米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則
こんにちは、丸山満彦です。
FCCのIoTのためのサイバーセキュリティ・ラベリングの最終規則を官報 (Fedral Register) 公表していますね...
2024.08.29に有効に施行されるようです...
● Federal Communications Commission; FCC
・2024.07.30 Cybersecurity Labeling for Internet of Things
| SUMMARY: | 要約 |
| In this document, the Federal Communications Commission (Commission or FCC) establishes a voluntary cybersecurity labeling program for wireless consumer Internet of Things, or IoT, products. The program will provide consumers with an easy-to-understand and quickly recognizable FCC IoT Label that includes the U.S. Cyber Trust Mark and a QR code linked to a dynamic, decentralized, publicly available registry of more detailed cybersecurity information. This program will help consumers make safer purchasing decisions, raise consumer confidence regarding the cybersecurity of the IoT products they buy, and encourage manufacturers to develop IoT products with security-by-design principles in mind. | 本文書において、連邦通信委員会(Commission or FCC)は、無線消費者向けIoT(Internet of Things、IoT)製品向けの自主的なサイバーセキュリティ・ラベリングプログラムを確立する。このプログラムは、米国のサイバートラストマークと、より詳細なサイバーセキュリティ情報の動的で分散化された一般利用可能なレジストリにリンクされたQRコードを含む、わかりやすく、すぐに認識できるFCC IoTラベルを消費者に提供する。このプログラムは、消費者がより安全な購買決定を行い、購入するIoT製品のサイバーセキュリティに関する消費者の信頼を高め、製造事業者がセキュリティ・バイ・デザインの原則を念頭に置いてIoT製品を開発することを奨励するものである。 |
| ... | ... |
| Synopsis | 概要 |
| 1. With the Report and Order (Order), the Commission takes prompt and decisive measures to strengthen the nation's cybersecurity posture by adopting a voluntary cybersecurity labeling program for wireless IoT products. The Commission's IoT Labeling Program will provide consumers with an easy-to-understand and quickly recognizable FCC IoT Label that includes the U.S. Government certification mark (referred to as the U.S. Cyber Trust Mark) that provides assurances regarding the baseline cybersecurity of an IoT product, together with a QR code that directs consumers to a registry with specific information about the product. Consumers who purchase an IoT product that bears the FCC IoT Label can be assured that their product meets the minimum cybersecurity standards of the IoT Labeling Program, which in turn will strengthen the chain of connected IoT products in their own homes and as part of a larger national IoT ecosystem. The Order will help consumers make better purchasing decisions, raise consumer confidence with regard to the cybersecurity of the IoT products they buy to use in their homes and their lives, and encourage manufacturers of IoT products to develop products with security-by-design principles in mind. | 1. 本報告書および命令(以下、本命令)により、連邦通信委員会は、無線IoT製品の自主的なサイバーセキュリティ・ラベリングプログラムを採用することにより、国家のサイバーセキュリティ態勢を強化するための迅速かつ断固とした措置を講じる。連邦通信委員会のIoTラベリング・プログラムは、IoT製品の基本的なサイバーセキュリティに関する保証を提供する米国政府の認証マーク(U.S. Cyber Trust Markと呼ばれる)と、製品に関する具体的な情報が記載されたレジストリに消費者を誘導するQRコードを含む、分かりやすく、すぐに認識できるFCC IoTラベルを消費者に提供する。FCC IoTラベルが貼付されたIoT製品を購入する消費者は、その製品がIoTラベリング・プログラムの最低限のサイバーセキュリティ標準を満たしていることを保証できる。本命令は、消費者がより適切な購買決定を行い、家庭や生活で使用するために購入するIoT製品のサイバーセキュリティに関して消費者の信頼を高め、IoT製品の製造事業者がセキュリティ・バイ・デザインの原則を念頭に置いて製品を開発することを奨励する。 |
| 2. In the Order, we set forth the framework by which the IoT Labeling Program will operate. We focus the IoT Labeling Program initially on IoT “products,” which we define to include one or more IoT devices and additional product components necessary to use the IoT device beyond basic operational features. Recognizing that a successful voluntary IoT Labeling Program will require close partnership and collaboration between industry, the Federal Government, and other stakeholders, we adopt an administrative framework for the IoT Labeling Program that capitalizes on the existing public, private, and academic sector work in this space, while ensuring the integrity of the IoT Labeling Program through oversight by the Commission. | 2. 命令では、IoTラベリング・プログラムが運用される枠組みを定めている。IoTラベリング・プログラムは、まずIoT「製品」に焦点を当てる。IoT「製品」とは、1つまたは複数のIoTデバイスと、基本的な操作機能を超えてIoTデバイスを使用するために必要な追加的な製品コンポーネントを含むと定義する。自主的なIoTラベリング・プログラムを成功させるには、産業界、連邦政府、その他のステークホルダー間の緊密なパートナーシップと協力が必要であることを認識し、IoTラベリング・プログラムの運営枠組みとして、この分野における既存の公共、民間、学界の取り組みを活用する一方、連邦通信委員会による監視を通じてIoTラベリング・プログラムの完全性を確保する枠組みを採用する。 |
| 3. Voluntary IoT Labeling Program. We establish a voluntary IoT Labeling Program for wireless consumer IoT products. While participation is voluntary, those that choose to participate must comply with the requirements of the IoT Labeling Program to receive authority to utilize the FCC IoT Label bearing the Cyber Trust Mark. The IoT Labeling Notice of Proposed Rulemaking (NPRM),88 FR 58211 (August 25, 2023), sought comment on whether the proposed IoT Labeling Program should be voluntary, reasoning that “success of a cybersecurity labeling program will be dependent upon a willing, close partnership and collaboration between the federal government, industry, and other stakeholders.” The record shows substantial support for a voluntary approach. The Custom Electronic Design & Installation Association (CEDIA) suggests that IoT Labeling Program must be voluntary “for the program to gain momentum in the marketplace.” AIM, Inc. (AIM) suggests that the voluntary aspect of the IoT Labeling Program “will help drive adoption of the label by device producers.” Further, commenters suggest that a voluntary program will ensure the broadest reach, most efficiency, and widest access to a diversity of IoT technologies. We agree that a voluntary program will help drive adoption of the IoT Labeling Program, so that a willing, close partnership can be achieved. We also agree with the record that flexible, voluntary, risk-based best practices are the hallmarks of IoT security as it exists today and as it is being developed around the world. Additionally, we acknowledge the view that “consumer labeling is a difficult undertaking in any context,” especially in the evolving area of cybersecurity, and that the “best approach is to start the Program with something achievable and effective.” We concur that willing participation will allow the IoT Labeling Program to be more easily achievable than requiring participation in a novel program. With the added imprimatur of a U.S. Government certification mark, the IoT Labeling Program will help distinguish products in the marketplace that meet minimum requirements and provide options to consumers. | 3. 自主的なIoTラベリング・プログラム。消費者向けワイヤレスIoT製品を対象に、自主的なIoTラベリング・プログラムを設ける。参加は任意であるが、参加を選択したものは、サイバートラスト・マークを付したFCC IoTラベルを利用する認可を受けるために、IoTラベリング・プログラムの要件を遵守しなければならない。IoT Labeling Notice of Proposed Rulemaking (NPRM), 88 FR 58211 (August 25, 2023) は、提案されている IoT ラベリング・プログラムを任意とすべきかどうかについてコメントを求めた。この記録は、自主的なアプローチに対する実質的な支持を示している。CEDIA(Custom Electronic Design & Installation Association)は、IoTラベリング・プログラムが「市場で勢いを得るためには」自主的なものでなければならないと提案している。AIM, Inc.は、IoT ラベリング・プログラムの自主的な側面は、「デバイス製造業者によるラベルの採用を促進するのに役立つ」と提案している。さらに、コメント提供者は、任意プログラムにより、最も広範な範囲、最も効率的な範囲、および多様な IoT 技術への最も広範なアクセスが確保されると提案している。我々は、自発的なプログラムがIoTラベリング・プログラムの採用を促進し、意欲的で緊密なパートナーシップが達成できることに同意する。また、柔軟で自主的なリスクベースのベストプラクティスが、現在存在し、世界中で開発されているIoTセキュリティの特徴であるという記録にも同意する。さらに、「消費者表示はどのような状況においても困難な事業」であり、特にサイバーセキュリティの発展分野においては、「最善のアプローチは、達成可能で効果的なものからプログラムを開始することである」という見解を認める。意欲的な参加によって、IoTラベリング・プログラムは、斬新なプログラムへの参加を義務付けるよりも容易に達成可能なものになる、という意見に同意する。IoTラベリング・プログラムは、米国政府の認証マークというお墨付きが加わることで、最低限の要件を満たした製品を市場で区別し、消費者に選択肢を提供するのに役立つだろう。 |
| 4. We reject arguments that mandating participation in the IoT Labeling Program is necessary. While we recognize that a voluntary IoT Labeling Program may cause concern that smaller businesses with limited resources may choose not to participate, we believe the strong stakeholder engagement and collaboration that we expect to result from willing participation, and which is vital to establishing this new program, outweighs these risks. Further, while we acknowledge that, at least in the near term, allowing the IoT Labeling Program to be voluntary “could limit its adoption and impact,” we believe this risk is outweighed by the benefits that a voluntary program will garner, such as speed to market to hasten impact, efficiency of resources, and the likelihood that consumer demand will drive widespread adoption over time. | 4. 我々は、IoTラベリング・プログラムへの参加を義務付けることが必要であるという議論を拒否する。自主的なIoTラベリング・プログラムにより、リソースの限られた中小企業が参加しないことを選択する懸念が生じる可能性があることは認識しているが、この新しいプログラムを確立するために不可欠であり、積極的な参加によってもたらされると期待される関係者の強い関与と協力は、これらのリスクを上回ると考えている。さらに、少なくとも短期的には、IoTラベリング・プログラムを任意とすることで、「その導入と影響が制限される可能性がある」ことは認めるが、このリスクは、影響を早めるための市場投入のスピード、リソースの効率化、消費者の要望が時間の経過とともに広範な導入を促進する可能性など、任意プログラムが獲得するメリットによって上回ると考える。 |
| 5. In adopting the IoT Labeling Program with the parameters discussed in the Order, we are establishing a collaborative effort between the Federal Government and relevant stakeholders in industry and the private sector. We emphasize that the Order is intended to provide the high-level programmatic structure that is reasonably necessary to establish the IoT Labeling Program and create the requirements necessary for oversight by the Commission, while leveraging the extensive work, labeling schemes, processes and relationships that have already been developed in the private sector. We also note that there is further development to be done by the private sector and other Federal agencies to implement the IoT Labeling Program and, as discussed below, expects many of the details not expressly addressed in the Order will be resolved through these separate efforts and by the authorities the Commission delegates to the Public Safety and Homeland Security Bureau (PSHSB or the Bureau). | 5. IoT ラベリング・プログラムを、本命令で議論されたパラメータとともに採択することで、我々は、連邦 政府と、産業界および民間セクターの関連利害関係者との間の協力的な取り組みを確立しようとしている。我々は、本命令が、IoTラベリングプログラムを確立し、委員会による監督に必要な要件を作成するために合理的に必要な高レベルのプログラム構造をプロバイダとして提供することを意図している一方で、民間部門ですでに開発されている広範な作業、ラベリング方式、プロセス、関係を活用することを強調している。また、IoTラベリング・プログラムを実施するために、民間部門および他の連邦政府機関がさらに開発を進める必要があることに留意するとともに、後述するように、本命令で明示的に取り上げていない詳細の多くは、こうした個別の取り組みや、連邦通信委員会が公共安全・国土安全保障局(PSHSBまたは同局)に委任する権限によって解決されるものと期待している。 |
目次...
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)
米国...
・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表
・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書
・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
EU
・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択
・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す
・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
英国
・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06
・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表
・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24
中国
・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持
日本
・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始
・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会
最終規則...
↓
| Cybersecurity Labeling for Internet of Things | IoTのためのサイバーセキュリティ・ラベリング |
| AGENCY: | 政府機関 |
| Federal Communications Commission. | 連邦通信委員会。 |
| ACTION: | 措置 |
| Final rule. | 最終規則。 |
| SUMMARY: | 要約 |
| In this document, the Federal Communications Commission (Commission or FCC) establishes a voluntary cybersecurity labeling program for wireless consumer Internet of Things, or IoT, products. The program will provide consumers with an easy-to-understand and quickly recognizable FCC IoT Label that includes the U.S. Cyber Trust Mark and a QR code linked to a dynamic, decentralized, publicly available registry of more detailed cybersecurity information. This program will help consumers make safer purchasing decisions, raise consumer confidence regarding the cybersecurity of the IoT products they buy, and encourage manufacturers to develop IoT products with security-by-design principles in mind. | 本文書において、連邦通信委員会(FCC)は、無線消費者向けIoT(Internet of Things)製品向けの自主的なサイバーセキュリティ・ラベリングプログラムを確立する。このプログラムは、米国のサイバートラストマークと、より詳細なサイバーセキュリティ情報の動的で分散化された一般利用可能なレジストリにリンクされたQRコードを含む、わかりやすく、すぐに認識できるFCC IoTラベルを消費者に提供する。このプログラムは、消費者がより安全な購買決定を行い、購入するIoT製品のサイバーセキュリティに関する消費者の信頼を高め、製造事業者がセキュリティ・バイ・デザインの原則を念頭に置いてIoT製品を開発することを奨励するものである。 |
| DATES: | 日付 |
| Effective date: This rule is effective August 29, 2024. | 発効日:本規則は2024年8月29日に発効する。 |
| Incorporation by reference: The incorporation by reference of certain material listed in the rule is approved by the Director of the Federal Register as of August 29, 2024. | 参照による組み込み: 本規則に記載された特定の資料の参照による組み込みは、2024年8月29日付で連邦官報局長により承認される。 |
| Compliance date: Compliance with 47 CFR 8.208, 8.209, 8.212, 8.214, 8.215, 8.217, 8.218, 8.219, 8.220, 8.221, and 8.222 will not be required until the Office of Management and Budget has completed review under the Paperwork Reduction Act. The Commission will publish a document in the Federal Register announcing that compliance date. | 順守期日: 47 CFR 8.208、8.209、8.212、8.214、8.215、8.217、8.218、8.219、8.220、8.221、および8.222への順守は、行政管理予算局が書類削減法に基づく審査を完了するまで要求されない。連邦通信委員会は、連邦官報にその遵守日を発表する文書を掲載する予定である。 |
| FOR FURTHER INFORMATION CONTACT: | 問い合わせ先 |
| Zoe Li, Cybersecurity and Communications Reliability Division, Public Safety and Homeland Security Bureau, (202) 418-2490, or by email to Zoe.Li@fcc.gov. | 公共安全・国土安全保障局サイバーセキュリティ・通信信頼性課、ゾーイ・リー、(202) 418-2490、または電子メール:Zoe.Li@fcc.gov。 |
| For additional information concerning the Paperwork Reduction Act information collection requirements contained in this document, contact Nicole Ongele, Office of Managing Director, Performance and Program Management, 202-418-2991, or by email to PRA@fcc.gov. | 本文書に含まれるペーパーワーク削減法情報収集要件に関する追加情報については、Office of Managing Director, Performance and Program Management の Nicole Ongele(202-418-2991)、または電子メール(PRA@fcc.gov)に連絡すること。 |
| SUPPLEMENTARY INFORMATION: | 補足情報 |
| This is a summary of the Commission's Report and Order, PS Docket No. 23-239, adopted March 14, 2024, and released March 15, 2024. The full text of this document is available by downloading the text from the Commission's website at: [web] . When the FCC Headquarters reopens to the public, the full text of this document will also be available for public inspection and copying during regular business hours in the FCC Reference Center, 45 L Street NE, Washington, DC 20554. To request this document in accessible formats for people with disabilities ( e.g., Braille, large print, electronica files, audio format, etc.) or to request reasonable accommodations ( e.g., accessible format documents, sign language interpreters, CART, etc.), send an email to FCC504@fcc.gov or call the FCC's Consumer and Government Affairs Bureau at (202) 418-0530 (voice), (202) 418-0432 (TTY). | これは、2024年3月14日に採択され、2024年3月15日に公表された、連邦通信委員会の報告書および命令(PS Docket No.23-239)の要約である。この文書の全文は、委員会のウェブサイト([web] )からダウンロードすることができる。FCC本部が一般公開を再開する際には、FCCレファレンス・センター(45 L Street NE, Washington, DC 20554)の通常営業時間内に、この文書の全文を一般の閲覧および複写に供する予定である。障害者にとって利用しやすい形式(点字、大活字、電子ファイル、音声形式など)でこの文書を要求する場合、あるいは合理的配慮(アクセシブル・フォーマットの文書、手話通訳、CARTなど)を要求する場合は、FCC504@fcc.gov に電子メールを送るか、FCC消費者・政府局((202) 418-0530(音声)、(202) 418-0432(TTY))に電話する。 |
| Congressional Review Act: The Commission has determined, and the Administrator of the Office of Information and Regulatory Affairs, Office of Management and Budget, concurs, that this rule is non-major under the Congressional Review Act, 5 U.S.C. 804(2). The Commission will send a copy of the Order to Congress and the Government Accountability Office pursuant to 5 U.S.C. 801(a)(1)(A). | 連邦議会審査法 委員会は、この規則が連邦議会審査法(5 U.S.C. 804(2))に基づく非大規模なものであると決定し、行政管理予算局情報規制部長官もこれに同意している。委員会は、5 U.S.C. 801(a)(1)(A)に従い、議会および政府アカウンタビリティ室に命令の写しを送付する。 |
| Synopsis | 概要 |
| 1. With the Report and Order (Order), the Commission takes prompt and decisive measures to strengthen the nation's cybersecurity posture by adopting a voluntary cybersecurity labeling program for wireless IoT products. The Commission's IoT Labeling Program will provide consumers with an easy-to-understand and quickly recognizable FCC IoT Label that includes the U.S. Government certification mark (referred to as the U.S. Cyber Trust Mark) that provides assurances regarding the baseline cybersecurity of an IoT product, together with a QR code that directs consumers to a registry with specific information about the product. Consumers who purchase an IoT product that bears the FCC IoT Label can be assured that their product meets the minimum cybersecurity standards of the IoT Labeling Program, which in turn will strengthen the chain of connected IoT products in their own homes and as part of a larger national IoT ecosystem. The Order will help consumers make better purchasing decisions, raise consumer confidence with regard to the cybersecurity of the IoT products they buy to use in their homes and their lives, and encourage manufacturers of IoT products to develop products with security-by-design principles in mind. | 1. 本報告書および命令(以下、本命令)により、連邦通信委員会は、無線IoT製品の自主的なサイバーセキュリティ・ラベリングプログラムを採用することにより、国家のサイバーセキュリティ態勢を強化するための迅速かつ断固とした措置を講じる。連邦通信委員会のIoTラベリング・プログラムは、IoT製品の基本的なサイバーセキュリティに関する保証を提供する米国政府の認証マーク(U.S. Cyber Trust Markと呼ばれる)と、製品に関する具体的な情報が記載されたレジストリに消費者を誘導するQRコードを含む、分かりやすく、すぐに認識できるFCC IoTラベルを消費者に提供する。FCC IoTラベルが貼付されたIoT製品を購入する消費者は、その製品がIoTラベリング・プログラムの最低限のサイバーセキュリティ標準を満たしていることを保証できる。本命令は、消費者がより適切な購買決定を行い、家庭や生活で使用するために購入するIoT製品のサイバーセキュリティに関して消費者の信頼を高め、IoT製品の製造事業者がセキュリティ・バイ・デザインの原則を念頭に置いて製品を開発することを奨励する。 |
| 2. In the Order, we set forth the framework by which the IoT Labeling Program will operate. We focus the IoT Labeling Program initially on IoT “products,” which we define to include one or more IoT devices and additional product components necessary to use the IoT device beyond basic operational features. Recognizing that a successful voluntary IoT Labeling Program will require close partnership and collaboration between industry, the Federal Government, and other stakeholders, we adopt an administrative framework for the IoT Labeling Program that capitalizes on the existing public, private, and academic sector work in this space, while ensuring the integrity of the IoT Labeling Program through oversight by the Commission. | 2. 命令では、IoTラベリング・プログラムが運用される枠組みを定めている。IoTラベリング・プログラムは、まずIoT「製品」に焦点を当てる。IoT「製品」とは、1つまたは複数のIoTデバイスと、基本的な操作機能を超えてIoTデバイスを使用するために必要な追加的な製品コンポーネントを含むと定義する。自主的なIoTラベリング・プログラムを成功させるには、産業界、連邦政府、その他のステークホルダー間の緊密なパートナーシップと協力が必要であることを認識し、IoTラベリング・プログラムの運営枠組みとして、この分野における既存の公共、民間、学界の取り組みを活用する一方、連邦通信委員会による監視を通じてIoTラベリング・プログラムの完全性を確保する枠組みを採用する。 |
| 3. Voluntary IoT Labeling Program. We establish a voluntary IoT Labeling Program for wireless consumer IoT products. While participation is voluntary, those that choose to participate must comply with the requirements of the IoT Labeling Program to receive authority to utilize the FCC IoT Label bearing the Cyber Trust Mark. The IoT Labeling Notice of Proposed Rulemaking (NPRM),88 FR 58211 (August 25, 2023), sought comment on whether the proposed IoT Labeling Program should be voluntary, reasoning that “success of a cybersecurity labeling program will be dependent upon a willing, close partnership and collaboration between the federal government, industry, and other stakeholders.” The record shows substantial support for a voluntary approach. The Custom Electronic Design & Installation Association (CEDIA) suggests that IoT Labeling Program must be voluntary “for the program to gain momentum in the marketplace.” AIM, Inc. (AIM) suggests that the voluntary aspect of the IoT Labeling Program “will help drive adoption of the label by device producers.” Further, commenters suggest that a voluntary program will ensure the broadest reach, most efficiency, and widest access to a diversity of IoT technologies. We agree that a voluntary program will help drive adoption of the IoT Labeling Program, so that a willing, close partnership can be achieved. We also agree with the record that flexible, voluntary, risk-based best practices are the hallmarks of IoT security as it exists today and as it is being developed around the world. Additionally, we acknowledge the view that “consumer labeling is a difficult undertaking in any context,” especially in the evolving area of cybersecurity, and that the “best approach is to start the Program with something achievable and effective.” We concur that willing participation will allow the IoT Labeling Program to be more easily achievable than requiring participation in a novel program. With the added imprimatur of a U.S. Government certification mark, the IoT Labeling Program will help distinguish products in the marketplace that meet minimum requirements and provide options to consumers. | 3. 自主的なIoTラベリング・プログラム。消費者向けワイヤレスIoT製品を対象に、自主的なIoTラベリング・プログラムを設ける。参加は任意であるが、参加を選択したものは、サイバートラスト・マークを付したFCC IoTラベルを利用する認可を受けるために、IoTラベリング・プログラムの要件を遵守しなければならない。IoT Labeling Notice of Proposed Rulemaking (NPRM), 88 FR 58211 (August 25, 2023) は、提案されている IoT ラベリング・プログラムを任意とすべきかどうかについてコメントを求めた。この記録は、自主的なアプローチに対する実質的な支持を示している。CEDIA(Custom Electronic Design & Installation Association)は、IoTラベリング・プログラムが「市場で勢いを得るためには」自主的なものでなければならないと提案している。AIM, Inc.は、IoT ラベリング・プログラムの自主的な側面は、「デバイス製造業者によるラベルの採用を促進するのに役立つ」と提案している。さらに、コメント提供者は、任意プログラムにより、最も広範な範囲、最も効率的な範囲、および多様な IoT 技術への最も広範なアクセスが確保されると提案している。我々は、自発的なプログラムがIoTラベリング・プログラムの採用を促進し、意欲的で緊密なパートナーシップが達成できることに同意する。また、柔軟で自主的なリスクベースのベストプラクティスが、現在存在し、世界中で開発されているIoTセキュリティの特徴であるという記録にも同意する。さらに、「消費者表示はどのような状況においても困難な事業」であり、特にサイバーセキュリティの発展分野においては、「最善のアプローチは、達成可能で効果的なものからプログラムを開始することである」という見解を認める。意欲的な参加によって、IoTラベリング・プログラムは、斬新なプログラムへの参加を義務付けるよりも容易に達成可能なものになる、という意見に同意する。IoTラベリング・プログラムは、米国政府の認証マークというお墨付きが加わることで、最低限の要件を満たした製品を市場で区別し、消費者に選択肢を提供するのに役立つだろう。 |
| 4. We reject arguments that mandating participation in the IoT Labeling Program is necessary. While we recognize that a voluntary IoT Labeling Program may cause concern that smaller businesses with limited resources may choose not to participate, we believe the strong stakeholder engagement and collaboration that we expect to result from willing participation, and which is vital to establishing this new program, outweighs these risks. Further, while we acknowledge that, at least in the near term, allowing the IoT Labeling Program to be voluntary “could limit its adoption and impact,” we believe this risk is outweighed by the benefits that a voluntary program will garner, such as speed to market to hasten impact, efficiency of resources, and the likelihood that consumer demand will drive widespread adoption over time. | 4. 我々は、IoTラベリング・プログラムへの参加を義務付けることが必要であるという議論を拒否する。自主的なIoTラベリング・プログラムにより、リソースの限られた中小企業が参加しないことを選択する懸念が生じる可能性があることは認識しているが、この新しいプログラムを確立するために不可欠であり、積極的な参加によってもたらされると期待される関係者の強い関与と協力は、これらのリスクを上回ると考えている。さらに、少なくとも短期的には、IoTラベリング・プログラムを任意とすることで、「その導入と影響が制限される可能性がある」ことは認めるが、このリスクは、影響を早めるための市場投入のスピード、リソースの効率化、消費者の要望が時間の経過とともに広範な導入を促進する可能性など、任意プログラムが獲得するメリットによって上回ると考える。 |
| 5. In adopting the IoT Labeling Program with the parameters discussed in the Order, we are establishing a collaborative effort between the Federal Government and relevant stakeholders in industry and the private sector. We emphasize that the Order is intended to provide the high-level programmatic structure that is reasonably necessary to establish the IoT Labeling Program and create the requirements necessary for oversight by the Commission, while leveraging the extensive work, labeling schemes, processes and relationships that have already been developed in the private sector. We also note that there is further development to be done by the private sector and other Federal agencies to implement the IoT Labeling Program and, as discussed below, expects many of the details not expressly addressed in the Order will be resolved through these separate efforts and by the authorities the Commission delegates to the Public Safety and Homeland Security Bureau (PSHSB or the Bureau). | 5. IoT ラベリング・プログラムを、本命令で議論されたパラメータとともに採択することで、我々は、連邦 政府と、産業界および民間セクターの関連利害関係者との間の協力的な取り組みを確立しようとしている。我々は、本命令が、IoTラベリングプログラムを確立し、委員会による監督に必要な要件を作成するために合理的に必要な高レベルのプログラム構造をプロバイダとして提供することを意図している一方で、民間部門ですでに開発されている広範な作業、ラベリング方式、プロセス、関係を活用することを強調している。また、IoTラベリング・プログラムを実施するために、民間部門および他の連邦政府機関がさらに開発を進める必要があることに留意するとともに、後述するように、本命令で明示的に取り上げていない詳細の多くは、こうした個別の取り組みや、廉ん包通信委員会が公共安全・国土安全保障局(PSHSBまたは同局)に委任する権限によって解決されるものと期待している。 |
| A. Eligible Devices or Products | A. 対象となる機器または製品 |
| 6. The Order initially establishes the IoT Labeling Program for wireless consumer IoT products. We do not, however, foreclose the possibility of expanding the IoT Labeling Program in the future. | 6. 本命令は当初、無線消費者向けIoT製品を対象にIoTラベリング・プログラムを策定する。ただし、将来的に IoT ラベリングプログラムを拡大する可能性を排除するものではない。 |
| 7. The record supports adopting an IoT Labeling Program that encompasses consumer-focused IoT products. We focus our IoT Labeling Program initially on consumer IoT products, rather than enterprise or industrial IoT products. Because medical devices regulated by the U.S. Food and Drug Administration (FDA) already are subject to statutory and regulatory cybersecurity requirements under other Federal laws more specifically focused on such devices, we do not include such devices in our IoT Labeling Program. In addition, we exclude from this program motor vehicles [1] and motor vehicle equipment (as defined in 49 U.S.C. 30102(8) given that the National Highway Traffic Safety Administration (NHTSA) “has the authority to promulgate motor vehicle safety regulations on cybersecurity and has enforcement authority to secure recalls of motor vehicles and motor vehicle equipment with a safety-related defect, including one involving cybersecurity flaws.” We also exclude from our IoT Labeling program any communications equipment on the Covered List that the Commission maintains pursuant to the Secure and Trusted Communications Networks Act and equipment produced by certain other entities as discussed below. Finally, our initial IoT Labeling Program will focus on wireless consumer IoT devices consistent with the core of our section 302 authority governing the interference potential of devices that emit radio frequency energy—and thus we exclude wired IoT devices at this time. | 7. 記録は、消費者向け IoT 製品を包含する IoT ラベリング・プログラムの採用を支持している。IoTラベリング・プログラムは、エンタープライズや産業用IoT製品ではなく、当初は消費者向けIoT製品に重点を置く。米国食品医薬品局(FDA)により規制されている医療機器は、そのような機器に特化した他の連邦法に基づき、すでに法定および規制上のサイバーセキュリティ要件の対象となっているため、当社はそのような機器をIoTラベリング・プログラムに含めない。さらに、米国運輸省道路交通安全局(NHTSA)が「サイバーセキュリティに関する自動車安全規制を公布する認可を有し、サイバーセキュリティ上の欠陥を含む安全性に関連する欠陥のある自動車および自動車機器のリコールを確保する執行権限を有する」ことから、自動車 [1] および自動車機器(49 U.S.C. 30102(8)に定義)を本プログラムから除外する。また、安全で信頼できる通信ネットワーク法に基づき連邦通信委員会が管理する対象リストに掲載されている通信機器や、後述する特定の事業体が製造する機器も、IoTラベリング・プログラムから除外する。最後に、最初のIoTラベリング・プログラムは、無線周波数エネルギーを放出する機器の干渉の可能性を管理する302条認可の中核と一致する無線民生用IoT機器に焦点を当てるため、現時点では有線IoT機器を除外する。 |
| 8. Definition of IoT Devices. Although we focus our IoT Labeling program on IoT “products,” to lay a foundation we must first address the definition of IoT “devices” because this definition is a building block of the IoT “product” definition. In this respect, we adopt the modified version of the National Institute of Standards and Technology (NIST) definition of “IoT device” that the Commission proposed in the IoT Labeling NPRM. Specifically, the IoT Labeling NPRM proposed defining an IoT device to include (1) an internet-connected device capable of intentionally emitting radio frequency (RF) energy that has at least one transducer (sensor or actuator) for interacting directly with the physical world, coupled with (2) at least one network interface ( e.g., Wi-Fi, Bluetooth) for interfacing with the digital world. This definition builds on NIST's definition by adding “internet-connected” as a requirement, because “a key component of IoT is the usage of standard internet protocols for functionality.” The modified definition adopted in the Order also adds that a device must be “capable of intentionally emitting RF energy,” because aspects of the Commission's authority recognizes the particular risks of harmful interference associated with such devices. It should be noted that we direct the Label Administrator to collaborate with Cybersecurity Label Administrators (CLAs) and other stakeholders ( e.g., cyber experts from industry, government, and academia) as appropriate and recommend within 45 days of publication of updates or changes to NIST guidelines, or adoption by NIST of new guidelines, to the FCC any appropriate modifications to the Labeling Program standards and testing procedures to stay aligned with the NIST guidelines. | 8. IoT デバイスの定義。IoT ラベリング・プログラムの焦点は IoT「製品」であるが、IoT「製品」の定義を構成する 要素であるため、基礎固めとして、まず IoT「デバイス」の定義に取り組まなければならない。この点に関して、委員会がIoTラベリングNPRMで提案した「IoTデバイス」の国立標準技術研究所(NIST)の定義の修正版を採用する。具体的には、IoTラベリングNPRMは、IoTデバイスの定義として、(1)物理的世界と直接相互作用するための少なくとも1つのトランスデューサ(センサまたはアクチュエータ)と、(2)デジタル世界と相互作用するための少なくとも1つのネットワークインターフェース(Wi-Fi、Bluetoothなど)を備えた、意図的に無線周波数(RF)エネルギーを放出できるインターネット接続デバイスを含めることを提案した。この定義は、NISTの定義に 「インターネットに接続されていること 」を要件として追加したものである。「IoTの重要な構成要素は、標準インターネットプロトコルを使用して機能を実現することである 」からである。また、委員会の権限として、このような機器に関連する有害な干渉のリスクが特に認識されているためである。ラベル管理者に対し、サイバーセキュリティ・ラベル管理者(CLA)および他の利害関係者(例えば、産官学のサイバー専門家)と適宜協力し、NISTガイドラインの更新または変更が公表された場合、あるいはNISTが新しいガイドラインを採択した場合、45日以内に、NISTガイドラインとの整合性を保つために、ラベルプログラムの標準および試験手順に対する適切な修正をFCCに勧告するよう指示することに留意すべきである。 |
| 9. The record supports this reasoning. For example, Consumer Reports states that “[i]f you're going to sell a device where some of the benefits come from having a cloud connection, an app, and connectivity, then those must also be secured.” Consumer Reports provides further support for the Commission's reasoning by noting that “connectivity may be so central to the functionality of the device that it may no longer be able to operate safely [without it].” TIC Council Americas similarly “agrees that `internet-connected' should be included in the definition of IoT devices.” We agree with these arguments and adopt the modified IoT device definition requiring “internet-connected” device element to assure consumers that the functionality of the IoT device or product displaying the Cyber Trust Mark is reasonably secure as well. As noted by ioXt Alliance, including “internet-connected” in the definition of IoT makes “sense if the program focuses on IoT products instead of devices because not all IoT devices are `internet-connected.' ” Because the IoT Labeling Program will be focused on the broader category of IoT consumer products and not devices, including “internet-connected” in the definition of IoT device is further justified. | 9. この理由は記録に裏付けられている。例えば、Consumer Reports誌は、「クラウド接続、アプリ、接続性を持つことがメリットの一部であるデバイスを販売するのであれば、それらも保護されなければならない」と述べている。コンシューマー・レポートは、「接続性は機器の機能にとって非常に重要であるため、(接続性がなければ)もはや安全に操作できない可能性がある」と指摘し、委員会の推論をさらに支持している。TIC Council Americasも同様に、「「インターネットに接続された 」機器をIoT機器の定義に含めるべきであることに同意する」と述べている。我々はこれらの主張に同意し、サイバートラストマークを表示する IoT 機器・製品の機能が合理的に安全であることを消費者に保証するために、「インターネットに接続された」機器要素を必要とする修正 IoT 機器の定義を採用する。ioXtアライアンスが指摘するように、IoTの定義に「インターネットに接続された」を含めることは、「すべてのIoTデバイスが『インターネットに接続された』わけではないため、プログラムがデバイスではなくIoT製品に焦点を当てるのであれば意味がある。 「IoT ラベリング・プログラムは、デバイスではなく、より広範なカテゴリの IoT 消費者製品に焦点を当てるため、IoT デバイスの定義に「インターネットに接続された」を含めることは、さらに正当化される。 |
| 10. We disagree with commenters who argue the Commission should adopt the NIST definition of a device without change. We acknowledge that the record indicates some concern regarding the internet-connected element of the Commission's proposed definition; however, we find these concerns to be misplaced. TIC Council Americas, for example, supports adding “internet-connected” to the definition, but argues that “there are devices that are able to connect to non-internet connected networks, and that those devices should not be excluded from the program.” While we do not foreclose the possibility of expanding the IoT Labeling Program to devices on non-internet connected networks in the future, we focus initially on the more common category of internet-connected consumer IoT products. Others argue that “internet-connected” is too “situational,” with a concern that the device might become “disconnected from the internet and, therefore, no longer be an `IoT device.' ” We do not agree that “internet-connected device” must be interpreted so narrowly as to exclude from the IoT Labeling Program devices that may become disconnected from the internet. “internet-connected,” in terms of the IoT Labeling Program, applies to the functional capability of the device; if the device is capable of being connected to the internet, the fact that it may not be connected at any given point in time does not exclude its eligibility for participation in the IoT Labeling Program. Further, any potential concerns arising from requiring an IoT device be “internet-connected” for inclusion in the IoT Labeling Program are outweighed by the benefit of giving consumers further assurance that the security of their IoT device or product extends to the connected functionality that a consumer expects when making such a purchase. In this respect, including “internet-connected” in the definition of IoT device also recognizes the highest risk functional component of an IoT device that distinguishes “smart” devices from other devices a consumer may use, and allows the Cyber Trust Mark to more effectively support consumer expectations. | 10. 我々は、委員会がNISTのデバイスの定義をそのまま採用すべきであると主張するコメントには同意しない。委員会の定義案のインターネットに接続された要素に関する懸念が記録から示されていることは認めるが、こうした懸念は見当違いであると考える。例えば、TIC Council Americasは、定義に「インターネットに接続された」を追加することを支持しているが、「インターネットに接続されていないネットワークに接続できる機器もあり、そのような機器をプログラムから除外すべきではない」と主張している。我々は、将来的にIoTラベリング・プログラムを非インターネット接続ネットワーク上のデバイスに拡大する可能性を排除するものではないが、当初はインターネット接続された消費者向けIoT製品という、より一般的なカテゴリーに焦点を当てる。また、「インターネットに接続されている」というのは「状況的」に過ぎるとする意見もあり、デバイスが「インターネットから切り離され、したがって、もはや`IoTデバイス'ではなくなる」という懸念もある。 「インターネットから切断される可能性のあるデバイスをIoTラベリング・プログラムから除外するほど、「インターネットに接続されたデバイス」を狭く解釈しなければならないことには同意しない。「デバイスがインターネットに接続可能であれば、ある時点で接続されていなくても、IoTラベリング・プログラムへの参加資格が排除されるわけではない。さらに、IoTラベリング・プログラムに含めるためにIoTデバイスが「インターネットに接続されている」ことを要求することから生じる潜在的な懸念は、IoTデバイスまたは製品のセキュリティが、消費者がそのような購入を行う際に期待する接続機能にまで及ぶというさらなる保証を消費者に与えるという利点によって、相殺される。この点で、IoT 機器の定義に「インターネットに接続された」を含めることは、「ス マート」機器を消費者が使用する可能性のある他の機器と区別する、IoT 機器の最もリスクの高 い機能要素を認識することでもあり、サイバートラストマークが消費者の期待をより効果的に支 持することを可能にする。 |
| 11. The record also supports adding an RF energy-emitting element to the IoT device definition, acknowledging the Commission's authority under section 302 governing the interference potential of devices that emit RF energy and can cause harmful interference to radio communications. We reject the argument that limiting the definition to RF-emitting devices may lead to marketplace confusion if a product does not bear the Cyber Trust Mark due solely to its lack of RF energy emissions. In the first instance, we note the need to launch an achievable IoT Labeling Program consistent with the Commission's core authority. We also note that the benefits that a focus on wireless products will have in elevating the overall cybersecurity posture of the IoT ecosystem, especially in view of the record indicating that the majority of IoT devices are wireless, outweigh the risks associated with concerns regarding marketplace confusion. In any case, there will be a number of products—both wired and wireless—that do not bear the Cyber Trust Mark while uptake occurs. We also anticipate that consumer education in this space will help alleviate these concerns. | 11. 記録はまた、RFエネルギーを放出し、無線コミュニケーションに有害な干渉を引き起こす可能性のある機器の干渉の可能性をガバナンスする302条に基づく委員会の認可権限を認め、IoT機器の定義にRFエネルギーを放出する要素を追加することを支持している。RFエネルギーを放出しないことのみを理由にサイバートラストマークが付されていない製品がある場合、定義をRF放出デバイスに限定することが市場の混乱につながる可能性があるとの議論を却下する。第一に、我々は、委員会の基本権限に合致した達成可能なIoTラベリングプログラムを開始する必要性に留意する。また、IoTエコシステムの全体的なサイバーセキュリティ態勢を向上させる上で、特にIoT機器の大半が無線であることを示す記録を考慮すると、無線製品に焦点を当てることがもたらすメリットは、市場の混乱に関する懸念に関連するリスクを上回ると考える。いずれにせよ、有線・無線を問わず、普及が進むにつれてサイバートラストマークが表示されない製品が多数出てくるだろう。また、この分野における消費者教育が、こうした懸念を軽減するのに役立つと予想される。 |
| 12. We further disagree with the view that the capability of a device to emit RF radiation is “unrelated to the general, far-ranging cybersecurity concerns the Commission is confronting in this proceeding.” Instead, we agree with Comcast that interference caused by a [distributed denial of service] attack raises “the same policy concerns and has the same practical effect as interference caused by traditional means.” The Electronic Privacy Information Center (EPIC) explains how hackers exploit unpatched vulnerabilities to attack a large number of wireless devices, and turning them into signal jammers to take down mobile networks. The record thus bears out our view that cybersecurity vulnerabilities in wireless IoT devices could cause harmful interference to radio communications. Given Congress' direction to the Commission in section 302 of the Act to guard against the interference potential of wireless devices, requiring the element of “emitting RF energy interference” in the IoT device definition for the initial iteration of the IoT Labeling Program focuses on that core Commission authority without ruling out future action regarding wired IoT devices. Further, while we acknowledge that devices that unintentionally or incidentally emit RF radiation may also pose interference potential, we find that a focus initially on “intentional” radiators provides the ability of a nascent program to target products with the highest risk profile from among those that emit RF energy. | 12. さらに、RF放射を発する機器の能力が、「委員会が本手続で直面している一般的で広範囲なサイバーセキュリティの懸念とは無関係である」という見解には同意できない。その代わりに、[分散型サービス拒否]攻撃による干渉は、「従来の手段による干渉と同じ政策的懸念と同じ実際的効果をもたらす」というComcastの意見に同意する。電子プライバシー・インフォメーション・センター(EPIC)は、ハッカーがどのようにパッチ未適用の脆弱性を悪用して多数の無線機器を攻撃し、それらをシグナル・ジャマーに変えてモバイル・ネットワークをダウンさせるかを説明している。このように、無線IoT機器のサイバーセキュリティの脆弱性が無線コミュニケーションに有害な干渉を引き起こす可能性があるという我々の見解は、記録からも裏付けられる。議会が同法第302条において、無線機器の干渉の可能性を防止するよう委員会に指示したことを考慮すると、IoTラベリングプログラムの初期段階において、IoT機器の定義に「RFエネルギー干渉を発する」という要素を要求することは、有線IoT機器に関する将来の措置を排除することなく、委員会の中核的権限に焦点を当てるものである。さらに、意図せず、または偶発的にRF放射を発する機器も干渉の可能性があることは認めるが、当初は「意図的な」放射者に焦点を当てることで、RFエネルギーを発する製品の中から最もリスクプロファイルが高い製品をターゲットとする、初期のプログラムの能力を提供することができると考える。 |
| 13. Definition of IoT Products. We adopt the NIST definition of an “IoT product.” Specifically, the IoT Labeling NPRM's proposed definition of IoT product is an “IoT device and any additional product components ( e.g., backend, gateway, mobile app) that are necessary to use the IoT device beyond basic operational features.” The record supports adopting the IoT product definition developed by NIST, with Garmin International, Inc. (Garmin) noting that a fundamental purpose of the IoT Labeling Program “is to inform consumers regarding device security as they evaluate potential IoT purchases. . . . [T]his purpose is best achieved by focusing on `consumer IoT products' as defined by NIST in NISTIR 8425.” Additionally, Kaiser Permanente states that adopting the NIST definition of IoT products will “promote consistency across federal agency programs and related industry norms and requirements.” Further, the Information Technology Industry Council (ITI) explained that the “Commission's implementation of the program will be more successful if it aligns as closely as possible to the definitions, processes and procedures already outlined by NIST.” We agree with these commenters, in that adopting NIST's IoT product definition will allow for consistency in the treatment of programmatic elements across the Federal Government, and allow the Commission to appropriately leverage the work existing in this space to promote the IoT Labeling Program's success. We also note that no commenters opposed the NIST definition of IoT products. For purposes of the IoT Labeling Program, when discussing IoT products and their “components” in the Order, we are using the NISTIR 8425 scoping definition of “components.” We believe that this definition allows the IoT Labeling Program to address the most relevant “package” components expected by consumers to be securable when making purchasing decisions, and encompasses the appropriate level of “component” pieces to address the functionalities that generate the most salient cybersecurity risks.[2] This view is supported by the record, with Consumer Technology Association (CTA) providing a proposed testing framework where “all individual components provided by the manufacturer should be in scope for testing,” including all components of the IoT product “that are necessary for the device to function in a normal use case scenario.” | 13. IoT 製品の定義。我々は、NISTによる 「IoT製品 」の定義を採用する。具体的には、IoTラベリングNPRMが提案したIoT製品の定義は、「IoTデバイスと、基本的な動作機能を超えてIoTデバイスを使用するために必要な追加的な製品コンポーネント(バックエンド、ゲートウェイ、モバイルアプリなど)」である。記録は、NISTが作成したIoT製品の定義を採用することを支持しており、ガーミン・インターナショナル社(Garmin)は、IoTラベリング・プログラムの基本的な目的は、「消費者がIoT購入の可能性を評価する際に、デバイスのセキュリティに関して情報を提供することである。. . . [この目的は、NISTIR 8425でNISTが定義した「消費者向けIoT製品」に焦点を当てることで最もよく達成される。さらに、Kaiser Permanenteは、NISTのIoT製品の定義を採用することで、「連邦政府機関のプログラムや関連業界の規範や要件に一貫性を持たせることができる」と述べている。さらに、Information Technology Industry Council(ITI)は、「委員会のプログラム実施は、NISTがすでに概説している定義、プロセス、手順と可能な限り密接に連携することで、より成功する」と説明している。我々は、NISTのIoT製品定義を採用することで、連邦政府全体でプログラム要素の取り扱いに一貫性を持たせることができ、委員会がIoTラベリングプログラムの成功を促進するために、この分野で既存の作業を適切に活用できるようになるという点で、これらの意見に同意する。また、NISTによるIoT製品の定義に反対する意見はなかった。IoTラベリングプログラムの目的上、本規則でIoT製品とその「コンポーネント」について議論する場合、NISTIR 8425の「コンポーネント」のスコーピング定義を使用する。この定義により、IoT ラベリング・プログラムは、消費者が購入を決定する際にセキュアであることが期待される最も関連性の高い「パッケージ」コンポーネントを扱うことができ、最も顕著なサイバーセキュリティ・リスクを生成する機能に対処するための適切なレベルの「コンポーネント」部分を包含することができると考えている。 [2] この見解は記録によって裏付けられており、CTA(Consumer Technology Association:消費者技術協会)は、「製造事業者が提供する個々のコンポーネントはすべてテストの対象とすべきである」というテストフレームワーク案をプロバイダとして提示している。 |
| 14. IoT Devices vs. IoT Products. We find that the IoT Labeling Program should apply to “IoT products” as defined above, rather than being limited only to “IoT devices.” In the IoT Labeling NPRM, the Commission noted that it was important to ensure that the IoT Labeling Program “would be sufficiently inclusive to be of value to consumers.” Since the Commission's adoption of the IoT Labeling NPRM, NIST has provided clarity in this realm by stating “the cybersecurity technical and non-technical outcomes defined in the NISTIR 8425 consumer profile apply to IoT products and not just IoT devices.” In addition, in reviewing the record, we believe applying the IoT Labeling Program to IoT products instead of IoT devices alone achieves these priorities because only by addressing the full functionality of a consumer product ( i.e., one or more IoT devices and any additional product components ( e.g., backend, gateway, mobile app) that are necessary to use the IoT device, beyond basic operational features) “including data communications links to components outside this scope but excluding those external components and any external third-party components that are outside the manufacturer's control” will provide consumers the necessary scope to satisfy the basic security expectation of the consumer and effectuate a discernable increase in the cybersecurity posture of the IoT ecosystem at large. | 14. IoTデバイスとIoT製品の比較。IoT ラベリング・プログラムは、「IoT デバイス」のみに制限されるのではなく、上記で定義された「IoT 製品」にも適用されるべきである。IoTラベリングNPRMにおいて、委員会は、IoTラベリングプログラムが「消費者にとって価値あるものとなるよう、十分に包括的である」ことを保証することが重要であると指摘した。委員会がIoTラベリングNPRMを採択して以来、NISTは「NISTIR 8425消費者プロファイルで定義されているサイバーセキュリティの技術的および非技術的成果は、IoTデバイスだけでなくIoT製品にも適用される」と述べることで、この領域を明確にしてきた。さらに、IoTラベリング・プログラムをIoTデバイスだけでなくIoT製品にも適用することで、これらの優先事項が達成されると考える、 基本的な動作機能を超えて、IoT デバイスを使用するために必要なバックエンド、ゲートウェイ、モバイルアプリなど)の「この範囲外のコンポーネントへのデータ通信リンクを含むが、それらの外部コンポーネントおよび製造事業者の管理外の外部サードパーティ製コンポーネントを除く」全機能に対応することによってのみ、消費者の基本的なセキュリティ期待を満たすために必要な範囲を消費者に提供し、IoT エコシステム全体のサイバーセキュリティ態勢を目に見える形で向上させることができるからである。 |
| 15. There is significant support in the record for an IoT product focus for the IoT Labeling Program. As explained by UL Solutions, applying the IoT Labeling Program to IoT products is necessary since “most IoT devices sold to consumers cannot be meaningfully used without additional components.” The Cybersecurity Coalition further supports this position by saying “IoT devices are typically part of a broader ecosystem of components that can have their own security issues, requiring `IoT cybersecurity' to extend beyond individual devices to be effective.” ITI notes an IoT product focus benefits consumers because it “will appropriately capture the relevant devices/components of the product that could be vulnerable to attack (and are always included in an IoT product, as NIST points out).” Applying the IoT Labeling Program to IoT products further benefits consumers by promoting consumer safety because it “encourages manufacturers to prioritize security across all components, ultimately leading to safer and more reliable IoT experiences for consumers.” Additionally, the record indicates that “the entire service which includes cloud infrastructure as well as apps or other ways to control or manage the device by the user, and not simply the physical device itself, is critical for an assessment of safety and security.” Further, focusing on IoT products aligns not only with the technical requirements of NISTIR 8425, but also “emerging requirements in Europe and the UK [United Kingdom], such as the EU [European Union] [Cyber Resilience Act], and EU Directives on consumer protections EU 2019/770, 771.” We agree and will apply the IoT Labeling Program to consumer IoT products, which provides for the greatest level of consumer benefit by prioritizing cybersecurity across the entirety of the consumer product, as compared to just the device, which is able to perform its full functionality only when working in conjunction with other product components. | 15. 記録には、IoTラベリング・プログラムがIoT製品に重点を置くことへの大きな支持がある。UL Solutionsが説明しているように、IoTラベリングプログラムをIoT製品に適用することは必要である。サイバーセキュリティ連合はさらに、「IoTデバイスは通常、より広範なコンポーネントのエコシステムの一部であり、それぞれにセキュリティ上の問題がある可能性があるため、『IoTサイバーセキュリティ』を効果的なものにするためには、個々のデバイスの枠を超えて拡張する必要がある」として、この立場を支持している。ITIは、IoT製品に焦点を当てることで、「攻撃に脆弱性を持つ可能性のある(NISTが指摘するように、IoT製品には必ず含まれる)製品の関連デバイス/コンポーネントを適切に捕捉できる」ため、消費者にメリットがあると指摘している。IoTラベリング・プログラムをIoT製品に適用することで、消費者の安全が促進され、さらに消費者の利益となる。「製造事業者に対し、すべてのコンポーネントのセキュリティを優先させるよう促し、最終的には消費者により安全で信頼性の高いIoT体験をもたらす 」からである。さらに、記録によれば、「安全性とセキュリティのアセスメントには、単に物理的なデバイスそのものだけでなく、クラウドインフラストラクチャや、ユーザーがデバイスを制御・管理するためのアプリやその他の方法を含むサービス全体が重要である」とされている。さらに、IoT製品に焦点を当てることは、NISTIR 8425の技術的要件だけでなく、「EU(欧州連合)の[サイバーレジリエンス法]、消費者保護に関するEU指令EU 2019/770、771など、欧州やUK(英国)における新たな要件 」にも合致する。我々はこれに同意し、IoTラベリング・プログラムを消費者向けIoT製品に適用する。これは、他の製品コンポーネントと連携して初めてその機能をフルに発揮できるデバイスだけに比べ、消費者向け製品の全体にわたってサイバーセキュリティを優先することで、最大レベルの消費者利益を提供するものである。 |
