多国間連携の深化と、JC-STAR制度の実効性を高める取り組みを理解する

日本発のIoTセキュリティラベリング制度「JC-STAR」は、運用開始から1年で国内外の相互連携が加速しています。後編では多国間の相互承認に向けた動きやISO/IEC 27404を踏まえた国際基準化、さらに★2〜★4の基準整備やNOTICEによる効果測定、中小企業・消費者への普及策など、JC-STARの実効性を高める取り組みについて掘り下げます。

登壇者

北島 みづき氏
経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐
有志国をはじめとする諸外国とのサイバーセキュリティに関する政府間協議に参加し、日本の政策発信や連携・協力関係の構築に取り組む。JC-STARでは各国の政府関係者や企業への制度理解の促進を主要業務の一つとしている。

川井 歩夢氏
経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐
JC-STARの国内施策全般を担当。★1の運用開始直後に着任し、製品分野ごとの基準策定の方針立案や、他制度との連携による普及拡大に向けた関係方面との調整を進めている。

奥山 謙
PwCコンサルティング合同会社 ディレクター
IoT製品やサイバーセキュリティの品質向上を中心に、メーカーのものづくり開発プロセスへの組み込みや、出荷後のPSIRT活動を支援。JC-STAR取得支援にも取り組んでいる。

和栗 直英
PwCコンサルティング合同会社 シニアマネージャー
IoTセキュリティの支援に従事。セキュリティテストや技術面の支援を中心に担当している。

JC-STAR制度が目指すもの――その設立背景と狙い

^{※ JC-STAR制度（Japan Cyber-Security Technical Assessment Requirement）。2025年3月に運用開始した任意のIoTセキュリティラベリング制度。IoT製品のセキュリティ対策状況を★1～★4の4段階で示し、★1・★2は製造業者による自己適合宣言、★3・★4は第三者評価を前提とする。対象範囲は消費者向け機器から産業用コネクテッド機器まで、BtoB領域へ段階的に拡大中。なお★1ではIoT製品共通の16項目が評価基準となる。}

制度の多様性と互換性、各国との調和に向けた取り組み

奥山：
前編では英国PSTI法やシンガポールのCLS、欧州CRA、米国USCTMとの相互承認について取り上げました。後編ではその他の国や地域との連携について伺います。各国制度との連携や相互承認に向けた動きについて教えてください。

北島：
2025年10月にはCLSの枠組みを起点として、シンガポール主導による「Global Cybersecurity Labelling Initiative（以下、GCLI）」が正式に発足しました。GCLIには11カ国の政府機関が署名し、中東・東南アジアの国々も議論に参加しており、多国間で制度を調和させようという動きが進んでいます。

GCLI参加国の中には、すでに自国のラベリング制度を運用している国もあれば、これから制度策定に着手する国もあります。例えばオーストラリアでは、2026年3月にコネクテッドデバイスへ最低限のセキュリティ対策を義務付ける法律が施行される予定で、さらに高いセキュリティ基準が求められる製品に向けたラベリング制度の検討も進んでいます。こうした動きは、「セキュア・バイ・デザイン」原則に基づく製品設計や、適切なセキュリティ対策が維持された製品を市場に流通させる仕組みを重視する国が増えていることの表れと言えるでしょう。

一方で、各国制度の設計は多様です。欧州CRAやドイツのITセキュリティラベリングは、ソフトウェアを含むデジタル要素を持つ製品を広く対象としています。英国PSTI法は主に消費者向けIoT製品を念頭に置いた制度です。CLSではルーター向けの独自基準や医療機器向けの基準を設け、ペネトレーションテストの実施を求めるなど、体系や要件も異なります。

こうした違いは各国の法制度、産業構造、商習慣、制度設計の思想に起因するため、完全な統一は現実的ではありません。しかし、同等のセキュリティ水準が確保されるのであれば、制度間の互換性を高めていくことは、企業のグローバルな事業展開を円滑にする上で大きな意味を持ちます。各国の制度についてはそれぞれのウェブサイトで情報提供されていますので、ぜひチェックしていただければと思います。

