英国 製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法案 at 2021.11.24

こんにちは、丸山満彦です。

英国は、スマートフォン、スマート◯◯◯といった、インターネットに接続する製品（PCは対象外）について

1. 安易なデフォルトパスワードの禁止

2. 脆弱性開示ポリシーの義務付け

3. セキュリティアップデートを受ける期間に関する情報開示の義務付け

を要求する製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法案を提出していますね。。。

メーカーだけでなく、輸入業者も対象のようです。。。

違反者には、最高1000万ポンドまたは世界売上の4%の罰金が課されるという感じですね。。。

 

法案はこちら。。。

● U.K. Parliament

・Product Security and Telecommunications Infrastructure Bill

・2021.11.24 [PDF]

 

英国政府のプレス発表等

● U.K. Government - Department for Digital, Culture, Media & Sport

・2021.11.24 (Press) New cyber laws to protect people’s personal tech from hackers

New cyber laws to protect people’s personal tech from hackers	ハッカーから個人所有の機器を守る新しいサイバー法の制定について
Consumers will be better protected from attacks by hackers on their phones, tablets, smart TVs, fitness trackers and other internet-connectable devices thanks to a new world-leading law introduced today by the government.	本日、政府が発表した世界最先端の新法により、消費者は、携帯電話、タブレット、スマートテレビ、フィットネストラッカー、その他のインターネット接続可能な機器に対するハッカーの攻撃から、よりよく保護されることになります。
・Bill to better protect people’s smartphones, TVs, speakers, toys and other digital devices from hackers	・スマートフォン、テレビ、スピーカー、玩具などのデジタル機器をハッカーから守るための法案です。
・Will prevent the sale of consumer connectable products in the UK that do not meet baseline security requirements	・基本的なセキュリティ要件を満たしていない消費者向けの接続可能な製品の英国内での販売を阻止する。
・Comes as research shows four in five manufacturers of connectable products do not implement appropriate security measures	・調査によると、接続可能な製品のメーカーの5社中4社が適切なセキュリティ対策を実施していません。
・Includes plans for fines up to £10 million or up to 4 per cent of global revenue for firms failing to comply	・コンプライアンスに違反した企業には、最高1,000万ポンドまたは全世界の売上高の4％までの罰金が科せられる予定です。
A new law will require manufacturers, importers and distributors of digital tech which connects to the internet or other products to make sure they meet tough new cyber security standards - with heavy fines for those who fail to comply.	インターネットに接続するデジタル機器やその他の製品の製造業者、輸入業者、販売業者に対して、厳しいサイバーセキュリティ基準を満たすことを義務付ける法律が新たに制定され、これに従わない企業には重い罰金が科せられます。
The Product Security and Telecommunications Infrastructure Bill (PSTI), introduced to Parliament today, will allow the government to ban universal default passwords, force firms to be transparent to customers about what they are doing to fix security flaws in connectable products, and create a better public reporting system for vulnerabilities found in those products.	本日、国会に提出された「製品セキュリティおよび通信インフラ法案」（PSTI）により、政府は、ユニバーサルデフォルトパスワードの禁止、接続可能な製品のセキュリティ上の欠陥を修正するために企業が行っていることの顧客への透明性の確保、およびこれらの製品に発見された脆弱性のより良い公開報告システムの構築を行うことができます。
The Bill will also speed up the roll out of faster and more reliable broadband and mobile networks by making it easier for operators to upgrade and share infrastructure. The reforms will encourage quicker and more collaborative negotiations with landowners hosting the equipment, to reduce instances of lengthy court action which are holding up improvements in digital connectivity.	また、事業者によるインフラのアップグレードや共有を容易にすることで、より高速で信頼性の高いブロードバンドおよびモバイルネットワークの展開を加速させます。この改革により、機器を設置している土地所有者との交渉が迅速かつ協力的に行われるようになり、デジタル接続の改善を妨げている長引く裁判の事例を減らすことができます。
Minister for Media, Data and Digital Infrastructure Julia Lopez said:	ジュリア・ロペス メディア・データ・デジタルインフラ担当大臣は次のように述べています。
”Every day hackers attempt to break into people’s smart devices. Most of us assume if a product is for sale, it’s safe and secure. Yet many are not, putting too many of us at risk of fraud and theft.”	「ハッカーは毎日のように人々のスマートデバイスへの侵入を試みています。私たちの多くは、製品が販売されていれば、それは安全でセキュアなものだと思っています。しかし、多くの製品は安全ではなく、多くの人々が詐欺や窃盗の危険にさらされています。」
