英国 2022年製品セキュリティ・通信インフラ制度のウェブページ(Product Security and Telecommunications Infrastructure Act 2022 関係)
こんにちは、丸山満彦です。
英国の製品セキュリティ・通信インフラ制度のウェブページの紹介です。。。製品セキュリティ・通信インフラ法 (Product Security and Telecommunications Infrastructure Act 2022; PSTI Act 2022) や解説などもありますね。。。。2024年4月29日に施行されますね。。。
EUもサイバーレジリエンス法が決まりそうだし、米国も大統領令でIoTセキュリティの自主的な認証制度(サイバートラスト・マーク)を始めますし、日本も経済産業省でIoTセキュリティの制度についての検討が進んでいますし。。。
先陣を切って英国からですかね。。。
● GOV.UK
2024.01.26にアップデートされているようです。。。
・2024.01.26 The UK Product Security and Telecommunications Infrastructure (Product Security) regime
The UK Product Security and Telecommunications Infrastructure (Product Security) regime | 英国の製品セキュリティおよび電気通信インフラ(製品セキュリティ)制度 |
The UK’s consumer connectable product security regime comes into effect on 29 April 2024. Businesses in the supply chains of these products need to be compliant with the legislation from that date. | 英国の消費者向け接続可能製品のセキュリティ制度は、2024年4月29日に開始する。これらの製品のサプライチェーンに含まれる企業は、この日から法令に準拠する必要がある。 |
From: | 以下より: |
Department for Science, Innovation and Technology and Viscount Camrose | 科学技術革新省とカムローズ子爵 |
Published | 発行 |
29-Apr-23 | 2023年4月29日 |
Last updated | 最終更新日 |
Documents | ドキュメント |
> | 2022年製品安全および電気通信インフラ法 - その1 |
2022年製品安全および電気通信インフラ法に関する説明文書 | |
製品セキュリティおよび電気通信インフラ(関連接続可能製品に対するセキュリティ要件)規則2023 | |
製品セキュリティおよび電気通信インフラ(関連する接続可能な製品に対するセキュリティ要件)規則2023に対する説明文書 | |
ETSI EN 303 645:消費者向けモノのインターネットのサイバーセキュリティ: ベースライン要件 | |
Details | 詳細 |
The UK’s consumer connectable product security regime comes into effect on 29 April 2024. | 英国の消費者向け接続可能製品のセキュリティ体制は、2024年4月29日に施行される。 |
From that date, the law will require manufacturers of UK consumer connectable products (or ‘smart’ products) to comply with the relevant obligations set out in the Act, which include ensuring they and their products meet the relevant minimum security requirements. | この法律により、英国の消費者向け接続可能製品(または「スマート」製品)の製造事業者は、同法に定められた関連義務を遵守することが義務付けられる。 |
The regime comprises of two pieces of legislation: | この制度は2つの法律で構成されている: |
・Part 1 of the Product Security and Telecommunications Infrastructure (PSTI) Act 2022; and | ・2022年製品セキュリティおよび電気通信インフラ(PSTI)法第1部、および |
・The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023. | ・製品セキュリティおよび電気通信インフラストラクチャー(関連接続可能製品のセキュリティ要件)規則2023。 |
The PSTI Act received Royal Assent in December 2022. The government published a full draft of the PSTI (Security Requirements for Relevant Connectable Products) Regulations in April 2023. These regulations were signed into law on 14 September 2023. This guidance page highlights the key provisions businesses should consider in seeking to comply with the regime. | PSTI法は2022年12月に勅許を得た。政府は2023年4月にPSTI(関連接続可能製品のセキュリティ要件)規則の全ドラフトを公表した。これらの規則は2023年9月14日に署名された。本ガイダンスのページでは、企業が本規制に準拠するために考慮すべき主要な条項を紹介する。 |
Commencement of the regime | 制度の開始 |
Regulation 3 of The Product Security and Telecommunications Infrastructure Act 2022 (Commencement No. 2) Regulations 2023 provides that all parts of Part 1 of the Act not already in force come into force on 29 April 2024. | 製品セキュリティ・電気通信インフラ法2022 (Commencement No. 2) Regulations 2023の第3規則は、同法第1部のうちまだ施行されていないすべての部分が2024年4月29日に施行されることを規定している。 |
Regulation 1 of the PSTI (Security Requirements for Relevant Connectable Products) Regulations 2023 provides that those Regulations come into force on 29 April 2024. | PSTI(関連接続製品のセキュリティ要件)規則2023の規則1は、これらの規則が2024年4月29日に施行されることを規定している。 |
Persons subject to duties under the regime | 本制度に基づく義務の対象者 |
