英国のPSTI法|IoT製品に求められるサイバーセキュリティ規制の要点
英国で施行されたPSTI法(製品セキュリティおよび電気通信インフラ法)の概要、対象製品、企業が
遵守すべきサイバーセキュリティ要件、および対応策について解説します。
本記事を読むことで、PSTI法の3つのコア要件を正しく理解し、罰則リスクを回避しながら英国市場
での競争力を高めるための具体的な対応方法が分かります。
目次
PSTI法とは? 英国の新しいサイバーセキュリティ法
英国で2022年に制定されたPSTI法は、IoT製品のサイバーセキュリティを強化するための法律です。
本章では、法律の基本的な枠組み、適用される製品の範囲、そして違反時の罰則について解説します。
PSTI法の概要
PSTI法は、IoT製品のセキュリティを強化し、サイバー攻撃から消費者を守るために制定された包括的
な法律です。
PSTI法(Product Security and Telecommunications Infrastructure Act 2022)は、IoT製品のセキュ
リティを強化し、サイバー攻撃から消費者を保護するために英国で制定された法律です。
この法律は2つの主要な柱で構成されています。第1部では製品のセキュリティ規制を定め、IoT機器の
サイバーセキュリティ基準を明確化しています。第2部では通信インフラに関する規制を規定していま
す。本記事では、主に製品セキュリティに関する第1部の要件に焦点を当てて解説します。
適用範囲と対象製品
インターネットまたはネットワークに接続可能なすべての製品が対象となり、スマートフォンから
スマート家電まで幅広いIoT機器が含まれます。
PSTI法は、インターネットに直接接続できる製品、またはネットワークに接続可能なすべての製品を
対象としています。具体的には以下のような製品が含まれます。
- スマートフォン
- スマートTV
- スマート家電(冷蔵庫、洗濯機、エアコンなど)
- ネットワークカメラ・監視カメラ
- スマートホーム機器(スマートスピーカー、スマートロックなど)
- ウェアラブルデバイス
- その他のIoT機器
ただし、一部の製品は適用対象外となります。特定の医療機器、スマートメーター、電気自動車の充電
ポイントなどは、別の規制体系で管理されているため、PSTI法の対象から除外されています。
法的拘束力と罰則
PSTI法違反には、最大1,000万ポンドまたは全世界年間売上高の4%という厳格な罰則が設けられてい
ます。
PSTI法は強い法的拘束力を持ち、違反した場合には厳しい罰則が科せられます。違反企業には、最大
で1,000万ポンドまたは全世界の年間売上高の4%のいずれか高い方の罰金が科せられる可能性があり
ます。
この厳格な罰則により、英国市場でIoT製品を販売する企業にとって、PSTI法への適合は避けて通れな
い重要課題となっています。
PSTI法が定める3つのコア要件と企業の義務
PSTI法では、デフォルトパスワードの禁止、脆弱性報告窓口の設置、セキュリティサポート期間の
明示という3つの主要要件が定められています。
これらの要件は製造者だけでなく、輸入者や販売者にも適用されます。
3つのコア要件
製造事業者が遵守すべき3つの主要なセキュリティ要件について、それぞれ詳しく解説します。
推測しやすいデフォルトパスワードの禁止
工場出荷時に設定される、推測が容易な共通のデフォルトパスワードの使用が禁止されています。
「admin」「password」「12345」などの単純なパスワードをデフォルトとして設定することはでき
ません。
各製品には固有のパスワードを設定するか、初回セットアップ時にユーザー自身が安全なパスワードを
設定するよう促す仕組みが必要です。
これにより、サイバー攻撃者が既知のデフォルトパスワードを使って複数のデバイスに侵入すること
を防ぎます。
脆弱性報告窓口の設置と明示
製品の使用者が、無料で(ログインなども必要なく)製品の脆弱性を製造業者に報告するための窓口を
用意し、わかりやすく明示することが義務付けられています。
この窓口情報は、製品のマニュアルやウェブサイトなどで消費者が容易にアクセスできる形で提供され
る必要があります。これにより、セキュリティ研究者や一般ユーザーが発見した脆弱性を迅速に製造業
者に報告でき、早期の対応が可能となります。
セキュリティサポート期間の明示
製品のセキュリティアップデートを提供する期間を、ウェブサイトなどで消費者に事前に告知し、購入
前に知らせることが義務付けられています。
消費者は製品購入時に、どのくらいの期間セキュリティサポートが提供されるのかを把握した上で、
購入を判断できるようになります。
これにより、セキュリティサポートが終了した製品が使い続けられることによるリスクを低減します。
製造事業者、輸入者、販売者の義務
PSTI法は製造者だけでなく、サプライチェーン全体に義務を課す包括的な規制です。
PSTI法では、製造者だけでなく、輸入者や販売者にも特定の義務が課せられるため、
サプライチェーン全体での対応が必要となります。
【製造者の主な義務】
- 上記3つのコア要件の遵守
- 適合宣言書の作成・発行
- 技術文書(テクニカルファイル)の準備・保管
- 製品への適切な情報の表示