”Our Bill will put a firewall around everyday tech from phones and thermostats to dishwashers, baby monitors and doorbells, and see huge fines for those who fall foul of tough new security standards.”	「私たちの法案は、電話、サーモスタット、食器洗浄機、ベビーモニター、ドアベルなど、日常的に使われているハイテク製品にファイアウォールを設置し、厳しい新セキュリティ基準に違反した者には巨額の罰金を科すものです。」
The ownership and use of connected tech products has increased dramatically in recent years. On average there are nine in every UK household, with forecasts suggesting there could be up to 50 billion worldwide by 2030. People overwhelmingly assume these products are secure, but only one in five manufacturers have appropriate security measures in place for their connectable products.	近年、コネクテッドテクノロジー製品の所有と使用は劇的に増加しています。英国の各家庭には平均して9台が設置されており、2030年には世界で500億台に上ると予測されています。人々はこれらの製品が安全であると考えていますが、接続可能な製品に適切なセキュリティ対策を施しているメーカーは5社に1社しかありません。
Cyber criminals are increasingly targeting these products. A recent investigation by Which? found a home filled with smart devices could be exposed to more than 12,000 hacking or unknown scanning attacks from across the world in a single week.	サイバー犯罪者がこれらの製品を狙うケースも増えています。Which? が最近行った調査によると、スマートデバイスで満たされた家庭は、1週間で世界中から12,000以上のハッキングや未知のスキャン攻撃にさらされる可能性があります。
And, in the first half of 2021, there were 1.5 billion attempted compromises of Internet of Things (IoT) devices, double the 2020 figure. The UK’s National Cyber Security Centre last week revealed it had dealt with an unprecedented number of cyber incidents over the past year.	また、2021年上半期には、モノのインターネット（IoT）機器への危害の試みが15億件あり、2020年の2倍となっています。英国の国立サイバーセキュリティセンターは先週、過去1年間で前例のない数のサイバーインシデントに対処したことを明らかにしました。
Currently the makers of digital tech products must comply with rules to stop them causing people physical harm from issues such as overheating, sharp components or electric shock. But there is no regulation to protect consumers from harm caused by cyber breaches, which can include fraud and theft of personal data.	現在、デジタル技術製品のメーカーは、過熱、鋭利な部品、感電などの問題によって人々に物理的な損害を与えることを防止するための規則を遵守しなければなりません。しかし、詐欺や個人情報の窃盗など、サイバー犯罪による被害から消費者を守るための規制はありません。
The PSTI Bill will counter this threat by giving ministers new powers to bring in tougher security standards for device makers. This includes:	PSTI法案は、このような脅威に対抗するため、機器メーカーに対してより厳しいセキュリティ基準を導入するための新たな権限を閣僚に与えるものです。これには以下が含まれます。
・A ban on easy-to-guess default passports that come preloaded on devices - such as ‘password’ or ‘admin’ - which are a target for hackers. All passwords that come with new devices will need to be unique and not resettable to any universal factory setting.	・ハッカーの標的となる「password」や「admin」など、デバイスにあらかじめ設定されている推測しやすいデフォルトのパスポートを禁止すること。新しい機器に搭載されるすべてのパスワードは一意でなければならず、工場出荷時の普遍的な設定にリセットすることはできません。
・A requirement for connectable product manufacturers to tell customers at the point of sale, and keep them updated, about the minimum amount of time a product will receive vital security updates and patches. If a product does not come with security updates that must be disclosed. This will increase people’s awareness about when the products they buy could become vulnerable so they can make better informed purchasing decisions. Nearly 80 per cent of these firms do not have any such system in place.	・接続可能な製品のメーカーは、製品が重要なセキュリティアップデートやパッチを受け取る最低期間を販売時に顧客に伝え、常に最新の情報を提供する必要があります。また、セキュリティアップデートが提供されない製品については、その旨を開示すること。これにより、購入した製品にいつ脆弱性が生じるかについて人々の意識が高まり、より多くの情報を得た上で購入の意思決定を行うことができるようになります。これらの企業の約80％は、そのようなシステムを導入していません。
・New rules that require manufacturers to provide a public point of contact to make it simpler for security researchers and others to report when they discover flaws and bugs in products	・セキュリティ研究者やその他の人々が製品の欠陥やバグを発見した際の報告を容易にするために、メーカーに公的な連絡先を提供することを義務付ける新規則
