調達にとどまらず、民間企業や一般消費者にもJC-STARの価値を浸透させたいと考えています。各業界のセキュリティガイドラインへの反映や、消費者向けの周知施策を検討しているところです。

そして製造業者側にとって特に大きなインセンティブとなるのが、海外制度との相互承認です。グローバルに事業展開している場合、JC-STARを取得するだけで海外の法令・制度にも対応できれば、各国の類似制度への個別対応の負荷を大幅に軽減できます。この点がJC-STAR取得の強力な動機づけになると考えており、主要国・地域との相互承認の実現を目指しています。

日英で初の相互承認、PSTI法との合意はなぜ実現したのか

奥山：
JC-STARと海外制度との相互承認が進めば、製造業者が得られるメリットは大きいですね。2025年11月には、JC-STAR★1と英国のPSTI法^（※1）との相互承認に関する覚書が公表され、2026年1月1日から正式に開始されています。まず、この相互承認に至った経緯と、その狙いを教えてください。

^{（※1）PSTI法：Product Security and Telecommunications Infrastructure Act 2022（製品セキュリティおよび通信インフラストラクチャ法）。英国内で販売される消費者向けのネットワーク接続製品に対し、セキュリティ要件を義務づける法律。2022年12月に成立し、2024年4月29日より全面適用されている。}

北島：
英国PSTI法は、製品セキュリティを世界に先駆けて法的に義務化した規制の一つです。同法では流通販売者・製造者・消費者それぞれにサイバーセキュリティ上の責任が課されますが、日本企業への影響が大きいのは「製造者の義務」です。英国市場でIoT製品を販売する場合、PSTI法のセキュリティ基準を順守する必要があり、市場監視や罰則も規定されています。消費者向けコネクテッドデバイスを英国で展開する企業にとって、準拠は避けられない要件です。

こうした重要性を踏まえて、相互承認の交渉を優先的に進めました。英国はG7の中でもIoT製品セキュリティの議論をけん引している国です。加えて、2026年1月には日英でサイバー安全保障に関する協力関係が「戦略的サイバー・パートナーシップ」へ格上げされるなど、両国の協力関係が深まっていたことも後押しになりました。

交渉では、日本の評価基準が英国の制度と同等であることを正しく理解してもらう必要がありました。メールでの定常的なやりとりに加え、国際会議やオンライン会議で複数回の協議を重ねました。特に英国側は法令であるため議会審議が必要となり、事前にすり合わせるべき論点も多くありました。署名時には当課の課長が英国を訪問して署名式を行い、日本でも全国紙で報じられるなど、JC-STAR★1にとって初の海外相互承認として、事業者からの関心の高さがうかがえました。

和栗：
制度設計の親和性ではCLSの方がJC-STARに近いと思っていたのですが、PSTI法が先になったのはなぜでしょうか。また、JC-STARとPSTI法では要件の数にも差がありますが、具体的にはどのように調整されたのですか。

北島：
PSTI法が先になった理由の一つは、JC-STARのような任意制度でも法律と相互承認ができると示す意義が大きかったことです。EUにもCRAという法律がありますが、こちらはセキュリティ要件がかなり多くなる見込みです。その点、PSTI法の要件は三つだけで、JC-STARやCLSよりも少ないため、最初の交渉相手としては始めやすかったという面もあります。

具体的な調整としては、★1取得に必要な16項目のうち、PSTI法が要求する以下の3要件に該当する部分が同等であると合意しました。2026年1月1日以降はJC-STAR★1適合ラベルを取得していれば、PSTI法が要求する以下の3要件を満たしていると見なされます。

1. パスワード（Passwords）
2. セキュリティ問題の報告方法に関する情報（Information on how to report security issues）
3. 最低限のセキュリティアップデート期間に関する情報（Information on minimum security update periods）

和栗：
製造事業者側の立場で見ると、どのような作業が簡略化されるのでしょうか。

北島：
JC-STAR★1の提示でPSTI法への準拠を証明でき、PSTI法で義務付けられている「適合証明書」の作成を省略できます。ただし、JC-STAR★1をPSTI法準拠の証明として用いる場合は、ラベル申請時にIPA（独立行政法人情報処理推進機構）のウェブサイトからPSTI適合申請フォーマットを提出する必要があります。

なお、PSTI法では上市後のセキュリティ確保のため、英語による情報提供が求められており、この義務は相互承認にかかわらず別途順守する必要があります。フォーマット内には、こうした要件を満たしているかを確認する項目も含まれています。IPAウェブサイトに記載の注意事項についてもご一読いただければと思います。

奥山：
ちなみにすでにJC-STARを取得済みの製造業者も、この相互承認の仕組みを利用できますか。

北島：
もちろん利用できます。情報処理推進機構（IPA）のウェブサイトに「PSTI法適合証明について」というページがあり、申請書を記入して提出すれば利用可能です。ぜひ活用していただきたいですね。

IPAのサイト

3月には、JC-STARの第二弾の相互承認として、シンガポール・ウォン首相の訪日に併せて、井野経済産業副大臣とラハユ・マザムデジタル開発・情報省国務大臣兼保健省国務大臣との間で、JC-STARとシンガポール・サイバーセキュリティ庁の消費者向けIoTサイバーセキュリティ・ラベリング制度であるCLS^（※2）との相互承認の署名を実施しました。この覚書に基づいた相互承認は6月1日より発効します。製造者向けの具体的な適合証明の方法や運用は、IPAウェブサイトにて掲載予定です。

^{（※2）CLS：Cybersecurity Labelling Scheme（サイバーセキュリティ・ラベリング・スキーム）。シンガポール情報通信メディア開発庁（IMDA）が2020年10月に開始したIoT製品向けセキュリティラベリング制度。}