| 16. We disagree with Samsung, CTIA—The Wireless Association (CTIA), LG Electronics, and CTA, who advocate focusing on IoT devices instead of IoT products. Samsung and CTIA argue that cybersecurity standards for devices are more mature than standards for products, and CTA argues that applying the FCC IoT Label to products would be more complex than devices. LG Electronics expresses concern that expanding to products “would require device manufacturers to attest to the security of product components that are outside of their control.” We do not agree that these rationales support limiting application of the IoT Labeling Program only to devices, rather than products. First, applying the IoT Labeling Program narrowly to IoT devices would run counter to NIST's guidance and considerable work in this space, upon which the Commission has relied for the basis for the IoT Labeling Program proposal. NIST's Profile of the IoT Core Baseline for Consumer IoT Products (NISTIR 8425), discussed above, provides fundamental IoT guidelines and applies to the broader product category, and the more recent NIST IoT Product Component Requirements Essay clearly states that the outcomes listed in NISTIR 8425 apply to consumer IoT products and not just IoT devices. | 16. 我々は、IoT製品ではなくIoTデバイスに焦点を当てることを提唱するサムスン、CTIA-The Wireless Association(CTIA)、LGエレクトロニクス、およびCTAに同意しない。SamsungとCTIAは、デバイスのサイバーセキュリティ標準は製品の標準よりも成熟していると主張し、CTAは、FCC IoTラベルを製品に適用するとデバイスよりも複雑になると主張している。LGエレクトロニクスは、製品への適用を拡大すると、「製造事業者は、自らの管理外にある製品コンポーネントのセキュリティを証明しなければならなくなる」と懸念を表明している。我々は、これらの根拠が、IoTラベル・プログラムの適用を製品ではなく、デバイスのみに制限することを支持することには同意しない。第一に、IoTラベリング・プログラムをIoT機器に限定して適用することは、NISTのガイダンスとこの分野における多大な作業に反する。上述のNISTのProfile of the IoT Core Baseline for Consumer IoT Products(NISTIR 8425)は、基本的なIoTガイドラインを提供し、より広範な製品カテゴリに適用される。また、より最近のNIST IoT Product Component Requirements Essayは、NISTIR 8425に記載されている成果が、IoTデバイスだけでなく、コンシューマ向けIoT製品にも適用されることを明確に述べている。 |
| 17. Further, regarding the notion that the IoT Labeling Program should be focused on IoT devices because existing standards for IoT devices are more readily available or achievable in the near term, we counter that the record shows existing IoT device standards can be leveraged to support assessing IoT products as well. As noted by commenter ITI, existing IoT industry standards “capture similar baseline themes” to the NIST criteria. In view of these similarities, the IoT Labeling Program can leverage these existing standards for IoT devices as building blocks, and tailor them in view of the IoT products being assessed. Accordingly, the need to realize the benefits of a product-level label weigh in favor of taking a small amount of time to get to product-based standards by leveraging existing device standards. | 17. さらに、IoT ラベリング・プログラムは、IoT デバイス用の既存の標準がより容易に利用可能であるか、または近い将来に達成可能であるため、IoT デバイスに焦点を当てるべきであるという考え方について、我々は、既存の IoT デバイス標準を活用して IoT 製品のアセスメントもサポートできることを示す記録があると反論する。コメント提出者のITIが指摘するように、既存のIoT業界標準は、NISTの規準と「類似の基本テーマを捉えている」。このような類似性を考慮すれば、IoTラベリング・プログラムは、IoTデバイスに関するこれらの既存の標準をビルディング・ブロックとして活用し、アセスメント対象のIoT製品に合わせて調整することができる。従って、製品レベルのラベルの利点を実現する必要性は、既存のデバイス標準を活用することにより、製品ベースの標準に至るまでにわずかな時間をかけることに有利に働く。 |
| 18. We also reject the argument that because “cybersecurity frameworks and testing programs have been developed to focus on device-level—rather than product-level—assessment” that a device-level IoT Labeling Program is the appropriate outcome. We note, for example, that ITI recommends recognizing IoT security assessments from our international partners, such as IoT assessments under the Cybersecurity Labelling Scheme (CLS) by Singapore's Cyber Security Agency, which assesses the overall IoT product, and not just a single device included in the IoT product. In this regard, the ability to recognize international efficiencies for IoT Labeling Program participants would be hindered by limiting the Cyber Trust Mark to the device level, as Singapore's CLS (and other evolving international standards) focus on product-level assessments. | 18. また、「サイバーセキュリティのフレームワークとテストプログラムは、製品レベルのアセスメン トではなく、デバイスレベルのアセスメントに重点を置いて開発されてきた」ため、デバイスレベルの IoT ラベリングプログラムが適切な結果であるという議論も否定する。例えば、ITIは、シンガポールのサイバーセキュリティ庁によるサイバーセキュリティ・ラベリングスキーム(CLS)に基づくIoTアセスメントなど、国際的なパートナーによるIoTセキュリティアセスメントを認識することを推奨しており、これは、IoT製品に含まれる単一のデバイスだけでなく、IoT製品全体を評価するものである。この点で、シンガポールの CLS(および他の発展途上の国際標準)は製品レベルのアセスメントに重点を置い ているため、サイバートラストマークをデバイスレベルに制限することは、IoT ラベリングプログラ ム参加者が国際的な効率性を認識する能力を阻害することになる。 |
| 19. Finally, applying the IoT Labeling Program to products enhances value to consumers without requiring manufacturers to be responsible for products or devices that are outside of their control. The record shows that a consumer's expectation of security extends to the entire IoT product they purchase. This consumer expectation is evidenced in the record by ITI, clarifying that “because consumers purchase, interact with, and view IoT merchandise not as component parts but as complete physical product . . . Consumers are primarily concerned with the entire physical product they are purchasing.” Additionally, as noted by UL Solutions, “most IoT devices sold to consumers cannot be meaningfully used without additional components.” In view of this need, a manufacturer seeking authority to affix the FCC IoT Label is expected to secure the whole IoT product, including the product's internal communication links connecting the different parts of the product to each other as well as the product's communication links that connect the IoT product to the outside world. We do not require manufacturers to be responsible for third-party products or devices (including apps) that are outside of their control; 2 however, where a manufacturer allows third-party apps, for example, to connect to and they allow that application to control their IoT product, such manufacturer is responsible for the security of that connection link and the app if such app resides on the IoT product. Further, we agree with CTIA that if “a [p]roduct [c]omponent also support[s] other IoT Products through alternative features and interfaces, these alternative features and interfaces may, through risk-assessment, be considered as separate from and not part of the IoT Product for purposes of authorization.” Moreover, NIST enumerates the dangers of an IoT device-only focus, establishing that the “additional product components have access to the IoT device and the data it creates and uses-making them potential attack vectors that could impact the IoT device, customer, and others,” and that “these additional components can introduce new or unique risks to the IoT product.” Consumer expectations that the FCC IoT Label would apply to the entirety of the product purchased is further highlighted by Consumer Reports, explaining that “If everything is sold within a box, then everything in the box should be approved to use the mark.” Consumer Reports also notes that “[i]f the labeling programs were only to address the physical device and not other system components, consumers would likely be deceived as to the scope and efficacy of the program.” The record is adamant that the “Cyber Trust Mark must be trusted by consumers to be successful.” In view of the record, securing only a portion of an IoT product by just assessing a single IoT device included in the IoT product, instead of assessing the devices and components that comprise the IoT product holistically, could deceive consumers and go against consumer expectation that the technology being brought into their homes is reasonably secure. We weigh heavily the likelihood for consumer confusion should the device-only approach be taken, and accordingly we apply this consumer IoT Labeling Program to IoT products and not just IoT devices. | 19. 最後に、IoT ラベリング・プログラムを製品に適用することで、製造事業者は、自社の管理外にある製 品や機器について責任を負うことを要求されることなく、消費者の価値を高めることができる。記録によれば、消費者のセキュリティに対する期待は、購入したIoT製品全体に及ぶ。この消費者の期待は、ITIが「消費者はIoT製品を部品としてではなく、完全な物理的製品として購入し、利用し、見ている。. . 消費者は主に、購入する物理的製品全体に関心を持っている。さらに、UL Solutionsが指摘するように、「消費者に販売されるほとんどのIoT機器は、追加部品がなければ有意義に使用することができない」。このような必要性から、FCC IoTラベルを貼付する認可を求める製造事業者は、IoT製品を外部と接続する製品の通信リンクだけでなく、製品のさまざまな部品を互いに接続する製品の内部通信リンクも含め、IoT製品全体を保護することが期待される。しかし、製造事業者が、例えば、サードパーティ製アプリに接続を許可し、そのアプリがIoT製品を制御することを許可している場合、そのようなアプリがIoT製品に存在する場合、当該製造事業者は、その接続リンクとアプリのセキュリティに責任を負う。さらに、我々は、「製品(コンポーネント)が、代替機能およびインターフェイスを通じて他の IoT 製品もサポートする場合、これらの代替機能およびインターフェイスは、リスクアセスメントを通じて、認可の目的上、IoT 製品とは別個のものであり、IoT 製品の一部ではないものとみなすことができる」という CTIA に同意する。さらにNISTは、IoTデバイスのみに焦点を当てることの危険性を列挙し、「追加的な製品コンポーネントは、IoTデバイスや、それが作成・使用するデータにアクセスできるため、IoTデバイス、顧客、その他に影響を与える可能性のある潜在的な攻撃ベクトルとなる」、「これらの追加的なコンポーネントは、IoT製品に新たなリスクや固有のリスクをもたらす可能性がある」と定めている。FCC IoTラベルが購入した製品全体に適用されるという消費者の期待は、Consumer Reportsによってさらに強調されており、「すべてが箱の中で販売されるのであれば、箱の中のすべてがマークの使用を承認されるべきである 」と説明している。コンシューマー・レポートはまた、「表示プログラムが物理的なデバイスにのみ適用され、他のシステム・コンポーネントには適用されないとすれば、消費者はプログラムの範囲と効力について欺かれる可能性が高い 」と指摘している。この記録は、「サイバートラストマークが成功するためには、消費者に信頼されなければならない 」と断言している。記録に鑑みれば、IoT製品を構成するデバイスやコンポーネントを総合的にアセスメントするのではなく、IoT製品に含まれる単一のIoTデバイスをアセスメントするだけで、IoT製品の一部のみを保護することは、消費者を欺く可能性があり、家庭に持ち込まれる技術が合理的に安全であるという消費者の期待に反する。我々は、デバイスのみのアプローチが取られた場合に消費者が混乱する可能性を重く見ており、それゆえ、この消費者向け IoT ラベリング・プログラムを、IoT デバイスだけでなく、IoT 製品にも適用する。 |
| 20. In sum, although there are relative advantages and disadvantages with either a narrow focus on IoT devices or a broader focus on IoT products, on balance we are persuaded to focus our initial IoT Labeling Program on IoT products. As explained above, we find commenters' concerns about encompassing full IoT products in our IoT Labeling Program to be overstated. At the same time, we see significant shortcomings with a narrower focus just on IoT devices. Weighing the totality of these considerations, we are persuaded that targeting the IoT Labeling Program on IoT products is the best approach at this time. | 20. まとめると、IoT デバイスに焦点を絞る場合と、IoT 製品に広く焦点を絞る場合のどちらにも、相対的な長所と短所があるが、バランスの観点から、我々は、最初の IoT ラベリング・プログラムを IoT 製品に焦点を絞ることに説得力を感じている。上記で説明したように、IoTラベリング・プログラムにIoT製品を全面的に含めることに関するコメント提出者の懸念は、誇張されすぎていると思われる。同時に、IoT機器だけに焦点を絞ることには大きな欠点があると考える。これらの点を総合的に勘案すると、IoTラベリング・プログラムの対象をIoT製品に絞ることが、現時点では最善のアプローチであると確信している。 |
| 21. Consumer IoT Products vs. Enterprise IoT Products. The IoT Labeling Program applies to the labeling of consumer IoT products that are intended for consumer use, and does not include products that are primarily intended to be used in manufacturing, healthcare, industrial control, or other enterprise applications. While we do not foreclose expansion of the IoT Labeling Program at a later date, this initial scope will provide value to consumers most efficiently and expediently, without added complexity from the enterprise environment. | 21. コンシューマー向けIoT製品とエンタープライズ向けIoT製品。IoT ラベリング・プログラムは、消費者使用を目的とした消費者向け IoT 製品のラベリングに適用され、製造事業者、ヘルスケア、産業制御、その他のエンタープライズ・アプリケーションでの使用を主目的とした製品は含まれない。後日、IoTラベリング・プログラムを拡大することを妨げるものではないが、この最初の範囲は、エンタープライズ環境から複雑さを増すことなく、最も効率的かつ迅速に消費者に価値を提供するものである。 |
| 22. The record supports the IoT Labeling Program having a consumer IoT focus, with support provided by UL Solutions, the Cybersecurity Coalition, and the Connectivity Standards Alliance (CSA), among others. The FDA also suggests that IoT outside of the consumer scope may need “[g]reater and more tailored controls,” suggesting that different considerations might attend IoT with a purpose outside of that in the routine consumer realm. Additionally, commenters highlight the differing security needs of consumer and enterprise products. For example, UL Solutions notes that “IoT products intended for commercial or industrial settings are exposed to different types of threats than consumer products and often carry higher risk if breach, which necessitates different requirements.” CSA also highlights that “[e]nterprise device security approaches are often customized and vary based on the specific needs of the business.” We agree that applying the IoT Labeling Program to consumer IoT products will reduce complexity, which will bolster the likelihood of success when starting the new IoT Labeling Program. | 22. 記録は、UL Solutions、サイバーセキュリティ連合、Connectivity Standards Alliance (CSA)などによる支援を受けて、IoTラベリングプログラムが消費者向けIoTに焦点を当てていることを支持している。FDAはまた、コンシューマの範囲外のIoTには、「より適切でカスタマイズされた管理」が必要になる可能性を示唆しており、日常的なコンシューマ領域以外の目的を持つIoTには、異なる考慮が必要になる可能性を示唆している。さらに、コメント提出者は、コンシューマ向け製品とエンタープライズ向け製品では、セキュリティ上のニーズが異なることを強調している。例えば、UL Solutionsは、「商業用や産業用のIoT製品は、消費者向け製品とは異なる種類の脅威にさらされ、侵害された場合のリスクも高くなることが多いため、異なる要件が必要になる」と指摘している。また、CSA は、「エンタープライズ・デバイスのセキュリティ・アプローチはカスタマイズされることが多く、ビジネスの特定のニーズに基づいて変化する。我々は、IoT ラベリング・プログラムを民生用 IoT 製品にも適用することで、複雑さが軽減され、新しい IoT ラベリング・プログラムを開始する際の成功の可能性が高まることに同意する。 |
| 23. The International Speech and Communication Association (ISCA) supports including enterprise IoT, stating that a broader scope will ensure the IoT Labeling Program remains flexible to the extent that the boundary between consumer and enterprise IoT is blurring. Further, ISCA and Abhishek Bhattacharyya note that attackers have more to gain from targeting enterprise settings. While there are considerable threat vectors and vulnerabilities associated with all classes of IoT products,[3] we agree with Everything Set, Inc., that focusing the IoT Labeling Program on household use of IoT products will be more useful and have greater impact, given that enterprises tend to have more time, resources, and expertise to devote to network security. They note further that many small- and medium-sized businesses also buy consumer devices, so a consumer-focused Cyber Trust Mark would be of utility to them, as well. We believe in the near term that a consumer focus will provide the most initial impact, and create a level of recognition and trust in the Cyber Trust Mark itself as the IoT Labeling Program progresses that could be leveraged to enterprise IoT at a later time, and we therefore defer consideration of the IoT Labeling Program's expansion. | 23. 国際音声通信協会(ISCA)は、エンタープライズ IoT を含めることを支持し、より広範な範囲とすることで、コンシューマ IoT とエンタープライズ IoT の境界が曖昧になりつつある中で、IoT ラベリングプログラムが柔軟性を維持できるようになると述べている。さらに、ISCAとAbhishek Bhattacharyya氏は、攻撃者はエンタープライズ環境を標的にすることでより多くの利益を得ることができると指摘している。あらゆるクラスのIoT製品に関連する脅威ベクトルや脆弱性はかなり存在するが[3]、エンタープライズにはネットワーク・セキュリティに割く時間、リソース、専門知識がより多くある傾向があることから、IoTラベリング・プログラムを家庭でのIoT製品の使用に焦点を当てることがより有益であり、より大きな影響を与えるというEverything Set, Inc.の意見に同意する。さらに、多くの中小企業も消費者向けデバイスを購入しているため、消費者向けのサイバートラストマークは彼らにとっても有用であると指摘している。我々は、短期的には、コンシューマ向けが最も初期にインパクトを与え、IoT ラベリングプログラ ムが進展するにつれて、サイバートラストマーク自体の認知度と信頼度が高まり、後にエンタープライズ IoT にも活用できると考えており、IoT ラベリングプログラムの拡大に関する検討を延期する。 |
| 24. Exclusion of Certain Devices/Products. As an initial matter, we exclude from the IoT Labeling Program medical devices regulated by the U.S. Food and Drug Administration (FDA). The Center for Devices and Radiological Health (within the FDA) expresses concern that the Commission's labeling IoT Labeling Program may lack controls and minimum criteria that it believes are necessary for IoT medical devices. In addition, the FDA is concerned that including medical devices in the IoT Labeling Program may cause consumer confusion and “potentially creates conflict where product manufacturers attempt to both qualify for the Cyber Trust Mark and comply with existing statutory and regulatory cybersecurity requirements under other federal laws, such as the Federal Food, Drug, and Cosmetic Act (FD&C Act).” These considerations persuade us to exclude FDA-regulated medical devices from our IoT Labeling Program, consistent with commenters' recommendations. In addition, we exclude from this program motor vehicles and motor vehicle equipment given that the National Highway Traffic Safety Administration (NHTSA) “has the authority to promulgate motor vehicle safety regulations on cybersecurity and has enforcement authority to secure recalls of motor vehicles and motor vehicle equipment with a safety-related defect, including one involving cybersecurity flaws.” | 24. 特定のデバイス/製品の除外。最初の問題として、米国食品医薬品局(FDA)が規制する医療機器をIoTラベリング・プログラムから除外する。FDA内の)医療機器・放射線衛生センター(Center for Devices and Radiological Health)は、委員会のIoTラベリング・プログラムには、IoT医療機器に必要と思われる管理や最低限の規準が欠けている可能性があるとの懸念を表明している。さらにFDAは、医療機器をIoTラベリング・プログラムに含めることが消費者の混乱を招き、「製造事業者がサイバートラストマークの認定を受けると同時に、連邦食品医薬品化粧品法(FD&C法)など他の連邦法に基づく既存の法令や規制のサイバーセキュリティ要件を遵守しようとする場合、矛盾が生じる可能性がある」と懸念している。これらの点から、コメント提出者の提言に沿い、FDA規制の医療機器をIoTラベリング・プログラムから除外する。さらに、米国運輸省道路交通安全局(National Highway Traffic Safety Administration:NHTSA)が「サイバーセキュリティに関する自動車安全規制を公布する認可を有し、サイバーセキュリティの欠陥を含む安全関連の欠陥がある自動車および自動車機器のリコールを確保する執行権限を有する」ことを考慮し、自動車および自動車機器を本プログラムから除外する。 |
| 25. Exclusion of Devices/Products Produced by Certain Entities. We adopt the following measures to promote national security in connection with the IoT Labeling Program. The IoT Labeling NPRM proposed to exclude from the IoT Labeling Program (1) any communications equipment on the Covered List maintained by the Commission pursuant to section 2 of the Secure and Trusted Communications Networks Act (STCNA); (2) any IoT device produced by an entity identified on the Covered List ( i.e., an entity named or any of its subsidiaries or affiliates) as producing “covered” equipment; and (3) any device or product from a company named on certain other lists maintained by other Federal agencies that represent the findings of a national security review. We now adopt all of these prohibitions as they relate to our decision to focus the IoT Labeling Program on consumer IoT products. Thus, any communications equipment identified on the Covered List, now or in the future, will be ineligible for the IoT Labeling Program, and any such product will be denied approval to use the Cyber Trust Mark. Furthermore, any additional products produced by an entity identified on the Covered List as producing “covered” equipment, or any product containing devices or product components produced by such an entity, will be ineligible for the IoT Labeling Program; this would include products that may not fit within the definition of “communications equipment” under STCNA. Only entities identified on the Covered List as producers of “covered” equipment—not those on the Covered List only because of their “covered” services—are subject to this prohibition. In addition, we adopt the proposal that IoT devices or products containing devices manufactured by companies named on the Department of Commerce's Entity List, named on the Department of Defense's List of Chinese Military Companies, or suspended or debarred from receiving Federal procurements or financial awards, including those published as ineligible for award on the General Service Administration's System for Award Management, will not be authorized to display the FCC IoT Label or participate in the IoT Labeling Program. Further, we exclude from the IoT Labeling Program any products containing devices produced or manufactured by these entities. We conclude that inclusion on these lists represents a determination by an agency charged with making national security determinations that a company's products lack the indicia of trustworthiness that the Cyber Trust Mark is intended to represent. Our action here thus supports and reinforces the steps we have taken in other proceedings to safeguard consumers and communications networks from equipment that poses an unacceptable risk to national security and that other Federal agencies have taken to identify potential concerns that could seriously jeopardize the national security and law enforcement interests of the United States. | 25. 特定の事業体が製造する機器・製品の除外。IoT ラベリング・プログラムに関連して、国家安全保障を促進するため、以下の措置を採用する。IoT ラベリング NPRM では、(1) Secure and Trusted Communications Networks Act(STCNA)第 2 項に従って委員会が維持する対象リストに掲載されている通信機器、(2) 「対象」機器を製造しているとして対象リスト(すなわち、事業体またはその子会社もしくは関連会社)で識別される事業体によって製造された IoT 機器、(3) 国家安全保障レビューの所見を表す、他の連邦機関によって維持される他の特定のリストに記載されている企業のデバイスまたは製品、を IoT ラベリング・プログラムから除外することを提案していた。我々は現在、IoTラベリング・プログラムを消費者向けIoT製品に絞るという決定に関連するこれらの禁止事項をすべて採用している。したがって、対象リストに記載されたコミュニケーション機器は、現在または将来において、IoTラベリング・プログラムの対象外となり、そのような製品はサイバートラスト・マークの使用が承認されない。さらに、「対象」機器を製造しているとして対象リストで識別された事業体によって製造された追加製品、または当該事業体によって製造されたデバイスもしくは製品コンポーネントを含む製品は、IoTラベリングプログラムの対象外となり、これには、STCNAの「コミュニケーション機器」の定義に適合しない製品も含まれる。これは、STCNAの「通信機器」の定義に適合しない製品を含む。「対象」機器の生産者として「対象」リストで特定される事業体のみが、「対象」サービスのみを理由として対象リストに掲載される事業体ではなく、この禁止の対象となる。さらに、商務省の事業体リストに記載されている企業、国防総省の中国軍需企業リストに記載されている企業、または一般調達局の賞品管理システムで賞品不適格として公表されている企業を含め、連邦調達や財政賞品の受領を停止または免責されている企業によって製造されたIoT機器または機器を含む製品は、FCC IoTラベルの表示やIoTラベリング・プログラムへの参加を認可されないという提案を採用する。さらに、これらの事業体によって生産または製造されたデバイスを含む製品をIoTラベリング・プログラムから除外する。これらのリストに掲載されることは、国家安全保障の判断を担う代表局が、サイバー・トラスト・マークが意図する信頼性の指標を、その企業の製品が欠いていると判断したことを意味すると結論づける。したがって、今回の我々の措置は、国家安全保障に許容できないリスクをもたらす機器から消費者とコミュニケーション・ネットワークを保護するために、また、米国の国家安全保障と法執行の利益を著しく危険にさらす可能性のある潜在的な懸念を特定するために、他の国家安全保障局が取ってきた他の手続きにおいて我々が取った措置を支持し、強化するものである。 |
| 26. With the exception of China's comments raising the same World Trade Organization (WTO) issue we rejected in the Report and Order applying the Covered List to the FCC equipment authorization program, the record overwhelmingly supports excluding from the IoT Labeling Program these products and devices produced by companies identified on the Covered List. Additionally, USTelecom, CTIA, CTA, Cybersecurity Coalition and Consumer Reports specifically support excluding from the IoT Labeling Program IoT devices that are manufactured by companies on the Covered List, but also urge the Commission to restrict any equipment manufactured by companies on additional Federal restricted lists, including those otherwise banned from Federal procurement. Consumer Reports agrees with excluding systems that include components included on the Covered List or similar lists from the IoT Labeling Program. Each of these lists represent the determination by relevant Federal agencies that the entities on the list may pose a national security threat within their respective areas, and as such we find that we cannot separately sanction their products as trustworthy via the IoT Labeling Program. While each list is designed to support specific prohibitions, their use here only excludes their contents from a voluntary program representing U.S. Government assessment of their security and does not prohibit any other use. Insofar as the FCC IoT Label reflects the FCC's signal to consumers about cybersecurity, it is reasonable for the FCC to take a cautious approach especially for those products for which relevant Federal agencies have expressed other security concerns. | 26. FCC機器認可プログラムに対象リストを適用した報告書および命令で却下したのと同じ世界貿易機関(WTO)の問題を提起する中国のコメントを除き、記録は、対象リストで特定された企業が製造するこれらの製品および機器をIoTラベリング・プログラムから除外することを圧倒的に支持している。さらに、USTelecom、CTIA、CTA、サイバーセキュリティ連合およびConsumer Reportsは、IoTラベリング・プログラムから、対象リストに掲載されている企業が製造したIoT機器を除外することを特に支持しているが、連邦調達が禁止されている企業を含め、連邦の追加制限リストに掲載されている企業が製造した機器を制限するよう、委員会に強く求めている。コンシューマー・レポートは、対象リストまたは同様のリストに含まれるコンポーネントを含むシステムをIoTラベリング・プログラムから除外することに同意する。これらのリストはそれぞれ、リスト上の事業体がそれぞれの領域で国家安全保障上の脅威をもたらす可能性があるという、関連する連邦代表局の決定を表しており、そのため、IoTラベリング・プログラムを通じて、その製品を信頼できるものとして個別に制裁することはできないと判断する。各リストは特定の禁止事項をサポートするように設計されているが、ここでの使用は、米国政府によるセキュリティのアセスメントを代表する自主的なプログラムからその内容を除外するだけであり、他のいかなる使用も禁止するものではない。FCC IoTラベルが、サイバーセキュリティに関するFCCの消費者に対するシグナルを反映するものである限り、FCCが、特に関連する連邦機関が他のセキュリティ上の懸念を表明している製品について、慎重なアプローチをとることは合理的である。 |
| 27. Applicant Declaration Under Penalty of Perjury. To implement the Commission's goal of ensuring the Cyber Trust Mark is not affixed to products that pose a risk to national security or a risk to public safety, we require applicants seeking authorization to use the FCC IoT Label to provide a declaration under penalty of perjury that all of the following are true and correct: | 27. 偽証罪に基づく申請者の申告。国家安全保障や公共の安全に対するリスクをもたらす製品にサイバートラストマークが貼付されないようにするという委員会の目標を実現するため、FCC IoTラベルの使用認可を求める申請者に対し、偽証罪に基づき、以下のすべてが真実かつ正確である旨の宣誓書を提出することを求める: |
| (i) The product for which the applicant seeks to use the FCC IoT Label through cybersecurity certification meets all the requirements of the IoT Labeling Program. | (i) 申請者がサイバーセキュリティ認証を通じてFCC IoTラベルの使用を求める製品は、IoTラベリング・プログラムのすべての要件を満たしている。 |
| (ii) The applicant is not identified as an entity producing covered communications equipment on the Covered List, established pursuant to § 1.50002 of the Commission's rules. | (ii) 申請者は、委員会規則1.50002条に従って設定された対象リストにおいて、対象通信機器を製造する事業体として特定されていない。 |
| (iii) The product is not comprised of “covered” equipment on the Covered List. | (iii) 製品が、対象リスト上の「対象」機器で構成されていない。 |
| (iv) The product is not produced by any entity, its affiliates, or subsidiaries identified on the Department of Commerce's Entity List, or the Department of Defense's List of Chinese Military Companies. | (iv) 商務省の「事業体リスト」または国防総省の「中国軍需企業リスト」に記載されている事業体、その関連会社、または子会社によって生産されていない。 |
| (v) The product is not owned or controlled by or affiliated with any person or entity that has been suspended or debarred from receiving Federal procurements or financial awards, to include all entities and individuals published as ineligible for award on the General Service Administration's System for Award Management. | (v) 一般調達局の受賞管理システムで受賞資格がないと公表されたすべての事業体および個人を含む、連邦調達または資金供与の受領を停止または免責された個人または事業体によって所有または統制されていない、またはその関係者でないこと。 |
| (vi) The applicant has taken every reasonable measure to create a securable product. | (vi) 申請者は、安全な製品を作成するためにあらゆる合理的な手段を講じている。 |
| (vii) The applicant will, until the support period end date disclosed in the registry, diligently identify critical vulnerabilities in our products and promptly issue software updates correcting them, unless such updates are not reasonably needed to protect against security failures. | (vii) 申請者は、レジストリに開示されたサポート期間終了日まで、自社製品の重大な脆弱性を真摯に識別し、セキュリティ障害から保護するために合理的に必要とされない場合を除き、その脆弱性を修正するソフトウェア・アップデートを速やかに発行する。 |
| (viii) The applicant will not elsewhere disclaim or otherwise attempt to limit the substantive or procedural enforceability of this declaration or of any other representations and commitments made on the FCC IoT Label or made for purposes of acquiring or maintaining authorization to use it. | (viii) 申請者は、本宣言、FCC IoTラベルに記載された、または使用認可を取得もしくは維持する目的で行われたその他の表明および確約の実質的もしくは手続き上の強制力を、他方で否認したり、その他の方法で制限しようとしたりしないこと。 |
| 28. If any applicant fails to make any of the above disclosures within 20 days after being notified of its noncompliance, such failure would result in termination of any improperly granted authorization to use the Label, and/or subject the applicant to other enforcement measures. The applicant is required to update its declaration, or withdraw a not-yet granted application, if any of the applicant's circumstances impacting the declarations materially change while the application is pending. | 28. 申請者が不遵守の通知を受けてから20日以内に上記の開示のいずれかを行わなかった場合、そのような不遵守は、ラベルを使用するために不正に付与された認可の終了、および/または申請者がその他の強制措置の対象となる。申請者は、宣言に影響する申請者の状況が申請中である間に重大な変更があった場合、宣言を更新するか、まだ許可されていない申請を取り下げる必要がある。 |
| 29. Wireless Consumer IoT Devices vs. Wired Consumer IoT Devices. The Order adopts the IoT Labeling NPRM's proposal that the IoT Labeling Program apply initially to wireless consumer IoT devices. This is consistent with the IoT Labeling NPRM proposal to focus the scope of the IoT Labeling Program on intentional radiators that generate and emit RF energy by radiation or induction and exclude wired-only IoT devices, noting such devices are encompassed by the Commission's section 302 authority governing the interference potential of devices that emit RF energy and can cause harmful interference. We find that this distinction is appropriate, both because of the Commission's interest in keeping the scope of the IoT Labeling Program clear and manageable during its debut and because there is support in the record for wireless intentional radiators as most prevalent types of consumer IoT devices contemplated in the IoT Labeling NPRM. While we recognize that there are other types of RF devices—both unintentional and incidental radiators—that are subject to our jurisdiction, we are not including them in our IoT Labeling Program at this time. | 29. 無線消費者向け IoT 機器と有線消費者向け IoT 機器の比較。本命令は、IoT ラベリングプログラムが当初は無線消費者向け IoT 機器に適用されるという IoT ラベリング NPRM の提案を採用する。これは、IoTラベリングプログラムの適用範囲を、放射または誘導によってRFエネルギーを生成・放出する意図的な放射器に絞り、有線のみのIoT機器を除外するというIoTラベリングNPRMの提案と一致している。IoTラベリングプログラムが開始される間、IoTラベリングプログラムの範囲を明確かつ管理しやすいものにするという委員会の関心と、IoTラベリングNPRMで想定されている消費者向けIoT機器の最も一般的な種類として、ワイヤレスの意図的輻射装置を支持する記録があることから、この区別は適切であると判断する。我々は、意図的でない放射体や偶発的な放射体など、我々の管轄の対象となる他の種類の RF 機器が存在することを認識しているが、現時点ではそれらを IoT ラベリング・プログラムに含めていない。 |
| 30. We acknowledge there is substantial support in the record for including wired IoT consumer products within the scope of the IoT Labeling Program. Consumer Reports recommends including both wired and wireless IoT within the scope of the IoT Labeling Program, pointing out that wired IoT devices or products are vulnerable to cybersecurity threats just as wireless IoT devices or products are. Consumer Reports also points out that “while wireless devices are the majority of IoT devices, there are still almost 700 million wired IoT devices globally, and they are expected to grow by a 10% [compound annual growth rate] through 2027 according to IoT Analytics `State of IoT—Spring 2023 Report.' ” TÜV SÜD also encourages the Commission to cover both wired and wireless devices within the scope of the IoT Labeling Program, and AIM emphasizes the importance of the security of both wired and wireless IoT to the cybersecurity ecosystem. CTA further states that the Commission should not define the scope of the IoT Labeling Program in such a way as to exclude wired IoT products. The Association of Home Appliance Manufacturers (AHAM) points out that both wired and wireless IoT are included in the NIST definition. | 30. 我々は、IoTラベリング・プログラムの範囲に有線IoT消費者製品を含めることについて、記録上 実質的な支持があることを認める。Consumer Reportsは、有線と無線の両方のIoTをIoTラベリング・プログラムの範囲に含めることを推奨しており、有線のIoTデバイスや製品が無線のIoTデバイスや製品と同様にサイバーセキュリティの脅威に脆弱であることを指摘している。また、Consumer Reportsは、「無線デバイスがIoTデバイスの大半を占める一方で、有線IoTデバイスは世界全体でまだ7億台近くあり、IoT Analyticsの『State of IoT-Spring 2023 Report』によると、2027年まで10%(複合年間成長率)の成長が見込まれている」と指摘している。 「TÜV SÜDも委員会に対し、IoTラベリングプログラムの対象範囲に有線および無線の両デバイスを含めるよう奨励しており、AIMもサイバーセキュリティのエコシステムにとって有線および無線のIoTのセキュリティが重要であることを強調している。CTAはさらに、委員会は、有線IoT製品を除外するような形でIoTラベリングプログラムの範囲を定義すべきではないと述べている。家電製品製造者協会(AHAM)は、有線と無線の両方のIoTがNISTの定義に含まれていると指摘している。 |
| 31. While we agree that wired IoT products are susceptible to cyberattacks and similarly pose security risks to consumers and others, we find it to be in the public interest for the IoT Labeling Program to start with wireless consumer IoT products in view of the record indicating that “wireless devices are the majority of IoT devices,” which would indicate that a focus on this product segment will have a substantial impact on the overall IoT market. The record also supports this approach, with Keysight Technologies, Inc. concurring that “the program should include consumer RF IoT products initially.” Further, we do not agree with arguments that there may be an unintended perception that “[c]reating a program that would only certify wireless IoT devices would send an improper message that only wireless IoT devices are secure.” Instead, we believe that beginning with wireless IoT products is both feasible and can be adopted with more speed, providing more prompt benefit in the marketplace. Further, a more limited scope will streamline the initial rollout of the IoT Labeling Program, provide focus to the additional tasks necessary to stand up the program, and lay the groundwork for expansion, and we do not foreclose consideration including wired IoT products in the future. As such and as discussed below, we also defer consideration of our legal authority to consider wired products at this time. | 31. 我々は、有線IoT製品がサイバー攻撃の影響を受けやすく、同様に消費者等にセキュリティリスクをもたらすことに同意するが、「無線デバイスがIoTデバイスの大半を占めている」という記録を鑑みると、IoTラベリング・プログラムが無線の消費者向けIoT製品から開始することが公益にかなうと判断する。記録もこのアプローチを支持しており、Keysight Technologies, Inc.も「プログラムには当初、民生用RF IoT製品を含めるべきである」と同意している。さらに、「無線 IoT 機器のみを認証するプログラムを開始することは、無線 IoT 機器のみが安全であるという不適切なメッセージを送ることになる」という意図せざる認識があるのではないかという議論には同意できない。その代わりに、無線IoT製品から始めることは、実現可能であり、より迅速に採用することができ、市場においてより迅速な利益をもたらすと考える。さらに、範囲をより限定することで、IoT ラベリング・プログラムの初期展開を合理化し、プログラムの立ち上げに必要な追加タスクに焦点を当て、拡大への基盤を築くことができ、将来的に有線 IoT 製品を含めることを検討することを妨げるものではない。そのため、後述するように、現時点では、有線製品を検討する法的認可の検討も延期する。 |
| B. Oversight and Management of the IoT Labeling Program | B. IoTラベリング・プログラムの監督と管理 |
| 32. Based on the comments filed regarding oversight and management of the IoT Labeling Program, the Commission finds it is in the public interest to continue to foster public-private collaboration, including with regard to the management and administration of the IoT Labeling Program, while ensuring the Commission retains ultimate control and oversight of the IoT Labeling Program. In this respect, providing a broad, unifying government oversight framework for existing private labeling schemes and other private efforts in this context will allow current participants in this ecosystem to capitalize on their existing investments and relationships in a way that not only promotes the overall effectiveness of the FCC's IoT Labeling Program and increases the security of the IoT ecosystem. | 32. IoTラベリング・プログラムの監督と管理に関して提出された意見に基づき、委員会は、委員会がIoTラベリング・プログラムの最終的な管理と監督を確実に維持する一方で、IoTラベリング・プログラムの管理と運営を含め、官民の協力を引き続き促進することが公益にかなうと判断した。この点で、既存の民間のラベリング制度やその他の民間の取り組みに対して、広範で統一的な政府の監視枠組みを提供することは、このエコシステムにおける現在の参加者が、FCCのIoTラベリング・プログラムの全体的な有効性を促進するだけでなく、IoTエコシステムの安全性を高める方法で、既存の投資と関係を活用することを可能にする。 |
| 33. The Commission adopts the IoT Labeling NPRM proposal that the IoT Labeling Program be comprised of a single “program owner” responsible for the overall management and oversight of the IoT Labeling Program, with administrative support from one or more third-party administrators. NIST's white paper recommends one “scheme owner” responsible for managing the labeling program, determining its structure and management, and performing oversight to ensure the program is functioning consistently in keeping with overall objectives. We agree that it is appropriate for a single entity to perform these functions and find that the Commission will be the program owner of the IoT Labeling Program, and as such retains ultimate control over the program, and determines the program's structure. CSA highlights support in the record for having the Commission as the program owner, arguing that “[p]lacing the regulatory authority in the hands of the Commission and providing government-backed endorsement may strengthen trust with Consumers.” However, the NIST Cybersecurity White Paper also recommends the “scheme owner” be responsible for defining the conformity assessment requirements, developing the label and associated information, and conducting consumer outreach and education. | 33. 委員会は、IoTラベリング・プログラムは、IoTラベリング・プログラムの全体的な管理・監督に責任を持つ単一の「プログラム・オーナー」によって構成され、1人以上のサードパーティ管理者による管理上の支援を受けるというIoTラベリングNPRMの提案を採用する。NISTのホワイトペーパーでは、ラベリングプログラムの管理、その構造と管理の決定、およびプログラムが全体的な目的に沿って一貫して機能していることを確認するための監督を行う責任を負う1人の「スキームオーナー」を推奨している。我々は、単一の事業体がこれらの機能を果たすことが適切であることに同意し、委員会がIoTラベリング・プログラムのプログラム・オーナーとなり、プログラムに対する最終的な管理権を保持し、プログラムの構造を決定することを認める。CSAは、「規制当局を委員会の手に委ね、政府のお墨付きを与えることで、消費者との信頼関係を強化することができる」と主張し、委員会をプログラム・オーナーとすることの支持を記録で強調している。しかし、NISTサイバーセキュリティ白書は、「スキーム・オーナー」が適合性評価要件の定義、ラベルと関連情報の作成、消費者への働きかけと教育を行う責任を負うことも推奨している。 |
| 34. While the Commission as program owner will oversee the elements of the program, the program will be supported by Cybersecurity Label Administrators (Label Administrators or CLAs) who will manage certain aspects of the program and authorize use the FCC IoT Label as well as a Lead Administrator selected by the Bureau from among the CLAs, which will undertake additional duties including acting as the point of contact between the CLAs and the Commission. In addition, the Commission believes it is appropriate for a Lead Administrator, in collaboration with the CLAs and other stakeholders, to identify or develop, and recommend to the Commission for approval, the IoT specific standards and testing procedures, procedures for post-market surveillance, as well as design and placement of the label. The Lead Administrator will also be responsible for developing, in coordination with stakeholders, a consumer education plan and submitting the plan to the Bureau and engaging in consumer education. Each of these duties are discussed in depth below. The Cybersecurity Coalition recommends the Commission utilize a single administrator, rather than multiple administrators “to reduce the likelihood of conflict among administrators and simplify engagement with manufacturers, consumers, and government agencies.” CTA, on the other hand, contemplates multiple administrators, suggesting that the Commission may consider leveraging “a consortium of scheme owners[ ] to ensure that the IoT Labeling Program is administered and issues are adjudicated in an effective, objective, and timely fashion.” We agree with CTA's reasoning, while also acknowledging the Cybersecurity Coalition's concern regarding potential conflict. Accordingly, the Bureau will select a Lead Administrator from among the CLA applicants to address conflicts. | 34. プログラムの所有者である委員会がプログラムの要素を監督する一方で、プログラムの特定の側面を管理し、FCC IoTラベルの使用を認可するサイバーセキュリティ・ラベル認可管理者(Label AdministratorまたはCLAs)、およびCLAsと委員会との間の連絡窓口としての役割を含む追加業務を引き受ける、CLAsの中から事務局が選定した主管理者(Lead Administrator)によって、プログラムが支援されることになる。さらに、委員会は、主導的管理者が、CLAおよびその他の関係者と協力して、IoTに固有の標準および試験手順、市販後調査の手順、ラベルのデザインと配置を特定または開発し、委員会の承認を得るよう勧告することが適切であると考えている。また、主管庁は、関係者と連携して消費者教育計画を策定し、同計画を同局に提出するとともに、消費者教育に従事する責任も負う。これらの各業務については、以下で詳しく説明する。サイバーセキュリティ連合は、「管理者間の対立の可能性を減らし、製造事業者、消費者、政府機関との関わりを簡素化するため」に、複数の管理者ではなく、単一の管理者を活用することを委員会に推奨している。一方、CTAは、複数の管理者を想定しており、委員会が「IoTラベリングプログラムの管理と問題の裁定を効果的、客観的かつタイムリーに行うために、スキーム所有者のコンソーシアム(consortium of scheme owners[])」を活用することを検討する可能性を示唆している。我々は、サイバーセキュリティ連合の潜在的な対立に関する懸念も認めつつ、CTAの推論に同意する。従って、事務局は、CLA申請者の中から紛争に対処する主管理者を選定する。 |
| 35. As an initial matter, we have looked to the structure of, and experiences with, the Commission's equipment authorization program and rules in developing the IoT Labeling Program, as proposed and discussed in the IoT Labeling NPRM. We emphasize, however, that the IoT Labeling Program is new and distinct, and it will operate under its own rules and with new authorities specifically delegated to PSHSB. This is consistent with the record developed in the proceeding, in which many commenters urged the Commission to keep the equipment authorization and IoT Labeling programs separate. In addition, several commenters addressed whether obtaining a valid equipment authorization should be a pre-requisite for obtaining the Cyber Trust Mark, or whether obtaining approval to use the Cyber Trust Mark would be required as a condition for applying for an equipment authorization. We emphasize that our IoT Labeling Program is voluntary, and parties are required to follow the Commission's equipment authorization program regardless of whether or not they choose to participate in the IoT Labeling Program. We also clarify that there is no requirement to complete the equipment authorization process before qualifying for the Cyber Trust Mark; however, our existing part 2 rules will continue to prohibit the marketing of a device that does not have a valid equipment authorization. | 35. 最初の問題として、我々は、IoTラベリングNPRMで提案および議論されたIoTラベリングプログラムを策定するにあたり、委員会の機器認可プログラムおよび規則の仕組みと経験に注目した。しかし、IoTラベリング・プログラムは新しく、独自の規則とPSHSBに特別に委譲された新しい権限の下で運営されることを強調する。これは、多くの意見提出者が、機器認可とIoTラベリングプログラムを分離して維持するよう委員会に求めた、この手続きで作成された記録と一致している。さらに、有効な機器認可を取得することがサイバートラストマークを取得するための前提条件となるのか、あるいは、機器認可を申請する条件としてサイバートラストマークの使用認可を取得する必要があるのかについても、複数の意見者から言及があった。我々は、IoTラベリング・プログラムは任意であり、当事者はIoTラベリング・プログラムへの参加を選択するか否かにかかわらず、委員会の機器認可プログラムに従う必要があることを強調する。また、サイバートラストマークの資格を得る前に機器認可プロセスを完了する必要はないことを明確にする。しかし、既存のパート2規則は、有効な機器認可を持たない機器の販売を引き続き禁止する。 |
| 36. We conclude that it is in the public interest and supported in the record to adopt the IoT Labeling Program structure recommended by NIST, with the modifications discussed above regarding third-party administrators that are overseen by the Commission as the program owner. This and the following paragraph preview the remaining roles and responsibilities for the IoT Labeling Program, which will be developed in depth in the remaining sections of the Order. The Commission also will be responsible for coordinating mutual recognition of the Cyber Trust Mark with international partners, coordinating with the Lead Administrator, Federal partners, industry, and other stakeholders on consumer education programs, and performing oversight to ensure the IoT Labeling Program is functioning properly. In addition, the Commission will specify the data to be included in a consumer-friendly registry that provides additional information about the security of the products approved to use the Cyber Trust Mark and is accessible through the QR Code that is required to accompany the Cyber Trust Mark. Further, the Commission will own and maintain the registration for the Cyber Trust Mark, which may only be used when the product has been appropriately tested and complies with the Commission's IoT Labeling Program requirements. | 36. 我々は、プログラム所有者である委員会が監督するサードパーティ管理者に関して上述した修正を加えた上で、NISTが推奨するIoTラベリングプログラムの構造を採用することが公益に適い、記録上も支持されると結論付けた。この段落および次の段落では、IoTラベリングプログラムに残された役割と責任を概説する。また、委員会は、国際的なパートナーとのサイバートラストマークの相互承認の調整、消費者教育プログラムに関する主管庁、連邦政府パートナー、産業界およびその他の利害関係者との調整、IoTラベリングプログラムが適切に機能していることを確認するための監視を行う。さらに、委員会は、サイバートラストマークの使用が承認された製品のセキュリティに関する追加情報を提供し、サイバートラストマークに添付することが義務付けられているQRコードからアクセスできる、消費者向けのレジストリに含めるデータを指定する。さらに、委員会はサイバートラストマークの登録を所有し、維持する。この登録は、製品が適切に試験され、委員会のIoTラベリングプログラムの要件に適合している場合にのみ使用することができる。 |
| 37. The Commission will approve qualified Cybersecurity Label Administrators (Label Administrators or CLAs) to manage certain aspects of the labeling program and be authorized by the Commission to license the Cyber Trust Mark to manufacturers whose products are in compliance with the Commission's IoT cybersecurity labeling rules. The Commission will also select a Lead Administrator, which will be responsible for carrying out additional administrative responsibilities, including but not limited to reviewing applications and recognizing qualified and accredited Cybersecurity Testing Laboratories (CyberLABs) and engaging in consumer education regarding the Cyber Trust Mark. The Lead Administrator will also collaborate with cyber experts from industry, government, academia, and other relevant sectors if needed to identify, develop, and maintain consumer IoT cybersecurity technical and conformity assessment standards that are based on NIST standards and guidance, that will be submitted to PSHSB for consideration and approval, and, subject to any required public notice and comment, adopted into the Commission's rules. The standards and testing procedures developed or identified in collaboration with CLAs and other stakeholders and submitted by the Lead Administrator for consideration by the Commission will, in turn, be used by accredited [4] testing labs recognized by the Lead Administrator—whether CyberLABs,[5] a CLA-run lab, or a testing lab internal to a company (in-house testing lab) for product testing. | 37. 委員会は、ラベリングプログラムの特定の側面を管理し、委員会のIoTサイバーセキュリティラベリング規則に準拠した製品を製造する製造事業者にサイバートラストマークを認可する権限を委員会から与えられる、資格のあるサイバーセキュリティラベル管理者(ラベル管理者またはCLA)を認可する。また、委員会は、申請書の審査、適格かつ認定されたサイバーセキュリティ試験所(サイバーラボ)の認定、サイバートラストマークに関する消費者教育の実施など(ただし、これらに限定されない)、さらなる管理責任を担う主管者を選定する。また、主管庁は、必要に応じて、産業界、政府、学界、その他関連分野のサイバー専門家と協力し、NIST の標準およびガイダンスに基づく消費者向け IoT サイバーセキュリティの技術基準および適合性評価基準を特定、開発、維持する。サイバーラボ、[5]サイバーラボが運営する試験所、または企業内の試験所(社内試験所)のいずれであっても、主管庁が認定した試験所([4]サイバーラボが運営する試験所)は、製品試験のために、サイバーラボ、[5]サイバーラボが運営する試験所、または企業内の試験所(社内試験所)のいずれであっても、主管庁が認定した試験所([6]サイバーラボが運営する試験所、[7]サイバーラボが運営する試験所)が使用する。 |