The Bill places duties on in-scope businesses to investigate compliance failures, produce statements of compliance, and maintain appropriate records of this.	法案では、対象となる企業に対して、コンプライアンス違反を調査し、コンプライアンスに関する声明を作成し、これに関する適切な記録を維持する義務を課しています。
This new cyber security regime will be overseen by a regulator, which will be designated once the Bill comes into force, and will have the power to fine companies for non-compliance up to £10 million or four per cent of their global turnover, as well as up to £20,000 a day in the case of an ongoing contravention.	この新たなサイバーセキュリティ体制は、法案の施行後に指定される規制当局によって監督され、コンプライアンス違反を犯した企業に対して、最高1,000万ポンドまたは全世界の売上高の4％、継続的に違反している場合は1日あたり最高2万ポンドの罰金を科す権限を有します。
The regulator will also be able to issue notices to companies requiring that they comply with the security requirements, recall their products, or stop selling or supplying them altogether. As new threats emerge or standards develop, ministers will have the power to mandate further security requirements for companies to follow via secondary legislation.	また、規制当局は、企業に対して、セキュリティ要件の遵守、製品の回収、または製品の販売・供給の全面的な停止を求める通知を発行することができるようになります。新たな脅威の発生や基準の策定に伴い、大臣は二次的な法律によって企業にさらなるセキュリティ要件を義務付ける権限を有します。
The new laws will apply not only to manufacturers, but also to other businesses including both physical shops and online retailers which enable the sale of millions of cheap tech imports into the UK.	この新しい法律は、メーカーだけでなく、英国で何百万もの安価な輸入技術製品の販売を可能にしている実店舗やオンライン小売店など、その他の企業にも適用されます。
Retailers will be forbidden from selling products to UK customers unless they meet the security requirements and will be required to pass important information about security updates on to customers.	小売業者は、セキュリティ要件を満たしていない製品を英国の顧客に販売することを禁じられ、セキュリティアップデートに関する重要な情報を顧客に提供することが求められることになります。
The Bill applies to ‘connectable’ products, which includes all devices that can access the internet - such as smartphones, smart TVs, games consoles, security cameras and alarm systems, smart toys and baby monitors, smart home hubs and voice-activated assistants and smart home appliances such as washing machines and fridges.	この法案は、スマートフォン、スマートテレビ、ゲーム機、防犯カメラやアラームシステム、スマートトイやベビーモニター、スマートホームハブや音声認識アシスタント、洗濯機や冷蔵庫などのスマート家電など、インターネットにアクセスできるすべての機器を含む「接続可能な」製品に適用されます。
It also applies to products that can connect to multiple other devices but not directly to the internet. Examples include smart light bulbs, smart thermostats and wearable fitness trackers.	また、他の複数の機器に接続できるが、インターネットには直接接続できない製品にも適用されます。例えば、スマート電球、スマートサーモスタット、ウェアラブル・フィットネストラッカーなどです。
NCSC Technical Director Dr Ian Levy, said:	NCSCテクニカルディレクターのイアン・レヴィ博士は次のように述べています。
"I am delighted by the introduction of this bill which will ensure the security of connected consumer devices and hold device manufacturers to account for upholding basic cyber security."	「この法案が導入されたことで、接続された消費者機器のセキュリティを確保し、機器メーカーに基本的なサイバーセキュリティを守る責任を負わせることができるようになり、大変嬉しく思います。」
"The requirements this bill introduces – which were developed jointly by DCMS and the NCSC with industry consultation – mark the start of the journey to ensure that connected devices on the market meet a security standard that’s recognised as good practice."	「本法案が導入する要件は、DCMSとNCSCが業界の協議を経て共同で策定したもので、市場に流通するコネクテッドデバイスがグッドプラクティスと認められるセキュリティ基準を満たすようにするための第一歩となります。」
Just one vulnerable device can put a user’s network at risk. In 2017, attackers infamously succeeded in stealing data from a North American casino via an internet-connected fish tank. In extreme cases hostile groups have taken advantage of poor security features to access people’s webcams.	脆弱なデバイスが1台あるだけで、ユーザーのネットワークは危険にさらされます。2017年には、インターネットに接続された水槽を経由して北米のカジノからデータを盗み出すことに成功した攻撃者が有名です。極端な例では、敵対的なグループがセキュリティ機能の低さを利用して人々のウェブカムにアクセスしたこともあります。
