登壇者
中崎 尚氏
アンダーソン・毛利・友常法律事務所外国法共同事業
パートナー弁護士
吉岡 克成氏
横浜国立大学 教授
木本 達也
PwC Japan有限責任監査法人
シニアマネージャー
AI家電や産業機器、センサーまで、あらゆるモノがネットワークにつながる時代。便利さの裏側で、脆弱性を悪用した攻撃や、大規模感染に利用されるリスクが現実味を増しています。こうした状況を受け、英国PSTI法や欧州CRA、日本のJC-STARなど、IoT製品のセキュリティを底上げする制度が急速に整備され始めました。しかし、対象範囲も義務内容も国ごとに異なり、日本企業は単なる法対応を超えた構造的な備えが求められています。本セッションでは、技術・法律・制度の専門家が、日本企業に求められる実務対応と具体的な戦略を、多角的に議論しました。(本文敬称略)
(左から)木本 達也、中崎 尚氏、吉岡 克成氏
IoT製品を取り巻くセキュリティ脅威の現状
木本:
最初に、本日のメンバーを紹介します。サイバーセキュリティや個人情報保護の法規制に詳しい中崎弁護士、IoTセキュリティの研究と政府の有識者委員を数多く務める吉岡教授、そして私、木本です。私は2025年6月まで経済産業省にてIoTセキュリティラベリング制度「JC-STAR」の立ち上げに携わっていました。今日は進行役を務めます。
早速ですが、吉岡先生に伺います。近年IoT製品のセキュリティが着目されている背景には何があるのでしょうか。
吉岡:
IoT機器は急増しており、2025年には世界で400億台を超えると試算されています。それに伴い、IoT機器を狙うサイバー攻撃も増加しています。情報通信研究機構の観測でも、全攻撃の約40%弱が、IoT機器を狙ったものだと言われています。
実際のセキュリティ脅威の事例を紹介します。まず自動車です。コネクテッド化によりネットワークにつながるため、リモートから侵入して運転操作をハッキングできてしまう。こうしたリスクは以前から指摘されています。次に、ルーターやカメラなど多数のIoT機器です。マルウェアに感染すると、大規模攻撃に悪用されるリスクがあります。さらにネットワークカメラでは、設定不備によってリモートから映像を閲覧されたり、設定を変更されたりといった被害も発生しています。
木本:
日本製品はこれまで高い品質や安全性が世界的に認められてきました。日本メーカーのIoT製品のセキュリティ水準も高いと言えるのでしょうか。
吉岡:
確かに日本製品は高品質です。私たちが10年ほど観測してきた範囲でも、当初は国内での攻撃や感染は比較的少ない状況でした。しかし近年は事情が変わってきています。脆弱性を突く攻撃が多様化・高度化しており、報告される脆弱性の数も年々増加しています。その中にはIoT関連のものも多く含まれます。
残念ながら、日本製品でもサイバー攻撃を受けて感染する事例が出ています。例えば国内ルーターがマルウェアに感染し、1万台を超える大規模感染につながったケースも報告されています。
アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士 中崎 尚氏
英国PSTI法──「点」の規制とその要点
木本:
ここからはIoT製品を巡る脅威を踏まえ、各国で進む法規制や認証制度の整備状況について伺います。
日本企業への影響が大きいのが英国とEUの法規制の動きです。英国では「製品セキュリティおよび通信インフラストラクチャ法(※1)(以下、PSTI法)」が2024年4月から適用されています。一方EUでは、より広範な規制となるCRA(※2)が2024年10月に成立しました。2026年9月に報告義務が始まり、2027年12月から全面適用となる予定です。
※1 製品セキュリティおよび通信インフラストラクチャ法:Product Security and Telecommunications Infrastructure Act 2022。英国内で販売される消費者向けのネットワーク接続製品に対し、パスワード管理や脆弱性開示などのセキュリティ要件を義務づける法律。