| 38. Retaining key overarching functions within the Commission as discussed above will ensure the effective administration and oversight of this government program and protect the integrity of the FCC-owned Cyber Trust Mark, while perpetuating, where appropriate, the relevant efforts of the private sector that meet the goals and requirements of the program. We also agree with CSA that program ownership by the Commission will increase consumer confidence in the Cyber Trust Mark. In addition, the clear high-level oversight functions retained for the Commission ensures the Commission has meaningful decision-making control. Here, while the CLA(s) will recommend standards and testing procedures to be approved by the Commission as well as manage the day-to-day administrative functions assigned, the Commission will ultimately review, consider, and exercise judgment on whether the requirements are appropriate to support the Commission's program, and on how the program is ultimately administered. | 38. 上述したように、主要な包括的機能を委員会内に保持することは、この政府プログラムの効果的な管理・監督を保証し、FCCが所有するサイバートラストマークの完全性を保護する一方で、適切な場合には、プログラムの目標と要件を満たす民間部門の関連する取り組みを永続させることになる。また、委員会がプログラムを所有することで、サイバートラストマークに対する消費者の信頼が高まるというCSAの意見にも同意する。さらに、明確なハイレベルの監督機能が委員会に保持されることで、委員会は有意義な意思決定管理を行うことができる。ここで、CLAは、委員会が承認する標準と試験方法を推奨し、割り当てられた日々の管理機能を管理するが、委員会は、最終的に、要件が委員会のプログラムを支援するために適切であるかどうか、また、プログラムが最終的にどのように管理されるかについて、検討し、判断する。 |
| 39. We adopt the IoT Labeling NPRM's proposal that one or more qualified third-party administrators (Cybersecurity Labeling Administrators or CLAs) be designated by the Commission to manage certain aspects of the labeling program and be authorized to certify the application of the FCC IoT Label by manufacturers whose products are found to be in compliance with the Commission's IoT cybersecurity labeling rules and regulations. The record supports the Commission's adoption of a labeling program that is supported by CLAs. According to TIC Council Americas, involving independent third-party administrators who verify that labeled products meet the program requirements will bring trust, consistency, and an impartial level playing field to the Cyber Trust Mark. The Cybersecurity Coalition, Widelity, and CSA highlight that utilizing experienced third-party administrators will allow the program to run more efficiently and will provide “the required expertise for the administration of the program.” CTA and other commenters also assert that the IoT Labeling Program will be best served if the Commission “leverage[s] the unique expertise and existing certification infrastructure offered by well-regarded industry organizations.” AHAM says that “[g]iven the volume and increasing numbers of IoT products on the market, [the] FCC needs to give manufacturers as many options as possible as far as obtaining the Cyber Trust mark” and that “third parties will play an important role in any successful program.” | 39. 我々は、IoTラベリングNPRMの提案を採用する。1人以上の資格を有するサードパーティ管理者(サイバーセキュリティ・ラベリング管理者またはCLA)が、ラベリングプログラムの特定の側面を管理するために委員会により指定され、その製品が委員会のIoTサイバーセキュリティ・ラベリング規則および規制に準拠していると認められた製造事業者によるFCC IoTラベルの適用を認可される。この記録は、委員会がCLAに支持されたラベリングプログラムを採用したことを裏付けている。TIC Council Americasによると、ラベリングされた製品がプログラム要件を満たしていることを検証する独立したサードパーティ管理者が関与することで、サイバートラストマークに信頼性、一貫性、公平な公平な土俵がもたらされるという。サイバーセキュリティ連合、Widelity、CSAは、経験豊富なサードパーティ管理者を活用することで、プログラムをより効率的に運営でき、「プログラムの運営に必要な専門知識」を提供できると強調している。また、CTAをはじめとするコメント提出者は、委員会が「定評ある業界団体が提供する独自の専門知識と既存の認証インフラを活用する」ことで、IoTラベリングプログラムが最善の効果を発揮すると主張している。AHAMは、「市場に出回るIoT製品の量と数が増加していることから、(FCCは)サイバートラストマークの取得に関して、製造事業者にできるだけ多くの選択肢を与える必要がある」とし、「プログラムの成功にはサードパーティが重要な役割を果たす」と述べている。 |
| 40. CTA supports assigning certain responsibilities to one or more independent, ( i.e., neutral) third-party administrators which it refers to as “Authorized Scheme Owners.” However, the Commission disagrees with this descriptor insofar as some commenters are confused as to whether the “scheme owner” is the entity ultimately responsible for the program, or a third-party entity responsible for certain program administration functions or specified tasks under the ultimate direction of the Commission. To avoid confusion, the Commission refers to these third-party administrators as CLAs. These CLAs are neutral third parties independent of the applicant and within the context of a program overseen by the Commission. | 40. CTAは、「認可スキーム所有者(Authorized Scheme Owners)」と呼ぶ、1つまたは複数の独立した(すなわち中立的な)サードパーティ管理者に一定の責任を割り当てることを支持している。しかし、「スキーム・オーナー」がプログラムの最終的な責任事業体なのか、それとも委員会の最終的な指示の下、特定のプログラム管理機能または特定業務を担当するサードパーティ事業体なのかについて、一部のコメント提出者が混乱しているという点で、委員会はこの表現に同意していない。混乱を避けるため、委員会はこれらのサードパーティをCLAと呼んでいる。これらのCLAは、申請者から独立した中立的なサードパーティであり、委員会が監督するプログラムの範囲内にある。 |
| 41. We believe that authorizing one or more CLAs to handle the routine administration of the program will help to ensure a timely and consistent rollout of the program. In particular, several private entities have already implemented robust IoT cybersecurity labeling programs with established business processes in place to receive applications from IoT manufacturers and conduct conformity/standards testing against widely accepted cybersecurity guidelines ( e.g., NIST guidelines) or proprietary product profiles based on the NIST criteria. We anticipate a large number of entities will seek grants of authorization to use the FCC IoT Label and we are concerned that if we were to adopt a program limited to a single administrator, there may be bottlenecking delays in the processing of applications and a single administrator could result in a single point of failure in the program. Allowing multiple CLAs to execute the role of day-to-day administration of the program will provide for the simultaneous processing of a significant number of applications, provide redundancy of structure, and potentially foster competition in this space to better serve those seeking access to the label. In addition, leveraging the expertise of multiple existing program managers and using pre-existing systems and processes that meet our program specifications will minimize administrative delay, while promoting an efficient and timely rollout of the Cyber Trust Mark. This will also ensure that the Commission effectively utilizes the expertise of those entities who have made investments in their own cybersecurity labeling programs and have experience working with manufacturers and IoT conformity and standards testing, expediting the ability to provide consumers with a simple way to understand the relative security of the products and devices they purchase under a government-backed standard. | 41. 本プログラムの日常的な運営を1つまたは複数のCLAに認可することは、本プログラムのタイムリーかつ一貫した展開の確保に役立つと考える。特に、いくつかの民間事業体は、IoT製造事業者からの申請を受け、広く受け入れられているサイバーセキュリティガイドライン(例えば、NISTガイドライン)またはNIST規準に基づく独自の製品プロファイルに対する適合性/標準試験を実施するための確立された業務プロセスを備えた強固なIoTサイバーセキュリティラベリングプログラムをすでに実施している。多数の事業体がFCC IoTラベルの使用認可を求めることが予想されるため、単一の管理者に限定したプログラムを採用した場合、申請の処理にボトルネックとなる遅延が発生する可能性があり、単一の管理者がプログラムの単一障害点となることを懸念している。複数のCLAにプログラムの日常的な管理を任せることで、多数の申請を同時に処理することが可能となり、冗長な体制が構築されるとともに、この分野における競争が促進され、ラベルへのアクセスを求める人々により良いサービスを提供できる可能性がある。さらに、複数の既存のプログラム管理者の専門知識を活用し、当委員会のプログラム仕様に適合した既存のシステムとプロセスを利用することで、管理上の遅れを最小限に抑え、サイバートラストマークの効率的かつタイムリーな展開を促進することができる。これにより、政府ガバナンスは、独自のサイバーセキュリティ・ラベリングプログラムへの投資を行い、製造事業者やIoT適合性試験・標準試験との協力経験を有する事業体の専門知識を効果的に活用することができ、政府が支援する標準の下で、消費者が購入する製品や機器の相対的なセキュリティを理解するための簡単な方法を提供することができるようになる。 |
| 42. We recognize, however, that there is a need for a common interface between the CLAs and the Commission to facilitate ease of engagement and to conduct other initial tasks associated with the launch of the program. We delegate authority to PSHSB to review CLA applications, review CLA applications that also request consideration for Lead Administrator, select the Lead Administrator and manage changes in the Lead Administrator. | 42. しかし、我々は、CLAと委員会との間の共通のインターフェースが必要であることを認識している。我々はPSHSBに対し、CLA申請書の審査、主管者の検討も要請するCLA申請書の審査、主管者の選定、主管者の変更管理を行う権限を委譲する。 |
| 43. Lead Administrator Duties. The Lead Administrator will undertake the following duties in addition to the CLA duties outlined below: | 43. 主任運営者の任務 主任管理者は、以下に概説される CLA の職務に加え、以下の職務を引き受ける: |
| a. interface with the Commission on behalf of the CLAs, including but not limited to submitting to the Bureau all complaints alleging a product bearing the FCC IoT Label does not meet the requirements of the Commission's labeling program; | a. FCC IoTラベルが貼付された製品が、委員会のラベル表示プログラムの要件を満たしていないと主張するすべての苦情を同局に提出することを含むが、これに限定されない; |
| b. conduct stakeholder outreach as appropriate; | b. 適宜、利害関係者への働きかけを行う; |
| c. accept, review, and approve or deny applications from labs seeking recognition as a lab authorized to perform the conformity testing necessary to support an application for authority to affix the FCC IoT Label,[6] and maintain a publicly available list of Lead Administrator-recognized labs and a list of labs that have lost their recognition; | c. FCC IoTラベルを貼付する権限[6]の申請を裏付けるために必要な適合性試験を実施する認可を受けた試験所としての認可を求める試験所からの申請を受理し、審査し、承認または拒否し、主管理者が認可した試験所の一般公開リストおよび認可を失った試験所のリストを維持する; |
| d. within 90 days of release of the Public Notice announcing the Lead Administrator selection, the Lead Administrator shall, in collaboration with stakeholders ( e.g., cyber experts from industry, government, and academia) as appropriate: | d. 主管理者の選定を発表する公告が発表されてから 90 日以内に、主管理者は、適宜、利害関係 者(例えば、産官学のサイバー専門家)と協力して、以下のことを行うものとする: |
| i. submit to the Bureau recommendations identifying and/or developing the technical standards and testing procedures for the Commission to consider with regard to at least one class of IoT products eligible for the IoT Labeling Program. The Bureau will evaluate the recommendations, and if the Bureau approves of the recommendations, subject to any required public notice and comment, incorporate them by reference into the Commission's rules; | i. IoTラベリングプログラムの対象となる少なくとも1つのクラスのIoT製品に関して、委員会が検討すべき技術標準および試験手順を特定および/または開発するための勧告を事務局に提出する。同局は勧告を評価し、同局がその勧告を承認した場合、必要な公示とコメントに従って、参照により委員会の規則に組み込む; |
| ii. submit to the Bureau a recommendation on how often a given class of IoT products must renew their request for authority to bear the FCC IoT Label, which may be dependent on the type of product, and that such a recommendation be submitted in connection with the relevant standards recommendations for an IoT product or class of IoT products; The Bureau will evaluate the recommendations, and if the Bureau approves of the recommendations, subject to any required public notice and comment, incorporate them by reference into the Commission's rules; | ii. IoT製品の特定のクラスが、FCC IoTラベルを貼付する認可申請を更新しなければならない頻度に関する勧告を同局に提出する(製品の種類に依存する可能性がある); |
| iii. submit to the Bureau recommendations on the design of the FCC IoT Label, including but not limited to labeling design and placement ( e.g., size and white spaces, product packaging.) The Bureau will evaluate the recommendations, and if the Bureau approves of the recommendations, subject to any required public notice and comment, incorporate them by reference into the Commission's rules; and | iii. FCC IoTラベルの設計に関する勧告を同局に提出する。これには、ラベルの設計および配置(サイズおよび空白、製品パッケージなど)が含まれるが、これに限定されない。 |
| iv. submit to the Bureau recommendations with regard to updates to the registry including whether the registry should be in additional languages, and if so, to recommend specific languages for inclusion; | iv. レジストリの更新に関して、レジストリの言語を追加すべきかどうか、追加する場合は特定の言語を推奨するかどうかを含め、事務局に勧告を提出する; |
| v. submit to the Bureau recommendations on the design of the FCC IoT Label, including but not limited to labeling design and placement ( e.g., size and white spaces, product packaging, whether to include the product support end date and other security and privacy information on the label.) The Bureau will evaluate the recommendations, and if the Bureau approves of the recommendations, subject to any required public notice and comment, incorporate them by reference into the Commission's rules. | v. FCC IoTラベルのデザインに関する勧告を同局に提出すること。これには、ラベルのデザインと配置(サイズや余白、製品パッケージ、製品サポート終了日やその他のセキュリティおよびプライバシー情報をラベルに記載するかどうかなど)が含まれるが、これらに限定されない。同局は勧告を評価し、同局が勧告を承認した場合、必要とされる公示とコメントに従い、参照により委員会の規則に組み込む。 |
| e. The Lead Administrator shall, in collaboration with CLAs and other stakeholders ( e.g., cyber experts from industry, government, and academia) as appropriate recommend within 45 days of publication of updates or changes to NIST guidelines, or adoption by NIST of new guidelines, to the FCC any appropriate modifications to the Labeling Program standards and testing procedures to stay aligned with the NIST guidelines; | e. 主管庁は、CLAおよびその他の利害関係者(例えば、産官学のサイバー専門家)と協力して、NISTガイドラインの更新または変更が公表された場合、あるいはNISTが新しいガイドラインを採択した場合、45日以内に、NISTガイドラインとの整合性を保つために、ラベリング・プログラムの標準および試験手順に対する適切な修正をFCCに勧告する; |
| f. submit to the Commission reports on CLAs' post-market surveillance activities and findings in the format and by the date specified by PSHSB; | f. 委員会に対し、PSHSBが指定する形式および期日までに、CLAの市販後調査活動および調査結果に関する報告書を提出する; |
| g. develop in collaboration with stakeholders a consumer education campaign, submit the plan to the PSHSB, and participate in consumer education; | g. 利害関係者と協力して消費者教育キャンペーンを策定し、その計画をPSHSBに提出し、消費者教育に参加する; |
| h. receive complaints about the Labeling Program, including but not limited to consumer complaints about the registry and coordinate with manufacturers to resolve any technical problems associated with consumers accessing the information in the registry; | h. レジストリに関する消費者の苦情を含むがこれに限定されない、ラベリングプログラムに関する苦情を受理し、レジストリの情報への消費者のアクセスに関連する技術的問題を解決するために製造事業者と調整する; |
| i. facilitate coordination between CLAs; and | i. CLA間の調整を促進する。 |
| j. submit to the Commission any other reports upon request of the Commission or as required by Commission rule. | j. 委員会の要請に応じて、または委員会の規則により義務付けられているその他の報告を委員会に提出する。 |
| 44. Cybersecurity Label Administrator Duties. CLA(s) are responsible for various administrative duties, including: | 44. サイバーセキュリティラベル管理者の職務。認証機関は、以下を含む様々な管理業務に責任を負う: |
| a. receive and evaluate applications and supporting data requesting authority to use the FCC IoT Label on the product subject to the application; | a. 申請の対象製品にFCC IoTラベルを使用する認可を求める申請書および裏付けデータを受理し、評価する; |
| b. grant an application only if it meets all of the Commission's requirements to use the FCC IoT Label and authorize ( i.e., certify) the applicant to use the FCC IoT Label on the product subject to the application; | b. FCC IoTラベルを使用するための委員会の要件をすべて満たしている場合に限り、申請を許可し、申請対象製品にFCC IoTラベルを使用することを認可(すなわち、認証)する; |
| c. ensure that manufacturers make all required information accessible by the IoT registry; | c. 製造事業者が、IoT レジストリによってすべての必要情報にアクセスできるようにする; |
| d. participate in consumer education campaign in coordination with the Lead Administrator; | d. 主管庁と協力して消費者教育キャンペーンに参加する; |
| e. perform post-market surveillance activities, such as audits, in accordance with ISO/IEC 17065 and submit periodic reports to the Lead Administrator of their post-market surveillance activities and findings in the format and by the date specified by PSHSB; and | e. ISO/IEC 17065 に準拠した監査等の市販後サーベイランス活動を実施し、PSHSB が指定する書式及び期日までに、市販後サーベイランス活動及び調査結果に関する定期報告書を主管庁に提出すること。 |
| f. receive complaints alleging an IoT product does not support the cybersecurity criteria conveyed by the Cyber Trust Mark and refer these complaints to the Lead Administrator which will notify PSHSB.[7] | f. IoT 製品がサイバートラストマークによって伝達されるサイバーセキュリティ規準をサポートし ていないとの苦情を受け、これらの苦情を主管庁に照会し、主管庁は PSHSB に通知する[7]。 |
| 45. The record supports the use of CLAs to support a variety of tasks within the program's construct. ioXt Alliance supports utilizing CLAs for evaluating and certifying products for the Cyber Trust Mark. CTA supports utilizing CLAs to conduct program operations. The Cybersecurity Coalition and Kaiser Permanente also support utilizing CLAs for managing the day-to-day operations of the IoT Labeling Program. CSA argues that, “the day-to-day administration of the Cyber Trust Mark Program should be managed by a Third-Party Administrator, serving as the entity that grants permission to use the Program trademark to applicants.” In addition, ITI recommends that it should be the responsibility of the CLA to review or audit self-attestations and that “third-party administrators can and should play a key role in administering conformity assessment schemes.” CSA and CTIA further recommend adopting the IoT Labeling NPRM's proposal that a third-party administrator evaluate, accredit, or recognize the CyberLABs, and CSA also “recommends that the Commission hire a third-party administrator to operate the IoT Registry.” Finally, ioXt Alliance recommends that third-party administrators should also “vet companies and products during the certification process” to determine which products pose a threat to national security, based on Commission guidance. ioXt Alliance also notes in its comments that the “label design and associated information should be informed by the expertise of manufacturers and third-party administrators.” | 45. ioXt アライアンスは、サイバートラストマークの製品の評価と認証に CLA を利用することを支持する。CTA は、プログラムの運用に CLA を利用することを支持している。サイバーセキュリティ連合とKaiser Permanenteも、IoTラベリングプログラムの日常業務の管理にCLAを活用することを支持している。CSA は、「サイバートラストマーク・プログラムの日常的な管理はサードパーティ管理者が行うべきであり、申請者にプログラム商標の使用許可を与える事業体として機能する」と主張している。さらに、ITI は、自己認証の審査または監査は CLA の責任とすべきであり、「サードパーティ管理者は、適合性評価スキームの管理において重要な役割を果たすことができ、また果たすべきである」と提言している。CSAとCTIAはさらに、サードパーティ管理者がサイバーラボを評価、認定、承認するというIoTラベリングNPRMの提案を採用することを推奨し、CSAも「IoTレジストリを運営するサードパーティ管理者を委員会が採用することを推奨する」としている。最後に、ioXtアライアンスは、第三者管理者が、委員会のガイダンスに基づいて、どの製品が国家安全保障に脅威を与えるかを判断するために、「認証プロセス中に企業と製品を審査」することも推奨している。ioXtアライアンスはまた、コメントの中で、「ラベルのデザインと関連情報は、製造事業者とサードパーティ管理者の専門知識に基づくべきである」と指摘している。 |
| 46. Subject to Commission oversight, and consistent with recommendations in the record, the CLAs will evaluate and grant or deny requests for authority to use the FCC IoT Label on consumer IoT products in accordance with the IoT Labeling Program. Each administrator will be responsible for certifying that the consumer IoT products for which it authorizes a manufacturer to apply the FCC IoT Label are tested by an accredited testing lab, which as discussed further below may be a CyberLAB, the applicant's own in-house lab, or a CLA-run lab, and that the testing report demonstrates the product conforms to all Commission IoT labeling rules. The CLA will track each application it receives requesting authority to use the FCC IoT Label, and the disposition of all applications, including date of filing, date of acceptance as complete, the date and reason application is returned to applicant, and date of grant or denial. The CLAs will review each application they receive to ensure the application and supporting documents are provided and are sufficient to show the product conforms to all Commission rules and that it includes a compliance test report generated by an accredited and Lead Administrator-recognized testing lab ( e.g., third-party lab (CyberLAB), applicant's in-house testing lab, or CLA-run lab). If the application is deficient, it will not be granted until all necessary conditions are satisfied. If the application is complete and meets all of the Commission's requirements, the CLA will issue a cybersecurity labeling authorization ( i.e., cybersecurity certification) approving the applicant to affix the FCC IoT Label to the identified product. | 46. 委員会の監督に従い、また記録された勧告に従って、CLAは、IoTラベル・プログラムに従い、消費者向けIoT製品にFCC IoTラベルを使用する認可申請を評価し、許可または却下する。各管理者は、製造事業者にFCC IoTラベルの貼付を認可する消費者向けIoT製品が、認定試験所(後述するように、サイバーラボ、申請者自身の社内試験所、またはCLAが運営する試験所)によって試験され、その試験報告書が、その製品が委員会のすべてのIoTラベリング規則に適合していることを証明していることを証明する責任を負う。CLAは、FCC IoTラベルの使用権限を申請するために受領した各申請書、および申請日、認可日、申請書が申請者に返送された日付と理由、許可日または却下日を含む全申請書の処分を追跡する。CLAは、受領した各申請書を審査し、申請書および添付書類が提供され、製品がすべての委員会規則に適合していることを示すのに十分であること、および認定され、かつ主管理者が認めた試験所(サードパーティ試験所(サイバーラボ)、申請者の社内試験所、またはCLAが運営する試験所など)が作成した適合試験報告書が含まれていることを確認する。申請書に不備がある場合、必要な条件がすべて満たされるまで許可されない。申請が完全であり、委員会の要件をすべて満たしている場合、CLAは、識別された製品にFCC IoTラベルを貼付することを申請者に承認するサイバーセキュリティ・ラベリング認可(すなわち、サイバーセキュリティ認証)を発行する。 |
| 47. In addition to its role as a CLA, the Lead Administrator must collaborate with CLAs and other stakeholders ( e.g., cyber experts from industry, government, and academia) as appropriate to develop or identify, and maintain, consumer IoT cybersecurity technical and conformity assessment standards to be met for each class of IoT product seeking authority to affix the FCC IoT Label on their product, which the Lead Administrator will submit to PSHSB for consideration and approval and, subject to any required public notice and comment, adoption into its rules. Adopting standards through consensus is supported by the record in this proceeding.[8] The Information Technology Industry Counsel (ITI) supports the Commission retaining ownership of the IoT Labeling Program and authorizing the “various industry-led, consensus standards, which can be used to gain approval for the Cyber Trust Mark.” ITI also notes that using industry-led, consensus standards will also limit the likelihood of legal challenges. UL Standards & Engagement agrees that the FCC should use a “voluntary consensus-based standards development process” to create and update standards for the IoT Labeling Program. The U.S. Chamber of Commerce also supports a consensus-based approach urging the Commission “to track closely with public-private developments in IoT cybersecurity as well as industry-driven initiatives, such as the C2 Consensus on IoT Device Security Baseline Capabilities (C2 Consensus) and CTIA's cybersecurity certification program for IoT devices.” The Council to Secure the Digital Economy (CSDE), which is “composed of USTelecom, the Consumer Technology Association (CTA), and 13 global information and communications technology (ICT) companies—has also already convened technical experts from 19 leading organizations throughout the ICT sector to develop and advance industry consensus on baseline security capabilities for new devices,” including the C2 Consensus document, which provides guidance to the public and private sectors on IoT devices security. We agree with these recommendations that the Commission adopt standards following recommendations based on an industry-led consensus process, leveraging standards work already in process or completed, which will provide for the swift development and implementation of the IoT Labeling Program. | 47. 主管庁は、CLA としての役割に加え、CLA およびその他の利害関係者(例えば、産官学のサイ バー専門家)と適宜協力し、製品に FCC IoT ラベルを貼付する権限を求める IoT 製品の各クラスについて、消費者向け IoT サイバーセキュリティ技術基準および適合性評価基準を策定または特定し、維持しなければならない。コンセンサスによる標準の採用は、本手続きの記録からも支持されている[8]。 情報技術産業顧問(ITI)は、委員会がIoTラベリング・プログラムの所有権を保持し、「サイバートラストマークの承認を得るために使用できる、業界主導のさまざまなコンセンサス標準」を認可することを支持している。ITIはまた、業界主導のコンセンサス標準を使用することで、法的な挑戦の可能性を抑えることができるとも指摘している。UL Standards & Engagementは、FCCがIoTラベリング・プログラムの標準を作成・更新する際には、「自発的なコンセンサスに基づく標準策定プロセス」を利用すべきであるという意見に同意している。米国商工会議所(U.S. Chamber of Commerce)もコンセンサスに基づくアプローチを支持し、委員会に対して「IoTデバイスのセキュリティ・ベースライン能力に関するC2コンセンサス(C2 Consensus on IoT Device Security Baseline Capabilities)やCTIAのIoTデバイス向けサイバーセキュリティ認証プログラムなど、業界主導の取り組みだけでなく、IoTサイバーセキュリティに関する官民の動きも緊密に追跡する」よう求めている。デジタル経済の安全性を確保するための協議会(CSDE)は、「USTelecom、消費者技術協会(CTA)、世界的な情報通信技術(ICT)企業13社で構成され、すでにICTセクター全体の19の主要組織から技術専門家を招集し、IoTデバイスのセキュリティに関する官民セクターへの指針を示すC2コンセンサス文書など、新しいデバイスのベースラインセキュリティ能力に関する業界コンセンサスを開発し、推進している。我々は、委員会が業界主導のコンセンサス・プロセスに基づく勧告に従う標準を採用し、すでに進行中または完了した標準作業を活用することで、IoTラベリング・プログラムの迅速な開発と実施を可能にするというこれらの勧告に同意する。 |
| 48. The Lead Administrator is to base the recommended technical standards and testing procedures on the NISTIR 8425, Profile of the IoT Core Baseline for Consumer IoT Products. As noted by ITI, there is “a suite of existing standards that might be leveraged to ensure that the outcomes NIST outlines can be met.” In addition, NIST's IoT Product Component Requirements Essay provides a summary of standards and guidance that NIST has initially identified as applicable to IoT devices and IoT product components, that the Lead Administrator may determine are applicable to the IoT Labeling Program. The Lead Administrator should evaluate and leverage existing work for efficiency and speed to market where appropriate in making its recommendations to the Commission. | 48. 主管庁は、NISTIR 8425「Profile of the IoT Core Baseline for Consumer IoT Products(消費者向け IoT 製品向け IoT コアベースラインのプロファイル)」に基づき、推奨される技術標準と試験手順を策定する。ITIが指摘するように、「NISTが概説する成果を確実に達成するために活用できる既存の標準一式」が存在する。さらに、NIST の IoT Product Component Requirements Essay には、NIST が IoT 機器や IoT 製品コンポーネントに適用可能であると最初に特定した標準やガイダンスの概要が記載されており、主管理者が IoT ラベリングプログラムに適用可能であると判断することができる。主管庁は、委員会に勧告を行うにあたり、適切な場合には、効率性と市場投入の迅速性のために、既存の作業を評価し、活用すべきである。 |
| 49. The Lead Administrator in collaboration with stakeholders as appropriate will identify or develop IoT cybersecurity standards (or packages of standards) and testing procedures that they determine can be used to test that a product meets the NISTIR 8425 criteria for each class of products identified by the working group. The Lead Administrator will submit to the Bureau recommendations on a rolling basis as they are identified, but shall submit the initial set of recommendations no later than 90-days after release of the Public Notice selecting the Lead Administrator. We specify a timeframe here to ensure timeliness of initial standards and prompt launch of the program. Noting the work already ongoing on these issues, we also find such a timeframe to be reasonably achievable. The proposed standards (or packages of standards) and testing procedures must be approved by the Commission prior to implementation. The Commission delegates authority to PSHSB to evaluate and (after any required public notice and comment) approve (or not approve) the technical standards and testing procedures proposed by the Lead Administrator for use in the IoT Labeling Program and incorporate the approved standards and testing procedures by reference into the Commission's rules. The Commission further directs the Bureau to ensure the standards and testing procedures are relevant and appropriate to support the Commission's IoT Labeling Program. | 49. 主管理者は、適宜利害関係者と協力して、ワーキンググループが特定した各クラスの製品につい て、製品が NISTIR 8425 の規準を満たしていることを試験するために使用できると判断した IoT サイバーセキュリティ標準(または標準のパッケージ)および試験手順を特定または開発する。主管庁は、特定された勧告を順次事務局に提出するが、主管庁を選定する告示が公表されてから 90 日以内に最初の勧告一式を提出しなければならない。初期標準の適時性とプログラムの迅速な開始を確保するため、ここで時間枠を指定する。これらの問題についてすでに作業が進行中であることを考慮し、このような時間枠は合理的に達成可能であるとも判断する。提案された標準(または標準パッケージ)と試験方法は、実施前に委員会の承認を得なければならない。委員会は、主管庁がIoTラベリングプログラムで使用するために提案した技術標準と試験方法を評価し、(必要な公示とコメントを行った後)承認する(または承認しない)権限をPSHSBに委譲し、承認された標準と試験方法を参照して委員会の規則に組み込む。委員会はさらに、標準と試験手順が委員会のIoTラベリングプログラムを支援するために適切であることを確認するよう、同局に指示する。 |
| 50. Selecting CLAs. Each entity seeking authority to act as a CLA must file an application with the Commission for consideration by PSHSB,[9] which includes a description of its organization structure, an explanation of how it will avoid personal and organizational conflict when processing applications, a description of its processes for evaluating applications seeking authority to use the FCC IoT Label, and a demonstration of expertise that will be necessary to effectively serve as a CLA including, but not limited to: | 50. CLAの選定。CLAとしての権限を求める各事業体は、PSHSB[9]による検討のため、委員会に申請書を提出しなければならない。この申請書には、その事業体の組織構造の説明、申請書を処理する際に個人的・組織的対立を回避する方法の説明、FCC IoTラベルの使用権限を求める申請書を評価するプロセスの説明、およびCLAとして効果的に機能するために必要な専門知識の証明(以下を含むが、これらに限定されない)が含まれる: |
| 1. Cybersecurity expertise and capabilities in addition to industry knowledge of IoT and IoT labeling requirements. | 1. IoT および IoT ラベル要件に関する業界知識に加え、サイバーセキュリティの専門知識と能力。 |
| 2. Expert knowledge of NIST's cybersecurity guidance, including but not limited to NIST's recommended criteria and labeling program approaches for cybersecurity labeling of consumer IoT products. | 2. 2. NIST のサイバーセキュリティ・ガイダンス(消費者向け IoT 製品のサイバーセキュリティ・ラベリン グに関する NIST の推奨規準およびラベリング・プログラムのアプローチを含むが、これらに限定 されない)に関する専門知識。 |
| 3. Expert knowledge of FCC rules and procedures associated with product compliance testing and certification. | 3. 製品コンプライアンス試験および認証に関連する FCC 規則および手順の専門知識。 |
| 4. Knowledge of Federal law and guidance governing the security and privacy of agency information systems. | 4. 政府情報システムのセキュリティとプライバシーを管理する連邦法とガバナンスの知識。 |
| 5. Demonstration of ability to securely handle large volumes of information and demonstration of internal security practices. | 5. 大量の情報を安全に取り扱う能力を実証し、社内セキュリティ慣行を実証すること。 |
| 6. Accreditation pursuant to all the requirements associated with ISO/IEC 17065 with the appropriate scope.[10] We recognize that CLAs cannot obtain accreditation to the FCC scope until after the Commission adopts standards and testing procedures. As such, the Commission will accept and conditionally approve CLA applications from entities that meet the other FCC program requirements and commit to obtain ISO/IEC 17065 accreditation with the appropriate scope within six (6) months of the effective date by the adopted standards and testing procedures. CLA approval to authorize use of the FCC IoT Label will be finalized upon receipt and demonstration to the Commission of ISO/IEC 17065 accreditation with the appropriate scope.[11] | 6. ISO/IEC 17065に関連するすべての要求事項に従い、適切な範囲で認定を受けていること[10]。そのため、委員会は、他のFCCプログラム要件を満たし、採用された標準および試験手順による発効日から6ヶ月以内に、適切なスコープでISO/IEC 17065の認定を取得することを約束する事業体からのCLA申請を受理し、条件付きで承認する。FCC IoTラベルの使用を認可するCLAの承認は、適切な範囲でのISO/IEC 17065認定を受領し、委員会に証明した時点で最終決定される[11]。 |
| 7. Demonstrate implementation of controls to eliminate actual or potential conflicts of interests (including both personal and organizational), particularly with regard to commercially sensitive information, to include but not limited to, remaining impartial and unbiased and prevent them from giving preferential treatment to certain applications ( e.g., application line jumping) and from implementing heightened scrutiny of applications from entities not members or otherwise aligned with the CLA. | 7. 特に商業上機密性の高い情報に関して、公平かつ不偏不党の立場を維持し、特定の申請(例 えば、申請ラインジャンプ)を優遇したり、CLA に加盟していない事業体または CLA と連携し ていない事業体からの申請に対して厳格な精査を実施したりすることを防止することを含むが、こ れらに限定されない、実際または潜在的な利害の対立(個人的および組織的なものを含む)を 排除するための管理の実施を実証すること。 |
| 8. That the applicant is not owned or controlled by or affiliated with any entity identified on the Commission's Covered List or is otherwise prohibited from participating in the IoT Labeling Program. We will dismiss all CLA applications from an entity (company) identified on the Commission's Covered List, the Department of Commerce's Entity List, and the Department of Defense's List of Chinese Military Companies. | 8. 申請者が、委員会の対象リストに記載されている事業体によって所有または管理されていないこと、あるいはその事業体と提携していないこと、あるいは識別表示プログラムへの参加が禁止されていないこと。委員会の対象リスト、商務省の事業体リスト、国防総省の中国軍需企業リストに記載されている事業体(企業)からのCLA申請はすべて却下する。 |
| 9. That the applicant is not owned or controlled by or affiliated with any person or entity that has been suspended or debarred from receiving Federal procurements or financial awards, to include all entities and individuals published as ineligible for award on the General Service Administration's System for Award Management. | 9. 申請者が、一般調達局の賞金管理システムで賞金受領不適格者として公表されているすべての事業体および個人を含む、連邦調達または資金援助の受領を停止または免責された個人または事業体によって所有または統制されていないこと、あるいはその関係者でないこと。 |
| 10. In addition to completing the CLA application information, entities seeking to be the Lead Administrator will submit a description of how they will execute the duties of the Lead Administrator, including: | 10. CLA 申請情報の記入に加え、主管者となることを希望する事業体は、主管者の職務をどのように遂行す るかについて、以下を含む説明を提出する: |
| a. their previous experience in IoT cybersecurity; | a. IoT サイバーセキュリティにおけるこれまでの経験; |
| b. what role, if any, they have played in IoT labeling; | b. IoTラベリングにおいてどのような役割を果たしてきたか(もしあれば); |
| c. their capacity to execute the Lead Administrator duties outlined in the Order; | c. 大統領令に概説されている主管理者の職務を遂行する能力; |
| d. how they would engage and collaborate with stakeholders to identify or develop the Bureau recommendations discussed in the Order; | d. 命令で議論された事務局勧告を特定または策定するために、利害関係者とどのように関与し協 力するか; |
| e. a proposed consumer education campaign; and | e. 消費者教育キャンペーン案 |
| f. additional information the applicant believes demonstrates why they should be the Lead Administrator. | f. 主管者となるべき理由を示すと申請者が考える追加情報。 |
| 51. For items #7 and #8, we note that the record raises national security considerations when selecting a Label Administrator. For example, CTIA urges that the Commission “exclude all entities on the Covered List (not just those included on the list for producing equipment), all entities on the other lists identified in the IoT Labeling NPRM, as well as entities that are otherwise banned from federal procurement.” CTIA explains that these broad exclusions for program participation are necessary because of “the unique nature of the proposed labeling program—namely that it is both government-administered and voluntary—counsels in favor of painting with a broad brush on national security-based exclusions.” We agree with the commenters in the record, and consistent with our reasoning herein addressing the exclusion of certain products that would raise potential national security concerns, we also prohibit entities owned or controlled by or affiliated with entities that produce equipment found on the Covered List, as well as entities specified on the other lists referenced above or those suspended or debarred from receiving Federal procurements or financial awards from being a CLA in view of national security considerations and to insure the integrity of the IoT Labeling Program. Each of these lists represent the determination of relevant Federal agencies that the entities on the list may pose a national security threat within their respective areas, and as such we find that it is not in the public interest to permit these entities to provide assurances to the American public that products meet minimum cybersecurity standards. Importantly, we are only excluding the entities of the lists from a voluntary program under which the FCC approves their capability to oversee cybersecurity certification testing for purposes of the IoT Label. Insofar as the FCC IoT Label reflects the FCC's signal to consumers about cybersecurity, it is reasonable for us to take a cautious approach when approving entities to conduct the underlying product evaluations when relevant Federal agencies have expressed security concerns with the entity. | 51. 項目#7および#8については、ラベル管理者を選定する際の国家安全保障上の考慮事項が記録されていることに留意する。例えば、CTIAは委員会に対し、「対象リストに記載されているすべての事業体(機器を製造している事業体だけでなく)、識別ラベリングNPRMで特定されたその他のリストに記載されているすべての事業体、および連邦調達が禁止されている事業体を除外する」よう求めている。CTIAは、「提案されているラベリング・プログラムのユニークな性質、すなわち政府が管理し、かつ自主的なものであるという性質は、国家安全保障に基づく除外を広範な筆で描くことに有利に働く」ため、プログラム参加に対するこれらの広範な除外が必要であると説明している。また、対象リストに記載されている機器を製造する事業体が所有または管理する事業体、あるいはその事業体と関連する事業体、上記の他のリストに記載されている事業体、あるいは連邦調達や財務上の賞の受領を一時停止または免責されている事業体についても、国家安全保障の観点から、またIoTラベリングプログラムの完全性を保証するために、CLAとなることを禁止する。これらのリストはそれぞれ、リストに掲載された事業体がそれぞれの領域において国家安全保障上の脅威をもたらす可能性があるという、関連する国家安全保障局の判断を示すものであり、製品が最低限のサイバーセキュリティ基準を満たしているという保証を米国民に提供することをこれらの事業体に許可することは公益に反すると我々は判断している。重要なのは、FCCがIoTラベルの目的のためにサイバーセキュリティ認証試験を監督する能力を承認する自主的プログラムの対象から、リストの事業体を除外しているに過ぎないことである。FCC IoTラベルがサイバーセキュリティに関するFCCの消費者へのシグナルを反映するものである限り、関連する連邦機関が事業体に対してセキュリティ上の懸念を表明している場合に、その基礎となる製品評価を実施する事業体を承認する際に、FCCが慎重なアプローチをとることは合理的である。 |
| 52. NCTA—The Internet & Television Association (NCTA) also suggests that “any `foreign entity of concern' as defined by the CHIPS Act should be ineligible for certification or recognition as a CyberLAB.” Further, ioXt Alliance recommends that the Commission “establish rules to ensure CyberLABs are not subject to undue influence by foreign adversaries.” We agree that it would be problematic for the U.S. to rely on the determination of entities controlled or affiliated with “foreign adversaries” as to the security of products approved to use the Cyber Trust Mark, and therefore the FCC will not recognize for purposes of the IoT Labeling Program any applicant that is an entity, its affiliate, or subsidiary owned or controlled by a “foreign adversary” country. A “foreign adversary” country is defined in the Department of Commerce's rule, 15 CFR 7.4, and includes China (including Hong Kong), Cuba, Iran, North Korea, Russia, and Maduro Regime. We do not otherwise see a basis to preclude other foreign entities from serving as CLAs, but at this preliminary stage of establishing the IoT Labeling Program—where no international agreements are yet in place in this regard, and oversight details continue to be effectuated—we defer action in this regard. We delegate authority to PSHSB, in consultation with the Office of International Affairs (OIA), to evaluate and (after any appropriate public notice and comment) establish qualification criteria for any entity outside the United States to be approved to act as a CLA once any appropriate international agreements or other appropriate prerequisites are in place. | 52. NCTA-The Internet & Television Association (NCTA)も、「CHIPS 法で定義される「懸念される外国事業体」は、サイバーラボ としての認 証または承認を受ける資格がないものとすべきである」と提案している。さらに、ioXt Allianceは、委員会に対し、「サイバーラボが外国の敵対勢力による不当な影響を受けないようにするための規則を設ける」ことを提言している。我々は、米国がサイバートラストマークの使用を承認された製品の安全性に関して、「外国の敵対国」に支配または関連する事業体の判断に依存することは問題があるため、FCCは「外国の敵対国」が所有または支配する事業体、その関連会社、または子会社である申請者をIoTラベリングプログラムの目的上認めないことに同意する。外国敵対国」は商務省の規則15 CFR 7.4で定義されており、中国(香港を含む)、キューバ、イラン、北朝鮮、ロシア、マドゥロ政権が含まれる。その他の外国事業体がCLAとして機能することを妨げる根拠は見当たらないが、IoTラベリングプログラム設立の準備段階である現時点では、この点に関する国際協定がまだなく、監視の詳細が引き続き実施されるため、この点に関する措置は延期する。我々は、国際部(OIA)と協議の上、適切な国際協定またはその他の適切な前提条件が整った時点で、米国外の事業体を評価し、(適切な公告とコメントを経て)CLAとして活動することを承認するための資格基準を定める権限をPSHSBに委任する。 |
| 53. We decline to require that a CLA be a non-profit. The Cybersecurity Coalition recommends that the CLA be a non-profit entity, but did not elaborate on why, focusing their comments on having a neutral, independent third-party that followed consistent pricing guidelines and had industry experience and strong security practices. Researchers from the Northeastern University's College of Engineering similarly agreed that the Label Administrator should be a non-profit while emphasizing that the CLA should not have conflicts of interest. We decline, however, to require that the CLA be a non-profit organization, recognizing that there may be well-qualified companies that may be for-profit organizations or non-profit organizations that possess the other relevant qualifications. We agree with what appear to be the underlying concerns of the record, that the CLA be neutral, have the knowledge outlined above ( e.g., knowledge regarding FCC rules, IoT cybersecurity standards and testing procedures), and be free of conflicts. However, we believe that a company that satisfies the above requirements could carry out the CLA duties without being a non-profit organization. Moreover, expanding the pool of potential participants should increase the likelihood that a reasonable number of qualified entities apply to fulfill the specified roles. In addition, the record did not highlight reasons why a for-profit company would be incapable of fulfilling the role of label administrator. | 53. 我々は、CLA が非営利であることを要求することを拒否する。サイバーセキュリティ連合は、CLA が非営利事業体であることを推奨しているが、その理由については詳しく述べておらず、一貫した価格設定ガイドラインに従い、業界経験と強固なセキュリティ慣行を持つ中立的で独立したサードパーティが存在することにコメントを絞っている。ノースイースタン大学工学部の研究者も同様に、ラベル管理者は非営利であるべきであることに同意し、一方でCLAは利益相反を持つべきではないことを強調した。しかしながら、我々は、CLAが非営利組織であることを要求することを辞退する。営利組織であっても、他の関連する資格を有する非営利組織であっても、十分な資格を有する企業が存在する可能性があることを認識するためである。我々は、CLAが中立であり、上記の知識(例えば、FCC規則、IoTサイバーセキュリティ標準および試験手順に関する知識)を有し、競合のないものである、という記録の根底にある懸念と思われる事項に同意する。しかし、上記の要件を満たす企業であれば、NPOでなくともCLAの職務を遂行することは可能であると考える。さらに、潜在的な参加者のプールを拡大することで、特定された役割を果たすために相応の数の適格な事業体が申請する可能性が高まるはずである。加えて、記録には、営利企業がラベル管理者の役割を果たすことができない理由は強調されていない。 |
| 54. Termination of CLA Authority. To address national security concerns, the authority of CLAs to grant applications to use the FCC IoT Label under the IoT Labeling Program will automatically terminate if the CLA subsequently becomes owned or controlled by or affiliated with an entity that produces equipment found on the Covered List, or otherwise added to any exclusionary list identified in this item as precluding authorization as a CLA. In addition, a CLA's authority may also be terminated for failure to uphold the required competencies or accreditations enumerated above. We delegate authority to PSHSB, to determine if a CLA's authority is to be terminated in the latter circumstance, and to terminate such authorization.[12] PSHSB, may identify such CLA deficiencies itself or receive notice from other entities, including other agencies, consumers, and industry, that products granted authorization by a CLA do not accurately reflect the security posture of the product. Products authorized to use the FCC IoT Label by a disqualified CLA will be subject to the disqualification procedures described further below. | 54. CLA認可の終了。国家安全保障上の懸念に対処するため、IoT ラベリング・プログラムに基づく FCC IoT ラベルの使用申請を許可する CLA の権限は、CLA がその後、対象リストに掲載されている機器を製造する事業体によって所有または管理されるようになった場合、あるいはその事業体と提携するようになった場合、あるいは CLA としての認可を妨げるものとして本項目で特定される除外リストに追加された場合、自動的に終了する。加えて、CLAの認可は、上記に列挙された必要な能力または認定を維持しなかった場合にも終了する可能性がある。我々は、後者の状況において CLA の認可を取り消すか否かを決定し、当該認可を取り消す権限を PSHSB に委譲する[12]。PSHSB は、CLA によって認可された製品が当該製品のセキュリ ティ態勢を正確に反映していないことについて、自ら当該 CLA の欠陥を特定するか、他の機関、消費者、産業界を含む他の事業体から通知を受ける可能性がある。不適格な CLA によって FCC IoT ラベルの使用が認可された製品は、以下でさらに説明する不適格化手続の対象となる。 |
| 55. CLA Application Filing Window. We delegate authority to the Bureau to issue a Public Notice opening the initial filing window to receive applications from entities seeking authority to be recognized as a CLA (and Lead Administrator) under the IoT Labeling Program with instructions on how to apply and further details on the qualifications required of CLA applicants as well as the decision criteria used to select applicants. We also delegate to the Bureau authority to open additional filing windows or otherwise accept additional applications for authority to be recognized by the Bureau as a CLA when and as the Bureau determines it is necessary. Interested parties must establish they meet the requirements established in the Order. The Commission notes that it may refer applications to the U.S. Committee for the Assessment of Foreign Participation in the U.S. Telecommunications Sector (Team Telecom) for their review and consideration of national security and law-enforcement risks. We further delegate authority to PSHSB in coordination with the Office of the Managing Director (OMD) (specifically Office of the Chief Information Officer) and, to the extent necessary, the Office of General Counsel (OGC) (specifically the Senior Agency Official for Privacy), to receive and review each application for compliance with the criteria established in the Order. We also delegate to PSHSB authority to adopt additional criteria and administrative procedures necessary to efficiently select one or more independent, non-governmental entities, to act as CLA(s) and Lead Administrator. The Lead Administrator must provide equitable recommendations to the Commission to encourage the broadest possible participation of CLAs within the parameters of the FCC's rules.[13] We also delegate to PSHSB authority to adopt additional criteria and procedures in the event the Lead Administrator must be replaced or chooses to withdraw from its responsibilities.[14] We delegate authority to PSHSB to release a Public Notice announcing the CLA(s) selected by the Bureau and next steps for each entity, including but not limited the execution of appropriate documentation governing the details of the CLA's responsibilities. Moreover, we delegate to PSHSB and OMD authority to take any necessary steps, including adoption of additional procedures and any applicable fees after selection of the CLAs, if necessary to ensure compliance with the Communications Act or applicable government-wide statutes that are implicated by the IoT Labeling Program. Finally, we also delegate authority to PSHSB and OMD, in consultation with OGC, to take any additional actions necessary to preserve the Commission's rights to the Cyber Trust Mark under trademark and other applicable laws. Only entities who have followed the procedures required by PSHSB and OMD and executed relevant required documentation will be authorized by the Commission to accept and grant applications authorizing the use of the FCC IoT Label, which includes the Cyber Trust Mark and QR Code. | 55. CLA 申請窓口。IoT ラベリング・プログラムにおいて CLA(および主管理者)として認定される権限を求める事 業体からの申請を受け付けるため、申請方法、CLA 申請者に要求される資格の詳細、および申請者選 定に使用される判断基準に関する指示を記載した最初の申請受付窓口を開設する公告を発行する 権限を事務局に委任する。また、事務局が必要と判断した場合には、追加申請窓口を開設し、CLAとして認可されるための追加申請を受け付ける権限を事務局に委譲する。利害関係者は、同規則で定められた要件を満たしていることを証明しなければならない。委員会は、国家安全保障および法執行リスクの検討のため、米国電気通信分野における外国企業の参入リスクアセスメント委員会(Team Telecom)に申請を付託することができる。さらに我々は、常務理事室(OMD)(具体的には最高情報責任者室)および必要な範囲で法務顧問室(OGC)(具体的にはプライバシー担当上級庁職員)と連携して、各申請を受理し、命令で定められた規準に準拠しているかどうかを審査する権限をPSHSBに委任する。また、我々はPSHSBに対し、CLAおよび主管理者として活動する1つまたは複数の独立した非政府事業体を効率的に選定するために必要な追加規準および管理手続きを採択する権限を委任する。主管庁は、FCCの規則の範囲内で、可能な限り広範なCLAの参加を促進するため、委員会に対して公平な勧告を行わなければならない[13]。また、主管庁が交代しなければならない場合、あるいはその責務から退くことを選択した場合、追加の規準と手続きを採用する権限をPSHSBに委任する[14]。さらに、IoTラベリングプログラムが関係するコミュニケーション法または適用される政府全体の法規の遵守を確保するために必要であれば、CLAの選定後、追加手続きおよび適用される料金の認可を含む必要な措置を講じる権限をPSHSBおよびOMDに委任する。最後に、商標法およびその他の適用法に基づき、サイバートラストマークに対する委員会の権利を維持するために必要な追加措置を取る権限を、OGCと協議の上、PSHSBおよびOMDにも委譲する。PSHSBとOMDが要求する手続きを踏襲し、関連する必要書類を作成した事業体のみが、サイバートラスト・マークとQRコードを含むFCC IoTラベルの使用を許可する申請を受理し、認可される。 |