奥山：
製造事業者の立場から見ると、アジア諸国の動きも気になるところです。インドは自動車の生産拠点として無視できませんし、東南アジアも工場の立地先であると同時に製品の販売市場でもあります。私たちもクライアントから「進出先の国で新たな法律やガイドラインが突然公表されると対応に苦慮する」というご相談をいただくこともあります。相互承認の優先順位を考える上で、そうした事業者の声をどのように把握されていますか。

北島：
事業者の皆さんがどの国との相互承認に関心をお持ちなのかという情報は、経済産業省としても積極的に共有いただきたいところです。JC-STARそのものからは少し外れますが、経済産業省で策定した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」の英訳版を、東南アジアの国々との政府当局間会合で紹介する取り組みを進めています。ASEANは日本企業のサプライチェーンにおいて重要な地域ですので、日本のガイドラインを各国の制度設計のリファレンスにしてもらうことを想定しています。

グローバル共通基準は実現するか――国際標準化に向けた動き

奥山：
次にグローバル共通の基準や制度整備の見通しについて伺います。日本の製造業からは、各国制度間の相互承認への期待に加え、「グローバルに共通する基準や認証制度が整ってほしい」という声も少なくありません。こうした共通基準の実現可能性や、今後の展望を聞かせてください。

北島：
NICT（国立研究開発法人情報通信研究機構）の調査では、IoT製品を侵入口とするサイバー攻撃が全体の3分の1を占めるとされ、製品のサイバーセキュリティ対策はますます重要性を増しています。製造拠点やサプライチェーンは国境を越えて広がるため、多くの国で製品セキュリティへの関心が高まることが、安全な製品流通の前提になります。

その意味で、グローバル共通の基準や制度整備を求める声が出てくるのは自然な流れでしょう。ただ、各国独自のIoT製品のセキュリティ評価制度が本格的に動き始めたのは2021年のCLS開始ごろからで、歴史としてはまだ浅い分野です。先述のGCLIも2025年10月に正式発足したばかりで、現在はまさに制度が形づくられていく初期段階にあります。なお、2025年10月には消費者向けIoT製品のラベリング標準であるISO/IEC 27404が発行となり、本規格ではJC-STARも制度事例として紹介されています。

こうした状況を踏まえると、各国の制度調和を進める上で、国際的な情報共有の場となるGCLIは極めて重要なプラットフォームになると考えています。サイバーセキュリティは各国の法体系や商習慣の違いが反映されやすい領域ですが、セキュリティ対策の基本的な要素には共通点も多く、GCLIの枠組みを通じた対話と協力によって、徐々に足並みがそろう部分は確実に増えていくはずです。また、GCLIは各国で高まる製品セキュリティへの関心を国際的に可視化し、その重要性を発信する役割も担っています。経済産業省としても、この国際的な議論に引き続き積極的に関与し、制度の発展と調和に向けた取り組みを進めていきたいと考えています。

★2から★4の基準整備と制度対象範囲の展望

奥山：
欧州CRAでは、リスクの高い製品（Class II）やクリティカルなデジタル要素を含む製品ほど、より厳格な要件が求められます。JC-STARでも、こうした高リスク領域に対応する★2から★4の基準を製品カテゴリごとに整備していく方針と伺っています。現在、どの分野から優先的に検討を進めているのでしょうか。

川井：
★2以上の基準策定では、各国制度との整合性を重視しています。★1策定時もCRAのリーガルテキストをロングリストとして参照しており、★2以上でもその考え方を踏襲しつつ、事業者団体が主体となって議論に参加し、製品類型の特性を反映した基準を策定しています。

現時点で整備が進んでいるのは、CRAとの相互承認への期待が大きい産業用IoT領域です。具体的には、PLC（Programmable Logic Controller）やFA（Factory Automation）機器など工場で広く使われる汎用製品を対象に検討しています。もう一つの重点が電力分野です。産業サイバーセキュリティ研究会の電力サブワーキンググループからも★2整備の要望があり、NCO（国家サイバー統括室）と連携して準備を進めています。これらに加え、政策的にJC-STARの活用ニーズが高い製品カテゴリも優先的に上位基準を整備していく方針です。複数の要素を踏まえながら、来年度以降のスケジュールを整理しているところです。