※2 サイバーレジリエンス法:Cyber Resilience Act(CRA)。デジタル要素を持つ製品にサイバーセキュリティ要件を課すEU規則。
いずれも日本のIoTメーカーにとって無視できない制度ですが、対象範囲や求められる義務の内容は大きく異なります。中崎先生、PSTI法の特徴や対象範囲、事業者に課される義務などを教えてください。
中崎:
英国のPSTI法は、CRAが幅広い製品を横断的にカバーする「面の規制」であるのに対し、「点の規制」と言われています。対象が消費者向けでネットワーク通信機能を持つ製品に限定されており、規制範囲がかなり絞り込まれているのが特徴です。
主要国のIoTセキュリティ関連制度の一覧
罰則についてはCRAと同程度に重く、罰金の上限は1,000万ポンド、あるいは売上高の4%です。違反があれば、市場監視当局から製品の回収や流通停止を命じられる可能性もあります。また、適用を受ける事業者はサプライチェーン全体に及ぶ点もCRAと共通しています。
PSTI法の対象か否かの判定ポイントは、「インターネットプロトコルやネットワーク通信機能を持っているか」「一般消費者向けに販売されているか」「英国市場向けに提供されているか」です。例えばスマート家電、IoTデバイス、ウェアラブルデバイス、スマートウォッチなどは対象製品です。一方で、医療機器や自動車関連機器、PC・スマートフォンなどは対象外です。
次に事業者に課される義務ですが、主に三つあります。
一つ目は「パスワード」です。デフォルトや推測されやすいパスワードは禁止され、製品ごとにユニークパスワードを設定するか、ユーザーが変更しないと使えない仕組みにする必要があります。
二つ目は「脆弱性の開示体制の整備」です。リスクを報告できる窓口を設けておくことが求められており、この体制が整っていないだけで違反となります。
そして三つ目が「アップデート期間の明示」です。これは日本企業が見落としがちなポイントです。「いつまでアップデートが提供されるのか」を、購入前にユーザーが確認できるようにしなければなりません。
また、各製品について、PSTI法の要件を満たしていることをメーカー自身が宣言する「ステートメント・オブ・コンプライアンス(適合宣言)」の添付が求められる点も、PSTI法の特徴です。
横浜国立大学 教授 吉岡 克成氏
欧州サイバーレジリエンス法──「面」の規制の全体像
木本:
次に「面の規制」と言われたCRAについて伺います。PSTI法と比較して対象範囲が広いとのことですが、具体的にどのような製品や事業者が対象になりますか。日本企業としては、どの点に特に注意すべきなのかも含めて教えてください。
中崎:
CRAの最大の特徴は、デジタル要素を持つ製品を横断的に幅広く規制する点です。
適用時期にも注意が必要です。まず2026年9月に報告義務が始まり、2027年12月からその他の義務が適用されます。2027年12月以前に市場に出ている製品は原則対象外ですが、報告義務だけは適用される点は押さえておく必要があります。また、2027年12月以降に製品を自主的に改変すると、その時点で残りの義務も適用対象になります。罰則は非常に重く、1,500万ユーロまたは売上高の2.5%が上限です。
対象範囲は非常に広く、ソフトウェア・ハードウェアを含む「デジタル要素を持つ製品」全般が包含されます。デバイスやネットワークとの直接・間接のデータ接続があるものは原則全て該当すると考えてよいでしょう。
そして日本企業にとって重要なのは、「EUに拠点がなくても、EU向けに製造・流通させていれば一律でCRAが適用される」という点です。
CRAの対象となる製造者・輸入者・流通業者には、以下の七つの義務が課されます。
- 設計開発段階の義務
- 適合性の評価・ドキュメンテーション
- 市場投入後の義務(例:15日以内の報告義務など)
- 情報提供義務(脆弱性の受付窓口の設置など)
- サプライチェーン管理(外部委託先の管理を含む)
- 市場監視当局からの指摘・是正への対応