| C. CyberLABs, CLA-Run Labs, and In-House Testing Labs | C. サイバーラボ、CLA運営ラボ、社内試験ラボ |
| 56. The Commission envisioned the role of CyberLABs as assessing IoT devices or products for compliance against IoT security standards, once developed. The Commission sought comment on whether the Commission or one of the authorized label administrators would evaluate, accredit, or recognize the CyberLABs, noting that it was seeking to ensure that CyberLABs have the necessary expertise and resources to properly test and assess whether IoT devices and products are in compliance with the IoT security standards. To become accredited and FCC-recognized for the proposed IoT Labeling Program, the Commission proposed the submission of applications demonstrating the applicant CyberLAB met the following requirements: | 56. 委員会は、サイバーラボの役割として、IoT機器や製品がIoTセキュリティ標準に準拠しているかどうかをアセスメントすることを想定している。委員会は、サイバーラボがIoT機器や製品がIoTセキュリティ標準に準拠しているかどうかを適切にテストし、評価するために必要な専門知識とリソースを有していることを保証することを求めていると指摘し、委員会または認可されたラベル管理者のいずれかがサイバーラボを評価、アセスメント、認定するかどうかについてのコメントを求めた。提案されているIoTラベリング・プログラムの認定を受け、FCCから承認されるためには、委員会は、申請するサイバーラボが以下の要件を満たしていることを証明する申請書を提出することを提案した: |
| Qualifications: The CyberLAB has technical expertise in cybersecurity testing and conformity assessment of IoT devices and products. | 資格: サイバーラボは、IoT機器および製品のサイバーセキュリティ試験および適合性評価に関する技術的専門知識を有している。 |
| Resources: The CyberLAB has the necessary equipment, facilities, and personnel to conduct cybersecurity testing and conformity assessment of IoT devices and products. | リソース: サイバーラボは、IoTデバイスおよび製品のサイバーセキュリティ試験および適合性評価を実施するために必要な設備、施設、人員を有している。 |
| Procedures: The CyberLAB has documented procedures for conformity assessment. | 手順: サイバーラボは、適合性評価の手順を文書化している。 |
| Continued competence: Once accredited and recognized, CyberLABs would be periodically audited and reviewed to ensure they continue to comply with the IoT security standards and testing procedures. | 継続的な能力: 一旦認定・承認されたサイバーラボは、IoT セキュリティ標準と試験手順を継続的に順守していることを確認するために、定期的に監査とレビューを受ける。 |
| 57. We adopt our proposal to accept CyberLABs, in-house labs, and CLA-run labs, to test and assess IoT products for compliance with the consumer IoT standards that are established pursuant to the process described above to actualize the outcome of the NIST criteria. Rather than having the Commission or CLA evaluate or accredit a lab, however, we are persuaded that it is appropriate to recognize testing labs that have been accredited to ISO/IEC 17025 standards to conduct compliance testing that would support an application for authority to affix the FCC IoT Label. Consistent with standard practice for accreditation, the organization accrediting the testing labs must be recognized by the Bureau to perform such accreditation based on International Standard ISO/IEC 17011. We recognize that labs cannot be accredited or recognized in the context of this IoT Labeling Program until after the IoT cybersecurity standards have been approved by the Commission and incorporated into the Commission's rules. We delegate authority to PSHSB to publish a Public Notice, subject to any required notice and comment, outlining the specific standards CyberLABs, in-house labs, and CLA-run labs must meet to be recognized as qualified to conduct conformity testing to support applications seeking authority to use the FCC IoT Label. We also find it to be in the public interest for the Lead Administrator to review and recognize labs that meet these accreditation requirements and make a list of recognized labs publicly available.[15] | 57. 我々は、NISTの規準の結果を実現するために、上記のプロセスに従って策定される消費者向けIoT標準に準拠しているかどうかをIoT製品を試験・評価するために、サイバーラボ、社内ラボ、およびCLAが運営するラボを受け入れるという我々の提案を採用する。しかし、委員会またはCLAが試験所を評価または認可するのではなく、ISO/IEC 17025規格の認可を受けた試験所が、FCC IoTラベルを貼付する権限の申請をサポートするコンプライアンス試験を実施することを認めることが適切であると確信している。認定に関する標準慣行に従い、試験所の認定を行う組織は、国際規格ISO/IEC 17011に基づき、そのような認定を行うことを局から認められなければならない。我々は、IoTサイバーセキュリティ標準が委員会によって承認され、委員会の規則に組み込まれるまでは、このIoTラベリングプログラムの文脈で試験所を認定または承認することはできないと認識している。我々は、FCC IoTラベルを使用する権限を求める申請をサポートする適合性試験を実施する資格があると認められるために、サイバーラボ、社内ラボ、およびCLA-runラボが満たさなければならない特定の標準の概要を、必要な通知とコメントに従って、公示を発行する権限をPSHSBに委任する。また、主管庁が、これらの認定要件を満たすラボを審査・認定し、認定ラボのリストを公 開することも公益に資するものと考える[15]。 |
| 58. The Order agrees with CTIA that entities specializing in testing and certification will be valuable to program participants, and that such entities are likely to have the resources and expertise to evaluate IoT products in accordance with a standard. CTIA also notes, “a third-party certification model will help to lend credibility to the program” because CyberLABs can focus on the assessment aspects of the program in a way that helps ensure the integrity of the IoT Labeling Program. The Order also agrees with CTA that leveraging accredited industry bodies to perform conformity assessments will “speed the establishment of the program and increase the program's ultimate quality.” | 58. 試験と認証を専門とする事業体はプログラム参加者にとって貴重であり、そのような事業体は標準に 従って IoT 製品を評価するための資源と専門知識を有している可能性が高いという点で、政令は CTIA に同意する。またCTIAは、サイバーラボがIoTラベリングプログラムの整合性を確保するために、プログラムのアセスメントに集中することができるため、「サードパーティ認証モデルはプログラムの信頼性を高めるのに役立つ」と述べている。また、認定された業界団体を活用して適合性評価を行うことで、「プログラムの確立を早め、 プログラムの最終的な質を高めることができる」という CTA の意見にも同意している。 |
| 59. We agree with CSA's argument that the Commission should adopt a model where CyberLABs must be ISO/IEC 17025 accredited. CSA notes its confusion as to whether CyberLABs were intended to be “certification bodies” as defined by ISO/IEC 17065 or “evaluation laboratories” as defined by ISO/IEC 17025. We clarify that the proposal as envisioned by the IoT Labeling NPRM and adopted here is for CyberLABs, in-house labs, and CLA-run labs to function as a body responsible for assessing the security of IoT products ( i.e., testing lab). CSA proposes that such bodies hold ISO/IEC 17025 accreditations, as this model has been the basis for mutual recognition agreements in the cybersecurity industry, and we agree. | 59. 委員会は、サイバーラボがISO/IEC 17025の認定を受けなければならないモデルを採用すべきであるというCSAの主張に同意する。CSAは、サイバーラボがISO/IEC 17065で定義される「認証団体」を意図しているのか、ISO/IEC 17025で定義される「評価試験所」を意図しているのかについて、混乱していることを指摘した。我々は、IoT ラベリング NPRM で想定され、今回採用された提案は、サイバーラボ、社内ラボ、CLA-run ラボが、IoT 製品のセキュリティアセスメントに責任を持つ団体(すなわち、テストラボ)として機能することを明確にしている。CSA は、このような団体が ISO/IEC 17025 の認定を受けることを提案している。このモデルは、サイバーセキュリティ業界における相互認証協定の基礎となっており、CSA もこれに同意する。 |
| 60. We note the objection of LG Electronics, which asserts that “[t]he CyberLAB concept described in the NPRM would almost certainly create a testing bottleneck” that would slow the process, and deter participation in the IoT Labeling Program. Instead, LG Electronics argues, self-certification is required to avoid these problems, although LG Electronics concedes that some compliance certification is required to participate in the IoT Labeling Program. As a nascent program, and as discussed above in connection with the envisioned process, we do not find it appropriate to adopt at this time a labeling path that does not include some level of laboratory testing in combination with an application to a CLA to ensure the product bearing the FCC IoT Label complies with the IoT Labeling Program's requirements. However, we recognize the benefits of time, efficiency and cost-savings associated with in-house testing and will allow the option for applicants to use an in-house testing labs, provided the lab is ISO/IEC 17025 accredited. | 60. LG Electronics の主張に留意する。LG Electronics は、「NPRM に記載されている サイバーラボ のコンセプトは、ほぼ間違いなく試験のボトルネックになる」と主張しており、これはプロセスを遅らせ、IoT ラベリング・プログラムへの参加を抑止するものである。LGエレクトロニクスは、IoTラベリング・プログラムに参加するためには何らかのコンプライアンス認証が必要であることは認めるものの、このような問題を回避するためには自己認証が必要であると主張している。まだ始まったばかりのプログラムであり、想定されるプロセスとの関連で前述したように、FCC IoTラベルが貼付された製品がIoTラベル・プログラムの要件に準拠していることを保証するために、CLAへの申請と組み合わせた、ある程度のラボ試験を含まないラベリング経路を現時点で採用することは適切ではないと考える。ただし、社内試験に伴う時間、効率、コスト削減のメリットは認識しており、ISO/IEC 17025 の認定を受けた試験所であれば、申請者が社内試験所を利用する選択肢を認める予定である。 |
| 61. CyberLABs' Programmatic Role. CyberLABs will receive requests for conformance testing from manufacturers seeking to use the FCC IoT Label and will assess and test the products using the cybersecurity standards developed by industry and approved by the Commission and provide the applicant with a report of their findings. There was confusion in the record with how the term CyberLAB is to be applied. The Commission clarifies that the CyberLABs are laboratories whose role is limited to conducting compliance tests and generating reports. CyberLABs are not, in the organizational structure adopted in the Order, either certifying products or issuing authorization to use the FCC IoT Label. While the IoT Labeling NPRM defined a CyberLAB as an “authorization body” we remove that reference here as the term “authorization body” might be seen as referring to certification bodies, not laboratories. The role of CyberLABs is to conduct the required tests and generate test reports for use by the applicant in seeking CLA authorization to use the FCC IoT Label. | 61. サイバーラボのプログラム上の役割。サイバーラボは、FCC IoTラベルの使用を求める製造事業者から適合性試験の依頼を受け、業界が開発し委員会が承認したサイバーセキュリティ標準を使用してプロバイダをアセスメントおよび試験し、その結果報告書を申請者に提供する。記録には、サイバーラボという用語がどのように適用されるかについて混乱があった。委員会は、サイバーラボは、コンプライアンス試験の実施と報告書の作成に限定された役割を担う試験所であることを明確にした。サイバーラボは、この命令で採用された組織構造では、製品の認証やFCC IoTラベルの使用認可を行うものではない。IoT ラベリング NPRM では、サイバーラボ を「認可機関」と定義していたが、「認可機関」という用語は、試験所ではなく認証団体を指すと見なされる可能性があるため、ここではその言及を削除する。サイバーラボの役割は、必要な試験を実施し、申請者が FCC IoT ラベルを使用するための CLA 認可を求める際に使用する試験報告書を作成することである。 |
| 62. In-House Testing Lab. We also adopt an option for manufacturers to use an accredited and Lead Administrator-recognized in-house testing lab to perform the cybersecurity conformity testing for their IoT products, provided the in-house lab meets the same vigorous standards as the CyberLABs. In the IoT Labeling NPRM, the Commission sought comment on whether there is an avenue for “a comprehensive review that an IoT device or product compl[ies] with the IoT security standards.” We received significant support in the record for an in-house testing option. Samsung argues that, to encourage widespread adoption, the Commission must allow manufacturers an option to perform in-house testing to receive the label. The Cybersecurity Coalition urges the Commission to allow for in-house testing. We agree that an in-house testing option, for some manufacturers, will be more cost-effective, encourage participation in the IoT Labeling Program, and when combined with the filing of an application with a CLA can assure quality and trust in the IoT Labeling Program. However, we do require that in-house labs meet the same accreditation and recognition requirements as CyberLABs. In this respect, consumers may be assured that the label achieved on an in-house basis meets the same standards as those tested elsewhere, promoting consistency and reliance on the IoT Labeling Program generally. We also expect that ensuring a common baseline testing standard will ultimately aid in the ability to gain international recognition of the Cyber Trust Mark. | 62. 自社試験ラボ。製造事業者が、認定され、主管庁に認められた社内試験所を使用して、IoT 製品のサイバーセキュリティ 適合性試験を実施するオプションも採用する。IoTラベリングNPRMにおいて、委員会は「IoTデバイスや製品がIoTセキュリティ標準に適合しているかどうかを包括的に審査する」手段があるかどうかについてのコメントを求めた。その結果、社内試験という選択肢を支持する意見が多数寄せられた。サムスンは、普及を促進するために、委員会は、製造事業者がラベルを取得するために自社でテストを実施する選択肢を認める必要があると主張している。サイバーセキュリティ連合は、委員会に対し、社内試験を認めるよう求めている。我々は、製造事業者によっては、自社試験オプションの方が費用対効果が高く、IoTラベリングプログラムへの参加を促し、CLAへの申請と組み合わせることで、IoTラベリングプログラムの品質と信頼を保証できることに同意する。ただし、社内ラボにはサイバーラボと同様の認定・承認要件を満たすことを求める。この点で、消費者は、社内ベースで達成されたラベルが、他の場所で試験されたものと同じ標準を満たしていることを保証される可能性があり、IoT ラベリング・プログラム全般の一貫性と信頼を促進する。また、共通の試験標準を確保することで、最終的にサイバートラストマークの国際的な認知を 得ることができると期待している。 |
| 63. CLA-Run Testing Lab. We also recognize that CLAs may also have, or seek to have, their own in-house labs conduct conformity testing for applicants seeking certification to use the Mark. The Commission finds no need to limit the number of potential testing facilities by prohibiting CLA-run labs from also being considered recognized labs. Applicants who wish to do so, may file an application with an authorized CLA and request the services of the CLA's accredited and Lead Administrator-recognized lab. Again, the Commission requires CLA labs to meet the same accreditation and recognition requirements as CyberLABs. Only after a lab has been accredited by a recognized accreditation body may the lab file an application with the Lead Administrator seeking to be recognized as an approved cybersecurity testing lab.[16] As explained by the American Association for Laboratory Accreditation (A2LA), “[a]ccreditation is a means of determining the technical competence of conformity assessment organizations such as laboratories using qualified, third-party accreditation bodies. It assures federal government agencies as well as private sector organizations that assessments conducted by accreditation bodies are objective and reliable and that one can have confidence in the data generated by the accredited testing laboratory.” Recognizing that, whether an IoT product is evaluated by a CyberLAB, CLA-run lab, or an in-house lab there is a need to ensure equal rigor in the process, this requirement applies to in-house testing labs and third-party testing labs (CyberLABs and CLA-run labs). For ease of understanding, when we refer to CyberLABs below, we are including CyberLABs, in-house testing labs, and CLA-run labs. | 63. CLA が運営するテストラボ また、CLAが、マークを使用するための認証を求める申請者のために、自社内のラボで適合性試験を実施することも可能であり、また、そうすることを求めていることも認識している。委員会は、CLAが運営する試験所も認定試験所とみなすことを禁止することによって、潜在的な試験施設の数を制限する必要はないと考える。これを希望する申請者は、認可されたCLAに申請書を提出し、CLAが認定し、鉛管理者が承認した試験所のサービスを依頼することができる。繰り返しになるが、委員会は、CLAのラボがサイバーラボと同様の認定および承認要件を満たすことを求めている。米国試験所認定協会(A2LA)の説明によると、「認定は、資格のあるサードパーティ認定 団体を利用して、試験所などの適合性評価機関の技術的能力を判断する手段である。認定は、認定団体によって実施されるアセスメントが客観的で信頼できるものであり、認定を受けた試験所によって生成されたデータを信頼できるものであることを、連邦政府機関だけでなく民間企業にも保証するものである。IoT製品がサイバーラボ、CLA運営ラボ、社内ラボのいずれによって評価されるかにかかわらず、プロセスにおける同等の厳密性を確保する必要があることを認識し、この要件は社内試験ラボおよびサードパーティ試験ラボ(サイバーラボおよびCLA運営ラボ)に適用される。理解を容易にするため、以下ではサイバーラボと表記する場合、サイバーラボ、社内試験ラボ、CLA運営ラボを含むものとする。 |
| 64. In order to achieve recognition by the Lead Administrator, all labs seeking recognition under the Commission's IoT Labeling Program must submit evidence of accreditation in the form of an attestation from an accreditation body that the prospective lab has demonstrated: | 64. 主管庁による承認を得るために、委員会の IoT ラベリングプログラムに基づく認定を希望す るすべての団体は、認定機関からの証明書という形で、認定されたことの証拠を提出しなければならない: |
| 1. Technical expertise in cybersecurity testing and conformity assessment of IoT devices and products. Compliance with all requirements associated with ISO/IEC 17025. If we determine that other ISO standards or other relevant requirements are missing, the Commission will provide guidance to industry on how they may be addressed. | 1. IoT 機器および製品のサイバーセキュリティ試験および適合性評価に関する技術的専門知識。ISO/IEC 17025 に関連するすべての要求事項に準拠していること。その他のISO標準またはその他の関連要件が不足していると判断した場合、委員会は、その対応方法について業界にガイダンスを提供する。 |
| 2. Knowledge of FCC rules and procedures associated with IoT cybersecurity compliance testing and certification. | 2. IoT サイバーセキュリティ適合試験および認証に関連する FCC 規則および手順の知識。 |
| 3. Necessary equipment, facilities, and personnel to conduct cybersecurity testing and conformity assessment of IoT devices and products. | 3. IoT 機器・製品のサイバーセキュリティ試験と適合性評価を実施するために必要な設備、施設、要員。 |
| 4. Documented procedures for IoT cybersecurity conformity assessment. | 4. IoT サイバーセキュリティ適合性評価のための文書化された手順。 |
| 5. Demonstrated implementation of controls to eliminate actual or potential conflicts of interests (including both personal and organizational), particularly with regard to commercially sensitive information. | 5. 特に商業上の機密情報に関して、(個人的及び組織的なものを含む)実際の又は潜在的な利益相反を排除するための統制が実施されていることを実証すること。 |
| 6. That the applicant is not owned or controlled by or affiliated with any entity that produces equipment on the FCC Covered List or is otherwise prohibited from participating in the IoT Labeling Program. We will dismiss all applications from a company named on the Department of Commerce's Entity List, the Department of Defense's List of Chinese Military Companies. | 6. 申請者が、FCC の対象リストに掲載されている機器を製造する事業体、または IoT ラベリング・プログラムへの参加を禁止されている事業体によって所有または管理されていないこと、あるいはそのような事業体と提携していないこと。商務省の事業体リスト、国防総省の中国軍需企業リストに記載されている企業からの申請はすべて却下する。 |
| 7. That the applicant is not owned or controlled by or affiliated with any person or entity that has been suspended or debarred from receiving Federal procurements or financial awards, to include all entities and individuals published as ineligible for award on the General Service Administration's System for Award Management. | 7. 申請者が、一般調達局の賞金管理システムで賞金受領不適格として公表されている事業体や個人を 含め、連邦政府の調達や賞金の受領を停止または禁止されている個人または事業体によって所有 または統制されていないこと、またはその関係者でないこと。 |
| 65. Once accredited and recognized, the lab will be periodically audited and reviewed by the Lead Administrator to ensure they continue to comply with the IoT security standards and testing procedures. | 65. 一旦認定され、承認されると、当該ラボは、IoT セキュリティ標準および試験手順を継続的に順守 していることを確認するために、主管庁により定期的に監査および審査される。 |
| 66. Concerning items #6 and #7, national security considerations must be considered when allowing testing labs to participate because of “the unique nature of the proposed labeling program.” As recommended in the record and consistent with our exclusions as to eligible products and eligibility to serve as a third-party administrator, all entities owned or controlled by or affiliated with entities that produce equipment found on the Covered List, as well as entities specified on the other U.S. Government exclusionary lists referenced above are prohibited from serving as a CyberLAB. Each of these lists represent the determination of relevant Federal agencies that the entities on the list may pose a national security threat within their respective areas, and as such we find that we cannot give U.S. Government endorsement to their security testing while claiming they pose such a threat. Insofar as the label reflects the FCC's signal to consumers about cybersecurity, it is reasonable for the FCC to take a cautious approach especially for those products for which relevant Federal agencies have expressed other security concerns with the testing lab. | 66. 項目#6と#7に関して、「提案されているラベリング・プログラムのユニークな性質」のため、試験所の参加を認める際には、国家安全保障上の配慮が必要である。対象製品およびサードパーティ・アドミニストレータとしての資格に関する除外項目と整合的であり、 記録で推奨されているように、対象リストに記載されている機器を製造する事業体、および上記で言及され たその他の米国政府除外リストに記載されている事業体が所有または管理する事業体、またはそれらと 関連する事業体はすべて、サイバーラボとしての役割を果たすことが禁止されている。これらのリストはそれぞれ、リスト上の事業体がそれぞれの領域において国家安全保障上の脅威をもたらす可能性があるという、関連する連邦政府機関の決定を示すものであり、そのような脅威をもたらすと主張しながら、そのセキュリティ・テストに米国政府のお墨付きを与えることはできないと我々は判断する。ラベルがサイバーセキュリティに関するFCCの消費者に対するシグナルを反映するものである限り、FCCが、特に関連する連邦機関がテストラボに対して他のセキュリティ上の懸念を表明している製品については、慎重なアプローチをとることは合理的である。 |
| 67. NCTA also suggests also suggests that “any `foreign entity of concern' as defined by the CHIPS Act should be ineligible for certification or recognition as a CyberLAB.” Further, ioXt Alliance recommends that the Commission “establish rules to ensure CyberLABs are not subject to undue influence by foreign adversaries.” We agree that it would be problematic for the U.S. to rely on the determination of entities controlled or affiliated with “foreign adversaries” as to the security of products approved to use the Cyber Trust Mark, and therefore the Lead Administrator will not recognize for purposes of the IoT Labeling Program any testing lab that is an entity, its affiliate, or subsidiary owned or controlled by a “foreign adversary” country. A “foreign adversary” country is defined in the Department of Commerce's rule, 15 CFR 7.4, and includes China (including Hong Kong), Cuba, Iran, North Korea, Russia, and Maduro Regime. Because of the role CLAs will play in the labeling program, we find that the concerns related to entities identified as “foreign adversaries” are equally applicable to entities acting as CLAs as they are testing labs. To avoid these issues, the record suggests requiring testing labs certify compliance with the Commission's rules, including the rules pertaining to the Covered List. Accordingly, we find it appropriate that each testing lab must certify to the truth and accuracy of all information included in its recognition application and immediately update the information if the information changes. | 67. NCTA はまた、「CHIPS 法で定義される「懸念される外国事業体」は、サイバーラボとしての認証または認 可を受ける資格がない」とすることも提案している。さらに、ioXt Allianceは、委員会に対し、「サイバーラボが外国の敵対勢力による不当な影響を受けないようにするためのルールを確立すること」を提言している。我々は、米国がサイバートラストマークの使用を承認された製品のセキュリティに関して、「外国の敵対国」に支配され、または関連する事業体の判断に依存することは問題があるため、主管庁は、「外国の敵対国」が所有または支配する事業体、その関連会社、または子会社である試験所を、IoTラベリングプログラムの目的のために承認しないことに同意する。外国の敵対国」とは、商務省の規則15 CFR 7.4で定義されており、中国(香港を含む)、キューバ、イラン、北朝鮮、ロシア、マドゥロ政権を含む。ラベリングプログラムにおいてCLAが果たす役割のため、「外国の敵対者」として識別される事業体に関する懸念は、試験所と同様にCLAとして活動する事業体にも等しく当てはまると判断する。このような問題を回避するために、検査機関に、対象リストに関する規則を含め、委員会の規則を遵守していることを証明するよう求めることが、記録から示唆されている。したがって、各試験所は、承認申請書に記載されたすべての情報の真実性と正確性を証明し、情報が変更された場合は直ちに情報を更新しなければならないことが適切であると考える。 |
| 68. The Order notes that Garmin advocates even stricter measures on the testing labs, suggesting that the labs be “located in the U.S.” We decline to require physical location within the U.S. to avoid “unnecessarily limiting the pool of legitimate CyberLABs approved to conduct testing and conformity assessment for the Mark.” Further, the record indicates that this stricter approach “would vastly diminish manufacturers' abilities to select and access evaluation labs, conduct proper risk management and promote competition and diversity in the lab market.” Such a restriction might also unduly limit the ability of legitimate foreign corporations that do not raise national security concerns to participate in the IoT Labeling Program to the detriment of the goal of elevating the cybersecurity posture of those IoT devices sold in the U.S. and to promote international recognition of the Cyber Trust Mark. We delegate authority to the Bureau to adopt any additional criteria or procedures necessary with respect to labs located outside of the United States. | 68. 本注文書は、ガーミン社が検査ラボに対してさらに厳しい措置を提唱し、検査ラボが「米国内に所在する」ことを提案していることに言及している。我々は、「マークのテストと適合性評価を実施するために承認された合法的なサイバーラボのプールを不必要に制限する」ことを避けるため、米国内の物理的な場所を要求することを拒否する。さらに、記録によれば、このような厳格なアプローチは、「製造事業者が評価ラボを選択してアクセスし、適切なリスクマネジメントを行い、ラボ市場における競争と多様性を促進する能力を大幅に低下させる」。このような制限は、米国で販売されるIoT機器のサイバーセキュリティ態勢を向上させ、サイバートラストマークの国際的な認知を促進するという目標を損なうため、国家安全保障上の懸念を生じさせない合法的な外国企業がIoTラベルプログラムに参加する能力を不当に制限する可能性もある。我々は、米国外に所在するラボに関して必要な追加規準や手続きを採用する権限を同局に委譲する。 |
| 69. Terminating CyberLAB Testing Authority. To address national security concerns, the CyberLAB recognition afforded to entities under this IoT Labeling Program will be automatically terminated for entities that subsequently become affiliated with an entity that is owned or controlled by or affiliated with entities that produce equipment placed on the Covered List, or that are otherwise added to any exclusionary list identified in this item as precluding authorization as a CyberLAB. CyberLAB testing authority may also be terminated for failure to uphold the required competencies or accreditations enumerated above. We delegate authority to the Bureau to determine when a CyberLAB's authority is to be terminated, and to terminate such authorization.[17] The Bureau may identify such deficiencies itself or receive notice from other entities, including other agencies, consumers, and industry, that products tested by a CyberLAB do not accurately reflect the security posture of the product. Products authorized to use the FCC IoT Label by a disqualified CyberLAB will be subject to the disqualification procedures described further below. | 69. サイバーラボの試験認可を終了する。国家安全保障上の懸念に対処するため、本 IoT ラベリング・プログラムの下で事業体に与えられたサイ バーラボの認可は、その後、対象リストに掲載された機器を製造する事業体が所有または管理 する事業体と提携する事業体、あるいは、サイバーラボとしての認可を妨げるものとして本項目 で特定される除外リストに追加される事業体については、自動的に終了する。サイバーラボの試験認可は、上記に列挙された必要な能力または認定を維持しなかった場合にも終了することができる。我々は、サイバーラボの権限をいつ終了させるかを決定し、当該認可を終了させる権限を同局に委譲している[17]。同局は、サイバーラボによって試験された製品が製品のセキュリティ態勢を正確に反映していないことについて、自らそのような欠陥を特定したり、他の機関、消費者、業界を含む他の事業体から通知を受けたりすることがある。不適格なサイバーラボによってFCC IoTラベルの使用が認可された製品は、以下でさらに説明する不適格化手続の対象となる。 |
| 70. Fees. To fulfill their role, as envisioned by the IoT Labeling NPRM, we authorize CyberLABs to charge reasonable fees to conduct the tasks adopted in the Order. The IoT Labeling NPRM proposed a fee calculation methodology adopted by the Commission in the 2020 Application Fee Report and Order,86 FR 15026 (March 19, 2021), and sought comment on whether any oversight is needed by the Commission over such charges. We did not receive any comments on the suitability of the approach proposed in the IoT Labeling NPRM or detailed comments about the degree of oversight the Commission should conduct over the charges. We recognize the Cybersecurity Coalition's comments that high fees would deter participation in the IoT Labeling Program. We anticipate that there will be multiple CyberLABs authorized through the approach adopted in the Order, and we believe that market competition will ensure fees are reasonable, competitive, and accessible while covering the costs incurred by the CyberLABs in performing their designated tasks. We believe this addresses the concerns raised by the Cybersecurity Coalition and renders the approach proposed in the IoT Labeling NPRM unnecessary. The National Association of Manufacturers (NAM) rightly indicates, however, that the fee structure for CyberLABs will necessitate “robust protections to ensure that CyberLABs focus on the underlying mission of protecting the public rather than boosting their revenues.” We delegate to the Bureau, in connection with OMD, to review and reconsider if necessary whether the level and structure of the fees should be regulated by the Commission. | 70. 料金。IoT ラベリング NPRM で想定された役割を果たすため、サイバーラボ に対し、本令で採択された業務 を実施するための合理的な料金を認可する。IoTラベリングNPRMでは、委員会が2020年申請料金報告書および命令(86 FR 15026、2021年3月19日)で採用した料金計算方法を提案し、このような料金について委員会による監視が必要かどうかについてコメントを求めた。IoTラベリングNPRMで提案された手法の妥当性に関するコメントや、委員会が料金に対して行うべき監視の程度に関する詳細なコメントは得られなかった。我々は、サイバーセキュリティ連合が、高額な料金はIoTラベリングプログラムへの参加を抑制するとのコメントを寄せていることを認識している。我々は、この命令で採用されたアプローチにより、複数のサイバーラボが認可されることを期待しており、市場競争により、サイバーラボが指定された業務を遂行するために発生するコストをカバーしつつ、料金が合理的で競争力があり、利用しやすいものであることが保証されると考えている。これにより、サイバーセキュリティ連合が提起した懸念が解消され、IoTラベリングNPRMで提案されたアプローチは不要になると考える。しかし、全米製造事業者協会(NAM)は、サイバーラボの料金体系には、「サイバーラボが収益を上げることよりも、公衆を保護するという基本的な使命に集中することを確実にするための強固な防御」が必要であると指摘している。我々は、OMDとの関連で、手数料の水準と体系を委員会が規制すべきかどうかを検討し、必要であれば再検討することを同局に委任する。 |
| D. Two-Step Process for Obtaining Authority To Use the FCC IoT Label | D. FCC IoTラベルの認可取得のための2段階プロセス |
| 71. The Commission adopts a two-step process for a manufacturer seeking authority to use the FCC IoT Label, which includes (1) product testing by an accredited and Lead Administrator-recognized lab ( e.g., CyberLAB, CLA lab, or an in-house lab) and (2) product label certification by a CLA. In the context of this IoT Labeling Program and as discussed in detail below, we find that in order to ensure the integrity of this nascent program, that the FCC IoT Label certification process will include a two-step process involving (1) the use of an accredited and Lead Administrator-recognized laboratory (CyberLAB, CLA lab, or in-house lab) to test the IoT product for compliance to FCC rules and generate a test report; and (2) an application to an FCC-recognized CLA ( i.e., an accredited certification body) to certify the product as fully compliant with all relevant FCC IoT Labeling Program rules. | 71. 委員会は、FCC IoTラベルの使用権限を求める製造事業者に対し、(1) 認定された主管理者認定のラボ(サイバーラボ、CLAラボ、社内ラボなど)による製品試験、および(2) CLAによる製品ラベル認証を含む、2段階のプロセスを採用する。この IoT ラベリング・プログラムとの関連において、また以下に詳述するように、この生成的プログラ ムの整合性を確保するために、FCC IoT ラベル認証プロセスには、(1) IoT 製品が FCC 規則に適合しているかどうかを試験し、試験報告書を作成するために、認定され、主管 理者が認めた試験所(サイバーラボ、CLA ラボ、または社内ラボ)を使用すること、および、(2) FCC が認定した CLA(すなわち、認定された認証機関)への申請、を含む 2 段階のプロセスが含まれることが判明した、 認定された認証団体)への申請により、製品が関連するすべての FCC IoT ラベリング・プログラム規則に完全に適合していることを認証する。 |
| 72. The record is split on the processes the Commission should adopt for manufacturers to follow when seeking to use the FCC IoT Label, specifically with regard to whether it is necessary for a third-party to review and verify the product meets all of the IoT Labeling Program requirements, including product testing, or if the manufacturer should be afforded the opportunity to “self-declare” compliance and affix the FCC IoT Label without third-party verification. | 72. 製造事業者がFCC IoTラベルの使用を求める際に従うべきプロセスについて、特に、製品試験を含むIoTラベリング・プログラムの要件をすべて満たしていることをサードパーティが審査・検証する必要があるのか、あるいは、サードパーティの検証なしに、製造事業者が「自己宣言」してFCC IoTラベルを貼付する機会が与えられるべきなのかについて、記録は分かれている。 |
| 73. UL Solutions, TÜV SÜD, and TIC Council Americas recommend that the Commission require all applications to be supported by conformity testing conducted by an accredited lab ( e.g., ISO/IEC 17025 accredited), and submitted to a third-party for verification of compliance with the Commission's program requirements. Others argue the Commission should accept a declaration of conformity or self-certification, while others recommend the Commission enter into agreements with each manufacturer to allow the manufacturer to conduct internal conformity testing of its products and self-certify compliance with the Commission's program requirements resulting in approval to use the Cyber Trust Mark without third-party involvement. CTA, for example, contemplates a “Manufacturer Self-Attestation Process” where manufacturers apply to the Commission for access to a “Mark Self-Attestation License Agreement” between the manufacturer and the FCC. Under this process, the manufacturer provides documentation showing how it complies with the NIST Criteria and if the Commission agrees with the documentation, the parties execute the agreement. The license agreement will identify the limits of the manufacturer's license authority, which may be corporate-wide, on a divisional basis, or for a specific product line. | 73. UL Solutions、TÜV SÜD、TIC Council Americasは、委員会に対し、認定試験所(例:ISO/IEC 17025認定)が実施する適合性試験により裏付けられ、委員会のプログラム要求事項への準拠を検証するためにサードパーティに提出されることを、すべての申請書に義務付けるよう提案する。また、委員会は適合宣言書または自己証明書を受け入れるべきであると主張する者もいれば、委員会が各製造事業者と協定を結び、製造事業者が社内で製品の適合性試験を実施し、委員会のプログラム要件に適合していることを自己証明することで、サードパーティが関与することなくサイバートラストマークの使用を承認することを提案する者もいる。例えば、CTAは「製造事業者自己認証プロセス」を想定しており、製造事業者は、製造事業者とFCCとの間の「マーク自己認証ライセンス契約」へのアクセスを委員会に申請する。このプロセスでは、製造事業者はNIST規準にどのように準拠しているかを示す文書を提出し、委員会がその文書に同意すれば、当事者は契約を締結する。ライセンス契約は、製造事業者の認可権限の制限を特定するものであり、全社的、部門単位、または特定の製品ラインに関するものである。 |
| 74. To ensure the Cyber Trust Mark retains the highest level of integrity and consumer trust, we agree with commenters who caution against allowing testing by entities that are not accredited and recognized. We also agree with Garmin and AHAM, who recommend third-party verification of the information contained in a manufacturer's application to use the Cyber Trust Mark. UL Solutions notes that while the Commission's equipment authorization process allows some products that pose a low risk of RF interference to be approved via a Supplier's Declaration of Conformity (SDoC), there is no clear line to be drawn between low risk and high risk connected products when “IoT devices are significant targets for an ever- growing number of cybersecurity attacks.” In addition, UL Solutions points to the investigation conducted by the Government Accountability Office (GAO) into the ENERGY STAR program's initial reliance a supplier's declaration of conformity, which GAO found to be unreliable because GAO was able to obtain UL certification with blatantly non-conforming products. | 74. サイバートラストマークが最高レベルの完全性と消費者の信頼を維持することを確実にするため、認定さ れ認知されていない事業体による試験を許可しないよう警告する意見に同意する。また、サイバートラストマークの使用を申請する製造事業者に含まれる情報のサードパーティによる検証を推奨するGarminとAHAMにも同意する。UL Solutionsは、委員会の機器認可プロセスでは、RF干渉のリスクが低い一部の製品については、供給者の適合宣言(SDoC)を通じて認可を受けることができるが、「IoT機器が増え続けるサイバーセキュリティ攻撃の重要な標的となっている」現在、リスクの低いコネクテッド製品とリスクの高いコネクテッド製品の間に明確な線引きはないと指摘する。さらにUL Solutionsは、政府アカウンタビリティ室(GAO)がENERGY STARプログラムにおいて供給者の適合宣言に当初依存していたことを調査したことを指摘している。 |
| 75. The Commission disagrees with commenters who believe the IoT Labeling Program should offer different methods of conformity assessment based on varying levels of risk and potential impact on consumers because doing so adds an unnecessary and significant layer of complexity to the process. The Commission recognizes the view of Keysight, the National Electronic Manufacturers Association (NEMA), AIM, Whirlpool, AHAM, Consumer Reports, Garmin, NAM, ITI, and TIC Council Americas, who support self-attestation as an efficient and cost effective methodology for applicants to conduct conformity assessments. However, the Commission agrees with A2LA, which urges caution with self-attestations of conformity “due to the bias inherent in self-declaration.” We also take into serious consideration the 2010 GAO Report that found the ENERGY STAR program in effect at that time, which was “primarily a self-certification program relying on corporate honesty and industry self-policing to protect the integrity of the Energy Star label,” failed to require upfront third-party validation of manufacturers' self-reported claims of compliance with the program requirements, which resulted in the certification of bogus products as ENERGY STAR compliant. ENERGY STAR has since changed the manner in which it certifies products as ENERGY STAR compliant, stating that in order “[t]o ensure consumer confidence in the ENERGY STAR label and to protect the investment of ENERGY STAR partners, the U.S. Environmental Protection Agency (EPA) requires all ENERGY STAR products to be third-party certified. Products are tested in an EPA-recognized laboratory and reviewed by an EPA-recognized certification body before they can carry the label.” | 75. 委員会は、IoTラベリングプログラムが、リスクレベルや消費者への潜在的影響の度合いに応じて異なる適合アセスメント方法を提供すべきであると考えるコメント提出者の意見に同意しない。委員会は、申請者が適合性評価を実施するための効率的かつ費用対効果の高い方法として自己認証を支持する、Keysight、全米電子機器製造者協会(NEMA)、AIM、Whirlpool、AHAM、Consumer Reports、Garmin、NAM、ITI、TIC Council Americasの見解を認める。しかし、委員会は、「自己宣言に内在するバイアスのため」適合の自己宣言に注意を促すA2LAに同意する。また、2010 年の GAO 報告書を真摯に考慮する。この報告書は、当時施行されていた ENERGY STAR プログラムが、「主に企業の誠実さと業界の自主規制に依存し、エネルギースターラベルの完全性を保護する自己認証プログラム」であったにもかかわらず、製造事業者が自己申告したプログラム要件への適合の主張についてサードパーティによる事前検証を義務付けなかったため、偽の製品が ENERGY STAR 適合として認証される結果となったことを明らかにした。ENERGY STAR はその後、製品を ENERGY STAR 適合として認証する方法を変更し、「ENERGY STAR ラベルに対する消費者の信頼を確保し、ENERGY STAR パートナーの投資を保護するために、米国環境保護庁(EPA)は、すべての ENERGY STAR 製品がサードパーティ認証されることを義務付けている。製品は、EPA 承認試験所で試験され、ラベルを表示する前に EPA 承認認証団体により審査される。 |
| 76. As such, in light of the nascent nature of the IoT Labeling Program, lessons learned in the ENERGY STAR context, and the need to ensure that the Cyber Trust Mark garners sufficient trust by consumers to be viewed as providing accurate information and manufacturer participation, we find that allowing a path to “self-attestation” is not appropriate at this time. While such a path may provide for prompt time to market for the Cyber Trust Mark itself, the concerns regarding the Mark's integrity at this initial stage counsel against “self attestation.” Moreover, we anticipate that the benefits and level of efficiency afforded manufacturers by the ability to use in-house labs will mitigate the additional process associated with certification by a CLA, as discussed below. | 76. このように、IoT ラベリングプログラムの黎明期であること、ENERGY STAR 関連で得られた教訓、 およびサイバートラストマークが正確な情報の提供と製造事業者の参加と見なされるために消費者から十分 な信頼を得ていることを確保する必要性に鑑みて、「自己認証」への道を認めることは、現時点では適 切ではないと判断する。そのような経路は、サイバートラストマーク自体の迅速な市場投入を可能にするかもしれないが、この初期段階におけるマークの完全性に関する懸念は、「自己認証」に反するものである。さらに、製造事業者が社内ラボを利用できることによる利点や効率性のレベルは、後述するように、CLA による認証に関連する追加的なプロセスを緩和すると予想される。 |
| 77. We intend for the Cyber Trust Mark to serve as a reliable and trusted way for consumers to quickly identify those products that meet the Commission's program requirements. To achieve this, the Commission must adopt sufficient controls over the IoT Labeling Program to ensure only those products that meet the Commission's requirements bear the Cyber Trust Mark. The Commission's second step of requiring an application be submitted to a CLA is a significant and important control to ensure that an independent disinterested third-party outside the manufacturer's control has reviewed the manufacturer's product application and supporting test report and verified that the product complies with the Commission's program requirements. | 77. 我々は、サイバートラストマークが、委員会のプログラム要件を満たす製品を消費者が迅速に識別できる信頼できる方法として機能することを意図している。これを達成するために、委員会は、委員会の要件を満たす製品のみにサイバートラストマークが表示されるよう、IoTラベリングプログラムに対する十分な管理を導入しなければならない。申請書のCLAへの提出を義務付けるという委員会の第2段階は、製造事業者以外の独立した利害関係のないサードパーティが、製造事業者の製品申請書と裏付けとなる試験報告書を確認し、その製品が委員会のプログラム要件に適合していることを確認するための重要な管理である。 |
| 78. The second step of the application process is particularly important because, as discussed above, the Commission allows the first step (testing) to be completed by an accredited and recognized CyberLAB, a CLA lab, or the manufacturer's in-house lab. Requiring the manufacturer to submit an application with a CLA is an important control, particularly to ensure that all products, including those products whose conformity testing is conducted, and reports are generated, by the manufacturer's in-house lab, are subject to third-party scrutiny and oversight. As such, the Commission requires all entities seeking to use the FCC IoT Label must submit an application for authority to a CLA to use the FCC IoT Label that is supported by the appropriate report detailing the conformity testing conducted by a lab that is both accredited and Lead Administrator-recognized (CyberLAB, CLA lab, or manufacturer's in-house lab). Only entities who have received prior authorization from a CLA ( i.e., cybersecurity certification) are authorized to use the FCC IoT Label, which will ensure the IoT Labeling Program retains its integrity.[18] We further recognize that the CLA may charge a reasonable fee to cover the cost of reviewing the application and the costs of conducting the other tasks the CLA would perform. Once the IoT Labeling Program is established, we may revisit the issue of whether to adopt additional pathways to obtaining authority to use the FCC IoT Label. | 78. 上述したように、委員会は、第一段階(試験)を、認定され認知されたサイバーラボ、CLAラボ、または製造事業者の社内ラボで完了することを認めているため、申請プロセスの第二段階は特に重要である。製造事業者がCLAとともに申請書を提出することを義務付けることは、特に、適合性試験が製造事業者の社内ラボで実施され、報告書が作成される製品を含め、すべての製品がサードパーティによる精査と監視の対象となることを確実にするための重要な管理である。そのため、委員会は、FCC IoTラベルの使用を希望するすべての事業体に対し、認定を受け、かつ主管庁が認めたラボ(サイバーラボ、CLAラボ、または製造事業者の社内ラボ)が実施した適合性試験の詳細を記した適切な報告書を添付したFCC IoTラベル使用認可申請書をCLAに提出するよう求めている。CLA から事前認可(すなわち、サイバーセキュリティ認証)を受けた事業体のみが、FCC IoT ラベルの使用を認可される。IoT ラベリング・プログラムが確立されれば、FCC IoT ラベルを使用する認可を得るための追加的な経路を採用するかどうかの問題を再検討する可能性がある。 |
| 79. The IoT Labeling NPRM sought comment on whether and how one or more third-party administrators should be utilized to manage the IoT Labeling Program, and whether the Commission should designate one or more administrators to authorize use of the label. Kaiser Permanente argues that the Commission should maintain ownership of the application process, as well as oversight and supervision of third parties administering the IoT Labeling Program. Garmin notes that the application process described in the IoT Labeling NPRM is unclear and worries that third-party involvement would require enormous effort, and cautioned that sharing sensitive information with a third-party administrator itself raises security concerns. However, the record was silent with respect to details about an application process. We agree that oversight and supervision of the IoT Labeling Program, including intaking applications, will require effort but believe a CLA is in the best position to streamline that process and, as noted, ensure the integrity of the process. We will require the CLA to have the ability to securely handle large volumes of information, which we believe should alleviate Garmin's concern. We outline the application process to use the FCC IoT Label below. | 79. IoT Labeling NPRMは、IoTラベルプログラムを管理するために、1人または複数のサードパーティ管理者を利用すべきかどうか、また、どのように利用すべきか、また、委員会はラベルの使用を認可するために、1人または複数の管理者を指定すべきかどうかについてのコメントを求めた。Kaiser Permanenteは、IoTラベルプログラムを管理するサードパーティに対する監視・監督だけでなく、申請プロセスの所有権も委員会が維持すべきだと主張している。Garminは、IoTラベリングNPRMに記載されている申請プロセスは不明確であると指摘し、サードパーティが関与することで多大な労力が必要になると懸念し、機密情報をサードパーティの管理者と共有すること自体がセキュリティ上の懸念を引き起こすと警告している。しかし、申請プロセスの詳細については、記録は沈黙している。申請書の取り込みを含むIoTラベリング・プログラムの監視・監督には労力が必要であることには同意するが、そのプロセスを合理化し、前述のようにプロセスの完全性を確保するためには、CLAが最適な立場にあると考える。我々は、CLAに大量の情報を安全に取り扱う能力を求めるが、これはGarmin社の懸念を軽減するものであると考える。FCC IoTラベルを使用するための申請プロセスの概要は以下の通りである。 |
| 80. Before being able to display the Cyber Trust Mark, the applicant must determine their product is an eligible product under our rules; have their product tested by an accredited and Lead Administrator-recognized CyberLAB, CLA Lab, or manufacturer's in-house lab; obtain a report of conformity and compliance from the lab; and submit an application for authority to use the FCC IoT Label to an FCC-recognized CLA in accordance with their procedures. Using the CLAs' filing processes, entities seeking authority to use the FCC IoT Label will file an application to be developed by the Bureau. Each application must include a report of conformity issued by an accredited CyberLAB, accredited CLA lab, or accredited in-house lab whose testing and reporting is comparative in rigor to that completed by a CyberLAB. The CLA will review the application and supporting documentation to ensure it is complete and in compliance with the Commission's rules and will either grant or deny the application. If an application is granted, the CLA will provide the applicant with notification of the grant and authority to affix the FCC IoT Label to the product granted authorization. | 80. サイバートラストマークを表示できるようになる前に、申請者は、その製品が当社の規則に基づく適格製品であると判断し、認定され、主管理者が承認したサイバーラボ、CLAラボ、または製造事業者の社内ラボで製品を試験してもらい、ラボから適合性報告書とコンプライアンス報告書を取得し、FCC承認CLAにFCC IoTラベルの使用権限を申請する申請書をその手続きに従って提出しなければならない。CLAの申請プロセスを利用して、FCC IoTラベルの使用認可を求める事業体は、同局が作成する申請書を提出する。各申請書には、認定されたサイバーラボ、認定されたCLAラボ、またはサイバーラボが完了したものと同等の厳格な試験と報告を行う認定された社内ラボが発行した適合性報告書を含めなければならない。CLAは、申請書が完全であり、委員会の規則に準拠していることを確認するため、申請書および添付書類を審査し、申請を許可または却下する。申請が許可された場合、CLAは、認可の通知と、認可された製品にFCC IoTラベルを貼付する権限を申請者に提供する。 |
| 81. Applications that do not meet the Commission's IoT Labeling Program will be denied by the CLA. If an application is denied, the CLA will provide the applicant with notification of the denial and an explanation of why it was denied. An applicant may only re-submit an application for a denied product if the CLA-identified deficiencies have been corrected. The applicant must indicate on its application that it is re-submitting the application after it was denied, the name of the CLA that denied the application, and the CLA's explanation of why it was denied. Failure to disclose the denial of an application for the same or substantially similar product will result in denial of the application for that product and the FCC will take other regulatory and/or legal action it deems appropriate. | 81. 委員会のIoTラベリング・プログラムに適合しない申請は、CLAによって却下される。申請が却下された場合、CLAは却下の通知と却下理由の説明を申請者に提供する。申請者は、CLAが指摘した欠陥が修正された場合に限り、拒否された製品の申請を再度提出することができる。申請者は、申請を却下された後に再申請する旨、申請を却下したCLAの名称、および却下された理由についてのCLAの説明を申請書に記載しなければならない。同一製品または実質的に類似した製品の申請が拒否されたことを開示しない場合、その製品の申請は拒否され、FCCは適切と考える他の規制上および/または法的措置をとる。 |
| 82. Grant or denial of an application for authority to use the FCC IoT Label will be made by the CLA in the first instance. The CLA will return incomplete applications to the applicant or otherwise contact the applicant regarding the incomplete application, as soon as possible. | 82. FCC IoTラベルの使用認可申請の許可または拒否は、第一にCLAが行う。CLAは、未完成の申請書を申請者に返却するか、あるいは未完成の申請書に関して、可能な限り速やかに申請者に連絡する。 |