また、JC-STARではラベルの更新も制度化しています。★1は2年ごとの更新で回数に制限はありませんが、★3以上は1年ごとの更新、最大3年で再申請が必要です。こうしたラベル維持の取り組みはコストになりますが、制度の信頼性を保つためには必要なものだと考えています。

和栗：
将来的には、全ての製品分野で★2から★4が揃うのでしょうか。

川井：
製品分野ごとに差が生じるのが基本だと考えています。全ての製品類型で★4まで整備する必要はありません。例えば家電分野であれば、第三者評価を伴う★3や★4まで求める必要性は比較的低いでしょう。一方、政府や重要インフラ事業者など高リスクな調達が想定される分野では、★3以上を整備する意義があります。★2までで十分か、★3以上も必要かが大きな分岐点です。

奥山：
JC-STARの対象範囲についても教えてください。IoT化の裾野が広がる中、私たちが当初想定していなかった製品領域でも、英国PSTI法やCRAへの対応相談をいただく機会が増えています。例えば自転車パーツや釣り具などのような、これまでIoTと結び付かない領域でもネット接続が進んでいますが、所管する業界団体にも相談窓口がないため、結果的に事業者から私たちに問い合わせるケースがあります。

川井：
JC-STARは利用ニーズに応じて柔軟に見直す必要があると考えています。現行の★1は「IP通信を有すること」が申請要件ですが、この条件により、IoT化が進んでいるにもかかわらず制度の対象外となってしまうケースがあることも承知しています。★1は制度全体の基盤となるため容易には変更できませんが、★2ではスコープを広げられないか、内部で検討を始めているところです。

奥山：
クライアントがPwCコンサルティングに相談される背景の一因として「抜け漏れがあってはならない」という不安感があると感じています。例えばCLSはIP通信に限定していないため対象範囲が広い。一方でJC-STARではそのままでは対象外に見えるケースもあり、クライアントからは「相互承認を見据えるなら、まずJC-STARでラベルを取得し、CLSの要求も満たしたい」という声をよく聞きます。

和栗：
米国USCTMでは「Bluetooth」や「Zigbee」などの非IP通信デバイスも対象として検討されています。スマートホームの普及を考えると、IPベースの新規格である「Matter」や、国内標準の「ECHONET Lite」への対応をどう規定するかが、今後の大きな焦点になりそうです。

川井：
そうですね。★1ではそこまで細かく定義していませんが、★2以上では製品カテゴリ固有のプロトコルも議論の対象になってくるでしょう。ただし大事なのは、個別の製品仕様に合わせ込むのではなく、汎用的なプロトコルの技術的特性を踏まえた上で、特定の技術に偏らないニュートラルな基準を作ることだと考えています。

国内普及・国際連携を見据えたJC-STARの展望

奥山：
最後にJC-STAR制度の今後の展望について伺います。政府機関や地方自治体、重要インフラ事業者、一般消費者といった調達者への働きかけや、国際的な制度調和に向けて、どのような取り組みを重視しているのか教えてください。

川井：
制度の進捗としては、当初年間100申請のラベル取得を最低限の目標としていましたが、すでに150申請を超えるラベルが発行されており、取得には至っていない申請まで含めると200申請を超えています。開始から1年以内にここまで進んだことを考えると、制度としては順調に浸透してきていると考えています。

ただし課題もあります。制度立ち上げ時に★1が先に整備された影響で、現状は★1中心の活用にとどまっています。本来は製品の用途やリスクレベルに応じて★1〜★4を使い分けるのが制度の趣旨ですので、上位基準の整備と併せて、制度全体としての活用を促進していきたいと考えています。

その意味で、製造業者や調達者のニーズに応じた基準整備を続けるとともに、★1だけでなく上位の★2から★4も含めた活用の選択肢を分かりやすく提示していくことが重要です。制度全体としての活用促進を、今後さらに進めていきたいと考えています。