- 高リスク製品に対する特別な義務
このうち日本企業が特に留意すべきは、「設計開発段階の義務」「適合性の評価」「サプライチェーン管理」です。
CRAでは「セキュリティ・バイ・デザイン」の要求水準が非常に高く、全社横断的なプロセスの構築が必要です。また、上市前のチェックも重要です。法務によるコンプライアンス確認を怠ると製品をマーケットに出せなくなり、その損失は計り知れません。さらに中国やASEANのODMに依存している場合、サプライチェーン管理を怠ると欧州基準への対応状況が不明瞭になります。結果として巨額の制裁金を課される可能性も否定できません。
PwC Japan有限責任監査法人 シニアマネージャー 木本 達也
日本のJC-STAR制度と国際連携
木本:
ありがとうございます。ここまで英国のPSTI法とEUのCRAを見てきましたが、日本でもIoT製品に対するセキュリティ制度の整備が進んでいます。それが2025年3月に開始した「セキュリティ要件適合評価及びラベリング制度(※3)(以下、JC-STAR)」です。
※3 セキュリティ要件適合評価及びラベリング制度:Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirement(JC-STAR)
JC-STARは任意のラベリング制度で、★(星)1から★4の四段階で製品のセキュリティを可視化する仕組みです。★1と★2はメーカー自身が評価する自己適合宣言型、★3と★4は政府やインフラ事業者が調達時に利用することを想定した第三者評価型となっています。
対象範囲は英国のPSTI法よりも広く設計されています。インターネットに直接接続されるルーターやネットワークカメラだけでなく、間接的にインターネットと通信する機器も含まれます。さらに企業向けの産業用機器やセンサー、コントローラーも対象です。
すでに運用が始まっている★1では、IoT製品共通の16項目の基本対策が求められ、2025年11月末時点で111製品がラベルを取得しています。一方、★2以上は製品ごとに想定される脅威が異なります。そのため通信機器、ネットワークカメラ、スマートホーム機器など、種類ごとに基準が整備されつつあり、今後も対象は拡大していく予定です。
JC-STARは任意制度ですが、普及をどのように進めるかは大きなポイントになります。そのため経済産業省は、取得を後押しするための仕組みづくりを進めています。具体的には二つあります。
一つは政府調達での活用です。政府や自治体が調達時にラベルを参考にすれば、企業側の取得インセンティブが高まります。もう一つは、海外制度との相互承認の推進です。2025年11月には英国PSTI法との相互承認に関する覚書も交わされました。つまり、JC-STARを取得していれば国内だけでなく海外の制度対応にもつながるという、企業にとって実利のある制度として整いつつあります。
変わり続ける基準、日本企業が取るべきアクションとは
木本:
さて、ここまで英国PSTI法、EUのCRA、そして日本のJC-STARと、三つの制度を見てきました。では、こうした制度に対応するために、日本企業は何をすべきでしょうか。ここからは、技術面と法規制面の両方から伺います。吉岡先生、技術面についてお願いします。
吉岡:
技術面で一番大事なことは、「セキュリティ基準は固定されたものではない」という点です。脅威が変われば基準も更新されます。企業としては、今の技術で十分かどうかだけでなく、状況の変化に合わせて基準をアップデートし続ける姿勢が欠かせません。
私もJC-STARの技術要件を議論する委員会に参加していますが、常に最新の脅威を踏まえて基準を見直しています。企業の皆さんにも、今の技術で十分かを問い続け、基準の変化に対応していく継続的な取り組みをお願いしたいです。
もう一点、基準は国内外で多様化しています。自社製品が国内向けなのか、海外展開するのかによって、求められる要件は大きく変わります。国際展開を視野に入れるのであれば、どの要件に準拠すべきか、あらかじめ見極めておくことが重要です。