| 83. We delegate authority to the Bureau to issue a Public Notice after any necessary notice and public comment and after completing any process required under the Paperwork Reduction Act, providing further details on how to apply for authority to use the FCC IoT Label, including but not limited to informational elements of the application, additional details on filing requirements ( e.g., description or photograph of the label and how/where it will be affixed to the product), and how to request confidential treatment of submitted information. As the Commission anticipated in the NPRM, CLAs may charge reasonable fees for their services and to cover the costs of performing the administrative duties. The IoT Labeling NPRM proposed to follow the fee calculation methodology adopted by the Commission in the 2020 Application Fee Report and Order and requested comment on the proposal and any changes. We did not receive any comments on the suitability of this approach. We recognize the Cybersecurity Coalition's comments that high fees would deter participation in the IoT Labeling Program. We anticipate that there will be multiple administrators authorized through the approach adopted in the Order, and we believe that market competition will ensure fees are reasonable, competitive, and accessible while covering the costs incurred by the CLA in performing their designated tasks. We believe this addresses the concerns raised by the Cybersecurity Coalition and renders the approach proposed in the IoT Labeling NPRM unnecessary. We therefore reject the NPRM's proposal. To the extent that the Lead Administrator may incur costs in performing its duties on behalf of the program as a whole, we expect these costs to be shared among CLAs as a whole.[19] We delegate to the Bureau, in connection with OMD, to consider these issues and provide guidance to the CLAs and Lead Administrator to ensure the fees do not become onerous, as indicated by the record. | 83. 我々は、必要な通知とパブリックコメントの後、また、ペーパーワーク削減法の下で要求されるプロセスを完了した後、FCC IoTラベルの使用権限の申請方法に関する詳細(申請書の情報要素、申請要件に関する追加詳細(ラベルの説明または写真、製品への貼付方法/場所など)、提出情報の機密扱いの要求方法を含むが、これらに限定されない)を提供する告示を発行する権限を同局に委ねる。委員会がNPRMで想定していたように、CLAは、そのサービスに対して、また管理業務を行うための費用を賄うために、妥当な料金を請求することができる。IoTラベリングNPRMでは、2020年申請料金報告書および命令で委員会が採用した料金計算方法を踏襲することを提案し、この提案および変更点について意見を求めた。この方法の妥当性に関するコメントは得られなかった。サイバーセキュリティ連合が、高額な手数料はIoTラベリングプログラムへの参加を抑制するとのコメントを発表したことは認識している。また、市場競争により、手数料が合理的で競争力があり、利用しやすいものであると同時に、CLAが指定された業務を遂行するために発生するコストをカバーすることができると考えている。これにより、サイバーセキュリティ連合が提起した懸念が解消され、IoTラベリングNPRMで提案されたアプローチは不要になると考える。したがって、我々はNPRMの提案を却下する。主管理者がプログラム全体を代表して職務を遂行する際に費用が発生する可能性がある限り、これらの費用はCLA全体で共有されることを期待する[19]。 |
| 84. Seeking Review of CLA Decision. Any party aggrieved by an action taken by a CLA must first seek review from the CLA, which must be filed with the CLA within 60 days from the date of the CLA's decision. A party aggrieved by an action taken by a CLA may, after seeking review by the CLA, seek review from the Commission. A request for Commission review must be filed with the Commission within 60 days from the date the CLA issues a decision on the party's request for review. In all cases of requests for review, the request for review shall be deemed filed on the postmark date. If the postmark date cannot be determined, the applicant must file a sworn affidavit stating the date that the request for review was mailed. Parties must adhere to the time periods for filing oppositions and replies set forth in 47 CFR 1.45. | 84. CLAの決定の見直しを求める。CLA の決定に不服がある当事者は、まず CLA に再審査を求めなければならない。再審査は、CLA の決定日から 60 日以内に CLA に提出しなければならない。CLAの決定に不服のある当事者は、CLAに再審査を求めた後、委員会に再審査を求めることができる。委員会への再審査請求は、CLAが当事者の再審査請求に対する決定を下した日から60日以内に委員会に提出しなければならない。すべての審査請求の場合、審査請求は消印日に提出されたものとみなされる。消印日が特定できない場合は、審査請求書が郵送された日付を記載した宣誓供述書を提出しなければならない。当事者は、47 CFR 1.45に規定される異議申立および答弁書の提出期間を遵守しなければならない。 |
| 85. We delegate authority to PSHSB to consider and act upon requests for review of CLA decisions. Requests for review that raise novel questions of fact, law, or policy will be considered by the full Commission. An affected party may seek review of a decision issued under delegated authority pursuant to the rules set forth in part 1 of the Commission's rules. The Bureau will conduct de novo review of requests for review of decisions issued by a CLA. The Commission will conduct de novo review of requests for review of decisions by the CLA that involve novel questions of fact, law, or policy; provided, however, that the Commission will not conduct de novo review of decisions issued by the Bureau under delegated authority. The Bureau will, within 45 days, take action in response to a request for review of CLA decision that is properly before it. The Bureau may extend the time period for taking action on a request for review of a CLA decision for a period of up to 90 days. The Commission may also at any time, extend the time period for taking action of a request for review of a CLA decision pending before the Bureau. The Commission will issue a written decision in response to a request for review of a CLA decision that involves novel questions of fact, law, or policy within 45 days. The Commission may extend the time period for taking action on the request for review of a CLA decision. The Bureau also may extend action on a request for review of an CLA decision for a period of up to ninety days. While a party seeks review of a CLA decision, they are not authorized to use the FCC IoT Label until the Commission issues a final decision authorizing their use of the FCC IoT Label. | 85. 我々はPSHSBに対し、CLAの決定に対する再審査請求を検討し、処理する権限を委任している。事実、法律、政策について斬新な問題を提起する審査請求は、委員会全体によって検討される。影響を受ける当事者は、委員会規則第1部に定められた規則に従い、委任された権限に基づいて出された決定の見直しを求めることができる。局は、CLAが下した決定に対する審査請求について、デ・ノーボ審査を行う。ただし、委員会は、委任された権限に基づき事務局が下した決定については、デ・ノーボ審査を行わない。ただし、委員会は、委任された権限の下、事務局が下した決定について、デ・ノボ審査は行わない。事務局は、45日以内に、事務局の決定に対する審査請求に対し、適切な措置を講じる。事務局は、CLAの決定に対する審査請求に対して措置を講じるまでの期間を、最長90日まで延長することができる。また、委員会はいつでも、事務局に係属中のCLA決定の再審査請求に対する措置期間を延長することができる。委員会は、事実、法律、または方針に関する斬新な問題を含むCLA決定の審査請求に対し、45日以内に書面による決定を下す。委員会は、CLA決定の再審査請求に対する措置期間を延長することができる。また、事務局は、CLA決定の再審査請求に対する措置を最長90日間延長することができる。当事者がCLA決定の見直しを求めている間は、委員会がFCC IoTラベルの使用を認可する最終決定を下すまで、FCC IoTラベルの使用は認可されない。 |
| E. Consumer IoT Product Cybersecurity Criteria and Standards | E. 消費者向けIoT製品のサイバーセキュリティ規準と標準 |
| 86. Technical Criteria for Consumer IoT Products. We adopt the IoT Labeling NPRM proposal that the NIST Core Baseline serve as the basis of the IoT Labeling Program. The NIST Core Baseline is based on product-focused cybersecurity capabilities (also referred to by NIST as “Outcomes”) rather than specific requirements, which NIST asserts provide the flexibility needed due to the diverse marketplace of IoT products, and we agree. As outlined in the IoT Labeling NPRM, the NIST criteria includes the following IoT product capabilities: (1) asset identification; (2) product configuration; (3) data protection; (4) interface access control; (5) software update; (6) cybersecurity state awareness; and the following IoT Product Developer Activities: (7) documentation; (8) information and query reception; (9) information dissemination; and (10) product education and awareness. | 86. 消費者向けIoT製品の技術規準。我々は、NIST Core Baseline を IoT ラベリング・プログラムの基礎とするという IoT ラベリング NPRM の提案を採用する。NIST コア・ベースラインは、特定の要件ではなく、製品に焦点を当てたサイバーセキュリティ能力(NIST は「アウトカム」とも呼ぶ)に基づいており、NIST は、IoT 製品の多様な市場により必要とされる柔軟性を提供すると主張しており、我々もこれに同意する。IoT ラベリング NPRM に概説されているように、NIST の規準には、以下の IoT 製品能力、(1) 資産識別、(2) 製品構成、(3) データ保護、(4) インタフェースアクセス管理、(5) ソフトウェア更新、(6) サイバーセキュリティ状態認識、および以下の IoT 製品開発者活動、(7) 文書化、(8) 情報およびクエリー受信、(9) 情報発信、(10) 製品教育および認識が含まれている。 |
| 87. The record reflects broad support for adoption of the technical criteria presented in NISTIR 8425. For example, a coalition of industry stakeholders including the Association of Home Appliance Manufacturers, Connectivity Standards Alliance, Consumer Technology Association, CTIA Information Technology, Industry Council, National Electrical Manufacturers Association, Plumbing Manufacturers International Power Tool Institute, Security Industry Association, Telecommunications Industry Association, U.S. Chamber of Commerce, and USTelecom submitted a letter to the Commission supporting the establishment of “a voluntary program based on the technical criteria developed by [NIST], under NISTIR 8425.” UL Solutions supports adoption of the NISTIR 8425 criteria and asserts that there are several mature standards that can be drawn from that address the NISTIR 8425 criteria, such as UL 2900, UL 5500, and IEC 62443. | 87. 記録は、NISTIR 8425 に示された技術規準の採用に対する幅広い支持を反映している。例えば、家電製造者協会、コネクティビティ標準技術同盟、消費者技術協会、CTIA情報技術、業界協議会、全米電機製造者協会、配管製造者国際電動工具協会、セキュリティ産業協会、電気通信産業協会、米国商工会議所、USTelecomを含む業界関係者連合は、「NISTIR 8425の下、(NISTが)策定した技術規準に基づく自主的プログラム」の設立を支持する書簡を委員会に提出した。UL Solutionsは、NISTIR 8425の規準の採用を支持し、UL 2900、UL 5500、IEC 62443など、NISTIR 8425の規準に対応する成熟した標準がいくつかあると主張している。 |
| 88. CTIA supports adoption of the NIST Core Baseline but urges the Commission not to prescribe any specific methodologies that testing programs or standards must use, other than to require that such programs or standards be consistent with NIST Core Baseline. CSA also supports adoption of the NIST Core Baseline but urges the Commission to refrain from developing its own standards for testing. Rather, CSA asserts that they have developed a certification program that meets the requirements of NISTIR 8425 and other relevant standards documents, including ETSI EN 303 645 and the Singapore Cybersecurity Labeling Scheme, and CTA indicates that they are working on American National Standards (ANS) documents that will “[d]efine a Framework that is a standardized and objective method of applying the Criteria in NISTIR 8425 to a candidate Scheme or to a manufacturer's proposal for self-attestation . . .” Garmin encourages the Commission to consider ETSI 303 645 standards, and commenters American Certification Body, Inc. and Consumer Reports encourage international standards such as those developed as a result of the EU Cyber Resiliency Act and UK's Product Security and Telecommunications Infrastructure Act. These commenters did not oppose referencing the NIST criteria. | 88. CTIAは、NIST Core Baselineの採用を支持するが、委員会に対し、試験プログラムや標準がNIST Core Baselineと整合していることを要求する以外に、試験プログラムや標準が使用しなければならない特定の方法論を規定しないよう求める。CSAもまた、NIST Core Baselineの採用を支持するが、委員会に対し、独自の試験標準を策定しないよう求める。むしろCSAは、NISTIR 8425や、ETSI EN 303 645、シンガポールのサイバーセキュリティラベリングスキームなどの関連規格文書の要件を満たす認証プログラムを開発したと主張し、CTAは、「NISTIR 8425の規準を候補スキームまたは製造事業者の自己主張提案に適用するための標準化された客観的な方法であるフレームワークを確定する」米国国家規格(ANS)文書に取り組んでいることを示している。Garmin社は、委員会がETSI 303 645規格を検討することを奨励し、意見提出者のAmerican Certification Body, Inc.とConsumer Reports社は、EUのサイバーレジリエンシー法や英国の製品セキュリティおよび電気通信インフラ法の結果として策定されたような国際標準を奨励する。これらの意見者は、NIST規準を参照することに反対しなかった。 |
| 89. We agree with Infineon, Consumer Reports, and NCTA and adopt NISTIR 8425 as the basis for the Commission's IoT Labeling Program. The consumer IoT environment is complicated by a significant number of different types of consumer IoT products. Adoption of the NIST criteria as the foundation of the IoT Labeling Program will result in a robust consumer IoT program that is sufficiently flexible that it can be applied across all types of consumer IoT products. The NIST criteria were developed through a multi-year effort between NIST and various stakeholders, and includes significant industry input and will continue to be updated by NIST as necessary. The Commission agrees with NIST's publication, which avers that the following NISTIR 8425 criteria identify the cybersecurity capabilities that consumers would expect manufacturers to address within the products they buy. NIST contemplates that most of the criteria concern the IoT product directly and are expected to be satisfied by software and/or hardware implemented in the IoT product (1-6 below) and other criteria apply to the IoT product developer (7-10 below). The following is the list of the NIST IoT product capability criteria, NIST's brief description of each, and the NIST-identified cybersecurity utility for each: | 89. 我々は、Infineon、Consumer Reports、NCTAに同意し、委員会のIoTラベリングプログラムの基礎としてNISTIR 8425を採用する。消費者向けIoT環境は、非常に多くの種類の消費者向けIoT製品によって複雑になっている。IoTラベリングプログラムの基盤としてNISTの規準を採用することにより、あらゆる種類の消費者向けIoT製品に適用できる十分な柔軟性を備えた、強固な消費者向けIoTプログラムが実現する。NISTの規準は、NISTと様々な利害関係者との複数年にわたる努力によって策定されたものであり、産業界からの重要なインプットも含まれている。委員会は、以下のNISTIR 8425の規準が、消費者が購入する製品において製造事業者が対応することを期待するサイバーセキュリティ機能を特定するものであるとするNISTの発表に同意する。NISTは、規準のほとんどがIoT製品に直接関係し、IoT製品に実装されたソフトウェアおよび/またはハードウェアによって満たされることが期待され(以下の1~6)、その他の規準はIoT製品の開発者に適用される(以下の7~10)ことを想定している。以下は、NIST の IoT 製品能力規準の一覧、NIST によるそれぞれの簡単な説明、および NIST が特定したそれぞれのサイバーセキュリティユーティリティである: |
| (1) Asset Identification: The product can be uniquely identified by the customer and other authorized entities and the product uniquely identifies each IoT product component and maintains an up-todate inventory of connected product components | (1) 資産識別: 製品は、顧客およびその他の認可事業体によって一意に識別され、各 IoT 製品コンポーネントを一意に識別し、接続された製品コンポーネントの最新のインベントリを維持することができる。 |
| i. Cybersecurity Utility: The ability to identify IoT products and their components is necessary to support such activities as asset management for updates, data protection, and digital forensics capabilities for incident response. | i. サイバーセキュリティユーティリティ: IoT 製品とそのコンポーネントを識別する能力は、更新のための資産管理、データ保護、インシデント対応のためのデジタル・フォレンジック機能などの活動を支援するために必要である。 |
| (2) Product Configuration: The configuration of the IoT product is changeable, with an ability to restore a secure default setting, and changes can only be performed by authorized individuals, services, and other IoT product components. | (2) 製品構成: IoT 製品の構成は変更可能であり、安全なデフォルト設定を復元する能力があり、変更は認可 された個人、サービス、および他の IoT 製品の構成要素によってのみ実行可能である。 |
| i. Cybersecurity Utility: The ability to change aspects of how the IoT product functions can help customers tailor the IoT product's functionality to their needs and goals. Customers can configure their IoT products to avoid specific threats and risk they know about based on their risk appetite. | i. サイバーセキュリティユーティリティ: i. サイバーセキュリティの有用性:IoT 製品の機能の側面を変更する機能は、顧客が IoT 製品の機能をニーズや目標に合わせて調整するのに役立つ。顧客は、リスク選好度に基づいて、自分が知っている特定の脅威やリスクを回避するように IoT 製品を構成することができる。 |
| (3) Data Protection: The IoT product protects data store across all IoT product components and transmitted both between IoT product components and outside the IoT product from unauthorized access, disclosure, and modification. | (3) データ防御: IoT 製品は、すべての IoT 製品の構成要素にわたって保存され、IoT 製品の構成要素間および IoT 製品の外部の両方で伝送されるデータを、不正なアクセス、開示、改変から保護する。 |
| i. Cybersecurity Utility: Maintaining confidentiality, integrity, and availability of data is foundational to cybersecurity for IoT products. Customers will expect that data are protected and that protection of data helps to ensure safe and intended functionality of the IoT product. | i. サイバーセキュリティユーティリティ: データの機密性、完全性、可用性を維持することは、IoT 製品のサイバーセキュリティの基本である。顧客は、データが保護され、データの保護が IoT 製品の安全で意図された機能の確保に役立つことを期待する。 |
| (4) Interface Access Control: The IoT product restricts logical access to local and network interfaces—and to protocols and services used by those interfaces—to only authorized individuals, services, and IoT product components. | (4) インタフェースアクセス管理: IoT 製品は、ローカル・インタフェースおよびネットワーク・インタフェースへの論理的アクセス、ならびにそれらのインタフェースで使用されるプロトコルおよびサービスへの論理的アクセスを、認可された個人、サービス、および IoT 製品のコンポーネントのみに制限する。 |
| i. Cybersecurity Utility: Enumerating and controlling access to all internal and external interfaces to the IoT product will help preserve the confidentiality, integrity, and availability of the IoT product, its components, and data by helping prevent unauthorized access and modification. | i. サイバーセキュリティユーティリティ: i. サイバーセキュリティの効用:IoT 製品へのすべての内部および外部インタフェースを列挙し、 アクセスを管理することは、不正なアクセスおよび改変の防止を支援することによって、 IoT 製品、その構成要素、およびデータの機密性、完全性、および可用性を維持するのに役 立つ。 |
| (5) Software Update: The software of all IoT product components can be updated by authorized individuals, services, and other IoT product components only by using a secure and configurable mechanism, as appropriate for each IoT product component. | (5) ソフトウェア更新:すべての IoT 製品の構成要素のソフトウェアは、各 IoT 製品の構成要素に適切な、安全で設定可能なメカニズムを使用することによってのみ、認可された個人、サービス、および他の IoT 製品の構成要素によって更新することができる。 |
| i. Cybersecurity Utility: Software may have vulnerabilities discovered after the IoT product has been deployed; software update capabilities can help ensure secure delivery of security patches. | i. サイバーセキュリティユーティリティ: ソフトウェア更新機能は、セキュリティパッチの安全な提供を確保するのに役立つ。 |
| (6) Cybersecurity State Awareness: The IoT product supports detection of cybersecurity incidents affecting or affected by IoT product components and the data they store and transmit. | (6) サイバーセキュリティ状態の認識: IoT 製品は、IoT 製品のコンポーネントや、それらが保存し伝送するデータに影響する、あるいは影響を 受けるサイバーセキュリティインシデントの検知を支援する。 |
| i. Cybersecurity Utility: Protection of data and ensuring proper functionality can be supported by the ability to alert the customer when the device starts operating in unexpected ways, which could mean that unauthorized access is being attempted, malware has been loaded, botnets have been created, device software errors have happened, or other types of actions have occurred that was not initiated by the IoT product user or intended by the developer. | i. サイバーセキュリティユーティリティ: データの防御と適切な機能の確保は、デバイスが予期しない方法で動作し始めたときに顧客に警告を発 する機能によってサポートされる。これは、不正アクセスが試みられたり、マルウェアがロードされたり、 ボットネットが作成されたり、デバイスソフトウェアエラーが発生したり、IoT 製品のユーザが 開始したのでも開発者が意図したのでもない他の種類の動作が発生したことを意味する可能性がある。 |
| The following is the list of NIST-identified IoT Product Developer Activities/Non-Technical Supporting Capabilities and their NIST-identified cybersecurity utility: | 以下は、NIST が識別した IoT 製品開発者の活動/非技術的支援能力と、その NIST が識別したサイバーセキュリティユーティリティのリストである: |
| (7) Documentation: The IoT product developer creates, gathers, and stores information relevant to cybersecurity of the IoT product and its product components prior to customer purchase, and throughout the development of a product and its subsequent lifecycle. | (7) 文書化: (7)文書化:IoT 製品開発者は、顧客の購入前、製品の開発及びその後のライフサイクルを通じて、IoT 製品及びその製品コンポーネントのサイバーセキュリティに関連する情報を作成、収集、保管する。 |
| i. Cybersecurity Utility: Generating, capturing, and storing important information about the IoT product and its development ( e.g., assessment of the IoT product and development practices used to create and maintain it) can help inform the IoT product developer about the product's actual cybersecurity posture. | i. サイバーセキュリティユーティリティ: i. サイバーセキュリティの有用性:IoT 製品とその開発に関する重要な情報(例えば、IoT 製品のアセスメントや、IoT 製品の作成と保守に使用された開発手法)を生成、取得、保存することは、IoT 製品の開発者に製品の実際のサイバーセキュリティの姿勢を知らせるのに役立つ。 |
| (8) Information and Query Reception: The IoT product developer has the ability to receive information relevant to cybersecurity and respond to queries from the customer and others about information relevant to cybersecurity. | (8) 情報と問い合わせの受信: IoT 製品開発者は、サイバーセキュリティに関連する情報を受け取り、サイバーセキュリティに関 連する情報について顧客などからの問い合わせに対応する能力を有する。 |
| i. Cybersecurity Utility: As IoT products are used by customers, those customers may have questions or reports of issues that can help improve the cybersecurity of the IoT product over time. | i. サイバーセキュリティユーティリティ: i. サイバーセキュリティの有用性:IoT 製品が顧客に使用されるにつれて、それらの顧客は、時間の経過とともに IoT 製品のサイバーセキュリティを改善するのに役立つ質問や問題の報告をする可能性がある。 |
| (9) Information Dissemination: The IoT product developer broadcasts ( e.g., to the public) and distributes ( e.g., to the customer or others in the IoT product ecosystem) information relevant to cybersecurity. | (9) 情報発信: IoT 製品開発者は、サイバーセキュリティに関連する情報を(例えば、一般に)発信し、(例えば、 顧客または IoT 製品エコシステム内の他の人に)配布する。 |
| i. Cybersecurity Utility: As the IoT product, its components, threats, and mitigations change, customers will need to be informed about how to securely use the IoT product. | i. サイバーセキュリティユーティリティ: i. サイバーセキュリティユーティリティ:IoT 製品、その構成要素、脅威、低減が変化するにつれて、顧客は IoT 製品を安全に使用する方法について情報を得る必要がある。 |
| (10) Product Education and Awareness: The IoT product developer creates awareness of and educates customers and others in the IoT product ecosystem about cybersecurity-related information ( e.g., considerations, features) related to the IoT product and its product components. | (10) 製品教育と意識向上: IoT 製品開発者は、IoT 製品とその製品コンポーネントに関連するサイバーセキュリティ関連情 報(考慮事項、機能など)について、IoT 製品のエコシステムにおける顧客とその他の人々 の認識を高め、教育する。 |
| i. Cybersecurity Utility: Customers will need to be informed about how to securely use the device to lead to the best cybersecurity outcomes for the customers and the consumer IoT product marketplace. | i. サイバーセキュリティ・ユーティリティ: 顧客は、顧客と消費者向け IoT 製品市場にとって最良のサイバーセキュリティ成果をもたらすために、 デバイスを安全に使用する方法について知らされる必要がある。 |
| 90. Consumer IoT Product Standards. We find that standards are necessary to administer the IoT Labeling Program in a fair and equitable manner and to ensure the products with the FCC IoT Label have all been tested to the same standards to provide consumers with confidence that products bearing the FCC IoT Label include strong cybersecurity. Commenters generally agree with the adoption of standards based on NIST's Core Baseline for Consumer IoT products (NISTIR 8425). We take up the Cybersecurity Coalition's recommendation “that the Commission or a designated third-party administrator work with stakeholders to identify recognized standards that encompass the Core Baseline, or that offer equivalent controls.” NCTA also notes that “Standards Development Organizations (“SDOs”) and specification organizations are well-established organizations that can develop standards aligned with NIST guidelines and the Program's goals.” According to NIST, the NISTIR 8425 “ outcomes are guidelines that describe what is expected . . . but more specific information may be needed to define how to implement IoT products or product components so that they meet an outcome. Requirements define how a component can meet an outcome for a specific use case, context, technology, IoT product component etc. . . ..” | 90. 消費者向け IoT 製品の標準。我々は、IoT ラベリング・プログラムを公正かつ衡平な方法で管理し、FCC IoT ラベルが貼付された製品がすべて同じ基準でテストされていることを保証し、FCC IoT ラベルが貼付された製品が強力なサイバーセキュリティを含むという信頼を消費者に提供するために、標準が必要であると考える。コメント提出者は、NISTのCore Baseline for Consumer IoT products(NISTIR 8425)に基づく標準の採用に概ね同意している。我々は、サイバーセキュリティ連合(Cybersecurity Coalition)の「委員会または指定されたサードパーティ管理者が利害関係者と協力して、コア・ベースラインを包含する、または同等の管理を提供する標準規格を特定すること」を推奨する。NCTA はまた、「標準開発組織(SDO)および仕様策定組織は、NIST のガイドラインおよび本プログラムの目標に沿った標準を開発することができる、確立された組織である。NISTによると、NISTIR 8425の「アウトカムは、何が期待されるかを記述したガイドラインである(中略)しかし、アウトカムを満たすようにIoT製品や製品コンポーネントを実装する方法を定義するには、より具体的な情報が必要になる場合がある。要件は、特定のユースケース、コンテキスト、技術、IoT 製品コンポーネントなどに対して、コンポーネントがどのようにアウトカムを満たすことができるかを定義するものである。 |
| 91. We reject CTIA's recommendation that the Commission refrain from adopting specific standards and solely rely on the NIST criteria. Rather, the Commission agrees with NIST and commenters that its criteria are general guidelines that must be further developed into a requirements document ( i.e., standards) and corresponding testing procedures, which will demonstrate how the product bearing the FCC IoT Label has met the NIST criteria and to ensure consistency of application across a class of products. ITI adds that the “Commission need not recreate [existing] work or develop its own standards but can leverage completed standards work for swift development and implementation.” The integrity of the Cyber Trust Mark requires the Commission to adopt standards that provide for adequate and consistent testing of products to ensure that all products bearing the FCC IoT Label have demonstrated conformance to the identified standards that the Commission has approved as compliant with the NIST criteria. In addition, for the Commission's IoT Labeling Program to be fairly administered by the multiple CLAs, all products displaying the FCC's label must be tested against the same standards to ensure that all products displaying the FCC IoT Label conform to the Commission's standards. | 91. 我々は、委員会が特定の標準を採用することを控え、NISTの規準にのみ依存するというCTIAの勧告を拒否する。むしろ、委員会は、NISTの規準が一般的なガイドラインであり、FCC IoTラベルが貼付された製品がNISTの規準をどのように満たしているかを実証し、製品クラス間での適用の一貫性を確保するために、要求事項文書(すなわち、標準)および対応する試験手順へとさらに発展させる必要がある、というNISTおよびコメント提出者の意見に同意する。ITIは、「委員会は(既存の)作業を再作成したり、独自の標準を開発したりする必要はないが、迅速な開発と実施のために完成した標準作業を活用することができる」と付け加えている。サイバートラストマークの完全性を確保するためには、FCC IoTラベルが貼付されたすべての製品が、NIST基準に適合していると委員会が承認した識別基準に適合していることを確実にするため、製品に十分かつ一貫した試験を提供する標準を採用することが必要である。さらに、委員会のIoTラベル・プログラムが複数のCLAによって公正に管理されるためには、FCCのラベルを表示するすべての製品が委員会の基準に適合していることを保証するために、FCCのラベルを表示するすべての製品が同じ標準に対して試験されなければならない。 |
| 92. Commenters such as TÜV SÜD agree that “the main requirement when perform[ing] testing for compliance is that the test need[s] to be reliable and always offer the same outcome when a product is tested in the same condition. In the current state of the NIST IoT criteria there is not enough detail[ ] in the standard, so there is the need to write a more detail[ed] test method/standard.” UL Solutions also “supports the use of the NISTIR 8425 criteria as the basis for the IoT Labeling Program. These criteria help establish a minimum security baseline suitable for consumer IoT products . . . However, as noted in paragraphs 27 and 28 [of the IoT Labeling NPRM], these criteria must be defined by minimum IoT security requirements and standards to enable consistent and replicable product testing.” Moreover, Somos similarly agrees that leveraging existing standards for device definition and security guidelines are the fastest, most effective path to the definition of a secure ecosystem, that NIST 8425 standard is the appropriate starting point, and that “existing standards should allow for the Commission to quickly create its definitions and guidelines.” We agree with the Cybersecurity Coalition that “only those standards and best practices recognized by the labeling program should be eligible, in order to avoid the inclusion of non-credible or irrelevant frameworks that may undermine trust in the label.” | 92. TÜV SÜD などのコメント提出者は、「準拠のための試験を実施する際の主な要件は、 試験の信頼性が高く、製品を同じ条件で試験したときに常に同じ結果が得られること である」という意見に同意している。NIST IoT規準の現状では、標準には十分な詳細がないため、より詳細な試験方法/標準を作成する必要がある。UL Solutionsも「IoTラベリングプログラムの基礎としてNISTIR 8425の規準の使用を支持する。これらの規準は、消費者向けIoT製品に適した最低限のセキュ リティ基準を確立するのに役立つ。しかし、(IoTラベリングNPRMの)第27項と第28項で述べたように、これらの規準は、一貫性があり再現可能な製品テストを可能にするために、最低限のIoTセキュリティ要件と標準によって定義されなければならない。さらに、Somosは、デバイスの定義とセキュリティガイドラインに既存の標準を活用することが、安全なエコシステムの定義への最も迅速で効果的な道であり、NIST 8425標準が適切な出発点であること、「既存の標準によって、委員会は定義とガイドラインを迅速に作成できるはずである」ことにも同様に同意する。ラベルの信頼を損なう可能性のある、信用できない、あるいは無関係なフレームワークが含まれることを避けるため、ラベルプログラムによって認められた標準とベストプラクティスのみを対象とすべきである」というサイバーセキュリティ連合に同意する。 |
| 93. We further determine that, given the existing work in this space, the Commission should not undertake the initial development of the standards that underpin the NIST Core Baseline. Rather, as discussed in paragraph 56 above, we direct the Lead Administrator to undertake this task, and delegate authority to the Bureau to review and approve the consumer IoT cybersecurity standards and testing procedures that have been identified and/or developed by the Lead Administrator (after any appropriate public comment) that ensures the product to which a manufacturer seeks to affix the FCC IoT Label conforms to the NIST criteria. NIST's IoT Product Component Requirements Essay provides a summary of standards and guidance that NIST has initially identified as applicable to IoT devices and IoT product components, that the Lead Administrator may determine are applicable to the IoT Labeling Program. Moreover, the Lead Administrator may also determine existing standards or schemes that exist in the market already may be readily adaptable and leverage such work to meet the terms of the program. | 93. さらに、この分野での既存の作業を考慮すると、委員会は、NISTコア・ベースラインを支える標準の初期開発に着手すべきではないと判断する。むしろ、上記パラグラフ56で議論したように、主管庁にこの作業を行うよう指示し、製造事業者がFCC IoTラベルを貼付しようとする製品がNISTの規準に適合していることを保証する、主管庁が特定および/または開発した消費者向けIoTサイバーセキュリティ規準および試験手順を(適切なパブリックコメントの後に)検討し、承認する権限を局に委譲する。NIST's IoT Product Component Requirements Essay は、NIST が IoT 機器および IoT 製品部品に適用可能であると最初に特定した標準およびガイダンスの概要を提供するものであり、主管庁は、IoT ラベリング・プログラムに適用可能であると判断することができる。さらに、主管庁は、既に市場に存在する既存の標準や制度が容易に適応可能であると判断し、プロ グラムの条件を満たすためにそのような作業を活用することもできる。 |
| 94. The Commission recognizes that since a “product” for purposes of the IoT Labeling Program is comprised of at least one IoT device and any additional product components that are necessary to use the IoT device beyond basic operational features, there may be multiple standards ( e.g., a package of standards) applicable to a single IoT product ( e.g., standards applicable to IoT devices; mobile apps; networking equipment included with IoT devices; and cloud platforms). The Commission does not anticipate a single standard would be developed or identified to apply to all consumer IoT products. However, a single package of standards may be developed or identified for each product type or class as identified by the Lead Administrator and reviewed and approved by the Bureau. We also agree with the Cybersecurity Coalition that “participants should have discretion to include security features that go beyond standard requirements . . . So long as the additional security features do not conflict with conformity with the standard used for eligibility by the labeling program participants, participants should be encouraged to go beyond baseline requirements.” | 94. IoTラベリングプログラムにおける「製品」は、少なくとも1つのIoTデバイスと、基本的な動作機能以外にIoTデバイスを使用するために必要な追加的な製品コンポーネントで構成されるため、1つのIoT製品に適用される標準(例えば、標準のパッケージ)が複数存在する可能性があることを、委員会は認識している(例えば、IoTデバイスに適用される標準、モバイルアプリ、IoTデバイスに含まれるネットワーク機器、クラウドプラットフォーム)。委員会は、すべての消費者向けIoT製品に適用される単一の標準が策定または識別されるとは想定していない。しかし、主管庁が特定し、同局が審査・承認した製品の種類またはクラスごとに、単一の標準パッケージを策定または特定することは可能である。我々はまた、サイバーセキュリティ連合に同意する。「参加者は、標準要件を超えるセキュリティ機能を含める裁量を持つべきである。追加的なセキュリティ機能が、ラベリング・プログラム参加者が適格性を確認するために使用する標準への適合と矛盾しない限り、参加者は標準要件を超えることを奨励されるべきである。 |
| F. The FCC IoT Label (Cyber Trust Mark and QR Code) | F. FCC IoTラベル(サイバートラストマークとQRコード) |
| 95. We adopt the IoT Labeling NPRM's proposal to implement a single binary label with layering. As discussed in the IoT Labeling NPRM, “under a binary label construct, products will either qualify to carry the label or not qualify ( i.e., not be able to carry the label) and `layers' of the label would include the Commission's Cyber Trust Mark representing that the product or device has met the Commission's baseline consumer IoT cybersecurity standards and a scannable code ( e.g., QR Code) directing the consumer to more detailed information of the particular IoT product.” | 95. 我々は、IoT ラベリング NPRM の、レイヤリングによる単一のバイナリ・ラベルを導入するという提案を採用する。IoT ラベリング NPRM で議論されたように、「バイナリ・ラベルの構成では、製品は、ラベルを貼付する資格があるか、資格がない(すなわち、ラベルを貼付できない)かのどちらかになり、ラベルの「レイヤー」には、製品またはデバイスが委員会の消費者向け IoT サイバーセキュリティ標準の基準値を満たしていることを示す委員会のサイバートラストマークと、特定の IoT 製品のより詳細な情報に消費者を誘導するスキャン可能なコード(QR コードなど)が含まれる。 |
| 96. We adopt a binary label because we believe that a label signaling that an IoT product has met the minimum cybersecurity requirements will be simplest for consumers to understand, especially as the label is introduced to and established for the public. The Cybersecurity Coalition supports a binary label, citing the benefits of a simple, consumer friendly nature and its potential to streamline the purchasing decision for consumers. Similarly, as LG Electronics points out, “[l]ike the ENERGY STAR program, a binary label specifying that a device has met a government standard—in this case for cybersecurity—will be enough to drive consumers and manufacturers toward more secure products,” while leaving manufacturers free to separately provide additional cybersecurity information about their products. And the Connectivity Standards Alliance supports the use of a single binary label with layering, as recommended by NIST, asserting that “[a]cademic studies have validated this approach.” Conversely, Canada advocates a multi-tiered approach to labeling to “lower barriers to entry into the labelling regime and facilitate trade and competition by ensuring Micro, Small and Medium Sized Enterprises (MSMEs), with fewer resources to meet a high level of cybersecurity,” and to “provide the incentives for a greater number of firms to innovate in IoT products and work on `climbing the ladder' of cybersecurity levels over time.” Another commenter suggests a multi-tiered label that would have different colors depending on the length of time the product is supported. Other commenters advocate a multi-tiered approach that need not be reflected in different Cyber Trust Marks, but in different information available when a consumer scans the QR code. A study by Carnegie Mellon University indicates that different types of labels of various complexities have varying levels of effectiveness, but does not contest the idea of a binary label. We also recognize that some international regimes, such as Singapore, use a multi-tiered label. | 96. IoT 製品がサイバーセキュリティの最低要件を満たしていることを示すラベルは、特にこのラベルが一般に紹介さ れ、定着するにつれて、消費者にとって最も理解しやすくなると考えるため、バイナリ・ラベルを採用する。サイバーセキュリティ連合は、シンプルで消費者に分かりやすいという利点と、消費者の購買意思決定を合理化する可能性を挙げて、バイナリ・ラベルを支持している。同様に、LG Electronics が指摘するように、「ENERGY STAR プログラムのように、デバイスが政府標準(この場合はサイ バーセキュリティ)を満たしていることを明記する二値ラベルは、消費者と製造事業者をより安全な製品に向かわせる のに十分である。また、Connectivity Standards Allianceは、NISTが推奨しているように、階層化された単一のバイナリ・ラベルの使用を支持しており、「学術的研究により、このアプローチは検証されている」と主張している。逆にカナダは、「ラベリング体制への参入障壁を下げ、高いサイバーセキュリティレベルを満たすリソースの少ない中小企業(Micro, Small and Medium Sized Enterprises (MSMEs))を確保することで貿易と競争を促進する」ため、また「より多くの企業がIoT製品でイノベーションを起こし、時間をかけてサイバーセキュリティレベルの「はしごを登る」ことに取り組むインセンティブを提供する」ために、ラベリングへの多段階アプローチを提唱している。別の意見者は、製品のサポート期間に応じて色が異なる多階層のラベルを提案している。他のコメント提出者は、異なるサイバートラストマークに反映させる必要はなく、消費者がQRコードをスキャンしたときに利用可能な異なる情報に反映させる多階層アプローチを提唱している。カーネギーメロン大学の研究によると、様々な複雑さの異なるタイプのラベルの有効性は様々であるが、二元的なラベルの考えに異論はない。また、シンガポールのような国際的な制度の中には、多段階のラベルを使用しているものがあることも認識している。 |
| 97. Although one could imagine myriad different approaches to labeling that each have relative advantages and disadvantages, on balance we are persuaded to rely on a binary label as we begin our IoT Labeling Program, consistent with NIST's recommended approach. We agree with the Cybersecurity Coalition that “the primary value of the IoT . . . labeling program is to better enable ordinary consumers to distinguish labeled products as likely providing better basic security than unlabeled products.” We believe a binary label meets this goal by providing a clear indication that products with the label meet the Commission's cybersecurity requirements. We anticipate that promoting early consumer recognition of the FCC IoT Label—which we think is better advanced by a binary label—will, in turn, make consumers more attuned to cybersecurity issues and more receptive to additional cybersecurity information that manufacturers elect to provide apart from the FCC IoT Label and associated QR code. Thus, we believe that our use of a binary label still retains incentives for manufacturers to innovate and achieve higher levels of cybersecurity. Our approach to determining what cybersecurity standards will be applied also accommodates the potential for different requirements being necessary to meet the NIST baseline criteria in different contexts. To the extent that any multi-tiered labeling approach contemplated by commenters would allow manufacturers to obtain a label through lesser cybersecurity showings, that would be less effective at achieving the goals of our program. And to the extent that any multi-tiered labeling approach would require manufacturers to make heightened cybersecurity showings to achieve higher-tier labels, that is unlikely to lower barriers to participation in the IoT Labeling Program while also risking less understanding and acceptance of the FCC IoT Label by consumers. Because delay in moving forward with the IoT Labeling Program would have its own costs in pushing back the potential for benefits to consumers and device security, we also recognize the benefits of a binary label as more straightforward to implement, at least at the start of our IoT Labeling Program. Weighing all the relevant considerations, we are persuaded to move forward with a binary label at this time. | 97. それぞれに相対的な利点と欠点がある、ラベリングに対する無数の異なるアプローチを想像することは可能であるが、NISTが推奨するアプローチと一致するように、IoTラベリング・プログラムを開始するにあたり、バランス上、バイナリ・ラベルに依拠することに説得力がある。我々は、サイバーセキュリティ連合と同意見である。ラベリング・プログラムの主な価値は、一般消費者が、ラベリングされた製品を、ラベリングされていない製品よりも基本的なセキュリティが優れている可能性が高いものとして区別できるようにすることである。バイナリ・ラベルは、ラベルが貼付された製品が委員会のサイバーセキュリティ要件を満たしていることを明確に示すことで、この目標を達成するものと考える。FCC IoTラベルの消費者への早期認知を促進することは、バイナリ・ラベルによってより効果的に進められると我々は考えているが、その結果、消費者はサイバーセキュリティの問題に敏感になり、FCC IoTラベルや関連QRコードとは別に事業者が提供するサイバーセキュリティに関する追加情報をより受け入れやすくなると期待している。したがって、バイナリ・ラベルを使用することで、製造事業者がイノベーションを起こし、より高いレベルのサイバーセキュリティを実現するインセンティブを維持できると考えている。どのようなサイバーセキュリティ標準が適用されるかを決定する我々のアプローチは、異なる状況においてNISTの規準基準を満たすために異なる要件が必要となる可能性にも対応している。コメント提出者が想定している多段階ラベリング・アプローチによって、製造事業者がより低いサイバーセキュリティを示すことでラベルを取得できるようになるのであれば、それは本プログラムの目標を達成する上であまり効果的ではないだろう。また、どのような多層的なラベリング・アプローチであれ、製造事業者がより高いレベルのラベルを取得するために、より高度なサイバーセキュリティを示すことを要求するのであれば、それはIoTラベリング・プログラムへの参加障壁を低下させる可能性は低く、同時に消費者によるFCC IoTラベルの理解と受け入れを低下させるリスクもある。IoTラベリング・プログラムの推進が遅れれば、消費者やデバイス・セキュリティにもたらされる潜在的な利益を先送りすることになり、それなりのコストが発生するため、少なくともIoTラベリング・プログラムの開始時点では、バイナリ・ラベルの方が実施が容易であるという利点も認識している。関連するすべての検討事項を衡量した結果、現時点ではバイナリ・ラベルを推進することに説得力がある。 |
| 98. We require that products bearing the FCC IoT Label, which includes the Cyber Trust Mark, must also include the corresponding QR Code. Approval to use the Cyber Trust Mark is conditioned on the label also bearing the QR Code in accordance with the IoT Labeling Program's label standards. In addition, the FCC IoT Label must be easily visible to consumers ( e.g., on product packaging). This approach received considerable support in the record. We agree with USTelecom that “consumers should not have to open the package to get information because that could impact their ability to return the product.” Power Tool Institute, Inc. concurs that “[p]lacing a QR Code on the packaging is preferable to placing it on the device.” Notable pros of using a QR Code are providing “consumers with detailed information about a device or product,” enhancing the program's objective by providing real-time updates. However, some commenters raise concerns with the placement of the QR Code on the product packaging. Logitech urges the Commission to not require a QR Code in conjunction with the label, stating that it could crowd packaging, cause consumer confusion, and may cause confusion if retailers scan the wrong barcode when checking out a customer. We believe that as the label becomes established and recognized by consumers and retailers, the benefit of providing a QR Code linking to a registry populated with current information on the IoT product outweighs the potential for consumer confusion. We also believe the registry will be of value to consumers such that they will want to see it acknowledged in an easily accessible manner, which will override any potential difficulty retailers may have with scanning the incorrect code. Moreover, recognizing the realities of inventory turnover against the need for a cybersecurity label to be dynamic, the use of a QR Code-embedded URL in this context ensures that (1) if a consumer desires more information about the product than what the label itself signifies there is a simple means of access; and (2) information associated with the product's compliance with the IoT Labeling Program is current. We view these as relevant considerations to purchasing decisions, which requires easy access to such information “on the spot” rather than requiring a purchaser to independently seek it out. | 98. 当社は、サイバートラストマークを含むFCC IoTラベルを貼付した製品には、対応するQRコードも貼付することを義務付けている。サイバートラスト・マークの使用承認は、IoTラベリング・プログラムのラベル標準に従い、ラベルにQRコードも記載することを条件とする。さらに、FCC IoT ラベルは消費者の目に留まりやすいものでなければならない(製品パッケージなど)。このアプローチは記録上、かなりの支持を得た。我々は、USTelecomの「消費者が情報を得るためにパッケージを開ける必要はない。Power Tool Institute, Inc.は、「QRコードをデバイスに配置するよりも、パッケージに配置する方が望ましい」という意見に同意している。QRコードを使用することの特筆すべき長所は、「消費者に機器や製品に関する詳細な情報をプロバイダが提供する」ことであり、リアルタイムの最新情報を提供することでプログラムの目的を強化することである。しかし、製品パッケージにQRコードを配置することに懸念を示す意見もある。Logitechは、ラベルにQRコードを併記することを義務付けないよう委員会に求めている。これは、QRコードが包装を混雑させ、消費者の混乱を招く可能性があること、また、小売業者が顧客をチェックアウトする際に誤ったバーコードをスキャンした場合に混乱を招く可能性があることを述べている。ラベルが定着し、消費者や小売業者に認知されるようになれば、IoT製品の最新情報が登録されたレジストリにリンクするQRコードをプロバイダが提供するメリットは、消費者の混乱の可能性を上回ると考える。また、レジストリは消費者にとって価値あるものであり、消費者は簡単にアクセスできる方法でレジストリを確認したいと考えるだろう。さらに、サイバーセキュリティラベルが動的である必要性に対して、在庫の入れ替わりの現実を認識し、この文脈でQRコード埋め込みURLを使用することで、(1)消費者がラベル自体が意味する以上の製品に関する情報を望む場合、簡単なアクセス手段があること、(2)製品のIoTラベリングプログラムへの準拠に関連する情報が最新であることを保証する。これらは、購入者が独自に情報を探し求めることを必要とするのではなく、「その場で」そのような情報に簡単にアクセスできることを必要とする、購入の意思決定に関連する考慮事項であると考える。 |
| 99. We direct the Lead Administrator to collaborate with stakeholders as needed to recommend to the Commission standards for how the FCC IoT Label bearing the Cyber Trust Mark and the QR Code should be designed ( e.g., size and white spaces) and where such a label should be placed. This should include where the label could be placed on products where consumers may not see product packaging when shopping or after purchasing ( e.g., refrigerators, washing machines, dryers, dishwashers, etc.) and including where consumers purchase products online. The Lead Administrator and stakeholders should also examine whether the label design should include the date the manufacturer will stop supporting the product as well as whether including other security and privacy information ( e.g., sensor data collection) on the label would be useful to consumers. In addition, the Lead Administrator should address the use of the FCC IoT Label in store displays and advertising.[20] We recognize the current work being done by industry on an appropriate format for the label, including the Cybersecurity Label Design, which is part of CTA's American National Standards Institute (ANSI)-accredited standards program. As noted by CTA in its reply comments, the FCC specifies requirements for the use of the Cyber Trust Mark, but “there are several additional details needed regarding QR coding and resolution, white space for accurate recognition of QR codes, and more.” CTA states that the draft ANSI/CTA-2120 details lay out requirements for packaging, and we encourage the Lead Administrator to review and consider the work CTA's Cybersecurity Label Design working group (a subgroup of CTA's Cybersecurity and Privacy Management Committee) has completed in this regard. We agree that we should take into consideration the considerable work that has already been undertaken with respect to labeling design and placement and seek to leverage and benefit from this expertise by directing the Lead Administrator to seek feedback from a cross-section of relevant stakeholders who have been working on these issues. We delegate authority to PSHSB to review, approve (or not approve) the Lead Administrator-recommended labeling design and placement standards after any required public notice and comment process and if approved incorporate into the Commission's part 8 rules. The provisions of 47 CFR 2.935(a) (allowing the electronic display of “or other information that the Commission's rules would otherwise require to be shown on a physical label attached to the device”) do not apply to the FCC IoT Label. The Cyber Trust Mark may only be used as directed by part 8, notwithstanding 47 CFR 2.935 or any other rule. | 99. 我々は、主管庁に対し、サイバートラストマークとQRコードを含むFCC IoTラベルの設計方法(例えば、サイズや空白)、およびそのようなラベルを貼付する場所に関する標準を委員会に提案するため、必要に応じて利害関係者と協力するよう指示する。これには、消費者が買い物をする際や購入後に製品パッケージが見えないような製品(冷蔵庫、洗濯機、乾燥機、食器洗い機など)や、消費者がオンラインで製品を購入する場所など、ラベルが貼られる可能性のある場所を含めるべきである。また、主管庁と関係者は、ラベルデザインに製造事業者が製品サポートを停止する日を含めるべきかどうか、また、ラベルにその他のセキュリティ・プライバシー情報(例えば、センサーデータ収集)を含めることが消費者にとって有益かどうかを検討すべきである。さらに、FCC IoTラベルの店頭表示や広告での使用についても、主管庁は言及すべきである[20]。我々は、CTAの米国規格協会(ANSI)認定標準プログラムの一部であるサイバーセキュリティ・ラベル・デザインを含め、ラベルの適切なフォーマットについて業界が現在取り組んでいることを認識している。CTAが回答コメントの中で述べているように、FCCはサイバートラストマークの使用に関する要件を規定しているが、「QRコードと解像度、QRコードを正確に認識するためのホワイトスペースなどに関して、さらにいくつかの詳細が必要である。CTAは、ANSI/CTA-2120の草案にはパッケージに関する要件が規定されていると述べており、我々は、主管庁がCTAのサイバーセキュリティラベルデザインワーキンググループ(CTAのサイバーセキュリティおよびプライバシー管理委員会のサブグループ)がこの点で完了した作業をレビューし、考慮することを奨励する。我々は、ラベルのデザインと配置に関して既に実施されたかなりの作業を考慮に入れ、これらの問題に取り組んできた関連する利害関係者の横断的な意見を求めるよう主管庁に指示することで、この専門知識を活用し、利益を得るよう努めるべきであることに同意する。我々はPSHSBに、必要とされる公示およびコメントプロセスを経て、主管庁が推奨する表示デザインと配置標準を検討し、承認する(または承認しない)権限を委譲し、承認された場合には、委員会のパート8規則に組み込む。47 CFR 2.935(a)(委員会の規則が機器に貼付された物理的なラベルに表示することを義務付ける「またはその他の情報」の電子表示を認める)の規定は、FCC IoTラベルには適用されない。サイバートラストマークは、47CFR 2.935またはその他の規則にかかわらず、パート8の指示に従ってのみ使用することができる。 |
| G. Registry | G. レジストリ |
| 100. We adopt our proposal from the IoT Labeling NPRM that the label include the Cyber Trust Mark and a QR Code that links to a decentralized publicly available registry containing information supplied by entities authorized to use the FCC IoT Label ( e.g., manufacturers) through a common Application Programming Interface (API). The registry will include and display consumer-friendly information about the security of the product. We believe a publicly accessible registry furthers the Commission's mission of allowing consumers to understand the cybersecurity capabilities of the IoT devices they purchase. We also agree that it is important for the registry to be dynamic, so a consumer can be aware if a product loses authorization to use the FCC IoT Label or if the manufacturer is no longer providing security updates. There is robust support for the development of a publicly-accessible registry. We agree with NCTA that “the IoT Registry is foundational to the value and utility of the Cyber Trust Mark Program.” In the following paragraphs, we establish general parameters for registry information. | 100. 我々は、IoT ラベリング NPRM で提案した、ラベルにサイバートラスト・マークと、FCC IoT ラベルの使用を認可された事業体(製造事業者など)が共通のアプリケーション・プログラミング・インタフェース(API)を通じて提供する情報を含む、分散化された一般利用可能なレジストリにリンクする QR コードを含めるという提案を採用する。レジストリには、製品のセキュリティに関する消費者に分かりやすい情報が含まれ、表示される。我々は、一般にアクセス可能なレジストリは、消費者が購入するIoT機器のサイバーセキュリティ能力を理解できるという委員会の使命を促進すると考える。また、レジストリが動的であることが重要であり、製品がFCC IoTラベルを使用する認可を失った場合や、製造事業者がセキュリティ・アップデートを提供しなくなった場合に消費者が認識できるようにすることに同意する。一般にアクセス可能なレジストリの開発には強力な支持がある。我々は、「IoT レジストリはサイバートラストマークプログラムの価値と実用性の基礎である」という NCTA の意見に同意する。以下の段落では、レジストリ情報の一般的なパラメータを設定する。 |