The economic actors to which the duties of the product security regime apply (“relevant persons”) are the manufacturers, importers, and distributors of relevant connectable products. | 製品セキュリティ制度の義務が適用される経済主体(「重要な製品」)は、関連接続可能製品の製造事業者、輸入事業者、頒布事業者である。 |
Section 7 of the Act provides definitions of these persons in relation to a product. | 同法第7条は、製品に関連するこれらの者の定義を定めている。 |
Where a manufacturer established abroad authorises a person in the United Kingdom, with the agreement of that person, to perform certain duties on their behalf, section 51 sets out that the authorised representative must comply with those duties, while stipulating that this does not affect the manufacturer’s liability for a failure to comply with a duty. | 外国に設立された製造事業者が、その者の同意を得て、英国にいる者に一定の義務を代行させる場合、第51条は、委任された代表者がその義務を遵守しなければならないことを定める一方、このことは、義務を遵守しなかった場合の製造事業者の責任には影響しないと規定している。 |
Duties of relevant persons | 関係者の義務 |
Chapter 2 of the Act sets out the duties of relevant persons. | 同法第2章は、関係者の義務を定めている。 |
Additionally, where a manufacturer has appointed an “authorised representative” as defined in section 51(2) of the act, section 13 of this chapter sets out duties that must be complied with by that authorised representative. | さらに、製造事業者が法第51条第2項に定義される「公認代表者」を任命している場合、本章第13項は、当該公認代表者が遵守すべき義務を定めている。 |
Certain duties under the regime require a relevant person to consider provisions of the Regulations to discharge those duties: | 本制度に基づく特定の義務は、関連者がその義務を果たすために規則の規定を考慮することを求めている: |
・Regulation 3 provides that the security requirements specified in schedule 1 to the Regulations apply to manufacturers of relevant connectable products. | ・規則3は、関連する接続可能製品の製造事業者に対し、規則別表1に定めるセキュリティ要件が適用されることを規定している。 |
・Regulation 7 provides that the information specified in schedule 4 to the regulations must be included in the statement of compliance. Manufacturers must produce a statement of compliance that includes all the information specified in schedule 4 and ensure that it accompanies the product to make it available. | ・規則7は、規則のスケジュール4に規定された情報を適合声明書に含めなければならないことを規定している。製造事業者は、スケジュール4に規定されたすべての情報を含む適合性確認書を作成し、製品に添付して利用できるようにしなければならない。 |
・Sections 15 and 22 of the PSTI Act further set out that importers and distributors respectively also have duties placed upon them to not make available a product unless it is accompanied by a statement of compliance. | ・PSTI法第15条と第22条はさらに、輸入事業者と頒布事業者はそれぞれ、適合説明書が添付されない限り、製品を入手可能な状態にしない義務を負うと定めている。 |
Additionally, regulations 8 and 9 set out the requirements for a manufacturer and an importer respectively to retain a copy of the statement of compliance. | さらに、規則第8条および第9条は、製造事業者および輸入事業者がそれぞれ適合宣言書の写しを保管する要件を定めている。 |
Relevant connectable products | 関連する接続可能製品 |
The conditions under which a relevant person is subject to a specific duty are set out in the section of the Act where that duty is provided for. Where these conditions, or the duty itself, relates to a “relevant connectable product”, section 4 of the Act provides for the definition of this term. A product is a relevant connectable product if it is an internet-connectable product or a network-connectable product, and not an excepted product. | 関連者が特定の関税を課される条件は、当該関税が規定されている法律の条文に定められている。これらの条件または義務そのものが「関連する接続可能な製品」に関するものである場合、法第4条にこの用語の定義が規定されている。製品がインターネット接続可能な製品またはネットワーク接続可能な製品であり、例外製品でない場合、製品は関連接続可能製品である。 |