CLSレベル1のセキュリティ要件とJC-STAR★1のセキュリティ要件のうち、同等と見なすセキュリティ要件については相互承認し、適合確認手続きが免除されます。また、CLSレベル2以上およびJC-STAR★2以上の取得に際しても、それぞれCLSレベル1およびJC-STAR★1のうち、同等と見なすセキュリティ要件についての適合確認手続きは免除されます。

現在CLSはドイツ、フィンランド、韓国などの制度と相互承認を結んでいます。国際的にも最も先行している制度の一つです。日本とシンガポールとの間でサイバーセキュリティ分野での協力を前進させていきたいという両国の意向を踏まえて署名に至りました。

欧州CRAとの対話状況と相互承認への道筋

奥山：
次に欧州CRA^（※3）との相互承認についても伺います。PwCコンサルティングには欧州で事業を展開するクライアントからCRA対応に関する相談も多く寄せられていますが、十分に準備が整っている企業は限定的な印象です。2027年12月の全面適用に向け、まずはJC-STARを取得し、その上で相互承認を期待する声もあります。現在の対話状況を教えてください。

^{（※3）CRA：Cyber Resilience Act（サイバーレジリエンス法）。EU域内で販売されるデジタル要素を持つ製品（ハードウェア・ソフトウェア）に対し、設計段階からのセキュリティ確保や脆弱性管理を義務付ける欧州連合の規則。2024年12月に成立。2026年9月より脆弱性等の報告義務が開始され、2027年12月より全要件が全面適用される予定。}

北島：
現在は欧州標準化委員会（CEN）や欧州電気標準化委員会（CENELEC）、欧州電気通信標準化機構（ETSI）といったEUの標準化機関が、CRAに基づく製品分類ごとの具体的なセキュリティ基準（整合規格）を策定しています。ただし、すでに公表済みのものと策定途上のものが混在しており、全体像が確定するにはまだ時間がかかる状況です。

そのような状況で重要なのは、「JC-STARが製品のサイバー脅威に対するセキュリティ対策として信頼できる制度であること」を欧州側に正確に伝えることです。CRAとJC-STARの間には、ベースライン基準の有無や整合規格の体系、法律か任意制度かといった構造上の違いがあります。しかし、共通する部分も多いです。その共通点と差異の双方を丁寧に伝え、相互理解を積み重ねていくことが大切だと考えています。

具体的な取り組みをいくつか紹介します。2025年10月にはドイツのサイバーセキュリティ当局から市場監視課長を招き、CRAに関する講演を実施しました。今年1月末に開催した第2回INSTAR（International Standards for Advanced Technologies and Research）サイバーセキュリティ・ワーキング・グループ会合では、EU当局や欧州委員会通信ネットワーク・コンテンツ・技術総局（DG CONNECT）、サイバーセキュリティの専門家を交えてCRAとJC-STARの基準比較を行いました。こうした情報共有は今後も継続していきます。

国際会議への関与も重要です。私自身、2025年のETSIサイバーセキュリティカンファレンスでJC-STARについて説明しました。こうした場には欧州・米国・中国・中東など各国の専門家が一堂に会しており、最新動向の共有だけでなく、基準策定者とのネットワーク形成にもつながります。各国の動きをいち早くつかむ上でも非常に有効です。EU側と対話を重ね、互いの制度を正しく比較していくことは、相互承認の基盤づくりであると同時に、われわれ自身がCRAへの理解を深めるよい機会でもあります。

川井：
1月末のEUとのセッションではCRA整合規格が未公表だったため、リーガルテキスト原文やENISA（European Union Agency for Cybersecurity）のスタンダードマッピングを基に、ドラフト版JC-STAR★3との比較結果を持参しました。しかし、書面だけでは基準の意図を十分に共有できない部分が多いことを実感しました。対面で議論すると「この基準はここまでを想定しているのですね」といった、文書では判別しにくい論点が次々に明らかになりました。相互承認には、こうした直接対話を重ね、お互いの基準への理解を深めることが重要だと改めて感じています。

米国USCTMの制度化の現状と相互承認へのアプローチ

奥山：
米国のUSCTM^（※4）についても教えてください。2025年6月に最終ドラフトが公表されたUSCTMは、JC-STARとの基準の整合性は高い一方、第三者認証やランダムサンプリング監視など、異なる部分もあります。

^{（※4）U.S. Cyber Trust Mark：米国連邦通信委員会（FCC）が主導するIoT製品向けセキュリティラベリング制度。Wi-Fiルータやスマート家電など消費者向けデバイスを対象に、パスワード管理、脆弱性開示、アップデート提供などの基準への適合を示す。}

北島：
米国政府とはサイバーセキュリティの政府間対話などの場で意見交換をしていますが、現時点でUSCTMは制度として開始されておらず、導入が遅れています。ただ、今年1月にはリードアドミニストレーターやサイバーセキュリティラベルアドミニストレーターの公募が米国連邦通信委員会（以下、FCC）で行われるなど、進捗は見られます。経済産業省としても米国政府関係者との接触や現地での情報収集を通じて、動向の把握に努めているところです。

ご指摘のように、USCTMには全てのレベルにおける第三者認証やランダムサンプリング監視などの異なる部分もあります。ただし、JC-STARでも重要インフラや政府調達を念頭に置いた★3以上で第三者認証を要求しており、必要に応じたサーベイランスも実施することを定めています。具体的な方法には違いがありますが、制度の信頼性を確保するという目的は共通しています。サイバーセキュリティ対策と経済活動を両立させるという目標も同じであり、引き続き連携を続けていきたいと考えています。