The government intends to exempt some products - for instance, where it would subject them to double regulation or not lead to material improvements in product or user security. This includes vehicles, smart meters, electric vehicle charging points and medical devices.	政府は、二重規制の対象となる場合や、製品やユーザーのセキュリティの実質的な向上につながらない場合など、一部の製品を除外する方針です。対象となるのは、自動車、スマートメーター、電気自動車用充電ポイント、医療機器などです。
Desktop and laptop computers are not in scope because they are served by a mature antivirus software market, unlike smart speakers and other emerging consumer tech. Operating systems on laptops and PCs already include security features which means they are not subject to the same threats and risks.	デスクトップPCやラップトップPCは、スマートスピーカーなどの新興消費財とは異なり、成熟したウイルス対策ソフトウェア市場で提供されているため、対象外となります。ノートパソコンのOSにはすでにセキュリティ機能が搭載されているため、同じような脅威やリスクにさらされることはありません。
Second-hand connectable products will be exempt due to the impractical obligations that including them would put on consumers and businesses disproportionate to the likely benefits. However, the Bill gives ministers powers to extend the scope of the Bill as cyber threats and risks change in future.	中古の接続可能な製品については、それらを含めることで消費者や企業に課せられる義務が非現実的であり、想定される利益と釣り合わないため、除外されます。ただし、本法案は、サイバー脅威やリスクの変化に応じて、法案の範囲を拡大する権限を閣僚に与えています。
Owners of consumer connectable products are encouraged to take action to ensure that they are using their devices safely, including following Cyber Aware guidance on improving online security. NCSC has also published guidance on using smart devices safely in the home.	消費者向けの接続可能な製品の所有者は、オンラインセキュリティの向上に関するCyber Aware社のガイダンスに従うなど、機器を安全に使用するための行動をとることが推奨されます。NCSCは、家庭内でのスマートデバイスの安全な使用に関するガイダンスも発表しています。
Rocio Concha, Which? Director of Policy and Advocacy, said:	政策・支持担当ディレクターのロシオ・コンチャは次のように述べています。
"Which? has worked with successive governments on how to crack down on a flood of poorly-designed and insecure products that leave consumers vulnerable to cyber-criminals – so it is positive that this Bill is being introduced to parliament."	「Which? は歴代政府と協力して、サイバー犯罪者に対して消費者を無防備にするような、デザイン性に欠けた安全性の低い製品の氾濫を取り締まる方法を検討してきましたので、今回の法案が議会に提出されることは喜ばしいことです。」
"The government needs to ensure these new laws apply to online marketplaces, where Which? has frequently found security-risk products being sold at scale, to prevent people from buying smart devices that leave them exposed to scams and data breaches."	「政府は、この新しい法律をオンラインマーケットプレイスにも適用し、人々が詐欺やデータ侵害にさらされるスマートデバイスを購入しないようにする必要があります。」
Telecoms infrastructure reforms	電気通信インフラの改革
Today the government also published its response to a consultation on proposed changes to the Electronic Communications Code (ECC).	本日、政府は、Electronic Communications Code (ECC)の変更案に関するコンサルテーションへの回答も発表しました。
Telecoms operators and landowners are experiencing difficulties when negotiating requests for rights to install, use and upgrade telecoms infrastructure. These issues have slowed down the roll out of better mobile and broadband coverage for some homes and businesses, with negotiations taking longer than they should and some cases ending up tangled in lengthy and costly court proceedings.	通信事業者と土地所有者は、通信インフラの設置、使用、アップグレードのための権利要求について交渉する際に困難を感じています。これらの問題は、一部の家庭や企業における携帯電話やブロードバンドの普及を遅らせる原因となっており、交渉には必要以上の時間がかかり、中には時間と費用のかかる裁判にまで発展してしまうケースもあります。
Further problems include landowners failing to reply to requests to access land for network deployment, and strict limitations on operators’ ability to upgrade and share their equipment which are stopping existing networks being used as efficiently as possible.	さらに、土地所有者がネットワーク展開のための土地への立ち入りを要求しても応じてくれないことや、事業者が機器をアップグレードしたり共有したりすることを厳しく制限していることなどが、既存のネットワークを可能な限り効率的に利用することを妨げています。