和栗：
制度の成果という点では、JC-STARの効果をどのように測っていくのかも重要なテーマだと考えます。申請数や取得製品数で進捗を評価することはできますが、目指すのは「JC-STARの普及でサイバー攻撃が減少する」ことです。経済産業省としてはどのような評価指標をお持ちですか。

川井：
最も重視している指標の一つが、NOTICE（National Operation Towards IoT Clean Environment）の検知数です。NOTICEは、脆弱なIoT製品をネットワーク上で特定し、利用者に注意喚起を行う仕組みで、日本のIoTセキュリティの現状を示す重要な指標でもあります。ただし現時点では、検知数そのものが有意に減少したとまでは言い切れません。そもそもIoT製品の数自体が急速に増え続けているため、その中からJC-STAR単体の寄与度だけを切り出して評価するのは容易ではありません。

とはいえ、NOTICEで検知されるリスクのある機器を減らしていくには、より多くの製品分野にJC-STARを適用し、制度としての網を着実に広げていくことが不可欠だと考えています。制度の適用領域が広がれば、その効果はNOTICEの検知数にも徐々に表れてくるはずです。

和栗：
日本でNOTICEは最も分かりやすい指標ですよね。理論上、★1の基準を満たしている製品であれば、NOTICEに検知されるような脆弱な状態にはならないはずです。一方で、実際の検知対象にはネットワーク管理者が不在の中小企業や個人事業主の機器が多いと聞きます。そうしたセキュリティ対策が行きわたりにくい層に、JC-STARをどのように届けていくお考えですか。

川井：
★1はNOTICEに検知されないことを目指して設計したものですので、その効果はぜひアピールしていきたいと思います。実際、中堅・小規模企業への普及対策は経済産業省としても注力している領域です。実際に地方へ行くと「こんな制度があるんですか」というリアクションが多く、まだまだ末端まで知ってもらう努力が必要だと感じています。

また、一般消費者の方々に対してはラベルの存在自体を知ってもらい、購入の際の基準の一つとして認識してもらうことが重要です。そのためには経済産業省だけでは限界があるので、業界団体や家電量販店など、消費者に近い方々と連携しながら、より消費者にとって身近に感じてもらえるような施策を講じていきます。

奥山：
中小企業や一般消費者といった「ボトムアップの普及」に加え、制度を社会に定着させるためには「調達側からのトップダウンの後押し」も不可欠だと思います。政府機関や地方自治体、重要インフラ事業者といった公的主体の調達においては、現在JC-STARはどの程度活用が進んでいるのでしょうか。

川井：
政策面では、2025年3月の「地方公共団体向けセキュリティガイドライン」へのJC-STARの明記に加え、同年9月には「政府機関等の対策基準策定のためのガイドライン」が改正され、IoT製品などの調達でJC-STARの取得を選定基準の一つに位置付ける記載が追記されました。

もっとも、これらのガイドラインはラベル付き製品の調達を義務付けるものではありません。しかし、経済産業省が各府省庁を対象に行ったアンケートでは、回答のあった府省庁のうち約8割が、実際にJC-STARを機器等の選定基準として活用していると回答しており、官公庁の調達現場でJC-STARが一定程度根付き始めていることが分かります。

また、NNCO（National Nanotechnology Coordination Office）を中心に重要インフラ事業者のセキュリティ対策強化の取り組みが進められており、重要インフラ事業者が調達するIoT製品についても、政府調達と同様にJC-STARを選定基準として位置付けられるよう、現在調整を進めています。

北島：
補足すると、国際展開の観点では、先進国に対してJC-STARの信頼性をしっかりと伝えていく取り組みと、GCLIを通じて幅広い国々との制度調和を進める取り組みの二つが重要になります。最終的には、調達での活用が製造業者にとって最大の取得インセンティブとなりますので、それを国内外で後押ししつつ、国際相互承認による海外展開支援にも引き続き力を入れていきたいと考えています。

奥山：
JC-STARが調達現場でも国際場面でも着実に広がりつつあること、そして今後の展望が非常によく理解できました。私たちも、製造業者の方々と政府機関・関係者の皆さんとの橋渡し役として、引き続きこうした連携を支えていければと思います。本日はありがとうございました。