| 101. We adopt a decentralized registry that contains specific essential information that will be disclosed by the manufacturer, as discussed in further detail below. This essential information from the manufacturer will be provided to a consumer accessible application via the registry by utilizing a common API that is secure by design. When a consumer scans the QR Code, a consumer accessible application will access the registry using the common API and present the consumer with the information we require to be displayed from the registry. CTIA points out that a centralized registry containing all the information the Commission conceived in the IoT Labeling NPRM and by commenters in the record would be inordinately complex and costly. We agree, and endeavor to meet the policy goal of providing a transparent, accessible registry to the public through more efficient and less complicated means. | 101. 以下に詳述するように、製造事業者が開示する特定の必須情報を含む分散型レジストリを採用する。製造事業者からのこの必須情報は、設計上安全な共通APIを利用することにより、レジストリを介して消費者がアクセス可能なアプリケーションに提供される。消費者がQRコードをスキャンすると、消費者がアクセス可能なアプリケーションは、共通APIを使用してレジストリにアクセスし、レジストリから表示されるべき情報を消費者に提示する。CTIAは、委員会がIoTラベリングNPRMで、また今回の記録でコメントした人たちが考えたすべての情報を含む一元化されたレジストリは、非常に複雑でコストがかかると指摘している。我々はこれに同意し、より効率的で複雑でない手段により、透明性が高くアクセス可能なレジストリを一般に提供するという政策目標を達成するよう努める。 |
| 102. We agree with the Commission's assessment in the IoT Labeling NPRM that the registry's goal is to assist the public in understanding security-related information about the products that bear the Cyber trust Mark. CTIA confirms this view, stating “the Commission should focus on the [registry] as a means to provide consumers with information that is critical to the success of the program.” CTIA further proposes that we should allow each manufacturer to establish their own mechanisms for conveying this information to consumers. However, we acknowledge ioXt Alliance's concern that a completely manufacturer-driven approach could lead to inconsistencies, inaccuracies, or other difficulties for the consumer. To balance the need for a workable, streamlined registry that is consistent for consumers and meets the Commission's goals while easing the administrative burden inherent in a centralized registry, we require a common API that would provide access to the following essential information from the manufacture and display it to the consumer in a simple, uniform way: | 102. 我々は、IoTラベリングNPRMにおける委員会のアセスメントに同意する。レジストリの目的は、サイバートラストマークを付した製品に関するセキュリティ関連情報を公衆が理解できるようにすることである。CTIAはこの見解を支持し、「委員会は、プログラムの成功に不可欠な情報を消費者に提供する手段として、(レジストリに)焦点を当てるべきである」と述べている。CTIAはさらに、各製造事業者がこの情報を消費者に伝えるための独自の仕組みを確立することを認めるべきだと提案している。しかし、完全に製造事業者主導のアプローチでは、消費者にとって矛盾や不正確さ、その他の困難が生じる可能性があるというioXt Allianceの懸念は認める。一元化されたレジストリに特有の管理負担を軽減しつつ、消費者にとって一貫性があり、委員会の目標を満たす、実行可能で合理的なレジストリの必要性のバランスをとるため、我々は、製造者から以下の必須情報へのアクセスを提供し、シンプルで統一された方法で消費者に表示する共通のAPIを要求する: |
| Product Name; | 製品名; |
| Manufacturer name; | 製造事業者名; |
| Date product received authorization (i.e., cybersecurity certification) to affix the label and current status of the authorization (if applicable); | 製品がラベル貼付の認可(サイバーセキュリティ認証など)を受けた日付と、認可の現在の状況(該当する場合); |
| Name and contact information of the CLA that authorized use of the FCC IoT Label; | FCC IoT ラベルの使用を認可した CLA の名称および連絡先; |
| Name of the lab that conducted the conformity testing; | 適合性試験を実施した試験所名; |
| Instructions on how to change the default password (specifically state if the default password cannot be changed); | デフォルト・パスワードの変更方法に関する説明(デフォルト・パスワードを変更できない場合は具体的に記載すること); |
| Information (or link) for additional information on how to configure the device securely; | デバイスを安全に設定する方法に関する追加情報の情報(またはリンク); |
| Information as to whether software updates and patches are automatic and how to access security updates/patches if they are not automatic; | ソフトウェアの更新やパッチが自動的かどうか、自動的でない場合のセキュリティ更新/パッチへのアクセス方法に関する情報; |
| The date until which the entity promises to diligently identify critical vulnerabilities in the product and promptly issue software updates correcting them, unless such an update is not reasonably needed to protect against cybersecurity failures (i.e., the minimum support period); alternatively, a statement that the device is unsupported and that the purchaser should not rely on the manufacturer to release security updates; | 事業体が製品の重大な脆弱性を真摯に特定し、サイバーセキュリティ上の障害から保護するためにそのような更新が合理的に必要でない場合を除き、その脆弱性を修正するソフトウェア更新を速やかに発行することを約束する期日(すなわち、最低サポート期間);あるいは、デバイスがサポート対象外であり、購入者は製造者によるセキュリティ更新のリリースを信頼すべきではない旨の声明; |
| Disclosure of whether the manufacturer maintains a Hardware Bill of Materials (HBOM) and/or a Software Bill of Materials (SBOM); [21] and | 製造事業者がハードウェア部品表(HBOM)及び/又はソフトウェア部品表(SBOM)を保持しているかどうかの開示 [21]。 |
| Additional data elements that the Bureau determines are necessary pursuant to the delegated authority discussed below. | 後述の認可権限に従い、事務局が必要と判断する追加データ要素。 |
| 103. To reduce potential burdens and focus on essential information, we pare back the scope of the registry from what the Commission proposed in the IoT Labeling NPRM. We agree with the Cybersecurity Coalition that “[t]he primary purpose of the label is to help consumers make informed purchasing decisions” and include in the registry information that is key to making a purchasing decision, without overwhelming the consumer. To this end, we agree with commenters who suggest that including the information proposed in the IoT Labeling NPRM may be too burdensome. NEMA, for example, expresses concern about the resources required for a registry containing a full catalogue of devices. CTIA agrees that the IoT registry envisioned by the IoT Labeling NPRM would “impose significant, unmeetable burdens” for participants and the manager of the registry, and encourages us to refine our approach. The Cybersecurity Coalition likewise expresses concern over the complexity of the proposed registry. We agree that the registry be “modest in its goals” and “limited to basic information that is uniform . . . and pragmatic and useful to the consumer.” We believe that a registry containing simple, easy to understand information will be most helpful to a consumer making a purchasing decision, but also see the value in allowing manufacturers to include a second registry page (following the consumer-focused page) to enable manufacturers to provide additional technical details designed for researchers, enterprise purchasers, and other expert consumers of the label. Focusing only on the most critical information will further facilitate the speedy establishment of the IoT Labeling Program and the registry itself. | 103. 潜在的な負担を軽減し、必要な情報に焦点を絞るため、委員会がIoTラベリングNPRMで提案したものから、レジストリの範囲を縮小する。我々は、サイバーセキュリティ連合が「ラベルの主な目的は、消費者が十分な情報を得た上で購入の意思決定を行うのを支援すること」であり、消費者を圧倒することなく、購入の意思決定を行う上で重要な情報をレジストリに含めることに同意する。このため、IoTラベリングNPRMで提案された情報を含めることは負担が大きすぎる可能性があるとの意見に同意する。例えばNEMAは、機器の完全なカタログを含むレジストリに必要なリソースについて懸念を表明している。CTIAは、IoTラベリングNPRMが想定しているIoTレジストリが、参加者とレジストリの管理者に「達成不可能な大きな負担を強いる」ことに同意し、アプローチを改善するよう促している。サイバーセキュリティ連合も同様に、提案されているレジストリの複雑さに懸念を表明している。我々は、レジストリが「その目標において控えめ」であり、「統一された......実用的で消費者にとって有用な基本的な情報に限定される」ことに同意する。我々は、シンプルで理解しやすい情報を含むレジストリが、購入を決定する消費者にとって最も有用であると考えるが、製造事業者が(消費者向けページに続く)2つ目のレジストリページを設け、研究者、エンタープライズ購入者、その他のラベルの専門消費者向けに設計された追加の技術的詳細を提供できるようにすることにも価値があると考えている。最も重要な情報のみに焦点を絞ることで、IoT ラベリング・プログラムおよびレジストリ自体の迅速な設立がさらに促進される。 |
| 104. In the interest of keeping information simple and establishing the database swiftly, we streamline the elements that should be included in the registry. We do require information about how to operate the device securely, including information about how to change the password, as it would help consumers understand the cybersecurity features of the products, how those products are updated or otherwise maintained by the manufacturer, and the consumer's role in maintaining the cybersecurity of the product. We do not require information about whether a product's security settings are protected against unauthorized changes as part of the initial rollout of the registry in an attempt to streamline the registry to address concerns that the registry would be too bulky or unfriendly to consumers. We recognize the value of ensuring the registry information is accessible to everyone, including those whose primary language is not English. Accordingly, we direct the Lead Administrator to recommend to the Bureau whether the registry should be in additional languages and if so, to recommend the specific languages for inclusion. We delegate authority to the Bureau to consider and adopt requirements in this regard upon review of these recommendations. As the Association of Home Appliance Manufacturers points out, the location of the product's manufacture is redundant with existing legal requirements. We also do not require labels to include an expiration date at this time as it may not be an applicable requirement for every product, but we direct the Label Administrator to consider whether to recommend including the product support end date on labels for certain products, or category of products. | 104. 情報をシンプルに保ち、データベースを迅速に構築するという観点から、レジストリに含めるべき要素を合理化する。パスワードの変更方法を含め、デバイスを安全に操作する方法に関する情報は、製品のサイバーセキュリティ機能、それらの製品が製造事業者によってどのように更新またはその他の方法で維持されているか、製品のサイバーセキュリティを維持する上での消費者の役割を消費者が理解するのに役立つため、必須とする。レジストリがかさばる、あるいは消費者にとって不親切であるという懸念に対処するため、レジストリの合理化を図るため、レジストリの初期展開の一部として、製品のセキュリティ設定が不正な変更から保護されているかどうかについての情報を要求しない。我々は、レジストリ情報が、英語を母国語としない人々を含むすべての人々にとってアクセス可能であることを保証することの価値を認識している。従って、我々は、主管庁に対し、レジストリを追加言語にすべきかどうかを事務局に提案し、もしそうであれば、特定の言語を含めるよう提案するよう指示する。我々は、これらの勧告を検討した上で、この点に関する要件を検討し、採用する権限を事務局に委ねる。家電製品製造者協会が指摘するように、製品の製造地は既存の法的要件と重複している。また、ラベルに有効期限を記載することは、すべての製品に適用される要件ではないかもしれないため、現時点では要求しないが、特定の製品またはカテゴリーについて、製品サポート終了日をラベルに記載することを推奨するかどうかを検討するよう、ラベル管理者に指示する。 |
| 105. While we recognize the value of utilizing the registry to keep consumers informed about product vulnerabilities, we note CTIA and Garmin's concerns about listing unpatched vulnerabilities as not providing value to consumers, discouraging manufacturers from participating in the program, and tipping off bad actors. We agree that these concerns are significant and do not require detailed information about vulnerability disclosures in the registry at this time. Rather, we require disclosure only of whether a manufacturer maintains an SBOM and HBOM for supply chain security awareness. We agree with Consumer Reports, NYC Cyber Command Office of Technology and Innovation (NYC OTI), and the Cybersecurity Coalition that an SBOM should be considered as an element of the registry. We also note that Garmin's concern is with disclosing the specific contents of an SBOM to the public, which “could reveal confidential business relationships with companies, as well as provide a roadmap for attackers,” but this is not what we require here. Requiring participating manufacturers to disclose only the maintenance of an SBOM and HBOM, rather than the contents therein, indicates an added level of software and hardware security while also protecting potentially sensitive information. Further, while we agree with CTA that a searchable registry would have value for the public, we are mindful of the resources, costs, and time involved with creating a registry that is searchable by each of the elements identified in the IoT Labeling NPRM. In limiting the registry as we have, we address the concerns that the registry may be too complex to administer in the initial iteration of the IoT Labeling Program. As discussed above, the decentralized, API-driven registry we adopt in the Order addresses the complexity concerns raised in the record. We cabin our initial vision of the registry and direct the Bureau, as described further below, to consider ways to make the initial design of the registry modest, with potential to scale the registry as the IoT Labeling Program grows. | 105. 我々は、製品の脆弱性について消費者に情報を提供するためにレジストリを利用することの価値を認 識しているが、CTIAとGarminが、パッチが適用されていない脆弱性を掲載することは、消費者に 価値を提供せず、製造事業者のプログラムへの参加を抑制し、悪質な行為者を密告することになるという 懸念を持っていることに留意する。我々は、これらの懸念が重要であることに合意し、現時点ではレジストリにおける脆弱性の開示に関する詳細な情報を要求しない。むしろ、製造事業者がサプライチェーンセキュリティ意識のためにSBOMとHBOMを維持しているかどうかの開示のみを求める。我々は、Consumer Reports、NYC Cyber Command Office of Technology and Innovation(NYC OTI)、およびCybersecurity Coalitionが、SBOMをレジストリの要素として考慮すべきであるという意見に同意する。また、Garmin社が懸念しているのは、SBOMの具体的な内容を公開することであり、これは「企業との機密の取引関係を明らかにし、攻撃者にロードマップを提供する可能性がある」ことであるが、我々がここで要求しているのはこのことではない。参加製造事業者に、SBOMおよびHBOMの内容ではなく、保守のみを開示するよう求めることは、潜在的な機密情報を保護すると同時に、ソフトウェアおよびハードウェアのセキュリティレベルを追加することを示している。さらに、検索可能なレジストリが一般市民にとって価値があることはCTAと同意見であるが、識別ラベリングNPRMで特定された各要素で検索可能なレジストリを作成するには、リソース、コスト、時間がかかることを念頭に置いている。レジストリをこのように制限することで、IoTラベリングプログラムの初期段階では、レジストリの管理が複雑すぎるのではないかという懸念に対処している。上述したように、我々が命令で採用した分散型、API駆動型のレジストリは、記録で提起された複雑性の懸念に対処するものである。我々は、レジストリの初期構想について検討し、後述するように、IoTラベリングプログラムが成長するにつれてレジストリの規模を拡大する可能性を考慮しつつ、レジストリの初期設計を控えめなものにする方法を検討するよう同局に指示する。 |
| 106. In this respect, we note that NIST's research suggests that “future work should be done to examine potential issues of including an expiry date on a label.” NIST cited studies conducted by the UK Government that consumers were confused about what the expiration date meant, and an Australian government study in which consumers thought the device would stop working after that date. The UK research did conclude, however, that continued manufacturer support was important to survey participants. Consumer Reports suggested an expiration date, if present, should be tied to an end-of-support date rather than a renewal date. NIST's research into the importance of support dates to consumers coupled with the potential confusion of expiration dates and the support from the record lead us to conclude an expiration date is not warranted. We do find, however, that the disclosure of a minimum support period and end date for the support period for the device is appropriate and will provide meaningful information to consumers on the manufacturer's commitment to provide patches or other support—a vital issue in a dynamic threat environment. To ensure that information about this support period remains accurate, and to encourage manufacturers to support their products for longer periods, manufacturers shall be able to extend the support period in the registry through a mechanism to be determined by the Lead Administrator, but which should be expeditious and require no further disclosures. | 106. この点に関して、NIST の研究が、「ラベルに有効期限を記載することの潜在的な問題を検討するために、将来的な作業を行うべきである」と示唆していることに我々は留意する。NISTは、消費者が有効期限の意味するところについて混乱しているという英国政府の調査や、消費者が有効期限が過ぎると機器が機能しなくなると考えているというオーストラリア政府の調査を引用している。しかし、英国の調査では、継続的なメーカーサポートが輸入事業者にとって重要であると結論付けている。コンシューマー・レポートは、有効期限を設ける場合、更新日ではなく、サポート終了日と関連付けるべきであると提案した。消費者にとってのサポート期限の重要性に関するNISTの調査と、有効期限の潜在的な混乱、および記録からの裏付けから、我々は有効期限を設けることは正当化されないと結論付けた。しかし、我々は、デバイスのサポート期間の最低期間と終了日を開示することは適切であり、製造事業者がパッチやその他のサポートを提供するというコミットメントについて、消費者に有意義な情報を提供することになると考える。このサポート期間に関する情報が正確であり続けることを保証し、製造事業者がより長期間に わたって製品をサポートすることを奨励するため、製造事業者は、主管庁が決定する仕組みによっ て、レジストリにおけるサポート期間を延長することができるものとする。 |
| 107. While we identify the defined set of data that is consistent across all manufacturers, we believe the information contained in the registry for a particular IoT product or product class may also depend on the standards and testing procedures adopted for each particular IoT product. As such, in the near term, we expect there will be additional registry data elements that are specific to an IoT product, or classes of IoT products, that are not yet ripe for decision. We also recognize that some of the information recommended by NIST in its consumer education recommendations, discussed in further detail below, may be valuable for consumers to see in the registry. Accordingly, while we provide a baseline of necessary information that must be displayed for an IoT product in the registry, regardless of class the IoT product belongs to, we delegate authority to the Bureau to determine, subject to any required public notice and comment processes, whether any additional disclosure fields, such as the manufacturer's access control protections ( e.g., information about passwords, multi-factor authentication), whether or not the data is encrypted while in motion and at rest (including in the home, app, and cloud), patch policies and security or privacy information are necessary, and if so, what should they be. | 107. 我々は、すべての製造事業者に一貫性のあるデータの定義を特定するが、我々は、特定の IoT 製品または製品クラスのレジストリに含まれる情報は、各特定の IoT 製品に採用される標準と試験手順にも依存する可能性があると考える。そのため、当面は、IoT製品またはIoT製品のクラスに特有で、まだ決定が熟していないレジストリのデータ要素が追加されることが予想される。また、NIST がその消費者教育に関する勧告の中で推奨している情報の一部は、以下に詳述するが、消費者がレジストリで確認することに価値があるかもしれないと認識している。したがって、我々は、IoT 製品がどのクラスに属するかにかかわらず、レジストリに IoT 製品について表示されなければならない必要な情報のベースラインを提供する一方で、製造事業者のアクセス管理保護(例:パスワード、マルチファクタに関する情報)のような追加の開示項目があるかどうかを、必要な公示およびコメントプロセスに従い、決定する権限を事務局に委譲する、 パスワード、多要素認証に関する情報)、移動中および静止中(家庭内、アプリ、クラウドを含む)のデータ暗号化の有無、パッチポリシー、セキュリティ・プライバシー情報など、追加の開示項目が必要かどうか、必要な場合はどのようにすべきかについて、当局に権限を委譲する。 |
| 108. We disagree with commenters, such as LG Electronics, who suggest that manufacturers should have discretion over whether to include additional privacy and/or security information through a QR Code, URL, or other scannable mechanism insofar as it would require additional information in the registry. LG Electronics, though supportive of adding a variety of data to the registry, acknowledges it is unclear how much detail or what types of information would be of value to a consumer. We believe that allowing discretion over what information is included in the registry may overcrowd it, or engender consumer confusion. Rather, uniform registry elements will provide greater consistency for consumers and adoption of uniform registry elements is supported by the record. We make clear, however, that we do not otherwise restrict what information manufacturers may include or reference on their product packaging, so long as it does not interfere with or undermine the display of the FCC IoT Label. | 108. 製造事業者が、QRコード、URL、またはその他のスキャン可能なメカニズムを通じて、追加的なプライバシー情報および/またはセキュリティ情報を含めるか否かについて、レジストリに追加的な情報が必要となる限りにおいて、裁量を持つべきであるとするLG Electronicsのようなコメントには同意しない。LGエレクトロニクスは、レジストリに様々なデータを追加することには賛成であるが、消費者にとってどの程度詳細で、どのような種類の情報が価値があるのかは不明であると認識している。どのような情報を登録簿に含めるかについて裁量を認めることは、登録簿を過密にし、消費者の混乱を招く恐れがあると考える。むしろ、統一されたレジストリ要素は、消費者により高い一貫性を提供し、統一されたレジストリ要素の採用は、記録によって支持されている。ただし、FCC IoTラベルの表示を妨げたり、弱めたりしない限り、製造事業者が製品パッケージに記載または参照する情報を制限するものではないことを明確にしておく。 |
| 109. We recognize that a decentralized registry relying on data derived through an API from manufacturers will require some oversight to ensure that the registry, when accessed by consumers using QR Codes, functions as described and displays the required information about individual products. We direct the Lead Administrator to receive and address any technical issues that arise in connection with displaying the registry through the QR Code, the associated API, and consumer complaints with respect to the registry. CSA recommends that the Commission engage a third-party with operating the registry for cost and efficiency reasons. CTA agrees that the Commission should use a third-party to host and manage the registry due to the resources required to establish the registry. We agree that, given the structure of the registry as we adopt in the Order, the Lead Administrator is in the best position to interface with manufacturers to ensure the smooth operation of the registry. | 109. 我々は、製造事業者からAPIを通じて得られるデータに依存する分散型レジストリでは、QRコードを使用して消費者がレジストリにアクセスした場合に、レジストリが説明どおりに機能し、個々の製品に関する必要な情報が表示されることを保証するために、ある程度の監視が必要になることを認識している。我々は、QRコードによるレジストリ表示、関連API、レジストリに関する消費者からの苦情に関連して発生する技術的問題を受け取り、対処するよう、主管庁に指示する。CSAは、コストと効率性の観点から、委員会がレジストリの運営をサードパーティに委託することを推奨する。CTAは、レジストリの設立に必要なリソースを考慮し、委員会がレジストリのホストおよび管理にサードパーティを利用すべきであることに同意する。また、レジストリの円滑な運営を確保するために、製造事業者と連絡を取り合う上で、主管庁が最適な立場にあることに同意する。 |
| 110. We also recognize that for a registry of this magnitude to be effectively and timely rolled out requires significant input and coordination with industry partners. To determine how the registry should be structured to best meet the goals of the IoT Labeling Program as we adopt in the Order, we direct the Bureau to seek comment and consider, as part of a public process, the technical details involved with the operation of the registry. We delegate authority to the Bureau to adopt a Public Notice, subject to any required public notice and comment, establishing the structure of the registry; identifying the common API; how the API should be structured; how the API should be used; how the queried data will be displayed to the consumer; how manufacturers need to maintain and implement the API in connection with its interactions with the registry; what, if any, additional disclosure fields would be most beneficial to consumers in the future, as discussed above; how the data in the registry returned by the API should be presented to the consumer; how the costs involved in maintaining the registry will be handled; how often the registry should be updated; whether to require the manufacturer to list the product sensors, what data is collected, if the data is shared with third parties, or security or privacy issues and if data should be replicated; and whether data should be replicated in multiple repositories—by the relevant CLA(s) or vendors, for example—and publicly accessible via a single query point; and any other technical information needed to establish the registry as we adopt in the Order. The Bureau should consider how to reduce burdens on manufacturers in supporting the decentralized registry. We delegate authority to PSHSB in coordination with, at a minimum, OMD (specifically the Office of the Chief Information Officer) and, to the extent necessary OGC (specifically the Senior Agency Official for Privacy) to identify and impose any applicable security or privacy requirements arising from Federal law or Federal guidance for the registry and to approve or modify the recommendations regarding the functional elements of the registry listed above. We further delegate authority to PSHSB to publish a Public Notice, subject to any required public notice and comment, adopting and incorporating into the Commission's rules any additional requirements or procedures necessary to implement the Cyber Trust Mark registry. | 110. また、この規模のレジストリを効果的かつタイムリーに展開するためには、業界パートナーとの多大な意見交換と調整が必要であることも認識している。本指令で採択したIoTラベリングプログラムの目標を最もよく満たすために、レジストリをどのように構成すべきかを決定するため、我々は、レジストリの運用に関わる技術的詳細について、公開プロセスの一環として、意見を求め、検討するよう同局に指示する。レジストリの構造を確立すること、共通APIを特定すること、APIをどのように構成すべきか、APIをどのように使用すべきか、照会されたデータを消費者にどのように表示すべきか、製造事業者がレジストリとの相互作用に関連してAPIをどのように維持し実装する必要があるか、追加的な開示フィールドがある場合、上述のように、将来的に消費者にとって最も有益なものは何か、APIによって返されるレジストリのデータを消費者にどのように表示すべきか; レジストリの維持に関わるコストはどのように処理されるか、レジストリはどのくらいの頻度で更新されるべきか、製造事業者に製品センサーの記載を義務付けるかどうか、どのようなデータが収集されるか、データが第三者と共有されるかどうか、セキュリティやプライバシーの問題、データが複製されるべきかどうか、データは例えば関連するCLA(複数可)やベンダーによって複数のリポジトリに複製されるべきかどうか、単一のクエリーポイントを通じて一般にアクセス可能かどうか、その他、レジストリの確立に必要な技術的情報は、我々が命令で採択したとおりである。事務局は、分散型レジストリのサポートにおいて製造事業者の負担を軽減する方法を検討すべきである。我々は、少なくともOMD(具体的には最高情報責任者室)および必要な範囲でOGC(具体的にはプライバシー担当上級庁職員)と連携して、レジストリに関する連邦法または連邦ガイダンスから生じる適用可能なセキュリティまたはプライバシー要件を特定し、課し、上記のレジストリの機能要素に関する勧告を承認または修正する権限をPSHSBに委譲する。さらに、サイバートラストマーク・レジストリの実施に必要な追加要件や手続きを採用し、委員会の規則に組み込むために、必要とされる公示とコメントに従い、公告を発行する権限をPSHSBに委譲する。 |
| H. Continuing Obligations of Entities Authorized To Use the FCC IoT Label | H. FCC IoTラベルの使用を認可された事業体の継続義務 |
| 111. We adopt the proposal in the IoT Labeling NPRM that applicants must renew their authority to use the FCC IoT Label. Entities authorized to use the FCC IoT Label are required to ensure the product bearing the FCC IoT Label continue to comply with the Commission's program requirements. We disagree with the Connected Consumer Device Security Council (CCDS) that no renewals should be required and the product should simply bear the last date of testing. Such an approach could severely impair consumer trust in the label, especially if a product bearing the FCC IoT Label is being sold as new but is far out of date as to its initial achievement of the Mark. | 111. 我々は、申請者はFCC IoTラベルを使用する権限を更新しなければならないというIoTラベリングNPRMの提案を採用する。FCC IoTラベルの使用を認可された事業体は、FCC IoTラベルが貼付された製品が委員会のプログラム要件に引き続き適合していることを保証することが求められる。我々は、Connected Consumer Device Security Council (CCDS)が、更新を義務付けず、製品に単に最終試験日を表示すべきだとしていることに同意しない。このようなアプローチは、特にFCC IoTラベルを貼付した製品が新品として販売されているにもかかわらず、マークの初回達成日が大幅に古い場合、ラベルに対する消費者の信頼を著しく損なう可能性がある。 |
| 112. For those that support some interval of renewal, the record is divided with respect to whether IoT Labeling Program applicants should file for renewal each year, as proposed in the IoT Labeling NPRM. Consumer Reports and TÜV SÜD agree that annual renewal is appropriate. AHAM feels that an annual renewal application as the Commission proposed was unnecessary, or at minimum “unnecessarily rigid.” AHAM posits that a requirement to renew should only be triggered when a significant or substantive change is made to either the standard the manufacturer certifies to, or a significant design change to the product. Similarly, more durable IoT products (such as smart appliances) may need to be renewed less frequently. NAM argues that annual renewals are unnecessary for products that pose a limited risk. Kaiser Permanente believes higher-risk devices should be updated annually, and otherwise renewal should occur every three years. CCDS argues no annual testing is necessary, and the product should simply have the date it was authorized to bear the label that signals the product was compliant as of the initial date. CSA suggests limiting the need for annual testing, but suggests some kind of annual reporting should be required. We observe that other certifying bodies, such as ioXt Alliance, require annual renewal for products they certify and allow incentives for early renewal. Based on the record, we recognize the degrees of nuance attendant to the different types of products at issue. We agree with the notion that certain IoT products, depending on their lifespan and risk level, may need different standards for renewal to achieve the FCC IoT Label. | 112. IoT ラベリング NPRM で提案されたように、IoT ラベリング・プログラムの申請者が毎年更新を申請すべきかどうかにつ いては、更新の間隔を支持する意見とそうでない意見に分かれている。Consumer Reports と TÜV SÜD は、毎年更新が適切であることに同意している。AHAMは、委員会が提案したような年次更新申請は不要であり、少なくとも「不必要に厳格」であると感じている。AHAMは、製造事業者が認証する標準、または製品の大幅な設計変更のいずれかに重大または実質的な変更があった場合にのみ、更新要件が発動されるべきだと考えている。同様に、より耐久性の高いIoT製品(スマート家電など)は、更新の頻度を少なくする必要があるかもしれない。NAMは、リスクが限定的な製品については、毎年の更新は不要であると主張している。Kaiser Permanenteは、リスクの高い機器は毎年更新し、そうでない場合は3年ごとに更新すべきであると考えている。CCDSは、年1回の試験は不要であり、単にラベルの認可日を表示するだけで、その製品が最初の日付で適合していることを示すべきだと主張する。CSAは、年次試験の必要性を制限することを提案するが、何らかの年次報告を義務付けるべきであると提案する。ioXtアライアンスのような他の認証団体では、認証製品の年次更新を要求し、早期更新のインセンティブを認めている。記録に基づき、我々は、問題となる製品の種類が異なるため、微妙な差異があることを認識している。我々は、特定のIoT製品が、その寿命とリスクレベルに応じて、FCC IoTラベルを取得するために異なる更新標準を必要とする可能性があるという考え方に同意する。 |
| 113. We task the Lead Administrator to collaborate with stakeholders and provide recommendations to PSHSB on how often a given class of IoT products must renew their request for authority to bear the FCC IoT Label, which may be dependent on the type of product, and that such a recommendation be submitted in connection with the relevant standards recommendations for an IoT product or class of products. In doing so, consideration should be given as to whether annual continuous compliance reports are acceptable for purposes of renewing, and how to effectively balance the need for industry flexibility and the need to ensure that consumers have up-to-date information about the product they are considering purchasing. Consideration should also be given to the fees incurred as part of a renewal process, as we agree with Kaiser Permanente that renewal fees must not be unduly burdensome or cost-prohibitive. We emphasize that renewals should occur frequently enough that a consumer can be sure that a product bearing the FCC IoT Label has reasonable cybersecurity protections in place, and some process must be in place to ensure accountability, even if annual testing is not required. We delegate authority to PSHSB to review, approve (if appropriate) and, subject to any required public notice and comment, incorporate by reference into the Commission's rules, the proposals from the Lead Administrator for renewal of authority to bear the FCC IoT Label. | 113. 我々は、主管庁に対し、利害関係者と協力し、特定のクラスの IoT 製品が FCC IoT ラベルを貼付する権限を更新しなければならない頻度(製品の種類に依存する可能性がある)について、PSHSB に勧告を提出すること、および、そのような勧告は、IoT 製品または製品クラスの関連標準勧告に関連して提出されることを求める。その際、更新の目的上、毎年の継続的な適合報告書が許容されるかどうか、また、業界の柔軟性の必要性と、消費者が購入を検討している製品に関する最新情報を確実に入手する必要性とのバランスを効果的にとる方法について検討すべきである。また、更新手続きで発生する手数料についても検討すべきである。更新手数料が不当に負担になったり、コスト負担になったりしてはならないという点については、Kaiser Permanenteと同意見である。更新は、FCC IoTラベルが貼付された製品が合理的なサイバーセキュリティ保護を備えていることを消費者が確信できる程度に頻繁に行われるべきであり、年次試験が義務付けられていない場合でも、説明責任を確保するための何らかのプロセスが設けられていなければならないことを強調する。我々はPSHSBに対し、FCC IoTラベルを貼付する権限の更新に関する主管庁からの提案を検討し、(適切であれば)承認し、必要な公示とコメントに従って、参照により委員会の規則に組み込む権限を委譲する。 |
| I. Audits, Post-Market Surveillance, and Enforcement | I. 監査、市販後調査、取締り |
| 114. We adopt the IoT Labeling NPRM's proposal to rely on a combination of administrative remedies and civil litigation to address non-compliance and direct the CLA(s) to conduct post-market surveillance. The purpose of this IoT Labeling Program is to provide reasonable assurances to the consumer that the products they bring into their homes have at least a minimum level of cybersecurity. The success of the IoT Labeling Program hinges on the label retaining its integrity as a trusted consumer resource. This requires vigorous review and enforcement to ensure that products bearing the Cyber Trust Mark are in compliance with the program standards. We further observe that the ISO/IEC 17065 standards require CLAs to perform appropriate post-market surveillance activities. We adopt post-market surveillance and civil enforcement, accordingly. | 114. 我々は、IoTラベルNPRMの提案を採用し、コンプライアンス違反に対処するために、行政救済と民事訴訟の組み合わせに依存し、CLA(複数可)に市販後サーベイランスを実施するよう指示する。このIoTラベリング・プログラムの目的は、消費者が家庭に持ち込む製品が少なくとも最低限のサイバーセキュリティを備えているという合理的な保証を消費者に提供することである。IoTラベリング・プログラムの成功は、ラベルが信頼できる消費者リソースとしての完全性を保持できるかどうかにかかっている。そのためには、サイバートラストマークが付与された製品がプログラム標準に準拠していることを確認するための精力的な審査と実施が必要である。さらに、ISO/IEC 17065 標準は、CLA が適切な市販後サーベイランス活動を行うことを求めている。我々は、これに従い、市販後サーベイランスと民事執行を採用する。 |
| 115. We find support in the record that the “Mark must be trusted by consumers to be successful” and “to gain consumer confidence and incentivize cybersecurity, the label must be backed by a robust enforcement program.” We agree with the EPIC's position that weak enforcement may result in unmet consumer expectations regarding a product's actual level of cybersecurity and “allow bad actors to take advantage of the goodwill created by the cybersecurity program,” and take up its recommendation of independent, post-market audits accordingly. Whirlpool also supports regular market surveillance to find instances of unapproved use of the Cyber Trust Mark, as well as products that may have been certified but no longer meet program requirements. Whirlpool states that surveillance “should include random auditing . . . as well as sampling of some established percentage on a regular basis of certified products/devices.” The American Association for Laboratory Accreditation supports adopting the product surveillance standards established for Telecommunication Certification Bodies (TCBs) and in the EPA's ENERGY STAR program. We also agree with commenters who indicate that the Commission, CLAs, and possibly the Federal Trade Commission (FTC) should be able to receive complaints of noncompliant displays of the Cyber Trust Mark, which could result in auditing. We delegate authority to the Bureau, in coordination with the Consumer and Governmental Affairs Bureau, to determine the process for receiving and responding to complaints. CTA and Planar Systems also support random auditing. We agree that random audits, in addition to regular post-market surveillance will best serve to maintain consumer confidence in the Cyber Trust Mark.[22] | 115. 消費者の信頼を獲得し、サイバーセキュリティを奨励するためには、ラベルは強固な執行プログラ ムによって裏付けられていなければならない。実施体制が脆弱であれば、製品の実際のサイバーセキュリティレベルに対する消費者の期待が満たされず、「サイバーセキュリティプログラムによって作られた善意を悪質業者が利用することを許す」ことになりかねないというEPICの立場に同意し、それに応じて独立した市販後監査の推奨を取り上げる。Whirlpoolはまた、サイバートラストマークの未承認の使用例や、認証されたがプログラムの要件を満たさなくなった製品を見つけるための定期的な市場監視を支持している。Whirlpoolは、サーベイランスには「無作為監査と、認証された製品/機器の定期的な一定割合のサンプリングが含まれるべきである」と述べている。米国試験所認定協会は、電気通信認証団体(Telecommunication Certification Bodies:TCB)および EPA の ENERGY STAR プログラムにおいて確立された製品監視基準の採用を支持する。また、委員会、認証機関、および場合によっては連邦取引委員会(FTC)は、サイバートラストマ ークの表示が不適合であるという苦情を受け付けることができるようにすべきであり、その結果、 監査が実施される可能性があるという意見に同意する。われわれは、消費者行政局と連携して、苦情を受理し対応するプロセスを決定する権限を同局に委任する。CTAとPlanar Systemsも無作為監査を支持している。我々は、定期的な市販後サーベイランスに加えてランダム監査を行うことが、サイバートラストマークに対する消費者の信頼を維持する上で最も有益であることに同意する[22]。 |
| 116. Post-market surveillance. We agree with the Cybersecurity Coalition that post-market surveillance of products receiving the Cyber Trust Mark should be a principal enforcement mechanism, and find that CLAs are in the best position to conduct post-market surveillance and random auditing, in accordance with ISO/IEC 17065. These activities are based on type testing a certain number of samples of the total number of product types which the CLA has certified. In addition, each CLA must be prepared to receive and address post-market surveillance from the public. If a CLA determines that a product fails to comply with the technical regulations for that product, the CLA will immediately notify the grantee and the Lead Administrator in writing. The grantee will have 20 days to provide a report to the CLA describing actions taken to correct the deficiencies. Continued deficiency after 20 days will result in termination of the grantee's approval to display the Cyber Trust Mark. A grantee's approval to display the Cyber Trust Mark may also be terminated subject to the 20 day cure period for false statements or representations found in their application or associated materials or if other conditions come to the attention of a CLA which would warrant initial refusal to authorize use of the FCC Label. Such terminations will protect the integrity of the FCC IoT Label and encourage accurate representations and disclosures in application materials that will enhance the reliability of the Labeling Program's operation, more generally. | 116. 市販後サーベイランス。我々は、サイバートラストマークを取得した製品の市販後サーベイランスが主要な実施メカニズムで あるべきであるというサイバーセキュリティ連合に同意し、CLA が ISO/IEC 17065 に従って市販後サーベイ ランスと無作為監査を実施する最適な立場にあると判断する。これらの活動は、CLA が認証した製品タイプの総数のうち一定数のサンプルの型式試験に基づいている。さらに、各 CLA は、一般からの市販後サーベイランスを受け、それに対応するための準備 をしていなければならない。CLA が、ある製品が当該製品の技術規定に適合していないと判断した場合、CLA は、直ちに、被補助事業 者と主管庁に書面で通知する。受領者は20日以内に、欠陥を是正するために取られた措置を記載した報告書をCLAに提出する。20 日を過ぎても不備が継続した場合、サイバートラストマークを表示するための被補助事業者の承認は打ち切られる。また、申請書や関連資料に虚偽の記載や表明が見つかった場合、あるいはFCCラベルの使用を最初に認可しないことを正当化するようなその他の状況がCLAの知るところとなった場合、サイバートラストマークを表示するための被認可者の認可は、20日間の治癒期間に従って解除されることがある。このような解除は、FCC IoTラベルの完全性を保護し、申請資料における正確な表明と開示を奨励するものであり、ラベリング・プログラムの運用の信頼性を高めるものである。 |
| 117. We believe it is appropriate for the Lead Administrator, in collaboration with the CLAs and other stakeholders, to identify or develop, and recommend to the Commission for approval, the post market surveillance activities and procedures that CLAs will use for performing post-market surveillance. The recommendations should include specific requirements such as the number and types of samples that a CLA must test and the requirement that grantees submit, upon request by PSHSB or a CLA, a sample directly to the CLA to be evaluated for compliance at random or as needed.[23] We delegate authority to the Bureau to review the recommendations and, subject to any required public notice and comment, incorporate post market procedures into the Commission's rules. We also delegate authority to the Bureau to establish requirements (subject to any required public notice and comment) regarding post-market surveillance of products in any instances where the CLA that granted the authorization of the product is not available to conduct such post-market surveillance. The document will also address procedures to be followed if a grantee's approval to display the Cyber Trust Mark is terminated based on mandatory post-market surveillance or notice from the public, including disqualification from the IoT Labeling Program and potential further investigation into other products related to the manufacturer or the CyberLAB, as discussed below. Finally, the Lead Administrator will submit periodic reports to PSHSB of the CLAs' post-market surveillance activities and findings in the format and by the date specified by PSHSB. | 117. 我々は、主管庁が、CLAおよびその他の利害関係者と協力して、CLAが市販後サーベイランスを実施するために使用する市販後サーベイランス活動および手順を特定または開発し、承認を得るために委員会に勧告することが適切であると考える。勧告には、CLAが検査しなければならないサンプルの数や種類、PSHSBまたはCLAからの要求に応じて、助成対象者がCLAに直接サンプルを提出し、無作為または必要に応じて適合性を評価するという要件など、具体的な要件を含めるべきである[23]。また、製品の認可を与えたCLAが、そのような市販後サーベイランスを実施することができない場合、製品の市販後サーベイランスに関する要件(必要な公示とコメントを条件とする)を定める権限を同局に委譲する。また、この文書では、IoT ラベリングプログラムからの失格や、後述するように製造事業者またはサイ バーラボに関連する他の製品に関するさらなる調査の可能性など、強制的な市販後調査や一般からの通知に基 づき、サイバートラストマークを表示する被認証者の承認が取り消された場合に従うべき手続きについても言及する。最後に、主管庁は、PSHSB が指定する書式および期日までに、CLA の市販後調査活動および調査結果に関する定期報告書を PSHSB に提出する。 |
| 118. The IoT Labeling NPRM sought comment on disqualification for nonconformity, referencing the Department of Energy's ENERGY STAR program, which sets out contractual Disqualification Procedures, including a 20 day period to dispute before a formal disqualification decision and what steps an ENERGY STAR partner must take after being formally disqualified ( e.g., removing references to ENERGY STAR in the product labeling, marketing). The IoT Labeling NPRM asked whether the IoT Labeling Program should adopt a similar process. We agree with EPIC and Planar Systems in supporting a “cure period [to] give[ ] good actors the opportunity to fix any issues without incurring penalties” and ” to address any discovered non-conformance as long as the manufacturer is acting in good faith.” Here, we adopt a cure period of 20 days, which is in line with the ENERGY STAR program. | 118. IoT ラベリング NPRM は、エネルギー省の ENERGY STAR プログラムを参照し、不適合による失格について 意見を求めた。ENERGY STAR プログラムは、正式な失格決定までの 20 日間の異議申し立て期間や、正式 に失格となった後に ENERGY STAR パートナーが取らなければならない措置(製品表示における ENERGY STAR への言及の削除、マーケティングなど)を含む、契約上の失格手順を定めている。IoT ラベリング NPRM では、IoT ラベリングプログラムが同様の方法を採用すべきかどうかが問われた。我々は、「製造事業者が誠実に行動している限り、発見された不適合に対処するために、善良 な行為者に罰則を課されることなく問題を修正する機会を与える(cure)期間」と「発見された不適合に 対処する(cure)期間」を支持するEPICとPlanar Systemsに同意する。ここでは、ENERGY STAR プログラムと整合する 20 日間の治癒期間を採用する。 |
| 119. EPIC also supports adopting disqualification procedures similar to ENERGY STAR's for non-compliance, including ceasing shipments of units displaying the label, ceasing the labeling of associated units, removing references to the label from marketing materials, and covering or removing labels on noncompliant units within the brand owner's control. It notes that the EPA also conducts retail store level assessments to identify mislabeled products and argues that a robust enforcement mechanism should include all of these actions. We delegate to the Bureau to consider whether such requirements should follow from termination of authority. | 119. EPIC はまた、ラベルを表示する機器の出荷停止、関連する機器のラベル表示停止、販売資料か らのラベルへの言及の削除、およびブランド所有者の管理下にある非適合機器のラベルの覆いや除去を 含む、非適合に対する ENERGY STAR と同様の失格手続の採用を支持している。また、EPAは、誤表示された製品を特定するために小売店レベルのアセスメントも実施しているこ とに留意し、強固な取締り制度にはこれらすべての措置を含めるべきであると主張している。我々は、このような要件が認可の終了に従うべきかどうかを検討するよう、同局に委任する。 |
| 120. In addition, we find that a combination of enforcement procedures for non-compliance are available, including administrative remedies under the Communications Act and civil litigation trademark infringement or breach of contract. Administrative remedies may include, but are not limited to, show cause orders, forfeitures, consent decrees, cease and desist orders, and penalties. The Commission will pursue all available means to prosecute entities who improperly or fraudulently use the FCC IoT Label, which may include, but are not limited to, enforcement actions, legal claims of deceptive practices prosecuted through the FTC,[24] and legal claims for trademark infringement or breach of contract. The record supports both administrative remedies to address consumer harm and civil enforcement actions for false use of the FCC IoT Label. We assert that this combination of enforcement mechanisms are best suited to protect consumer trust in the Cyber Trust Mark and incentivize participant compliance. | 120. さらに、コミュニケーション法に基づく行政救済、商標権侵害や契約違反の民事訴訟など、コンプライアンス違反に対する執行手続きの組み合わせが利用可能であると判断する。行政上の救済措置には、理由提示命令、没収、同意判決、排除措置命令、罰則などが含まれるが、これらに限定されるものではない。委員会は、FCC IoTラベルを不当にまたは不正に使用する事業体を起訴するため、利用可能なあらゆる手段を追求する。これには、強制措置、FTCを通じて起訴される欺瞞的行為に関する法的請求[24]、商標権侵害または契約違反に関する法的請求が含まれるが、これらに限定されるものではない。記録は、消費者被害に対処するための行政救済措置と、FCC IoTラベルの虚偽使用に対する民事執行措置の両方を裏付けている。サイバートラストマークに対する消費者の信頼を保護し、参加者のコンプライアンスを奨励するためには、このような防御メカニズムの組み合わせが最適であると主張する。 |
| 121. Cyber Trust Mark Demonstrates Adherence to Widely Accepted Industry Cybersecurity Standards. While we decline to preempt state law, we find that approval to use the Cyber Trust Mark on a particular product is an indicator of reasonableness and demonstrates adherence to widely accepted industry cybersecurity standards. While several commenters support Commission preemption of state laws, as well as adoption of liability protections for devices approved to display the Cyber Trust Mark, we decline to preempt state law and decline to implement a legal safe harbor beyond reiterating the Commission's view that achievement of FCC IoT Label is an indicium of reasonableness for entities whose products are compromised despite being approved to use the Cyber Trust Mark. We recognize that a more fulsome safe harbor provision may indeed incentivize participation in the IoT Labeling Program, as the U.S. Chamber of Commerce urges. However, on this record we are not persuaded that it would be feasible or prudent for the Commission to make liability pronouncements as to laws or standards outside the Commission's purview as would be necessary for a broader safe harbor in the absence of preemption. As EPIC observes, such a safe harbor could also decrease consumer trust in the label. In addition, several states have adopted legal safe harbors for entities that implement reasonable security measures ( e.g., voluntarily adopt recognized best practices such as NIST's and implement written security programs), and we defer to the states to determine whether approval to use the Cyber Trust Mark meets these State requirements. Given the uncertain interplay between qualification to use the Cyber Trust Mark and various state law regimes, coupled with the risk that such a safe harbor could decrease consumer trust in the label, we decline to preempt state liability requirements at this time. | 121. サイバートラストマークは、業界で広く受け入れられているサイバーセキュリティ標準への準拠を示す。州法を先取りすることは断念するが、特定の製品にサイバートラストマークを使用することを承認することは、合理性の指標であり、広く受け入れられている業界のサイバーセキュリティ標準に準拠していることを示すものであると考える。いくつかのコメント提出者は、委員会が州法を先取りすること、およびサイバートラストマークの表示が承認された機器に対する責任保護を採用することを支持しているが、我々は州法を先取りすることを拒否し、FCC IoTラベルの達成は、サイバートラストマークの使用が承認されているにもかかわらず製品が危険にさらされている事業体にとっての合理性の指標であるという委員会の見解を繰り返す以上の法的セーフハーバーを導入することを拒否する。我々は、米国商工会議所が求めるように、より充実したセーフハーバー規定が、確かにIoTラベリング・プログラムへの参加を促す可能性があることを認識している。しかし、このような記録から、委員会が、委員会の管轄外の法律や標準について、先取りがない場合のより広範なセーフハーバーに必要な責任宣言を行うことが実行可能であり、また賢明であると確信することはできない。EPICが指摘するように、このようなセーフハーバーは、ラベルに対する消費者の信頼を低下させる可能性もある。さらに、いくつかの州は、合理的なセキュリティ対策(例えば、NISTのような認知されたベストプラクティスを自主的に採用し、文書化されたセキュリティプログラムを実施する)を実施する事業体に対する法的セーフハーバーを採用しており、サイバートラストマークの使用承認がこれらの州の要件を満たすかどうかの判断は、各州に委ねる。サイバートラストマークの使用資格と様々な州法制度との間に不確定な相互関係があること、また、そのようなセーフハーバーがラベルに対する消費者の信頼を低下させるリスクと相まって、現時点では州の責任要件を先取りすることを拒否する。 |
| J. International Reciprocal Recognition of the Cyber Trust Mark | J. サイバートラストマークの国際相互承認 |
| 122. We note the robust record highlighting the immense value to manufacturers of IoT products in international harmonization of cybersecurity standards. We agree with Widelity that “IoT devices are often manufactured and sold globally. As supply chains evolve, a consistent set of standards will support the rapid growth of innovation and security.” We further agree with Consumer Reports that “mutual recognition should only occur when the other program to be recognized has standards as stringent or more stringent” than the IoT Labeling Program. | 122. 我々は、サイバーセキュリティ標準の国際的調和が IoT 製品の製造事業者にとって計り知れない価値があることを強調する確固たる記録に留意する。IoT 機器は多くの場合、グローバルに製造・販売されている。サプライチェーンが進化するにつれ、一貫した一連の標準は、イノベーションとセキュリティの急速な成長をサポートする。さらに、「相互承認は、承認される他方のプログラムがIoTラベリング・プログラムと同等かそれ以上の標準を有する場合にのみ行われるべきである」というConsumer Reportsの意見にも同意する。 |