Economic actors seeking to determine whether a product is a “relevant connectable product” should therefore review the definitions of “internet-connectable product” and “network-connectable product” provided for in section 5 of the Act, as well as the products specified as excepted products in schedule 3 to the Regulations. | したがって、ある製品が「関連する接続可能な製品」であるかどうかを判断しようとする経済主体は、同法第5条に規定されている「インターネット接続可能な製品」および「ネットワーク接続可能な製品」の定義、ならびに同規則のスケジュール3で除外製品として指定されている製品を確認する必要がある。 |
The Security Requirements | セキュリティ要件 |
The security requirements are actions that relevant businesses in the supply chain must take, or requirements that a product must meet, to address a security problem or eliminate a potential security vulnerability. | セキュリティ要件とは、セキュリティ上の問題に対処し、潜在的なセキュリティの脆弱性を排除するために、サプライチェーンの関連事業者が講じなければならない措置、または製品が満たさなければならない要件である。 |
Schedule 1 to the 2023 Regulations sets out the specific requirements that must be complied with in relation to relevant connectable products. | 2023年規則の別表1には、関連する接続可能な製品に関して遵守しなければならない具体的な要件が定められている。 |
1. Passwords | 1. パスワード |
Passwords must be unique per product; or capable of being defined by the user of the product. | パスワードは、製品ごとに一意であるか、製品のユーザーが定義できるものでなければならない。 |
Paragraph 1(3) of schedule 1 to the Regulations provides further requirements that relate to passwords which are unique per product. They must not be based on incremental counters; based on or derived from publicly available information; based on or derived from unique product identifiers, such as a serial number unless this is done using an encryption method, or keyed hashing algorithm, that is accepted as part of good industry practice; or otherwise easily guessable. | 規則別表1の第1項(3)は、製品ごとに一意であるパスワードに関する更なる要件を規定している。パスワードは、インクリメンタルカウンタに基づくもの、一般に入手可能な情報に基づくもの、一般に入手可能な情報に由来するもの、業界の適正な慣行の一部として認められている暗号化方法または鍵付きハッシュアルゴリズムを使用しない限り、シリアル番号などの一意の製品識別子に基づくもの、またはそれらに由来するものであってはならない、その他容易に推測可能なものであってはならない。 |
2. Information on how to report security issues | 2. セキュリティ問題の報告方法に関する情報 |
The manufacturer must provide information on how to report to them security issues about their product. The manufacturer must also provide information on the timescales within which an acknowledgment of the receipt of the report and status updates until the resolution of the reported security issues can be expected by person making the report. | 製造事業者は、製品に関するセキュリティ上の問題を報告する方法に関する情報を提供しなければならない。また、製造事業者は、報告者が報告を受領したことの確認と、報告されたセキュリ ティ問題の解決までの状況更新を期待できる期間に関する情報を提供しなければならない。 |
This information should be made available without prior request in English, free of charge. It should also be accessible, clear and transparent. | この情報は、事前の要請なしに、英語で、無料で提供されなければならない。また、アクセスしやすく、明瞭で透明性のあるものでなければならない。 |
3. Information on minimum security update periods | 3. 最低セキュリティ更新期間に関する情報 |
Information on minimum security update periods must be published and made available to the consumer in a clear accessible and transparent manner. This must be the minimum length of time security updates will be provided along with an end date. | 最低セキュリティ更新期間に関する情報は、明確でアクセス可能かつ透明性のある方法で公表され、消費者が入手できるようにされなければならない。この情報には、セキュリティ更新が提供される最短期間と、その終了日が記載されていなければならない。 |
This information should be available without prior request in English, free of charge and in a such a way that is understandable for a reader without prior technical knowledge. | この情報は、事前の要請なしに、英語で、無償で、専門知識のない読者にも理解できるように提供されなければならない。 |
Enforcement | 施行 |
The Office for Product Safety and Standards (OPSS) will be responsible for enforcing the PSTI Act 2022 and the 2023 Regulations from 29 April 2024, acting under an MoU with DSIT. | 製品安全基準局(OPSS)は、DSITとのMoUに基づき、2022年4月29日からPSTI法および2023年規則の施行に責任を負う。 |