【輸入者・販売者の義務】
- 製品がPSTI法の要件を満たしていることの確認
- 適切な文書類の保管
- 当局からの要請への対応
サプライチェーン全体で責任を共有することで、英国市場に流通するすべてのIoT製品のセキュリティ
レベルを確保する仕組みとなっています。
PSTI法への対応プロセスと専門機関の役割
PSTI法への適合には、対象製品の特定から適合宣言まで体系的なアプローチが必要です。
本章では、具体的な対応ステップと、専門機関を活用するメリットについて解説します。
対応プロセスの4つのステップ
PSTI法への適合は、製品の特定、設計改善、評価、宣言という4つのステップで進めます。
【ステップ1】対象製品の特定とギャップ分析
まず、自社製品がPSTI法の対象となるかを確認します。対象製品である場合、現状の製品仕様や
セキュリティ機能と、PSTI法の要件との間にどのようなギャップがあるかを詳細に分析します。
この段階では、デフォルトパスワードの設定状況、脆弱性報告窓口の有無、セキュリティサポート期間
の告知方法などを確認し、改善が必要な点を明確にします。
【ステップ2】製品設計の改善
ギャップ分析の結果に基づき、製品のセキュリティ設計を改善します。具体的には以下のような対策を
実装します。
- デフォルトパスワードの変更機能の実装
- 初回セットアップ時の強制的なパスワード設定
- 脆弱性報告フォームの設置とアクセス方法の明示
- セキュリティアップデート配信システムの構築
- サポート期間情報の表示方法の整備
【ステップ3】適合性評価と文書化
改善した製品が要件を満たしていることを証明する試験を実施し、その結果を記録します。
また、技術文書(テクニカルファイル)を作成し、製品の設計、セキュリティ機能、試験結果などを体系
的にまとめます。
この技術文書は、当局から要請があった場合に提出できるよう、
適切に保管・管理する必要があります。
【ステップ4】適合宣言と製品情報の表示
すべての要件を満たしたことを確認した後、適合宣言書を作成・発行します。
また、製品や付属資料に必要な情報(製造業者名、連絡先、サポート期間など)を適切に表示します。
外部パートナーに依頼するメリット
厳格な罰則を考慮すると、専門知識を持つ第三者機関のサポートが不可欠です。
【専門機関に依頼する主なメリット】
- 最新の規制動向の把握: 規制の解釈や運用方法は時間とともに変化します。専門機関は常に最新情報を追跡し、適切な対応方法を提案できます。
- 要件の正確な解釈: 法規制の文言は専門的で複雑な場合があります。専門家による正確な解釈により、過不足のない対応が可能になります。
- 試験・評価の信頼性: 適合性を証明する試験を適切な設備と専門知識で実施できます。
- 文書作成の効率化: 適合宣言書や技術文書の作成を効率的に進められます。
- リスクの最小化: 不適合による罰則リスクを最小限に抑えられます。
外部の専門機関を活用することで、コンプライアンスを確実に達成し、ビジネスへの影響を最小限に
抑えながらPSTI法への対応を進めることができます。
インターテックのPSTI法適合支援サービス
インターテックは、グローバルネットワークと豊富な実績を活かし、PSTI法への適合を包括的に
サポートします。初期評価から適合宣言書発行まで、ワンストップでのサービス提供が可能です。
- PSTI法適用可否の判断支援
- 現状製品のギャップ分析
- 要件適合のための技術コンサルティング
- 適合性評価試験の実施
- 技術文書作成支援
- 適合宣言書発行サポート
インターテックは、お客様の英国市場でのビジネス成功をサポートするパートナーとして、
PSTI法への確実な適合をお手伝いいたします。
【インターテックに依頼するメリット】
- グローバルな専門知識と実績
英国をはじめとする欧州市場の規制に精通しており、PSTI法のような新しい規制にも迅速に対応
できる体制を整えています。
- 包括的なサポート体制
お客様の製品特性や事業規模に応じて、最適な対応プランを提案いたします。
- グローバルネットワークの活用
英国をはじめとする各国の試験所と連携し、複数市場への同時対応や、将来的な規制拡大にも柔軟に
対応できます。
PSTI法への対応で英国市場での信頼を築く
PSTI法は、英国市場でIoT製品を販売するすべての企業にとって避けて通れない重要な規制です。
憶測しやすいデフォルトパスワードの禁止、脆弱性報告窓口の設置、セキュリティサポート期間の明示
という3つのコア要件を中心に、製品のサイバーセキュリティ強化が求められています。
これらの要件への適合は、単なる法的義務の履行にとどまりません。
適切なセキュリティ対策を実装し、それを消費者に明確に示すことで、製品の信頼性が高まり、
英国市場での競争力向上につながります。
セキュリティに配慮した製品は、消費者からの信頼を獲得し、ブランド価値を高める重要な差別化要因
となるのです。
厳格な罰則を考慮すると、PSTI法への対応は専門的な知識と経験を持つパートナーと協力して
進めることが賢明です。
インターテックは、100年以上にわたる試験・認証の実績と、グローバルなネットワークを活かし、
お客様の英国市場での成功をサポートいたします。ぜひお気軽にご相談ください。
この記事を書いた人