木本:
中崎先生、法規制対応の観点からはいかがでしょうか。
中崎:
欧州CRAへの対応で、まず日本企業がやるべきことは自社の立場の把握です。これは3ステップに大別できます。
ステップ1は、「自社製品がEU市場に供給されているか」の確認です。直接輸出していなくても、EU子会社経由で販売していたり、OEM先のブランドで流通していたりする場合も対象になり得ます。「うちはEUに直接売っていないから関係ない」とは言い切れないので、ていねいに確認する必要があります。
ステップ2は、「その製品がCRAの規制対象に該当するか」の判断です。規制対象となる「Product with Digital Elements(デジタル要素を有する製品)」なのかの判断は、以下の観点でチェックします。
- マイコンなどを搭載し、ソフトウェアで制御されるか
- ネットワークや他のデバイスとデータをやり取りすることが想定されているか
- クラウド連携によるリモート処理が不可欠な機能を備えているか
これらに該当するのは産業用コントローラー、ロボット、スマート家電、医療機器、車載機器の一部と広範囲です。ソフトウェア単体やクラウド管理プラットフォームも含まれ得る点は見落としがちなので注意してください。
ステップ3は、「自社がCRA上どの役割に位置付けられるか」の確定です。製造者・輸入者・流通業者で義務の範囲や重さが大きく異なります。多くの日本メーカーは製造者に該当しますが、EU子会社や代理店が輸入者・流通業者になるケースも多く、サプライチェーン全体での対応が不可欠です。
木本:
自社の立場を整理した次のステップとして、実際の対応はどのように進めればよいですか。
中崎:
対応の進め方には「ミニマム遵守型」「EU中心展開型」「グローバル・セキュリティ基準統一型」が考えられます。
ミニマム遵守型は、EU向け製品に限定してCRAの要求を満たすやり方です。短期コストは抑えられますが、製品仕様の二重管理が発生し、リスクが残ります。一方、EU中心展開型は、グローバル製品をEU仕様に寄せていくやり方です。開発や保守の標準化は進みますが、全体のコストが上がります。
これに対してグローバル・セキュリティ基準統一型は、CRA等の対応を世界標準レベルと見なして、それを製品セキュリティの全社基準とするやり方です。初期投資は大きいですが、世界中どこに出しても通用する製品になり、将来の規制強化や顧客の要求にも耐えられるという強みがあります。
実務面で一つ付け加えると、CRAの報告義務は24時間以内です。EUに拠点がない場合は、代理店や最大の輸入者の所在国などを基準に報告先を事前に決めておく必要があります。24時間は非常に厳しいので、時差の活用も含めて体制を整えておくことが重要です。
最後に戦略的な視点ですが、「日本向けだから要件は緩くてよい」という考え方は通用しません。国内ではJC-STARを活用し、海外ではCRAを世界基準として位置づけるなど、全体としての整合性を取る必要があります。社内で製品セキュリティのベースラインを一度棚卸しして整備しておけば、どの国の制度が変わっても対応しやすくなるはずです。
木本:
ありがとうございます。今日の議論を通じて感じたのは、企業に求められる責任が大きく変わってきていることです。
企業にはセキュアな製品設計を行う「セキュア・バイ・デザイン」と、セキュリティ機能を標準で有効にする「セキュア・バイ・デフォルト」が求められています。そしてそれが各国の法制度や認証ラベリング制度で可視化されていく流れにあります。
しかし、セキュアなIoT社会の実現にはそれだけでは十分ではありません。一般消費者から企業まで、調達者自身が制度で可視化されたセキュリティ品質を確認し、自ら求めるレベルの製品を選定する「セキュア・バイ・デマンド」も重要です。
作る側と選ぶ側、その両方のサイクルが回り出した先に、さまざまな製品がインターネットにつながる便利な社会があり、そしてそれを安心して利用できるIoT社会が実現されると再確認しました。中崎先生、吉岡先生、本日はありがとうございました。