OPSS is part of the Department for Business and Trade and already enforce the UK’s existing product safety regulations | OPSSは商務貿易省の一部であり、すでに英国の既存の製品安全規制を執行している。 |
OPSS will utilise existing processes and relationships to enforce the UK product security regime in a robust and risk-based manner and take appropriate and proportionate action against businesses that fail to comply with their obligations. | OPSSは既存のプロセスと関係を活用し、英国の製品安全規制を強固かつリスクベースで実施し、義務を遵守しない企業に対して適切かつ相応の措置を講じる。 |
Please visit the OPSS web page for further information on OPSS’s enforcement activity and how to work with the enforcing authority. | OPSSの取締り活動および取締り当局との協力方法に関する詳細は、OPSSのウェブページを参照されたい。 |
Resources | リソース |
OPSS and DSIT will continue to provide support to industry as the regime progresses. Please continue to check these web pages for updates - you can sign up to alerts for this page here. | OPSSとDSITは、制度が進展するにつれ、産業界にサポートを提供し続ける。引き続き、これらのウェブページの最新情報をチェックしていただきたい。 |
The resources below provide information to support compliance with the PSTI Product Security regime. | 以下のリソースは、PSTI製品セキュリティ体制への準拠をサポートする情報を提供する。 |
ETSI standards and supporting guidance | ETSI標準とサポートガイダンス |
ETSI EN 303 645 | ETSI EN 303 645 |
ETSI Technical Specification 103 645 | ETSI 技術仕様 103 645 |
ETSI Implementation Guide 103 621 | ETSI 実施ガイド 103 621 |
ETSI Assessment Specification 103 701 | ETSI 評価仕様書 103 701 |
Quick guides and webinars | クイックガイドとウェビナー |
iotsecurityfoundation.org/consumer-iot/ | iotsecurityfoundation.org/consumer-iot/ |
Published 29 April 2023 |
2023年4月29日発行 |
Last updated 26 January 2024 + show all updates | 最終更新 2024年1月26日 + すべての更新を表示する |
26-Jan-24 | 2024年1月26日 |
The product security law comes into effect on 29 April 2024. We have updated the guidance to help ensure businesses understand the requirements and the need to comply with the legislation from that date. This guidance builds on the wide range of communications with industry over the past few years explaining the security requirements for 'smart' / connectable products. | 製品セキュリティ法は2024年4月29日に施行される。私たちは、企業がこの日以降の要件と法令遵守の必要性を確実に理解できるよう、ガイダンスを更新した。このガイダンスは、「スマート」/接続可能な製品のセキュリティ要件について説明する、過去数年間の業界との幅広いコミュニケーションに基づいている。 |
31-Oct-23 | 2023年10月31日 |
These regulations were signed into law on 14 September 2023. The consumer connectable product security regime will enter into effect on 29 April 2024. | これらの規制は2023年9月14日に署名された。消費者向け接続可能製品のセキュリティ体制は2024年4月29日に発効する。 |
30-Aug-23 | 2023年08月30日 |
Added link to the updates draft Regulations published in July 2023. These will be debated when Parliamentary time allows. | 2023年7月に公表された規則草案へのリンクを追加した。これらは議会の時間が許せば審議される。 |
29-Apr-23 | 2023年04月29日 |
First published. | 初稿 |
参考
● まるちゃんの情報セキュリティ気まぐれ日記
PSTI関係...
・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)
・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06
・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表
・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24
日本の動きについては...
・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会
米国のサイバーセキュリティラベル
・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表
・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
EUのサイバーセキュリティ
・2024.01.17 欧州 2023年12月20日に欧州議会に送致されたサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.01.29 欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構
・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
Comments