The PSTI Bill will tackle many of these issues through a range of measures designed to foster more collaborative and quicker negotiations, and better working relationships between mobile network operators and landowners. This includes:	PSTI法案は、携帯電話事業者と土地所有者がより協力的で迅速な交渉を行い、より良い関係を築くことを目的とした様々な措置を講じることで、これらの問題の多くに対処します。これには以下が含まれます。
・A new requirement for telecoms operators to consider the use of Alternative Dispute Resolution (ADR) - a way of resolving disputes that does not involve going to court such as mediation or arbitration - in cases where there are difficulties in agreeing terms. Operators will also be required to explain the availability of ADR as an option in their notices to landowners.	・通信事業者は、条件の合意が困難な場合、ADR（Alternative Dispute Resolution：調停や仲裁などの裁判によらない紛争解決方法）の利用を検討することを新たに義務付ける。また、事業者は土地所有者への通知の中で、オプションとしてADRの利用が可能であることを説明することが求められます。
・New automatic rights for operators to upgrade and share underground infrastructure - such as fibre optic cables - which were installed prior to the 2017 Code reforms and are not currently covered. This is in cases where there will be no impact on private land or burden on the site provider.	・2017年のコード改革以前に設置され、現在はカバーされていない光ファイバーケーブルなどの地下インフラをアップグレードしたり共有したりする事業者の新たな自動権利。これは、私有地への影響やサイト提供者への負担がない場合のものです。
・New rules to allow operators to apply for time-limited access to certain types of land more quickly where a landowner does not respond to repeated requests for permission.	・土地所有者が何度も許可を求めても応じない場合に、事業者が特定の種類の土地への期間限定のアクセスをより迅速に申請できるようにする新規定。
・New provisions to speed-up negotiations for renewal agreements. Operators who already have infrastructure installed under an expired agreement will have the right to either renew it on similar terms to those for new agreements, or request a new one.	・更新契約の交渉を迅速に行うための新たな規定。期限切れの契約に基づいて既にインフラを設置している事業者は、新規契約と同様の条件で契約を更新するか、新たな契約を要求する権利を有します。
The measures are vital for the government-led £1 billion Shared Rural Network which will roll out fast and reliable 4G coverage to 95 per cent of UK landmass, as well as hitting the government’s target of 85 per cent gigabit-capable broadband coverage by 2025 and for the majority of the population to be in reach of a 5G network by 2027.	今回の措置は、政府が主導する10億ポンド規模の「Shared Rural Network」にとって不可欠なものです。このネットワークは、英国の国土の95％に高速で信頼性の高い4Gサービスを提供するほか、2025年までに85％のギガビット対応ブロードバンドサービスを提供し、2027年までに人口の大部分が5Gネットワークに接続できるようにするという政府の目標を達成するためにも必要です。
ENDS	ENDS
Notes to Editors:	編集者への注釈
The government has also today published its response to a Call for Evidence on the Access to Infrastructure Regulations which includes measures to make existing regulations easier to use and amend in future.	また、政府は本日、インフラアクセス規制に関する意見募集への回答を発表しました。この回答には、既存の規制をより使いやすくし、将来的に修正しやすくするための方策が含まれています。
The security requirements that relate to the powers set out in Part 1 of the Bill are to be introduced in regulations and are based on the 2018 Code of Practice for Consumer Internet of Things Security and the European Standard on Internet of Things Security, ETSI EN 303 645, which include thirteen outcome-focused guidelines that are widely considered good practice in IoT security.	法案の第1部で定められた権限に関連するセキュリティ要件は、規制で導入される予定であり、IoTセキュリティのグッドプラクティスとして広く考えられている13のアウトカムに焦点を当てたガイドラインを含む「2018 Code of Practice for Consumer Internet of Things Security」と「European Standard on Internet of Things Security, ETSI EN 303 645」に基づいています。

 

・2021.11.24 Collection The Product Security and Telecommunications Infrastructure (PSTI) Bill - factsheets

・2021.11.24 Guidance The Product Security and Telecommunications Infrastructure (PSTI) Bill – product security factsheet

・2021.11.24 Guidance The Product Security and Telecommunications Infrastructure (PSTI) Bill - telecoms infrastructure factsheet