IPA、JC-STARとPSTI法との相互承認を開始
独立行政法人情報処理推進機構(以下、IPA)は2026年1月14日、2026年1月1日より、Product Security & Telecommunication Infrastructure Act(PSTI法)との相互承認を開始したと発表した。
JC-STAR取得製品でPSTI法適合を証明する仕組み
JC-STAR適合ラベルを取得した製品について、英国PSTI法への適合を示したい場合、申請者はIPA(情報処理推進機構)に対して所定の申請書類を提出する必要がある。
申請方法は大きく2通りに分かれる。
- JC-STAR適合ラベル申請と同時に行う場合
適合ラベル申請書内の「任意:PSTI法適合申請シート」を記入し、同時に提出する。 - 既にJC-STAR適合ラベルを取得している場合
「PSTI法適合申請書」を別途作成し、提出する。
いずれの場合も、IPAによる確認手続および適合ラベル交付を経て、
- 適合ラベル取得製品情報ページ
- PSTI法適合宣言製品リスト
の双方に製品情報が掲載されることが、PSTI法適合の前提条件となる。
英国向け製品で必須となる英語対応
PSTI法では、以下の情報提供を英語で行うことが求められている。
- 製品情報の提供
- 脆弱性情報の公開
- 脆弱性報告窓口の設置
JC-STAR取得時に、日本語のみで情報提供や窓口設置を行っている場合には注意が必要である。
PSTI法適合申請を行う前に、英語対応を完了させておく必要がある。
PSTI法が求める3つのセキュリティ要件とJC-STARの関係
PSTI法では、PSTI法では、IoT製品に対して以下3点のセキュリティ要件を義務付けている。
- 出荷時の共通パスワード設定の禁止
- 脆弱性情報の報告方法の提供
- 製品のセキュリティサポート期間の明示
一定の条件を満たした上で「PSTI法適合宣言製品リスト」に掲載されたJC-STAR取得製品は、
英国市場において、JC-STAR適合ラベルを外部から確認できる形で掲示することにより、これら3要件に適合しているとみなされる。
相互承認されているのは「JC-STAR★1」のみ
現時点で、英国PSTI法との相互承認が認められているのは「JC-STAR★1」適合ラベルのみである。
そのため、JC-STAR★2以上を取得している製品であってもPSTI法適合を証明する場合には同一登録番号の「★1」適合ラベルが新たに交付され、英国市場では★1ラベルを使用する必要がある。
事業者が注意すべきPSTI法上の義務
PSTI法は、単なるラベル取得で完結する制度ではない。
事業者には、継続的な義務が課される。
主な注意点は以下のとおりである。
- 適合宣言書(またはその写し)を、発行日から10年間またはサポート期間終了まで保管する義務
- 公表したサポート期間を、後から短縮することは禁止
- 不適合の疑義が生じた場合の調査義務
- セキュリティ違反を認識した後の是正義務
- 脆弱性対応や市場監視対応の記録を10年間保管する義務
英国の規制当局であるOPSS(Office for Product Safety and Standards)は市場監視を実施しており、非準拠製品が確認された場合には罰金が科される可能性がある。
なお、北アイルランドはPSTI法の適用対象外である。
PSTI法適合製品からJC-STARを取得する場合
既にPSTI法に適合している製品については、JC-STAR取得時に一部要件が簡略化される。
PSTI法適合製品は、JC-STAR★1において以下の適合基準への適合が認められる。
- 共通でないデフォルトパスワード
- 脆弱性開示ポリシー
- 製品情報の提供
これらに対応するチェックリスト項目は免除され、申請手数料も減額される。
JC-STAR★1の申請手数料は、通常198,000円(税込)のところ、PSTI法適合製品では140,000円(税込)である。
グローバル展開を見据えたIoTセキュリティ対応へ
JC-STARとPSTI法の相互承認は、日本国内向け認証と海外規制を橋渡しする重要な仕組みである。
一方で、英語対応、長期の記録保管、サポート期間管理など、運用面の負担は決して小さくない。
今後、IoT製品のグローバル展開を視野に入れる事業者にとって、
「認証取得」と「継続的なセキュリティ運用」を一体として捉える姿勢が、これまで以上に求められるそうだ。