| 123. We recognize several other countries already have an established national cyber IoT labeling program, including Singapore, Finland, and Germany. The record cites to these programs and highlights their features for consideration in developing the IoT Labeling Program. For example, the record explains how Singapore's CLS takes reference from the EN 303 645 standards developed by the European Telecommunications Standards Institute (ETSI). We note that other commenters have also recommended use of the ETSI EN 303 645 standards. Further, the record provides Finland's IoT labeling database as an example for developing our IoT registry. Several other countries have government activity around IoT devices or products. For example, Canada has a cybersecurity certification program for small and medium-sized organizations. As another example, South Korea has a IoT security certification system justified under Article 48-6 of their “Act on Promotion of Information and Communications Network Utilization and Information Protection” statute. | 123. 我々は、シンガポール、フィンランド、ドイツなど、他の数カ国がすでに国家レベルのサイバーIoTラベリング・プログラムを確立していることを認識している。記録は、これらのプログラムを引用し、IoTラベリング・プログラムの開発において考慮すべき特徴を強調している。例えば、シンガポールのCLSが、欧州電気通信標準化機構(ETSI)が策定したEN 303 645標準を参考にしていることが説明されている。他のコメント提出者もETSI EN 303 645標準の使用を推奨していることに留意されたい。さらに、IoTレジストリを開発するための例として、フィンランドのIoTラベリングデータベースをプロバイダとして提供している。他のいくつかの国では、IoTデバイスや製品に関する政府の活動がある。例えば、カナダには中小組織向けのサイバーセキュリティ認証プログラムがある。もう一つの例として、韓国は「情報通信ネットワークの利用促進及び情報保護に関する法律」第48条の6に基づき、IoTセキュリティ認証システムを持っている。 |
| 124. We also observe continuing developments in IoT security across the globe for consideration. The European Union Agency for Cybersecurity (ENISA) is currently developing a cybersecurity certification framework that would require certain products, services, and processes to adhere to specific requirements. Relatedly, the U.S. has signed an agreement for a joint roadmap between the Cyber Trust Mark and similar consumer labeling programs in the EU. Further, Japan has committed to work with the U.S. to “ensure interoperability” of its IoT labeling scheme currently under development. | 124. また、世界各国におけるIoTセキュリティの継続的な進展についても考察する。欧州連合サイバーセキュリティ機関(ENISA)は現在、特定の製品、サービス、プロセスに特定の要件への準拠を義務付けるサイバーセキュリティ認証フレームワークを開発中である。これに関連して、米国はサイバートラストマークとEUの同様の消費者表示プログラムとの間の共同ロードマップに関する協定に署名した。さらに日本は、現在開発中のIoTラベリング制度の「相互運用性を確保」するために米国と協力することを約束した。 |
| 125. We fully recognize the importance of ensuring international recognition of the IoT Labeling Program and reciprocity considerations underlie our decisions in the Order. We delegate authority to the Bureau and the FCC Office of International Affairs to work with other Federal agencies to develop international recognition of the Commission's IoT label and mutual recognition of international labels, where appropriate, as promptly as possible to enable recipients of the Cyber Trust Mark to realize the benefits an internationally recognized Cyber Trust Mark can have to promote global market access. Moreover, the proliferation in the marketplace both in the U.S. and abroad of products meeting a common baseline standard will elevate the overall global cybersecurity baseline for IoT and promote security-by-design approaches to smart products. | 125. 我々は、IoTラベリング・プログラムの国際的な認知を確保することの重要性を十分に認識しており、相互運用性への配慮が本令における我々の決定の背景にある。我々は、サイバートラストマークの取得者が、国際的に認知されたサイバートラストマークがグローバルな市場アクセスを促進する利点を実現できるよう、他の連邦機関と協力して、委員会のIoTラベルの国際的な承認と、適切な場合には国際的なラベルの相互承認を可能な限り速やかに策定する権限を、同局およびFCC国際局に委譲する。さらに、共通の標準を満たす製品が米国内外の市場に普及することで、IoT の世界的なサイバーセキュリティの全体的な水準が向上し、スマート製品に対するセキュリティ・バイ・デザインのアプローチが促進される。 |
| K. Consumer Education | K. 消費者教育 |
| 126. We adopt the IoT Labeling NPRM's proposal and base the IoT Labeling Program's consumer education requirements on the considerations NIST outlines in the NIST Cybersecurity White Paper due to its general applicability to an IoT label and in light of support from the record. The Lead Administrator will be responsible for developing a consumer education campaign that is based on the considerations recommended by NIST in the NIST Cybersecurity White Paper and discussed in greater detail below. In developing its consumer education plan, we task the Lead Administrator with considering ways to roll out a robust campaign with a reasonable national reach, including ways to make the consumer education accessible and whether education materials should be developed in multiple languages. We further task the Lead Administrator with considering the costs of conducting such outreach and how that outreach would be funded. Once developed, the Lead Administrator will submit this consumer education plan to the Bureau for consideration and for coordination in publicizing the benefits of the IoT Labeling Program. We recognize the importance of close collaboration between industry and delegate authority to the Bureau to consider and work with the Lead Administrator and other stakeholders to determine how the consumer education campaign would be executed and to execute the campaign. In addition and in furtherance of our expectation that the success of the IoT Labeling Program will be dependent on a close collaboration with the Federal Government, industry, and other relevant stakeholders, the Commission will coordinate as needed with relevant agencies, such as the Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), as well as the FTC, the Consumer Product Safety Commission (CPSC), and other industry stakeholders who have indicated a willingness to publicize the benefits of the IoT Labeling Program as part of their own consumer education activities. | 126. 我々は、IoT ラベル NPRM の提案を採用し、IoT ラベルプログラムの消費者教育要件は、IoT ラベルに一般的に適用可能であること、および記録からの支持を考慮して、NIST サイバーセキュリティ白書で NIST が概説している考慮事項に基づくものとする。主管庁は、NISTサイバーセキュリティ白書でNISTが推奨し、以下に詳述する考慮事項に基づく消費者教育キャンペーンを策定する責任を負う。消費者教育計画を策定するにあたり、我々は、消費者教育を利用しやすくする方法や、教育資料を多言語で作成すべきかどうかなど、全国に妥当な範囲で強力なキャンペーンを展開する方法を検討することを、主管庁に課した。さらに、そのようなアウトリーチを実施するための費用と、アウトリーチの資金調達方法を検討することを、主管庁に課す。策定後、主管庁はこの消費者教育計画を事務局に提出し、IoTラベリングプログラムの利点を広報する際の検討と調整を行う。我々は、業界間の緊密な協力の重要性を認識し、消費者教育キャンペーンの実施方法を検討し、主管庁および他の利害関係者と協力し、キャンペーンを実施する権限を事務局に委任する。加えて、IoTラベリング・プログラムの成功は、連邦政府、産業界、その他の関係者との緊密な連携にかかっているという我々の期待にさらに応えるため、委員会は、国土安全保障省などの関係機関と必要に応じて調整する、 サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、FTC、消費者製品安全委員会(CPSC)、および消費者教育活動の一環としてIoTラベリング・プログラムの利点を公表する意向を示している他の業界関係者などの関連機関と必要に応じて調整する。 |
| 127. We agree with CEDIA that consumer education will have a significant impact on meeting the IoT Labeling Program's goals. We further agree that adequate consumer education must inform consumers of the limitations of the Cyber Trust Mark as well as the benefits of having a product that meets baseline cybersecurity requirements, and we agree with CSA that consumers should understand that the label does not guarantee complete device security, but that such protections are an important component of risk management. As pointed out by the City of New York's Office of Technology and Innovation, an effective consumer education program would need to cover the risks and threats to “digital integration of [IoT] devices” and how those risks “can be lessened by helping operators, users, and consumers . . . learn the key elements of a strong IoT Cybersecurity posture.” We agree with commenters in the record that NIST's approach to consumer education is best, and note that no commenters opposed NIST's approach. | 127. 我々は、消費者教育がIoTラベリング・プログラムの目標達成に大きな影響を与えるというCEDIAの意見に同意する。さらに、適切な消費者教育は、サイバートラストマークの制限と、サイバーセキュリティの基本要件 を満たす製品を持つことのメリットを消費者に通知する必要があることに同意する。また、消費者は、ラベ ルはデバイスのセキュリティを完全に保証するものではなく、そのような保護はリスクマネジメントの重要な 要素であることを理解すべきであるという CSA の意見に同意する。ニューヨーク市技術革新局が指摘しているように、効果的な消費者教育プログラムでは、「(IoT)デバイスのデジタル統合」に対するリスクと脅威を取り上げ、「事業者、ユーザー、消費者が、強力なIoTサイバーセキュリティ態勢の重要な要素を学ぶことで、どのようにリスクを軽減できるか」を説明する必要がある。我々は、消費者教育に対する NIST のアプローチが最良であるとの意見に同意し、NIST のアプローチに反対する意見がなかったことに留意する。 |
| 128. As the Commission acknowledged in the IoT Labeling NPRM, NIST has prepared a document identifying consumer education considerations as part of its analysis of a cybersecurity labeling program. In following with NIST's recommendations, the Commission believes consumers should have access to the following information as part of the IoT Labeling Program's consumer education plan: | 128. 委員会がIoTラベリングNPRMで認めたように、NISTは、サイバーセキュリティラベリングプログラムの分析の一環として、消費者教育の考慮事項を特定する文書を作成している。NISTの勧告に従い、委員会は、IoTラベリングプログラムの消費者教育計画の一環として、消費者が以下の情報にアクセスできるようにすべきであると考える: |
| (1) What the label means and does not mean, including that the label does not imply an endorsement of the product and that labeled products have not completely eliminated risk; | (1) ラベルが意味すること、しないこと。これには、ラベルは製品の推奨を意味するものではないこと、ラベル付き製品がリスクを完全に排除しているわけではないことなどが含まれる; |
| (2) What cybersecurity baselines must be met to obtain authority to affix the label, why they were included, and how those criteria address security risks; | (2) ラベルを貼付する認可を得るためには、どのようなサイバーセキュリティの規準を満たさなければならないか、その規準が含まれる理由、およびそれらの規準がセキュリティリスクにどのように対処しているか; |
| (3) A glossary of applicable terms, written in plain English; | (3) 平易な英語で書かれた、該当する用語の用語集; |
| (4) General information about the conformity assessment process, including information about how the conformity assessment was conducted and the date the label was awarded to the product; | (4) 適合性評価がどのように実施されたか、製品にラベルが付与された日付に関する情報など、適合性評価プロセスに関する一般情報; |
| (5) The kinds of products eligible for the label and an easy way for consumers to identify labeled products; | (5) ラベルの対象となる製品の種類と、消費者がラベル付き製品を識別する簡単な方法; |
| (6) The current state of device labeling as new cybersecurity threats and vulnerabilities emerge; | (6) 新たなサイバーセキュリティ上の脅威や脆弱性が出現した場合の機器ラベリングの現状; |
| (7) Security considerations for end-of-life IoT products and functionality implications if the product is no longer connected to the internet; | (7) 使用済み IoT 製品のセキュリティに関する考慮事項と、製品がインターネットに接続されなくなった場合の機能への影響; |
| (8) Consumer's shared responsibility for securing the device software and how their actions (or inactions) can impact the product's software cybersecurity; and | (8) デバイス・ソフトウェアの安全確保に対する消費者の共有責任と、消費者の行動(または不作為)が製品のソフトウェア・サイバーセキュリティにどのような影響を与え得るか。 |
| (9) Contact information for the IoT Labeling Program and information on how consumers can lodge a complaint regarding a product label. | (9) IoTラベリング・プログラムの連絡先情報、および消費者が製品ラベルに関して苦情を申し立てる方法に関する情報。 |
| 129. We recognize that some aspects of this consumer education campaign overlap other aspects of the IoT Labeling Program, such as the registry. We see no harm with including that information in the registry as well as the consumer education campaign. We also observe the importance of conducting what NIST describes as a “campaign” to establish and increase label recognition, and thus envision a Lead Administrator-led, multiple stakeholder engagement that puts NIST's recommendations into practice. | 129. この消費者教育キャンペーンの一部は、レジストリなど、IoT ラベリング・プログラムの他の側面と重複していることを認識している。消費者教育キャンペーンと同様に、レジストリにその情報を含めることに問題はないと考える。また、ラベルの認知度を確立し、向上させるために、NISTが「キャンペーン」と表現しているものを実施することの重要性を認識しており、NISTの勧告を実践する主管庁主導の複数の利害関係者の関与を想定している。 |
| 130. NIST has conducted research into the consumer perspective on the loss of manufacturer support in IoT products. The research suggests that proactive communication to consumers from the manufacturer with information about end-of-life support policies, the expected lifespan, and how to sign up for notifications about changes to support is an additional, important step. NIST also emphasizes the importance of consumer education about the meaning of the dates attached to a label, and cautions that this can confuse consumers as to the date's meaning. We agree with Consumer Reports that educating consumers about the meaning of support periods is an important aspect of consumer education. We believe that the recommendations identified by NIST in the NIST Cybersecurity White Paper, coupled with the consumer research done by NIST and industry, provide a strong model that the Lead Administrator can utilize in its consumer education campaign to meet the goals NIST and the record, discussed above, identify as important for a successful consumer education campaign. | 130. NISTは、IoT製品における製造事業者のサポートの喪失に関する消費者の視点について調査を実施した。この調査は、製造事業者から消費者に対して、サポート終了の方針、予想される寿命、サポートの変更に関する通知の登録方法に関する情報を積極的に伝えることが、さらに重要なステップであることを示唆している。NISTはまた、ラベルに付けられた日付の意味についての消費者教育の重要性を強調し、日付の意味について消費者を混乱させる可能性があることを警告している。我々は、サポート期間の意味について消費者を教育することが消費者教育の重要な側面であるというコンシューマー・レポートの意見に同意する。NIST サイバーセキュリティ白書において NIST が特定した提言は、NIST と産業界が行った消費者調査と相まって、NIST と上述の 記録が消費者教育キャンペーンを成功させるために重要であると特定した目標を満たすために、主管庁が消費者 教育キャンペーンにおいて利用できる強力なモデルを提供すると考える。 |
| 131. To assist the Lead Administrator in promoting consumer education, the Commission will coordinate publicizing the benefits of the IoT Labeling Program with the relevant agencies, including the Department of Homeland Security, CISA, FBI, FTC, CPSC, and other industry stakeholders who have indicated a willingness to assist with consumer education. A coalition of trade associations advocates for a consumer education program led by the U.S. Government, but do not propose how to conduct outreach consistent with the Federal outreach concerns articulated in the IoT Labeling NPRM. We agree that a government outreach program is essential in a larger campaign to effectively inform consumers about the IoT Labeling Program, consistent with NIST's recommendations identified above. The Commission intends to work closely with CISA to make use of their “Secure our World” program. We agree with CTA that Federal consumer education efforts do not preclude independent communication and outreach programs. For example, the National Retail Foundation indicated their willingness to support consumer education efforts. While Everything Set, Inc. is concerned that outsized private sector involvement in consumer education might hurt the campaign's credibility, we believe that retail and manufacturer involvement in promoting the IoT Labeling Program and the limitations of the IoT Labeling Program are important to ensure widespread recognition of the Cyber Trust Mark in commerce. To promote consumer education and engage in a joint effort with industry and stakeholders to raise awareness of the label, the Commission will coordinate with the Lead Administrator, Executive Agencies, and other industry stakeholders who have indicated a willingness to publicize the benefits of the IoT Labeling Program as part of their own consumer education efforts. | 131. 主管庁が消費者教育を推進するのを支援するため、委員会は、国土安全保障省、CISA、FBI、FTC、CPSC、および消費者教育を支援する意思を示している他の業界関係者を含む関係機関と、IoTラベリング・プログラムの利点を広報するための調整を行う。業界団体の連合は、米国政府が主導する消費者教育プログラムを提唱しているが、IoTラベリングNPRMで明示された連邦政府のアウトリーチに関する懸念と一致するアウトリーチの実施方法については提案していない。我々は、IoTラベリングプログラムについて消費者に効果的に知らせるための大規模なキャンペーンにおいて、上記のNISTの勧告に沿った政府のアウトリーチプログラムが不可欠であることに同意する。委員会は、CISAと緊密に協力し、彼らの「Secure our World」プログラムを活用する意向である。連邦政府の消費者教育への取り組みが、独立したコミュニケーションおよびアウトリーチプログラムを妨げるものではない、というCTAの意見に我々は同意する。例えば、全米小売業協会(National Retail Foundation)は、消費者教育の取り組みを支援する意向を示している。Everything Set, Inc.は、消費者教育に民間セクターが過度に関与することで、キャンペーンの信頼性が損なわれることを懸念しているが、IoTラベリング・プログラムの普及とIoTラベリング・プログラムの制限に小売事業者や製造事業者が関与することは、商取引においてサイバートラストマークが広く認知されるために重要であると考える。消費者教育を促進し、ラベルの認知度を高めるために業界および利害関係者と共同で取り組むため、委員会は、主管庁、行政機関、および消費者教育活動の一環としてIoTラベルプログラムの利点を広報する意思を示した他の業界利害関係者と調整する。 |
| L. Cost/Benefit Analysis | L. コスト/便益分析 |
| 132. Our analysis indicates that the expected benefits of the IoT Labeling Program greatly exceed the expected costs of the program. The expected benefits of the IoT Labeling Program include improved consumer cyber awareness; reduced vulnerability of products that could be used in cyberattacks both in people's homes and as part of a larger national IoT ecosystem; and increased manufacturer competition and relational benefits stemming from increased goodwill and product awareness. Consumers value the security of their devices, and the complexity of understanding whether IoT devices meet baseline security standards, and making informed purchases on that basis is a significant cost to consumers. | 132. 我々の分析によれば、IoT ラベリング・プログラムに期待される便益は、プログラムに期待されるコ ストを大幅に上回る。IoT ラベリング・プログラムに期待される便益には、消費者のサイバー意識改善、家庭内および より大規模な国家的 IoT エコシステムの一部としてサイバー攻撃に使用される可能性のある製品の脆弱性 低減、製造事業者の競争激化および好意と製品認知度の向上から生じる関係上の便益が含まれる。消費者はデバイスのセキュリティを重視しており、IoTデバイスが標準セキュリティ基準を満たしているかどうかを理解し、その上で十分な情報に基づいた購入を行うことの複雑さは、消費者にとって大きなコストとなる。 |
| 133. Consumer Benefit from Reduced Search Costs. The Cyber Trust Mark can lower consumer research costs by reducing the amount of time consumers spend researching the cybersecurity characteristics of IoT products before making a purchase. We estimate that the Cyber Trust Mark will save consumers at least $60 million annually from reduced time spent researching cybersecurity features of potential purchases. We use the U.S. Department of Transportation (DOT)'s approach of valuing the time savings of travel to value the time savings to consumers of the Cyber Trust Mark. Our analysis relies on the share of households with a smart home device (which we note is only one segment of the IoT market likely to be impacted by the Order), the share of those households that are likely to devote time to investigating the cybersecurity of their connected products, and an estimate of their time value of researching cybersecurity characteristics of devices. First, we estimate that 49 million U.S. households own at least one IoT device from a market segment that likely will be impacted by the Cyber Trust Mark. Further, recent survey evidence suggests that 32% of households are invested in reducing their cybersecurity risk. We estimate each hour of time savings to be valued at $16 based on the median compensation in the U.S. and an individual's potential preference for researching products rather than working an additional hour. We note that this calculation only focuses on one segment of the IoT market, which may underestimate the time savings induced by the Order. We recognize that the exact time savings of utilizing the Cyber Trust Mark relative to searching for information online is unknown, so a lower end estimate of 15 minutes of time savings per year per household is used. We find a 15-minute time savings is consistent with the value of cybersecurity features disclosed in surveys. Given manufacturer and industry group comments showing support for consumer awareness and cybersecurity, we believe there would be sufficiently large enough immediate manufacturer participation in the IoT Labeling Program to incur these benefits in the first year of the program, and every year thereafter. Nationwide, the Cyber Trust Mark would result in a minimum of $60 million in time savings annually.[25] | 133. 検索コストの削減による消費者の利益。サイバートラストマークは、消費者が購入前に IoT 製品のサイバーセキュリティ特性について調査する 時間を短縮することにより、消費者の調査コストを低減することができる。私たちは、サイバートラストマークによって、購入候補品のサイバーセキュリティ特性を調査する時間が削減されることで、消費者は年間少なくとも6,000万ドルを節約できると見積もっている。米国運輸省(DOT)の移動時間の節約を評価するアプローチを用いて、サイバートラストマークによる消費者の時間節約を評価する。我々の分析は、スマートホームデバイスを持つ世帯のシェア(これは、本注文の影響を受けると思われるIoT市場の1つのセグメントに過ぎないことに留意されたい)、コネクテッド製品のサイバーセキュリティの調査に時間を割くと思われる世帯のシェア、およびデバイスのサイバーセキュリティ特性を調査する時間的価値の推定値に依拠している。まず、米国の4,900万世帯が、サイバートラストマークの影響を受けそうな市場セグメントのIoTデバイスを少なくとも1台所有していると推定される。さらに、最近の調査では、32%の世帯がサイバーセキュリティリスクの低減に投資していることが示唆されている。我々は、米国における報酬の中央値と、1時間追加で働くよりも製品を調査した方が良いという個人の潜在的な選好に基づいて、1時間の時間節約を16ドルと見積もっている。この試算は、IoT市場の1つのセグメントのみに焦点を当てたものであり、この命令によって誘発される時間節約を過小評価する可能性があることに留意されたい。我々は、サイバートラストマークを利用することによる正確な時間節約は、オンラインで情報を検索する場合と比較して未知であることを認識している。我々は、15分の時間節約は、調査で開示されたサイバーセキュリティ機能の価値と一致すると考えている。消費者の意識向上とサイバーセキュリティへの支持を示す製造事業者や業界団体のコメントを考慮すると、IoTラベリング・プログラムへの製造事業者の直接的な参加は、プログラムの初年度およびそれ以降毎年、これらの利益が発生するのに十分な規模になると考えられる。全国的に、サイバートラストマークは、年間最低6,000万ドルの時間節約をもたらすであろう[25]。 |
| 134. A separate approach to calculating the benefit of the Cyber Trust Mark is to estimate the value consumers place on security and privacy features of IoT devices. A study submitted by Consumer Reports found that respondents valued individual security upgrades between $6 and $13. The study also found that devices were valued at around $34 more if they had a label emphasizing a bundle of the most protective security features. Given the difficulty consumers face in understanding what security and privacy features are included in a device, the Cyber Trust Mark would help consumers easily identify and choose products with features they value. For example, if the Cyber Trust Mark represented the most protective features associated with the label in the in the study, a consumer would benefit by $34 from purchasing a device with the Cyber Trust Mark over a device that did not display the Mark. Based on our estimate of 15 million households that would be impacted by the IoT labeling program, we estimate that the benefit to consumers, in terms of the added value of the Cyber Trust Mark, would be between $85 million and $500 million annually. While the exact security features that will be proposed by the Lead Administrator in collaboration with stakeholders are not yet determined, if the Cyber Trust Mark only emphasized the lowest valued security feature, the program would produce a benefit of at least $85 million. | 134. サイバートラストマークの利益を計算する別のアプローチは、消費者が IoT 機器のセキュリティとプライバシーの機能に置く価値を推定することである。コンシューマー・レポートが提出した調査によると、回答者は個々のセキュリティ・アップグレードを6~13ドルで評価していた。また、この調査では、最も保護的なセキュリティ機能を束ねたことを強調するラベルが付いている場合、デバイスは約34ドル高く評価されることが分かった。消費者がデバイスにどのようなセキュリティやプライバシー機能が含まれているかを理解するのが難しいことを考えると、サイバートラストマークは、消費者が重要視する機能を備えた製品を簡単に識別し、選択するのに役立つだろう。例えば、サイバートラストマークが本調査におけるラベルに関連する最も保護的な機能を代表するものである場合、消費者はサイバートラストマークが表示されている機器を購入することで、マークが表示されていない機器よりも34ドル得をすることになる。IoTラベリング・プログラムの影響を受ける1,500万世帯という我々の試算に基づくと、サイバートラスト・マークの付加価値という点で、消費者にもたらされる利益は年間8,500万ドルから5億ドルになると推定される。主管庁が利害関係者と協力して提案する正確なセキュリティ機能はまだ決定されていないが、サイバートラストマークが最も評価の低いセキュリティ機能のみを強調するのであれば、このプログラムは少なくとも 8,500 万ドルの利益を生むことになる。 |
| 135. Manufacturer Competitive and Reputational Benefits. Aside from the direct benefits to consumers, there are also wider benefits of the Cyber Trust Mark. Participating businesses benefit from product differentiation and quality signaling vis-a-vis competitors that do not participate in the IoT Labeling Program and from increased company goodwill and reduced risks related to cybersecurity incidents. By aligning minimum security practices with the proposed standards, and communicating those standards to consumers, manufacturers may be able to generate goodwill and reduce business loss after cybersecurity incidences. While we do not revisit our discussion of a safe harbor from liability as discussed above, we note that manufacturers may benefit from adopting security practices that are consistent with standards necessary to bear the Cyber Trust Mark. We highlight that there have been several instances where the Federal Trade Commission investigated and settled with firms due to poor security practices or inaccurate communication of their security practices. We merely note that a manufacturer that has gone through the process of obtaining the Cyber Trust Mark may benefit from likely having documented the security practices and attendant testing necessary to acquire the Mark. | 135. 製造事業者の競争上および評判上の利益。消費者への直接的な利益以外に、サイバートラストマークにはより広い利益もある。参加企業は、IoT ラベリング・プログラムに参加していない競合他社に対する製品の差別化 と品質表示から、また、企業の信用の向上とサイバーセキュリティ・インシデントに関するリスクの低減から利益を 得る。製造事業者は、最低限のセキュリティ対策を提案された標準と整合させ、その標準を消費者にコミュニケーションすることで、サイバーセキュリティインシデント発生後ののれんを創出し、事業損失を削減できる可能性がある。我々は、上述のような責任免除のセーフハーバーに関する議論を見直すことはしないが、製造事業者がサイバートラストマークを表示するために必要な標準と一致するセキュリティ慣行を採用することで利益を得る可能性があることに留意する。我々は、連邦通信委員会が、不十分なセキュリティ慣行またはセキュリティ慣行に関する不正確なコミュニケーションにより、企業を調査し、和解した事例がいくつかあることを強調する。サイバートラストマークを取得するプロセスを経た製造事業者は、マークを取得するために必要なセキュリテ ィ慣行と付随するテストを文書化した可能性が高いことから、利益を得る可能性があることに留意する。 |
| 136. Market-Wide Benefits of Reduced Cybersecurity Incidents. Insecure IoT products are often used in distributed denial-of-service (DDoS) attacks, which can be used to overwhelm websites to create a distraction during other cybersecurity crimes, or to request a ransom be paid to stop the attack. While we cannot quantify the expected benefits the Cyber Trust Mark may have on reducing the number of vulnerable devices and/or the potential reduction on their likelihood of being used in a cybersecurity attack, commenters do highlight improved security as one of the major benefits of this IoT Labeling Program. We do further emphasize this as a benefit that is likely to have significant impacts on firms in a wide range of industries. | 136. サイバーセキュリティインシデントの減少による市場全体の利益。安全でない IoT 製品は、分散型サービス拒否(DDoS)攻撃によく使用される。DDoS 攻撃は、他のサイバーセキュリティ犯罪の間 に注意をそらすためにウェブサイトを圧倒するために使用されたり、攻撃を止めるために身代金の支払いを 要求するために使用されたりする。サイバートラストマークが脆弱性のあるデバイスの数を減らしたり、サイバーセキュリティ攻撃に使用される可能性を減らしたりすることで期待される利益を定量化することはできないが、コメントでは、セキュリティの向上がこのIoTラベリングプログラムの主な利点の1つであると強調されている。我々は、幅広い業界の企業に大きな影響を与える可能性が高いメリットとして、この点をさらに強調する。 |
| 137. Costs to IoT Labeling Program Participants. Only those entities who choose to participate will incur costs associated with the voluntary IoT Labeling Program. The specific costs of to participating manufacturers cannot be readily measured but are expected to include: conformity testing fees at a CyberLAB, CLA lab, or through in-house testing; CLA fees; internal compliance and filing costs; Cyber Trust Mark placement on product; costs incurred for API access as part of the QR Code; a customer information campaign; and adjustments to security practices necessary to meet the standards established for the Cyber Trust Mark. These costs are likely to vary depending on the standards and testing procedures proposed by the Lead Administrator as well as the extent of manufacturer participation. Any in-house testing lab will also be required to obtain accreditation to ISO/IEC standards and will incur the accreditation costs. We expect that manufacturers that choose to pursue this option may offset the accreditation costs with time savings, and potentially cost savings, associated with in-house testing. | 137. IoT ラベリング・プログラム参加者のコスト。参加を選択した事業体のみが、自主的な IoT ラベリング・プログラムに関連する費用を負担する。参加する製造事業者の具体的なコストは容易に測定できないが、サイバーラボ、CLA ラボ、または社内テストによる適合性テスト費用、CLA 手数料、社内コンプライアンスおよびファイリング費用、製品へのサイバートラストマークの貼付、QR コードの一部としての API アクセスに発生する費用、顧客情報キャンペーン、サイバートラストマークのために設定された標準を満たすために必要なセキュリ ティ慣行の調整などが含まれると予想される。これらの費用は、主管庁が提案する標準や試験手順、製造事業者の参加の程度によって異なる可能性が高い。社内の試験所も ISO/IEC 規格の認定を受ける必要があり、認定費用が発生する。この選択肢を選択する製造事業者は、社内試験による時間の節約とコスト削減の可能性により、 認定費用を相殺することができるものと期待される。 |
| 138. Participating manufacturers will incur conformity testing, reporting costs, potential renewal fees, and Label Administrator processing fees, but the Commission's IoT Labeling Program is voluntary and we only expect manufacturers who would benefit from the program to participate in the long-run, further indicating that accrued benefits will exceed manufacturer costs. Furthermore, comments in the record show that many manufacturers and industry groups are in favor of consumer awareness and addressing cybersecurity concerns. This provides some indication that manufacturers perceive the benefits of participating in the IoT Labeling Program as outweighing the costs. We understand that manufacturers' security practices for IoT products vary. Some manufacturers will find it beneficial to align their cybersecurity standards with the IoT Labeling Program's standards and apply for the Cyber Trust Mark. If a manufacturer decides not to participate in the program, then they will not experience any additional costs. | 138. 参加する製造事業者は、適合性試験、報告費用、更新料の可能性、およびラベル管理者の処理費用を負担することになるが、委員会のIoTラベリング・プログラムは任意であり、長期的には、このプログラムから恩恵を受ける製造事業者のみが参加することを期待している。さらに、多くの製造事業者と業界団体が、消費者の意識向上とサイバーセキュリティの懸念への対応に賛成していることが、記録されたコメントからうかがえる。このことは、製造事業者がIoTラベリング・プログラムに参加するメリットがコストを上回ると認識していることを示している。製造事業者のIoT製品に対するセキュリティ対策は様々であることは理解している。一部の製造事業者は、自社のサイバーセキュリティ標準をIoTラベリング・プログラムの標準に合わせ、サイバートラストマークを申請することが有益であると考えるだろう。製造事業者がプログラムに参加しないと決めた場合、追加コストは発生しない。 |
| 139. Cost of Registry Development and Administration. We attempt to estimate the cost of developing and administering the registry with currently available information, recognizing that our cost estimate is unable to incorporate pending issues that will be addressed by the Bureau as discussed above. While the cost to the Lead Administrator to manage the registry in accordance with the Bureau's pending determinations and as discussed above are forthcoming, we nevertheless attempt to estimate the costs of the Lead Administrator' administrative role in managing the registry as described above. Our estimate utilizes data submitted by Consumer Reports, which envisioned a centralized registry. We note that the registry, as adopted, will be less burdensome than the costs described by Consumer Reports in their estimates.[26] Our estimate to maintain registry components and review applications as part of the CLA duties, which aligns with the middle of the expert range based on commenter submissions, is approximately $5 million annually. The high-end estimate submitted by Consumer Reports is $10 million. Consumer Reports indicates that setting up a centralized registry could be done by one individual with a few contractors at a cost less than $200,000 a year. Depending on the requirements, the Lead CLA may still need to set up some minimal components of a registry and incur a small portion of these costs. The estimates on the annual administration costs are much less precise with the expert proposed estimate of between $100k and $10 million annually, with indication that the $10 million estimate is on the very high end. Staff calculate a more reasonable, but likely still high, estimate in the middle of that range, even accounting for the advanced technical expertise that would be required to review applications. For example, an organization relying on five lawyers, five electrical engineers, and five software developers in a full-time capacity would require $3 million annually in wage compensation. If we generously assume another $2 million in additional costs to accommodate ISO/IEC accreditation, contractors, facilities, and other resources, the total is $5 million. While these estimates are for a single administrator, we believe this is a reasonable estimate of the staffing costs that would be distributed among the CLAs to meet the requirements of reviewing applications. | 139. レジストリの開発と管理のコスト 我々は、現在入手可能な情報を用いて、レジストリの開発及び管理のコストを見積もることを試みたが、 我々のコスト見積もりは、上述したように、事務局によって対処される懸案事項を組み入れることができ ないことを認識している。主管理者が同局の保留中の決定に従い、レジストリを管理するために必要なコストや、上述したようにレジストリの管理における主管理者の役割に必要なコストは、今後明らかになるものであるが、それでも我々は、上述したようにレジストリの管理における主管理者の役割に必要なコストの見積りを試みた。我々の試算は、一元化された登録簿を想定していたコンシューマー・レポート社から提出されたデータを利用している。レジストリが採用された場合、Consumer Reportsが試算に記載したコストよりも負担が軽減されることに留意する[26]。CLAの職務の一部として、レジストリの構成要素を維持し、申請を審査するための我々の試算は、意見提出に基づく専門家の範囲の中間に位置し、年間約500万ドルである。コンシューマー・レポート社から提出された上限見積もりは1,000万ドルである。コンシューマー・レポートによると、一元化された登録機関の設立は、一人の個人と数人の請負業者によって、年間20万ドル以下の費用で可能である。要件にもよるが、リードCLAは、登録簿の最小限の構成要素を設定し、これらの費用のごく一部を負担する必要があるかもしれない。年間管理コストの見積もりは、専門家が提案した年間10万ドルから1,000万ドルという見積もりでは正確さに欠け、1,000万ドルという見積もりは非常に高い方であることがわかる。スタッフは、申請書の審査に必要な高度な技術的専門知識を考慮した上で、より合理的な、しかしおそらくまだ高いと思われる、この範囲の中間の見積もりを算出した。例えば、5人の弁護士、5人の電気技師、5人のソフトウェア開発者をフルタイムで起用した場合、年間300万ドルの人件費が必要となる。ISO/IECの認定、請負業者、施設、その他のリソースに対応するために、さらに200万ドルの追加費用を寛大にも想定すると、合計で500万ドルとなる。これらの見積もりは、一人の管理者についてのものであるが、申請書の審査要件を満たすために CLA に分配されるスタッフの人件費としては、妥当な見積もりであると考える。 |
| 140. The estimated high-end costs of administering the IoT Labeling Program annually ($10 million) are far less than the low-end estimate of annual benefits to consumers ($60 million) of just one aspect of the program. We further highlight that the benefits to manufacturers are likely to exceed manufacturer's participation costs. Together this indicates the total program benefits exceed costs. Because the initial startup costs are so low relative to the benefits, we do not compare the discounted values. | 140. IoTラベリング・プログラムの年間管理コスト(1,000万ドル)は、同プログラムの一側面が消費者にもたらす年間便益(6,000万ドル)の下限見積もりよりもはるかに少ない。さらに、製造事業者にとっての便益は、製造事業者の参加コストを上回る可能性が高いことを強調する。このことは、プログラム全体の便益がコストを上回ることを示している。初期立ち上げ費用は便益に比して非常に低いため、割引値の比較は行っていない。 |
| I. Legal Authority | I. 法的認可 |
| 141. We adopt the IoT Labeling NPRM's tentative conclusion that the FCC has authority to adopt the IoT Labeling Program. We conclude that section 302 provides us with the authority to adopt a voluntary program for manufacturers seeking authority to affix the FCC-owned Cyber Trust Mark on wireless consumer IoT products that comply with the program requirements. In the IoT Labeling NPRM, the Commission sought comment on its authority under section 302 of the Act, along with other possible sources of authority. In particular, under section 302(a) of the Act, consistent with the public interest, convenience, and necessity, the Commission is authorized to make reasonable regulations (1) governing the interference potential of devices which in their operation are capable of emitting radio frequency energy by radiation, conduction, or other means in sufficient degree to cause harmful interference to radio communications; and (2) establishing minimum performance standards for home electronic equipment and systems to reduce their susceptibility to interference from radio frequency energy. | 141. 我々は、FCCがIoTラベリング・プログラムを認可する権限を有するというIoTラベリングNPRMの暫定結論を採用する。我々は、第 302 条が、FCC が所有するサイバートラスト・マークを、プログラム要件に適合する無線コンシューマ向け IoT 製品に貼付する認可を求める製造事業者に対し、任意プログラムを採用する権限を我々に与えていると結論付けている。IoTラベリングNPRMにおいて、委員会は、他の可能性のある権限源とともに、法第302条に基づく認可についてコメントを求めた。特に、同法第302条(a)に基づき、公共の利益、利便性、必要性に合致するよう、委員会は、(1)無線通信に有害な干渉を引き起こすのに十分な程度に、放射、伝導、またはその他の手段によって無線周波数エネルギーを放出する可能性のある機器の動作における干渉の可能性を管理する、(2)無線周波数エネルギーによる干渉の影響を受けにくくするための家庭用電子機器およびシステムの最低性能基準を定める、といった合理的な規制を行う認可を受けている。 |
| 142. Some commenters question our authority under section 302 to establish an IoT Labeling Program. The U.S. Chamber of Commerce cautions the Commission to not “overinterpret its harmful interference authority” under sections 302(a) and 333. CTIA argues that the Commission does not have the authority to regulate cybersecurity, but does not cite to section 302(a) or explain why the Commission's action in the Order does not fall within the scope of section 302(a) or any other section of the Communications Act. Others do not dispute the Commission's authority to adopt a voluntary program but argue that the Commission does not have the authority to make the IoT Labeling Program mandatory. | 142. 第302条に基づき、IoTラベリングプログラムを策定する認可を疑問視する意見もある。米国商工会議所(U.S. Chamber of Commerce)は、委員会に対し、第302条(a)および第333条に基づく「有害な干渉に関する認可権限を過大解釈」しないよう注意を促している。CTIAは、委員会にはサイバーセキュリティを規制する権限はないと主張しているが、302条a項を引用したり、今回の委員会の措置が302条a項やコミュニケーション法の他の条項に該当しない理由を説明していない。また、自主的なプログラムを採択する認可には異議を唱えないが、IoTラベリングプログラムを義務化する権限は委員会にはないと主張する者もいる。 |
| 143. We agree with Comcast that Congress intended section 302 to be flexible enough “to address novel issues not yet on the legislative radar[.]” As Comcast further observes, “[t]he stated goal of the [IoT Labeling] Program is to `ensure that IoT devices have implemented certain minimum cybersecurity protocols to prevent their being hacked by bad actors who could cause the devices to cause harmful interference to radio communications,' which falls squarely within the Commission's remit under section 302(a).” Further, NYC OTI points out that IoT which “by design doesn't protect against the reception of spurious or unintended RF communications may be subject to a series of radio-layer attacks due to the lack of these protections” and thus is within our authority to regulate. A voluntary IoT Labeling Program thus assures consumers that certain cybersecurity standards are met to protect those devices from being used to generate interference to other devices. | 143. 我々は、議会が第302条を「まだ立法上のレーダーに映っていない斬新な問題に対処するのに十分な」柔軟性を意図していることにComcastと同意する。Comcastがさらに述べているように、「(IoTラベリング)プログラムの目的は、IoT機器が無線通信に有害な干渉を引き起こす可能性のある悪質業者にハッキングされるのを防ぐために、一定の最低限のサイバーセキュリティプロトコルを実装していることを保証することである。さらに、NYC OTIは、「設計上、スプリアスまたは意図しないRF通信の受信から保護されていない」IoTは、これらの防御がないため、一連の無線層攻撃の対象となる可能性があり、したがって、規制する権限の範囲内であると指摘している。したがって、自主的なIoTラベリング・プログラムは、それらのデバイスが他のデバイスへの干渉を発生させるために使用されないように保護するための一定のサイバーセキュリティ標準が満たされていることを消費者に保証するものである。 |
| 144. In addition to our authority under section 302(a)(1), section 302(a)(2) authorizes the Commission to “establish minimum performance standards for home electronic equipment and systems to reduce their susceptibility to interference from radio frequency energy.” A voluntary program for consumer IoT products is encompassed within our authority to regulate home electronic equipment and their accompanying systems that render that home electronic equipment operational. | 144. 第302条(a)(1)の権限に加え、第302条(a)(2)は、「無線周波数エネルギーによる干渉の影響を受けにくくするために、家庭用電子機器およびシステムに関する最低限の性能基準を定める」ことを認可している。消費者向けIoT製品の自主プログラムは、家庭用電子機器と、その家庭用電子機器を動作可能にする付属システムを規制する認可の範囲に含まれる。 |
| 145. Section 302(a)(2) allows such regulations to apply to “the manufacture, import, sale, offer for sale, or shipment of such devices and home electronic equipment and systems[.]” The legislative history of section 302 also supports our conclusion. Congress adopted section 302 due to concerns about radio frequency interference to consumer electronic equipment: | 145. 第302条(a)(2)は、そのような規制を 「そのようなデバイスと家庭用電子機器およびシステムの製造、輸入、販売、販売の申し出、または出荷[]」に適用することを認めている。第302条の立法経緯も我々の結論を支持している。議会が第302条を採択したのは、民生用電子機器に対する無線周波数の干渉を懸念したためである: |
| In the market for home devices, however, good faith industry attempts to solve this interference have not always been as successful. . . . [T]he Conferees believe that Commission authority to impose appropriate regulations on home electronic equipment and systems is now necessary to insure that consumers' home electronic equipment and systems will not be subject to malfunction due to [radio frequency interference]. | しかし、家庭用機器の市場では、この干渉を解決しようとする業界の誠意ある試みは必ずしも成功していない。. . . [コンフェアリーズは、消費者の家庭用電子機器およびシステムが[電波干渉]によって誤動作することがないようにするためには、家庭用電子機器およびシステムに対して適切な規制を課す認可が必要であると考えている。] |
| 146. Congress envisioned “home electronic equipment and systems” to include not only radio and television sets, but all types of electronics and their supporting systems used by consumers. Examples given by Congress were home burglar alarms, security systems, automatic garage door openers, record turntables, and sound systems. Congress clearly foresaw interference and disruption to consumer equipment and the systems that equipment was connected to as within the ambit of section 302 when it gave the Commission “exclusive jurisdiction” over matters involving radio frequency interference. The many alternatives available to the Commission to accomplish its duty under section 302 include directing manufacturers to meet “certain minimal standards” or utilizing labels. | 146. 議会が想定した「家庭用電子機器およびシステム」には、ラジオやテレビだけでなく、消費者が使用するあらゆる種類の電子機器とそれをサポートするシステムが含まれる。議会が示した例としては、家庭用盗難警報器、セキュリティ・システム、自動ガレージ・ドア開閉機、レコード・ターンテーブル、音響システムなどがある。議会は、委員会に無線周波数の干渉に関わる問題に対する「排他的管轄権」を与えたとき、消費者用機器とその機器が接続されるシステムへの干渉と混乱が、第302条の範囲内であることを明確に予見していた。302条に基づく委員会の義務を達成するために、製造事業者に「一定の最低基準」を満たすよう指示することや、ラベルを利用することなど、多くの選択肢がある。 |
| 147. We additionally conclude that our section 302(a) authority to adopt “reasonable regulations” governing the interference potential of devices capable of causing RF interference empowers us to choose specific approaches that advance goals of the Act in addition to the core concerns in section 302(a)(1) and (2). For one, as widely supported in the record, we rely on NIST's recommended IoT criteria (the NIST Core Baseline) as the foundation for the cybersecurity requirements to be applied under the IoT Labeling Program. Even if some elements or applications of those criteria could advance policies or interests in addition to guarding against the risk that exploited vulnerabilities in internet-connected wireless consumer IoT products could cause harmful interference, it would be neither prudent nor workable to try to segregate or disaggregate that package of criteria in an effort to isolate some product capabilities from others in an effort to narrow the Program's focus. To the contrary, maintaining the integrity of the cohesive package of NIST criteria advances the directive in section 302(a) to address the interference potential of wireless devices through “reasonable regulations.” Commenters point out, for example, that even when harmful interference to IoT products from cyberattacks “is not necessarily the traditional form of interference caused by devices operating in frequencies and at power levels not approved by the Commission[,]” it can implicate statutory policy concerns nonetheless. Under the circumstances here, we thus find it “reasonable” for our IoT Labeling Program to rely on the full package of IoT cybersecurity criteria that guard against the risk that the covered products cause harmful interference, and also guard against the risk of interference to those covered products—even in the case of non-RF interference—consistent with the policy goals underlying provisions such as sections 302(a) and 333 and of the Act. Our understanding of the reasonableness of our approach here also is informed by the public safety and national security goals in sections 1 and 4(n) of the Act. Thus, although we do not rely on additional provisions beyond section 302 as authority for the voluntary IoT Labeling Program we adopt in the Order, they inform our understanding of what regulatory approach to implementing section 302(a) is reasonable under these circumstances.[27] | 147. さらに、RF干渉を引き起こす可能性のある機器の干渉の可能性を管理する「合理的な規制」を採用する302条(a)の認可は、302条(a)(1)および(2)の中核的な懸念に加え、法の目標を推進する特定のアプローチを選択する権限を与えていると結論づける。ひとつには、記録で広く支持されているように、IoT ラベリング・プログラムの下で適用されるサイバーセキュリティ要件の基礎として、NIST が推奨する IoT 規準(NIST コア・ベースライン)に依存していることである。これらの規準の一部の要素または適用が、インターネットに接続された無線コンシューマ IoT 製品の脆弱性が悪用され、有害な干渉を引き起こすリスクからの保護に加えて、政策または利益を促進する可能性があるとしても、本プログラムの焦点を絞るために、一部の製品能力を他の製品能力から分離しようとして、規準のパッケージを分離または分解しようとすることは、賢明でも実行可能でもない。それどころか、NISTの規準のまとまりの完全性を維持することは、「合理的な規制」によって無線機器の干渉の可能性に対処するという第302条(a)の指令を前進させるものである。例えば、サイバー攻撃によるIoT製品への有害な干渉が、「必ずしも委員会が承認していない周波数や電力レベルで動作するデバイスによって引き起こされる伝統的な干渉の形態ではない」場合でも、それにもかかわらず、法定政策の懸念に関わる可能性があることを、コメント提供者は指摘している。したがって、このような状況において、IoTラベリング・プログラムが、対象製品が有害な干渉を引き起こすリスクから保護するIoTサイバーセキュリティ規準のフルパッケージに依存し、また、対象製品への干渉リスクから保護することは、たとえRF干渉でない場合であっても、第302条(a)および第333条などの法律の根底にある政策目標に合致しており、「合理的」であると判断する。ここでのアプローチの合理性に関する我々の理解もまた、法第1条および第4条(n)における公共の安全と国家安全保障の目標によってもたらされるものである。従って、本令で採択した自主的なIoT表示プログラムの認可として、第302条以外の追加規定に依拠することはないが、これらの規定は、第302条(a)を実施するためのどのような規制アプローチが、このような状況下で合理的であるかについての我々の理解に資するものである[27]。 |
| 148. Comcast also cites the legislative history of section 302(a) in support of our authority to establish an IoT Labeling Program. Congress agreed with a letter from the Commission that initial language that would have restricted section 302(a) to devices that cause harmful interference to “`commercial, aircraft, and public safety' radio communications” was too narrow. Congress instead adopted the current language: “reasonable regulations . . . consistent with the public interest, convenience, and necessity.” The Commission's authority under section 302 was designed by Congress to be “sufficiently broad to permit it to formulate rules relating to any service where interference from these devices is a serious problem.” Such language, it was believed, would be “sufficiently broad to permit it to formulate rules relating to any service where interference from these devices is a serious problem.” We conclude that a voluntary program with minimum standards to prevent radio interference to consumer IoT products is consistent with the text and history of section 302. | 148. Comcastはまた、IoTラベリングプログラムを策定する認可の根拠として、第302条(a)の立法経緯を挙げている。議会は、302条(a)を「商業、航空機、および公安」の無線通信に有害な干渉を引き起こすデバイスに限定する当初の文言は狭すぎるとする委員会からの書簡に同意した。議会は代わりに現在の文言を採用した: 「合理的な規制。公共の利益、利便性、必要性に合致した合理的な規制」である。302条に基づく委員会の認可は、「これらの機器による妨害が深刻な問題となっているあらゆるサービスに関する規則を策定することを可能にするよう、十分に広範である 」ように議会によって設計された。このような文言は、「これらの機器からの干渉が深刻な問題であるあらゆるサービスに関する規則を策定することを許可するのに十分広い 」と考えられた。我々は、消費者向けIoT製品への電波干渉を防止するための最低標準を定めた自主プログラムは、第302条の条文と歴史に合致していると結論づける。 |
| 149. Further, we have previously imposed security requirements that prevent unauthorized parties from accessing and alerting technology to cause radio interference under our section 302 authority. In 2020, we required that access points to automated frequency coordination systems were secure so unauthorized parties could not alter the list of available frequencies and power levels sent to an access point. We agree with Comcast that our previous actions requiring end user devices to “contain security features sufficient to protect against modification of software and firmware by any unauthorized parties” and actions to secure unlicensed national information infrastructure devices are sufficiently analogous to this proceeding as to be supported by our section 302 authority. | 149. さらに、我々は以前、第302条の権限に基づき、認可を受けていない者が電波干渉を引き起こす技術にアクセスし、警告を発することを防止するセキュリティ要件を課してきた。2020年には、自動周波数調整システムへのアクセスポイントが、無許可の第三者がアクセスポイントに送信される利用可能な周波数と電力レベルのリストを変更できないよう、セキュアであることを要求した。我々はComcastに同意し、エンドユーザーデバイスに「無許可の当事者によるソフトウェアとファームウェアの改変から保護するのに十分なセキュリティ機能を含む」ことを要求した我々の以前の措置と、無許可の国家情報インフラデバイスを保護するための措置は、我々の第302条の権限によってサポートされるように、今回の手続きと十分に類似している。 |
| 150. Finally, consistent with our tentative conclusion in the IoT Labeling NPRM, we find that our section 302 authority enables us to rely on third parties in carrying out the implementation details of our Program. As the Commission pointed out in the NPRM, section 302(e) of the Act authorizes the Commission to delegate equipment testing and certification to private laboratories, and the Commission already has relied in part on third parties in carrying out its equipment authorization rules that likewise implement section 302 of the Act. | 150. 最後に、IoTラベリングに関するNPRMにおける暫定的な結論と同様に、302条の認可により、本プログラムの実施の詳細をサードパーティに依存することが可能であると判断する。委員会がNPRMで指摘したように、法第302条(e)は、委員会が機器の試験と認証を民間の試験所に委任することを認可しており、委員会はすでに、同様に法第302条を実施する機器認可規則を実施する上で、一部、サードパーティに依存している。 |
| II. Incorporation by Reference | II. 参照による取り込み |
| 151. These final rules include regulatory text that is incorporated by reference. In accordance with requirements of 1 CFR 51.5, the Commission describes the incorporated materials here. These final rules are incorporating by reference the following ISO/IEC standards: ISO/IEC 17011:2017(E), Conformity assessment—Requirements for accreditation bodies accrediting conformity assessment bodies, Second Edition, November 2017, ISO/IEC 17025:2017(E), General requirements for the competence of testing and calibration laboratories, Third Edition, November 2017, and ISO/IEC 17065:2012(E), Conformity assessment—Requirements for bodies certifying products, processes and services, First Edition, 2012-09-15, which establish international standards requirements for accreditation bodies accrediting conformity assessment bodies; general requirements for testing and calibration laboratories; and conformity assessment requirements for certifying products, processes, and services; respectively. Copies of these standards are available for purchase from the American National Standards Institute (ANSI) through its NSSN operation ( www.nssn.org) at Customer Service, American National Standards Institute, 25 West 43rd Street, New York, NY 10036, telephone (212) 642-4900. | 151. これらの最終規則には、参照により組み込まれる規制文章が含まれている。1CFR51.5の要件に従い、委員会は、ここに組み込まれた資料について説明する。これらの最終規則は、以下のISO/IEC標準を参照により組み込んでいる: ISO/IEC 17011:2017(E)、適合性評価-適合性評価機関を認定する認定団体に対する要求事項、第2版、2017年11月、ISO/IEC 17025:2017(E)、試験所及び校正機関の能力に関する一般要求事項、第3版、2017年11月、ISO/IEC 17065: 2012(E)、適合性評価-製品、プロセス及びサービスを認証する団体に対する要求事項、第1版、2012-09-15は、それぞれ適合性評価機関を認定する認定機関に対する国際標準要求事項、試験所及び校正試験所に対する一般要求事項、製品、プロセス及びサービスを認証する適合性評価要求事項を定めている。これらの標準のコピーは、米国規格協会(ANSI)のNSSN業務( www.nssn.org )を通じて、Customer Service, American National Standards Institute, 25 West 43rd Street, New York, NY 10036, telephone (212)642-4900から購入できる。 |
| III. Procedural Matters | III. 手続き事項 |
| 152. Paperwork Reduction Act. This document contains new and modified information collection requirements subject to the Paperwork Reduction Act of 1995 (PRA), Public Law 104-13. It will be submitted to the Office of Management and Budget (OMB) for review under section 3507(d) of the PRA. OMB, the general public, and other Federal agencies will be invited to comment on the new or modified information collection requirements contained in this proceeding. In addition, we note that pursuant to the Small Business Paperwork Relief Act of 2002, Public Law 107-198, see 44 U.S.C. 3506(c)(4), we previously sought specific comment on how the Commission might further reduce the information collection burden for small business concerns with fewer than 25 employees. | 152. 書類削減法(Paperwork Reduction Act)。本文書は、1995 年行政改革法(PRA)(公法 104-13)の対象となる情報収集の新規要件および変更要 件を含む。PRA第3507条(d)に基づき、行政管理予算局(OMB)に提出される。OMB、一般市民、および他の連邦政府機関は、本手続きに含まれる新規または修正された情報収集要件についてコメントを求められる。さらに、2002年中小企業ペーパーワーク救済法(公法107-198、44 U.S.C. 3506(c)(4)参照)に従い、従業員25人未満の中小企業の情報収集負担をさらに軽減する方法について、委員会は以前、具体的なコメントを求めていたことを付記しておく。 |
| 153. In this document, we have assessed the effects of the operational framework for a voluntary IoT cybersecurity labeling program. Since the IoT Labeling Program is voluntary, small entities who do not participate in the IoT Labeling Program will not be subject to any new or modified reporting, recordkeeping, or other compliance obligations. Small entities that choose to participate in the IoT Labeling Program by seeking authority to affix the Cyber Trust Mark on their products will incur recordkeeping and reporting as well as other obligations that are necessary to test their IoT products to demonstrate compliance with the requirements we adopt in the Order. We find that, for the Cyber Trust Mark to have meaning for consumers, the requirements for an IoT product to receive the Cyber Trust Mark must be uniform for both small businesses and other entities. Thus, the Commission continues to maintain the view we expressed in the IoT Labeling NPRM, that the significance of mark integrity, and building confidence among consumers that devices and products containing the Cyber Trust Mark label can be trusted to be cyber secure, necessitates adherence by all entities participating in the IoT Labeling Program to the same rules regardless of size. | 153. 本文書では、自主的なIoTサイバーセキュリティ・ラベリングプログラムの運用枠組みの効果をアセスメントした。IoT ラベリング・プログラムは任意であるため、IoT ラベリング・プログラムに参加しない小規模事 業体は、報告、記録、その他の遵守義務を新たに課されたり、変更されたりすることはない。製品にサイバートラストマークを貼付する認可を求めることにより、IoT ラベリングプログラ ムに参加することを選択した小規模事業体には、IoT 製品を試験し、我々が命令で採択した要件に準拠 していることを証明するために必要な記録管理および報告、その他の義務が発生する。サイバートラストマークが消費者にとって意味を持つためには、IoT製品がサイバートラストマークを取得するための要件は、中小企業とその他の事業体の双方にとって統一されたものでなければならないと考える。したがって、委員会は、IoTラベリングNPRMで表明した、マークの完全性の重要性、およびサイバートラストマークのラベルが貼付された機器や製品がサイバーセキュアであると信頼できるという消費者の信頼を構築するためには、IoTラベリングプログラムに参加するすべての事業体が、規模に関係なく同じ規則を遵守する必要があるという見解を引き続き維持する。 |
| 154. Regulatory Flexibility Act Analysis. A Final Regulatory Flexibility Act (FRFA) Analysis for the final rules adopted in the Order was prepared and can be found as Exhibit B of the FCC's Report and Order, FCC 24-26, adopted March 15, 2024, at this link: https://docs.fcc.gov/public/attachments/FCC-24-26A1.pdf. | 154. 規制柔軟性法の分析。本規則で採択された最終規則に関する最終規制柔軟性法(FRFA)分析が作成され、2024 年 3 月 15 日に採択された FCC の報告書および命令書(FCC 24-26)の別紙 B として、このリンク(https://docs.fcc.gov/public/attachments/FCC-24-26A1.pdf)で見ることができる。 |
| 155. OPEN Government Data Act. The OPEN Government Data Act requires agencies to make “public data assets” available under an open license and as “open Government data assets,” i.e., in machine-readable, open format, unencumbered by use restrictions other than intellectual property rights, and based on an open standard that is maintained by a standards organization. This requirement is to be implemented “in accordance with guidance by the Director” of the OMB. The term “public data asset” means “a data asset, or part thereof, maintained by the Federal Government that has been, or may be, released to the public, including any data asset, or part thereof, subject to disclosure under the Freedom of Information Act (FOIA).” A “data asset” is “a collection of data elements or data sets that may be grouped together,” and “data” is “recorded information, regardless of form or the media on which the data is recorded.” We delegate authority, including the authority to adopt rules, to the Bureau, in consultation with the agency's Chief Data Officer and after seeking public comment to the extent it deems appropriate, to determine whether to make publicly available any data assets maintained or created by the Commission within the meaning of the OPEN Government Act pursuant to the rules adopted herein, and if so, to determine when and to what extent such information should be made publicly available. Such data assets may include assets maintained by a CLA or other third party, to the extent the Commission's control or direction over those assets may bring them within the scope of the OPEN Government Act, as interpreted in the light of guidance to be issued by OMB.[28] In doing so, the Bureau shall take into account the extent to which such data assets are subject to disclosure under the FOIA. | 155. OPEN 政府データ法。すなわち、機械可読のオープンフォーマットで、知的財産権以外の使用制限に妨げられず、標準化団体によって維持されているオープン標準に基づいている。この要件は、OMB長官の 「ガイダンスに従って 」実施される。公開データ資産」とは、「情報公開法(FOIA)に基づく開示対象者であるデータ資産またはその一部を含む、連邦政府によって管理され、公開された、または公開される可能性のあるデータ資産またはその一部」を意味する。データ資産」とは、「グループ化されたデータ要素またはデータセットの集合体」であり、「データ」とは、「形式やデータが記録された媒体に関係なく、記録された情報」である。我々は、当局のチーフ・データ・オフィサーと協議の上、適切と思われる範囲でパブリックコメントを求めた後、本規定で採択された規則に従い、OPENガバナンス法の意味において委員会が維持または作成したデータ資産を一般公開するかどうか、また、公開する場合、そのような情報をいつ、どの程度まで公開すべきかを決定する権限を、規則を採択する権限を含め、同局に委譲する。そのようなデータ資産には、OMBが発行するガイダンスに照らして解釈されるように、委員会がそれらの資産を管理または指示することによってオープンガバメント法の範囲内に入る可能性がある範囲において、CLAまたはその他のサードパーティが管理する資産を含めることができる[28]。 |
| 156. People with Disabilities. To request materials in accessible formats for people with disabilities (braille, large print, electronic files, audio format), send an email to fcc504@fcc.gov or call the Consumer & Governmental Affairs Bureau at 202-418-0530 (voice). | 156. 障害者。障害者が利用しやすい形式(点字、大活字、電子ファイル、音声形式)で資料を請求する場合は、fcc504@fcc.gov 宛に電子メールを送信するか、消費者・政府問題局(202-418-0530)に電話する(音声)。 |
| IV. Ordering Clauses | IV. 注文条項 |
| 157. Accordingly, it is ordered that pursuant to the authority contained in sections 1, 2, 4(i), 4(n), 302, 303(r), 312, 333, and 503, of the Communications Act of 1934, as amended, 47 U.S.C. 151, 152, 154(i), 154(n), 302a, 303(r), 312, 333, 503; the IoT Cybersecurity Improvement Act of 2020, 15 U.S.C. 278g-3a through 278g-3e; the Report and Order is hereby adopted. | 157. 従って、改正後の1934年コミュニケーション法(47 U.S.C. 151, 152, 154(i), 154(n), 302a, 303(r), 312, 333, 503)、2020年IoTサイバーセキュリティ改善法(15 U.S.C. 278g-3a~278g-3e)の第1節、第2節、第4節(i)、第4節(n)、第 302節、第303節(r)、第312節、第333節、第503節に含まれる認可に従い、本報告書および命令をここに採択することを命ずる。 |
| 158. It is further ordered that the Office of the Managing Director, Performance Program Management, SHALL SEND a copy of the Report and Order in a report to be sent to Congress and the Government Accountability Office pursuant to the Congressional Review Act, see 5 U.S.C. 801(a)(1)(A). | 158. さらに、パフォーマンス・プログラム管理担当常務理事室は、米国議会審査法(5 U.S.C. 801(a)(1)(A)参照)に従い、議会および政府アカウンタビリティ・オフィスに送付する報告書において、本報告書および命令書の写しを送付するものとする。 |
| List of Subjects in 47 CFR Part 8 | 47 CFR Part 8の対象リスト |
| Communications | コミュニケーション |
| Consumer protection | 消費者保護 |
| Cybersecurity | サイバーセキュリティ |
| Electronic products | 電子製品 |
| Incorporation by reference, internet | 参照による組み込み、インターネット |
| Labeling | ラベリング |
| Product testing and certification | 製品試験および認証 |
| Telecommunications | 電気通信 |
| Federal Communications Commission | 連邦通信委員会 |
| Marlene Dortch, | マーリーン・ドーチ |
| Secretary. | 長官 |
| Final Rules | 最終規則 |
| For the reasons discussed in the preamble, the Federal Communications Commission amends 47 CFR subchapter A as follows: | 前文で述べた理由により、連邦通信委員会は47CFR A章を以下のように改正する: |
| 1. Under the authority of 47 U.S.C. 151, 152, 153, 154(i)-(j), 160, 163, 201, 202, 206, 207, 208, 209, 214, 215, 216, 217, 218, 219, 220, 230, 251, 254, 256, 257, 301, 303, 304, 307, 309, 310, 312, 316, 332, 403, 501, 503, 522, 1302, revise the heading for subchapter A to read as follows: | 1. 47 U.S.C. 151、152、153、154(i)-(j)、160、163、201、202、206、207、208、209、214、215、216、217、218、219、220、230、251、254、256、257、301、303、304、307、309、310、312、316、332、403、501、503、522、1302の認可に基づき、A章の見出しを以下のように修正する: |
| Subchapter A—General | サブチャプターA - 全般 |
| PART 8—SAFEGUARDING AND SECURING THE INTERNET | パート8 - インターネットの保護と安全確保 |
| 2. The authority citation for part 8 continues to read as follows: | 2. 第 8 部の認可の引用は以下のように続く: |
| Authority: 47 U.S.C. 151, 152, 153, 154, 163, 201, 202, 206, 207, 208, 209, 216, 217, 257, 301, 302a, 303, 304, 307, 309, 312, 316, 332, 403, 501, 503, 522, 1302, 1753. | 認可:合衆国法典第 47 編第 151 条、第 152 条、第 153 条、第 154 条、第 163 条、第 201 条、第 202 条、第 206 条、第 207 条、第 208 条、第 209 条、第 216 条、第 217 条、第 257 条、第 301 条、第 302a 条、第 303 条、第 304 条、第 307 条、第 309 条、第 312 条、第 316 条、第 332 条、第 403 条、第 501 条、第 503 条、第 522 条、第 1302 条、第 1753 条。 |
| 3. Revise the heading for part 8 to read as set forth above. | 3. 第8部の見出しを上記のように修正する。 |
| §§ 8.1, 8.2, 8.3, and 8.6 | §8.1、8.2、8.3、8.6 |
| [Designated as Subpart A] | [サブパートAに指定される。] |
| 4. Designate §§ 8.1, 8.2, 8.3, and 8.6 as subpart A. | 4. §8.1、8.2、8.3、および 8.6 をサブパート A に指定する。 |
| 5. Add a heading for newly designated subpart A to read as follows: | 5. 新たに指定されたサブパートAの見出しを以下のように追加する: |
| Subpart A—Protections for internet Openness | サブパートA - インターネット開放の防御 |
| 6. Add subpart B to read as follows: | 6. サブパート B を追加し、以下のようにする: |
| Subpart B—Cybersecurity Labeling Program for IoT Products | サブパートB - IoT製品のサイバーセキュリティラベリングプログラム |
| 8.201 | 8.201 |
| Incorporation by reference. | 参照により組み込む。 |
| 8.202 | 8.202 |
| Basis and purpose. | 根拠と目的 |
| 8.203 | 8.203 |
| Definitions. | 定義 |
| 8.204 | 8.204 |
| Prohibition on use of the FCC IoT Label on products produced by listed sources. | リストされた供給源から製造された製品へのFCC IoTラベルの使用の禁止。 |
| 8.205 | 8.205 |
| Cybersecurity labeling authorization. | サイバーセキュリティ・ラベルの認可。 |
| 8.206 | 8.206 |
| Identical defined. | 同一の定義。 |
| 8.207 | 8.207 |
| Responsible party. | 責任者。 |
| 8.208 | 8.208 |
| Application requirements. | アプリケーション要件。 |
| 8.209 | 8.209 |
| Grant of authorization to use FCC IoT Label. | FCC IoT ラベルの使用認可の付与。 |
| 8.21 | 8.21 |
| Dismissal of application. | 申請の却下。 |
| 8.211 | 8.211 |
| Denial of application. | 申請の却下。 |
| 8.212 | 8.212 |
| Review of CLA decisions. | CLAの決定を見直す。 |
| 8.213 | 8.213 |
| Limitations on grants to use the FCC IoT Label. | FCC IoTラベルの使用に対する補助金の制限。 |
| 8.214 | 8.214 |
| IoT product defect and/or design change. | IoT 製品の欠陥および/または設計変更。 |
| 8.215 | 8.215 |
| Retention of records. | 記録の保持。 |
| 8.216 | 8.216 |
| Termination of authorization to use the FCC IoT Label. | FCC IoT ラベルの使用認可の終了。 |
| 8.217 | 8.217 |
| CyberLABs. | サイバーラボ。 |
| 8.218 | 8.218 |
| Recognition of CyberLAB accreditation bodies. | サイバーラボ 認定団体の承認。 |
| 8.219 | 8.219 |
| Approval/recognition of Cybersecurity Label Administrators. | サイバーセキュリティラベル管理者の承認/認定。 |
| 8.22 | 8.22 |
| Requirements for CLAs. | CLA の要件 |
| 8.221 | 8.221 |
| Requirements for the Lead Administrator. | 主管理者に対する要求事項。 |
| 8.222 | 8.222 |
| Establishment of an IoT Registry. | IoT レジストリの設立。 |
| Subpart B—Cybersecurity Labeling Program for IoT Products | サブパート B-IoT製品に対するサイバーセキュリティ・ラベリングプログラム |
| § 8.201 | § 8.201 |
| Incorporation by reference. | 参照による組み込み。 |
| Certain material is incorporated by reference into this subpart with the approval of the Director of the Federal Register in accordance with 5 U.S.C. 552(a) and 1 CFR part 51. All approved incorporation by reference (IBR) material is available for inspection at the Federal Communications Commission (FCC or Commission) and at the National Archives and Records Administration (NARA). Contact the FCC at the address indicated in 47 CFR 0.401(a), phone: (202) 418-0270. For information on the availability of this material at NARA, visit www.archives.gov/federal-register/cfr/ibr-locations or email fr.inspection@nara.gov. The material may be obtained from the International Electrotechnical Commission (IEC), IEC Central Office, 3, rue de Varembe, CH-1211 Geneva 20, Switzerland, Email: inmail@iec.ch, www.iec.ch. | 合衆国法律集第 5 編第 552 条(a)および第 1 CFR パート 51 に従い、連邦官報局長の承認に より、特定の資料が参照により本サブパートに組み込まれる。承認された参照による組込み(IBR)資料はすべて、連邦通信委員会(FCCまたは委員会)および国立公文書記録管理局(NARA)で閲覧可能である。47CFR0.401(a)に記載されている住所のFCC、電話:(202) 418-0270に問い合わせること。NARAにおける本資料の利用可能性については、www.archives.gov/federal-register/cfr/ibr-locations、または電子メール(fr.inspection@nara.gov)を参照のこと。この資料は、国際電気標準会議(IEC)、IEC中央事務局、3, rue de Varembe, CH-1211 Geneva 20, Switzerland、電子メール:inmail@iec.ch, www.iec.ch から入手することができる。 |
| (a) ISO/IEC 17011:2017(E), Conformity assessment—Requirements for accreditation bodies accrediting conformity assessment bodies, Second Edition, November 2017; IBR approved for § 8.217. | (a) ISO/IEC 17011:2017(E),適合性評価-適合性評価機関を認定する認定機関に対する要求事項,第 2 版,2017 年 11 月; IBR は§8.217 を承認した。 |
| (b) ISO/IEC 17025:2017(E), General requirements for the competence of testing and calibration laboratories, Third Edition, November 2017; IBR approved for §§ 8.217; 8.220. | (b) ISO/IEC 17025:2017(E)「試験所及び校正機関の能力に関する一般要求事項」第 3 版,2017 年 11 月; IBR は§8.217; 8.220 について承認した。 |
| (c) ISO/IEC 17065:2012(E), Conformity assessment—Requirements for bodies certifying products, processes and services, First Edition, 2012-09-15; IBR approved for § 8.220. | (c) ISO/IEC 17065:2012(E),適合性評価-製品,プロセス及びサービスを認証する団体に対する要求事項,第 1 版,2012-09-15;第 8.220 節について IBR が承認した。 |
| Note 1 to § 8.201: | 8.201 節への注記 1: |
| The standards listed in this section are co-published with the International Organization for Standardization (ISO), 1, ch. De la Voie-Creuse, CP 56, CH-1211, Geneva 20, Switzerland; www.iso.org; Tel.: + 41 22 749 01 11; Fax: + 41 22 733 34 30; email: central@iso.org. | このセクションに記載されている標準は,国際標準化機構(ISO)と共同発行している1, ch. De la Voie-Creuse, CP 56, CH-1211, Geneva 20, Switzerland; www.iso.org; Tel: + 41 22 749 01 11; Fax: + 41 22 733 34 30; email: central@iso.org. |
| Note 2 to § 8.201: | 8.201 節への注記 2: |
| ISO publications can also be purchased from the American National Standards Institute (ANSI) through its NSSN operation ( www.nssn.org), at Customer Service, American National Standards Institute, 25 West 43rd Street, New York, NY 10036, telephone (212) 642-4900. | ISOの出版物は,米国規格協会(ANSI)のNSSN事業( www.nssn.org )を通じて,米国規格協会(American National Standards Institute, 25 West 43rd Street, New York, NY 10036)の顧客サービス(Customer Service, American National Standards Institute, 25 West 43rd Street, New York, NY 10036),電話(212)642-4900からも購入できる。 |
| § 8.202 | § 8.202 |
| Basis and purpose. | 根拠と目的。 |
| In order to elevate the Nation's cybersecurity posture and provide consumers with assurances regarding their baseline cybersecurity, thereby addressing risks of harmful radiofrequency interference to and from consumer internet-connected (Internet of Things or IoT) products the Federal Communications Commission establishes a labeling program for consumer IoT products. | 連邦通信委員会は、国のサイバーセキュリティ態勢を向上させ、消費者にサイバーセキュリティの基本に関 する保証を提供することにより、消費者向けインターネット接続(IoTまたは IoT)製品に有害な無線周波数干渉のリスクに対処するため、消費者向け IoT 製品のラベリング・プログラムを確立する。 |
| § 8.203 | § 8.203 |
| Definitions. | 定義 |
| (a) Affiliate. For purposes of this subpart and the IoT labeling program, an affiliate is defined as a person that (directly or indirectly) owns or controls, is owned or controlled by, or is under common ownership or control with, another person. For purposes of this subpart, the term own means to own an equity interest (or the equivalent thereof) of more than 10 percent. | (a) 関連会社。本サブパートおよび IoT ラベリングプログラムにおいて、関連会社とは、(直接的または間接的 に)他者を所有または管理する者、他者に所有または管理される者、あるいは他者と共通の所有また は管理下にある者と定義される。本サブパートの目的上、所有とは、10%以上の持分(またはそれに相当するもの)を所有することを意味する。 |
| (b) Consumer IoT products. IoT products intended primarily for consumer use, rather than enterprise or industrial use. Consumer IoT products exclude medical devices regulated by the U.S. Food and Drug Administration (FDA) and excludes motor vehicles and motor vehicle equipment regulated by the National Highway Traffic Safety Administration (NHTSA). | (b) 消費者向け IoT 製品。エンタープライズまたは産業用途ではなく、主に消費者用途を目的とした IoT 製品。消費者向けIoT製品は、米国食品医薬品局(FDA)が規制する医療機器を除外し、米国運輸省道路交通安全局(NHTSA)が規制する自動車および自動車機器を除外する。 |
| (c) Cybersecurity Label Administrator (CLA). An accredited third-party entity that is recognized and authorized by the Commission to manage and administer the labeling program in accordance with the Commission's rules in this subpart. | (c) サイバーセキュリティラベル管理者(CLA)。本サブパートの委員会規則に従い、ラベリングプログラムを管理・運営することを委員会に認められ、認可されたサードパーティ事業体。 |
| (d) Cybersecurity Testing Laboratory (CyberLAB). Accredited third-party entities recognized and authorized by a CLA to assess consumer IoT products for compliance with requirements of the labeling program. | (d) サイバーセキュリティ試験所(サイバーラボ)。消費者向け IoT 製品がラベリング・プログラムの要件に準拠しているかどうかを評価するために、CLA が認可し、権限を与えたアセスメント・パーティ事業体。 |
| (e) Cyber Trust Mark. A visual indicator indicating a consumer IoT product complies with program requirements of the labeling program and the Commission's minimum cybersecurity requirements in this subpart. | (e) サイバートラストマーク。消費者向け IoT 製品が、ラベリング・プログラムのプログラム要件および本サブパートの委員会の最低サイバーセキュリティ要件に準拠していることを示す視覚的表示。 |
| (f) FCC IoT Label. A binary label displayable with a consumer IoT product complying with program requirements of the labeling program, the binary label bearing the Cyber Trust Mark, and a scannable QR code that directs consumers to a registry containing further information on the complying consumer IoT product. | (f) FCC IoT ラベル。ラベリング・プログラムのプログラム要件に準拠する消費者向け IoT 製品とともに表示可能なバイナリ・ラベルであり、サイバートラスト・マークが付されたバイナリ・ラベル、および準拠する消費者向け IoT 製品に関する詳細情報を含むレジストリに消費者を誘導するスキャン可能な QR コードである。 |
| (g) Intentional radiator. A device that intentionally generates and emits radiofrequency energy by radiation or induction. | (g) 意図的放射体。放射または誘導によって意図的に高周波エネルギーを生成し、放出する装置。 |
| (h) Internet-connected device. A device capable of connecting to the internet and exchanging data with other devices or centralized systems over the internet. | (h) インターネット接続機器。インターネットに接続し、インターネットを介して他のデバイスまたは集中システムとデータを交換できるデバイスをいう。 |
| (i) IoT device. (1) An internet-connected device capable of intentionally emitting radiofrequency energy that has at least one transducer (sensor or actuator) for interacting directly with the physical world; coupled with | (i) IoT デバイス。(1) 物理的世界と直接相互作用するための少なくとも1つの変換器(センサーまたはアクチュエーター)を有し、意図的に高周波エネルギーを放出することができるインターネット接続機器。 |
| (2) At least one network interface ( e.g., Wi-Fi, Bluetooth) for interfacing with the digital world. | (2) デジタル世界と連動するための少なくとも1つのネットワーク・インターフェース(Wi-Fi、Bluetoothなど)。 |
| (j) IoT product. An IoT device and any additional product components ( e.g., backend, gateway, mobile app) that are necessary to use the IoT device beyond basic operational features, including data communications links to components outside this scope but excluding those external components and any external third-party components that are outside the manufacturer's control. | (j) IoT 製品。IoT 機器と、基本的な動作機能を超えて IoT 機器を使用するために必要な追加的な製品コンポー ネント(バックエンド、ゲートウェイ、モバイルアプリなど)。 |
| (k) Labeling program. A voluntary program for consumer IoT products that allows a complying consumer IoT product to display an FCC IoT Label. | (k) ラベリングプログラム。準拠する消費者向け IoT 製品に FCC IoT ラベルを表示することを認める、消費者向け IoT 製品の自主的プログラム。 |
| (l) Lead Administrator. A CLA selected from among Cybersecurity Label Administrators (CLAs) to be responsible for carrying out additional administrative responsibilities of the labeling program. | (l) 主管理者。サイバーセキュリティ・ラベル管理者(CLA)の中から選出され、ラベリング・プログラムの 追加管理責任を担う CLA。 |
| (m) Product components. Hardware devices, plus supporting components that generally fall into three main types per NISTIR 8425: specialty networking/gateway hardware ( e.g., a hub within the system where the IoT device is used); companion application software ( e.g., a mobile app for communicating with the IoT device); and backends ( e.g., a cloud service, or multiple services, that may store and/or process data from the IoT device). Should a product component also support other IoT products through alternative features and interfaces, these alternative features and interfaces may, through risk-assessment, be considered as separate from and not part of the IoT product for purposes of authorization. | (m) 製品コンポーネント。ハードウェアデバイスと、NISTIR 8425 に従って一般的に 3 つの主要なタイプに分類されるサポートコンポー ネント:特殊ネットワーキング/ゲートウェイハードウェア(例えば、IoT デバイスが使用されるシス テム内のハブ)、コンパニオンアプリケーションソフトウェア(例えば、IoT デバイスとコミュニケーショ ンするためのモバイルアプリ)、およびバックエンド(例えば、IoT デバイスからのデータを保存および/または 処理するクラウドサービス、または複数のサービス)。製品コンポーネントが代替機能および代替インターフェイスを通じて他の IoT 製品もサポートする場合、これらの代替機能および代替インターフェイスは、リスクアセスメントを通じて、認可の目的上、IoT 製品とは別個のものであり、IoT 製品の一部ではないものとみなされる可能性がある。 |
| (n) Registry. Information presented to consumers about consumer IoT products that comply with the program requirements of the labeling program, the registry is publicly accessible through a link from the QR Code of the FCC IoT Label displayed with the complying consumer IoT product, and containing information about the complying consumer IoT product, manufacturer of the complying consumer IoT product, and other information as required by the labeling program. | (n) レジストリ。レジストリは、適合する消費者向け IoT 製品とともに表示される FCC IoT ラベルの QR コードからのリンクを通じて一般にアクセス可能であり、適合する消費者向け IoT 製品、適合する消費者向け IoT 製品の製造事業者、およびラベリング・プログラムが要求するその他の情報を含む。 |
| § 8.204 | § 8.204 |
| Prohibition on use of the FCC IoT Label on products produced by listed sources. | リストされた供給源によって製造された製品への FCC IoT ラベルの使用禁止。 |
| All consumer IoT products produced by sources listed in this subpart are prohibited from obtaining use of the FCC IoT Label under this subpart. This includes: | 本サブパートに記載された供給源によって製造されたすべての消費者向け IoT 製品は、本サブパートに基づく FCC IoT ラベルの使用を取得することが禁止される。これには以下が含まれる: |
| (a) All communications equipment on the Covered List, as established pursuant to 47 CFR 1.50002; | (a) 47 CFR 1.50002 に従って設定される対象リスト上のすべてのコミュニケーション機器; |
| (b) All IoT products containing IoT devices or product components produced by entities listed in paragraph (c) or (d) of this section; | (b) 本節の(c)または(d)項に記載される事業体によって製造された IoT 機器または製品部品を含むすべての IoT 製品; |
| (c) IoT devices or IoT products produced by any entity, its affiliates, or subsidiaries identified on the Covered List as producing covered equipment, as established pursuant to 47 CFR 1.50002; | (c) 47 CFR 1.50002に従って策定される、対象機器を製造するものとして対象リストで識別される事業体、その関連会社、または子会社が製造するIoT機器またはIoT製品; |
| (d) IoT devices or IoT products produced by any entity, its affiliates, or subsidiaries identified on the Department of Commerce's Entity List, 15 CFR part 744, supplement no. 4, and/or the Department of Defense's List of Chinese Military Companies, U.S. Department of Defense, Entities Identified as Chinese Military Companies Operating in the United States in Accordance with Section 1260H of the William M. (“Mac”) Thornberry National Defense Authorization Act for Fiscal Year 2021 (Pub. L. 116-283), Tranche 2 (2022), https://media.defense.gov/2022/Oct/05/2003091659/-1/-1/0/1260H%20COMPANIES.PDF. and | (d) 商務省の事業体リスト(15 CFR part 744、補足番号 4)、および/または国防総省の中国軍需企業リスト(U.S. Department of Defense, Entities Identified of Chinese Military Companies, U.S.)で識別される事業体、その関連会社、または子会社によって製造される IoT デバイスまたは IoT 製品。Department of Defense, Entities Identified as Chinese Military Companies Operating in the Section 1260H according accordingance with the Section 1260H of the William M. (「Mac」) Thornberry National Defense Authorization Act for Fiscal Year 2021 (Pub. L. 116-283), Tranche 2 (2022), https://media.defense.gov/2022/Oct/05/2003091659/-1/-1/0/1260H%20COMPANIES.PDF。 |
| (e) Products produced by any entity owned or controlled by or affiliated with any person or entity that has been suspended or debarred from receiving Federal procurements or financial awards, to include all entities and individuals published as ineligible for award on the General Service Administration's System for Award Management. | (e)一般調達局(General Service Administration)の授与管理システム(System for Award Management)において授与不適格と公表された事業体および個人を含む、連邦調達または財務上の賞の受領を停止または剥奪された個人または事業体が所有または統制する、あるいはその個人または事業体と関連する事業体が製造する製品。 |
| § 8.205 | § 8.205 |
| Cybersecurity labeling authorization. | サイバーセキュリティ・ラベリング認可。 |
| (a) Cybersecurity labeling authorization is an authorization issued by a Cybersecurity Label Administrator (CLA) and authorized under the authority of the Commission, which grants an applicant of a complying consumer IoT product to display the FCC IoT Label on the relevant packaging for the complying consumer product, based on compliance with the program requirements as determined by the CLA. | (a) サイバーセキュリティ・ラベル認可は、サイバーセキュリティ・ラベル管理者(CLA)により発行され、委員会の権限に基づき認可されるものであり、CLAが決定するプログラム要件への準拠に基づき、準拠する消費者向けIoT製品の申請者に対し、準拠する消費者向け製品の関連包装にFCC IoTラベルを表示することを認めるものである。 |
| (b) Cybersecurity labeling authorization attaches to all units of the complying consumer IoT product subsequently marketed by the grantee that are identical (see § 8.206) to the sample determined to comply with the program requirements except for permissive changes or other variations authorized by the Commission. | (b) サイバーセキュリティラベルの認可は、委員会が認めた許容的な変更またはその他の変更を除き、プログラム要件に準拠すると判断されたサンプルと同一(第 8.206 条を参照)である、被認可者がその後販売する準拠消費者向け IoT 製品のすべてのユニットに適用される。 |
| § 8.206 | § 8.206 |
| Identical defined. | 同一の定義。 |
| As used in this subpart, the term identical means identical within the variation that can be expected to arise as a result of quantity production techniques. | このサブパートで使用される場合、同一という用語は、量 産技術の結果として生じると予想されるばらつきの範囲内で同一であることを意味する。 |
| § 8.207 | § 8.207 |
| Responsible party. | 責任当事者。 |
| In the case of a complying consumer IoT product that has been granted authorization to use the FCC IoT Label, the applicant to whom that grant of cybersecurity labeling authorization is issued is responsible for continued compliance with the program requirements for continued use of the FCC IoT Label. | FCC IoT ラベルの使用認可が付与された適合消費者向け IoT 製品の場合、サイバーセキュリ ティ・ラベルの使用認可が発行された申請者は、FCC IoT ラベルの継続的な使用に関するプログラム要 件の継続的な遵守に責任を負う。 |
| § 8.208 | § 8.208 |
| Application requirements. | 申請要件。 |
| (a) An application to certify the consumer IoT product as being compliant with the labeling program shall be submitted in writing to a Cybersecurity Labeling Administrator (CLA) in the form and format prescribed by the Commission. Each application shall be accompanied by all information required by this subpart. | (a) 消費者向け IoT 製品がラベリング・プログラムに適合していることを認証するための申請は、委員会 が規定する書式で、サイバーセキュリティ・ラベリング管理者(CLA)に書面で提出するものとする。各申請書には、本サブパートが要求するすべての情報を添付しなければならない。 |
| (b) The applicant shall provide to the CLA in the application all information that the CLA requires to determine compliance with the program requirements of the labeling program. | (b) 申請者は、CLAがラベリング・プログラムのプログラム要件への準拠を判断するために必要とするすべての情報を、申請書の中でCLAに提供する。 |
| (c) The applicant will provide a declaration under penalty of perjury that all of the following are true and correct: | (c) 申請者は、偽証罪に基づき、以下の全てが真実かつ正確である旨の宣誓書を提出する: |
| (1) The product for which the applicant seeks to use the FCC IoT Label through cybersecurity certification meets all the requirements of the IoT labeling program. | (1) 申請者がサイバーセキュリティ認証を通じて FCC IoT ラベルの使用を求める製品は、IoT ラベリング・プログラムのすべての要件を満たしている。 |
| (2) The applicant is not identified as an entity producing covered communications equipment on the Covered List, established pursuant to 47 CFR 1.50002. | (2) 申請者は、47 CFR 1.50002に従って設定された対象リストにおいて、対象通信機器を製造する事業体として特定されていない。 |
| (3) The product is not comprised of “covered” equipment on the Covered List. | (3) 製品が、対象リスト上の「対象」機器で構成されていないこと。 |
| (4) The product is not produced by any entity, its affiliates, or subsidiaries identified on the Department of Commerce's Entity List, 15 CFR part 744, supplement no. 4, and/or the Department of Defense's List of Chinese Military Companies, U.S. Department of Defense, Entities Identified as Chinese Military Companies Operating in the United States in Accordance with Section 1260H of the William M. (“Mac”) Thornberry National Defense Authorization Act for Fiscal Year 2021 (Pub. L. 116-283), Tranche 2 (2022), https://media.defense.gov/2022/Oct/05/2003091659/-1/-1/0/1260H%20COMPANIES.PDF; and | (4) 商務省の事業体リスト(15 CFR part 744, supplement no.4)および/または国防総省の中国軍需企業リスト(U.S. Department of Defense, Entities Identified of Chinese Military Companies, U.S.)で識別される事業体、その関連会社、または子会社によって生産された製品でないこと。Department of Defense, Entities Identified as Chinese Military Companies Operating in the Section 1260H according according with Section 1260H of the William M. (「Mac」) Thornberry National Defense Authorization Act for Fiscal Year 2021 (Pub. L. 116-283), Tranche 2 (2022), https://media.defense.gov/2022/Oct/05/2003091659/-1/-1/0/1260H%20COMPANIES.PDF; および。 |
| (5) The product is not owned or controlled by or affiliated with any person or entity that has been suspended or debarred from receiving Federal procurements or financial awards, to include all entities and individuals published as ineligible for award on the General Service Administration's System for Award Management as described in § 8.204. | (5) 8.204項に記載されている一般調達局の受賞管理システムで受賞資格がないとして公表されている事業体や個人を含め、連邦調達や金融賞の受領を停止された、または剥奪された個人または事業体によって所有または統制されていない、またはその関係者でないこと。 |
| (6) The applicant has taken every reasonable measure to create a securable product. | (6) 申請者は、安全な製品を作成するためにあらゆる合理的な手段を講じている。 |
| (7) The applicant will, until the support period end date disclosed in the registry, diligently identify critical vulnerabilities in our products and promptly issue software updates correcting them, unless such updates are not reasonably needed to protect against security failures. | (7) 申請者は、レジストリに開示されたサポート期間終了日まで、自社製品の重大な脆弱性を真摯に識別し、セキュリティ上の不具合から保護するために合理的に必要とされない場合を除き、その脆弱性を修正するソフトウェア・アップデートを速やかに発行すること。 |
| (8) The applicant will not elsewhere disclaim or otherwise attempt to limit the substantive or procedural enforceability of this declaration or of any other representations and commitments made on the FCC IoT Label or made for purposes of acquiring or maintaining authorization to use it. | (8) 申請者は、本宣言、あるいはFCC IoTラベルに記載された、あるいは使用認可の取得もしくは維持の目的で行われたその他の表明および確約の実質的もしくは手続き上の強制力を、他方で否認したり、その他の方法で制限しようとしたりしないこと。 |
| (d) The applicant shall provide a written and signed declaration to the CLA that all statements it makes in the application are true and correct to the best of its knowledge and belief. | (d) 申請者は、CLAに対し、申請書に記載されたすべての記述が、その知る限りおよび信じる限りにおいて、真実かつ正確である旨の書面による署名入りの宣誓書を提出するものとする。 |
| (e) Each application, including amendments thereto, and related statements of fact and authorizations required by the Commission, shall be signed by the applicant or their authorized agent. | (e) 各申請書(その補正を含む)、および関連する事実の陳述書、および委員会が要求する認可には、申請者またはその権限を有する代理人が署名するものとする。 |
| (f) The applicant declares the product is reasonably secure and will be updated through minimum support period for the product and the end date of the support period must be disclosed. | (f) 申請者は、製品が合理的に安全であり、製品の最小サポート期間を通じて更新されることを宣言し、サポート期間の終了日を開示しなければならない。 |
| (g) The applicant shall declare under penalty of perjury that the consumer IoT product for which the applicant is applying for participation in the labeling program is not prohibited pursuant to § 8.204. | (g) ラベリングプログラムへの参加を申請する消費者用IoT製品が、§8.204に従って禁止されていないことを、 偽証の罰則のもと申告すること。 |
| (h) If the identified listed sources under § 8.204 are modified after the date of the declaration required by paragraph (c) of this section but prior to grant of authorization to use the FCC IoT Label, then the applicant shall provide a new declaration as required by paragraph (c). | (h) 第8.204条に基づき特定されたリストされた情報源が、本節の(c)項により要求される宣言の日以降、FCC IoTラベルの使用認可前に変更された場合、申請者は、(c)項により要求される新たな宣言を行うものとする。 |
| (i) The applicant shall designate an agent located in the United States for the purpose of accepting service of process on behalf of the applicant. | (i) 申請者は、申請者に代わって送達を受理する目的で、米国に所在する代理人を指定すること。 |
| (1) The applicant shall provide a written attestation: | (1) 出願人は、以下の証明書を提出しなければならない: |
| (i) Signed by both the applicant and its designated agent for service of process, if different from the applicant; | (i) 出願人及びその指定代理人(出願人と異なる場合)の双方が署名する; |
| (ii) Acknowledging the applicant's consent and the designated agent's obligation to accept service of process in the United States for matters related to the applicable product, and at the physical U.S. address and email address of its designated agent; and | (ii) 適用製品に関連する事項について,米国における送達を受理する申請者の同意及び指定 代理人の義務,並びに指定代理人の米国における物理的住所及び電子メールアドレスについ て確認すること。 |
| (iii) Acknowledging the applicant's acceptance of its obligation to maintain an agent for service of process in the United States for no less than one year after either the grantee has permanently terminated all marketing and importation of the applicable equipment within the U.S., or the conclusion of any Commission-related administrative or judicial proceeding involving the product, whichever is later. | (iii) 交付申請者が、米国内での該当機器の販売および輸入をすべて永久に終了するか、または、当該製品に関連する委員会関連の行政手続きもしくは司法手続きが終了した後のいずれか遅い方の日から1年以上、米国における送達のための代理人を維持する義務を申請者が受諾したことを認めること。 |
| (2) An applicant located in the United States may designate itself as the agent for service of process. | (2) 米国に所在する申請者は、自らを送達代理人に指定することができる。 |
| (j) Technical test data submitted to the CLA shall be signed by the person who performed or supervised the tests. The person signing the test data shall attest to the accuracy of such data. The CLA may require the person signing the test data to submit a statement showing that they are qualified to make or supervise the required measurements. | (j) CLAに提出する技術試験データには、試験を実施または監督した者が署名しなければならない。試験データに署名する者は、当該データの正確性を証明するものとする。CLA は、試験データに署名する個人に対し、要求された測定を実施または監督する資格があることを示す文 書の提出を求めることができる。 |
| (k) Signed, as used in this section, means an original handwritten signature or any symbol executed or adopted by the applicant or CLA with the intent that such symbol be a signature, including symbols formed by computer-generated electronic impulses. | (k) 本項において「署名」とは、オリジナルの手書き署名、または申請者もしくは CLA が署名となる 意図で実行もしくは採用した記号を意味し、コンピュータ生成的電子インパルスによって形成された記号 を含む。 |
| § 8.209 | § 8.209 |
| Grant of authorization to use FCC IoT Label. | FCC IoT ラベル使用認可の付与。 |
| (a) A CLA will grant cybersecurity labeling authorization if it finds from an examination of the application and supporting data, or other matter which it may officially notice, that the consumer IoT product complies with the program requirements. | (a) CLA は、消費者向け IoT 製品がプログラム要件に適合していることを、申請書および裏付けデ ータ、または CLA が公式に通知するその他の事項の審査から認める場合、サイバーセキュリティラベ ルの認可を与える。 |
| (b) Grants will be made in writing showing the effective date of the grant. | (b) 付与は、付与の発効日を記載した書面で行われる。 |
| (c) Cybersecurity certification shall not attach to any product, nor shall any use of the Cyber Trust Mark be deemed effective, until the application has been granted. | (c) 申請が承認されるまでは、サイバーセキュリティ認証はいかなる製品にも付与されず、サイバートラストマークの使用も有効とみなされない。 |
| (d) Grants will be effective from the date of authorization. | (d) 助成金は認可日から有効となる。 |
| (e) The grant shall identify the CLA granting the authorization and the Commission as the issuing authority. | (e) 付与は、認可を与えるCLAおよび発行機関としての委員会を特定するものとする。 |
| (f) In cases of a dispute, the Commission will be the final arbiter. | (f) 紛争が生じた場合は、委員会が最終決定者となる。 |
| § 8.210 | § 8.210 |
| Dismissal of application. | 申請の却下 |
| (a) An application that is not in accordance with the provisions of this subpart may be dismissed. | (a) 本サブパートの規定に従わない申請は却下することができる。 |
| (b) Any application, upon written request signed by the applicant or their agent, may be dismissed prior to a determination granting or denying the authorization requested. | (b) いかなる申請も、申請者又はその代理人が署名した書面による要求があれば、要求された認可を認めるか否かの決定前に却下することができる。 |
| (c) If an applicant is requested to submit additional documents or information and fails to submit the requested material within the specified time period, the application may be dismissed. | (c) 申請者が追加書類又は情報の提出を要求され、要求された資料を指定期間内に提出しな かった場合、申請は却下されることがある。 |
| § 8.211 | § 8.211 |
| Denial of application. | 申請の却下。 |
| If the CLA is unable to make the findings specified in § 8.209(a), it will deny the application. Notification of the denial to the applicant will include a statement of the reasons for the denial. | CLAが8.209項(a)に規定する所見を行うことができない場合、CLAは申請を却下する。申請者に対する却下の通知には、却下の理由の陳述が含まれる。 |
| § 8.212 | § 8.212 |
| Review of CLA decisions. | 協会の決定の審査 |
| (a) Seeking review from a CLA. Any party aggrieved by an action taken by a CLA must first seek review from the CLA. The CLA should respond to appeals of their decisions in a timely manner and within 10 business days of receipt of a request for review. | (a) CLA に見直しを求める。CLA の決定に不服のある当事者は、まず CLA に再審査を求めなければならない。CLAは、審査請求の受領後10営業日以内に、その決定に対する不服申し立てに適時に対応すべきである。 |
| (b) Seeking review from the Commission. A party aggrieved by an action taken by a CLA may, after seeking review by the CLA, seek review from the Commission. | (b) 委員会に見直しを求める。CLAが行った措置に不服がある当事者は、CLAに再審査を求めた後、委員会に再審査を求めることができる。 |
| (c) Filing deadlines. (1) An aggrieved party seeking review of a CLA decision by the CLA shall submit such a request within sixty (60) days from the date the CLA issues a decision. Such request shall be deemed submitted when received by the CLA. | (c) 提出期限。(1) 不利益を被った当事者が、CLAによるCLAの決定の見直しを求める場合、CLAが決定を下した日から60日以内に、かかる要請を提出しなければならない。かかる請求は、CLAが受理した時点で提出されたものとみなされる。 |
| (2) An aggrieved party seeking review of a CLA decision by the Commission shall file such a request within sixty (60) days from the date the CLA issues a decision on the party's request for review. Parties must adhere to the time periods for filing oppositions and replies set forth in 47 CFR 1.45. | (2) 委員会によるCLAの決定の再審査を求める不服当事者は、当事者の再審査請求に対してCLAが決定を下した日から60日以内にかかる請求を提出しなければならない。当事者は、47 CFR 1.45に規定されている異議申し立てと答弁書の提出期間を遵守しなければならない。 |
| (d) Review by the Public Safety and Homeland Security Bureau or the Commission. (1) Requests for review of CLA decisions that are submitted to the Federal Communications Commission shall be considered and acted upon by the Public Safety and Homeland Security Bureau; provided, however, that requests for review that raise novel questions of fact, law or policy shall be considered by the full Commission. | (d) 公共安全保障局または委員会による審査 (1) 連邦通信委員会に提出されたCLAの決定に対する再審査請求は、公共安全・国土安全保障局によって検討され、処理されるものとする。ただし、事実、法律、または政策に関して斬新な問題を提起する再審査請求は、連邦通信委員会全体によって検討されるものとする。 |
| (2) An aggrieved party may seek review of a decision issued under delegated authority by the Public Safety and Homeland Security Bureau pursuant to the rules set forth in 47 CFR part 1. | (2) 不利益を被った当事者は、47CFRパート1に規定される規則に従い、公安・国土安全保障局が委任された権限に基づいて下した決定の見直しを求めることができる。 |
| (e) Standard of review. (1) The Public Safety and Homeland Security Bureau shall conduct de novo review of request for review of decisions issued by the CLA. | (e) 審査標準。(1) 公安・国土安全保障局は、CLAが下した決定に対する審査請求について、デノボ審査を行う。 |
| (2) The Federal Communications Commission shall conduct de novo review of requests for review of decisions by the CLA that involve novel questions of fact, law, or policy; provided, however, that the Commission shall not conduct de novo review of decisions issued by the Public Safety and Homeland Security Bureau under delegated authority. | (2)連邦通信委員会は、事実、法律、または政策に関する新規の問題を含むCLAによる決定の審査請求について、デ・ノボ審査を行うものとする。 |
| (f) Time periods for Commission review of CLA decisions. (1) The Public Safety and Homeland Security Bureau shall, within forty-five (45) days, take action in response to a request for review of a CLA decision that is properly before it. The Public Safety and Homeland Security Bureau may extend the time period for taking action on a request for review of a CLA decision for a period of up to ninety days. The Commission may also at any time, extend the time period for taking action of a request for review of a CLA decision pending before the Public Safety and Homeland Security Bureau. | (f) CLAの決定に対する委員会の審査期間。(1) 公安・国土安全保障局は、45日以内に、正当な権限を有するCLA決定の審査請求に対して措置を講じなければならない。公安・国土安全保障局は、CLA決定の審査請求に対する措置の期間を最長90日間延長することができる。委員会はまた、いつでも、公安国土安全保障局に係属中のCLA決定の審査請求の措置期間を延長することができる。 |
| (2) The Commission shall issue a written decision in response to a request for review of a CLA decision that involves novel questions of fact, law, or policy within forty-five (45) days. The Commission may extend the time period for taking action on the request for review of a CLA decision. The Public Safety and Homeland Security Bureau also may extend action on a request for review of a CLA decision for a period of up to ninety days. | (2) 委員会は、事実、法律、または政策に関する斬新な問題を含むCLA決定の審査請求に対し、45日以内に書面による決定を下すものとする。委員会は、CLA決定の審査請求に対する措置の期間を延長することができる。公安・国土安全保障局もまた、CLA決定の審査請求に対する措置を最長90日間延長することができる。 |
| (g) No authorization pending CLA review. While a party seeks review of a CLA decision, they are not authorized to use the FCC IoT Label until the Commission issues a final decision authorizing their use of the FCC IoT Label. | (g) CLA審査中は認可されない。当事者がCLA決定の見直しを求めている間は、委員会がFCC IoTラベルの使用を認可する最終決定を下すまで、FCC IoTラベルの使用は認可されない。 |
| § 8.213 | § 8.213 |
| Limitations on grants to use the FCC IoT Label. | FCC IoTラベルの使用許可に関する制限。 |
| (a) A grant of authorization to use the FCC IoT Label remains effective until set aside, revoked or withdrawn, rescinded, surrendered, or a termination date is otherwise established by the Commission. | (a) FCC IoTラベルを使用する認可の付与は、破棄、取り消しもしくは撤回、取消し、引渡し、または委員会が別途終了日を定めるまで有効である。 |
| (b) No person shall, in any advertising matter, brochure, etc., use or make reference to the FCC IoT Label or the Cyber Trust Mark in a deceptive or misleading manner. | (b) いかなる者も、広告物、パンフレット等において、FCC IoTラベルまたはサイバートラストマークを、欺瞞的または誤解を招くような方法で使用または言及してはならない。 |
| § 8.214 | § 8.214 |
| IoT product defect and/or design change. | IoT 製品の欠陥および/または設計変更。 |
| When a complaint is filed directly with the Commission or submitted to the Commission by the Lead Administrator or other party concerning a consumer IoT product being non-compliant with the labeling program, and the Commission determines that the complaint is justified, the Commission may require the grantee to investigate such complaint and report the results of such investigation to the Commission within 20 days. The report shall also indicate what action if any has been taken or is proposed to be taken by the grantee to correct the defect, both in terms of future production and with reference to articles in the possession of users, sellers, and distributors. | 消費者向け IoT 製品がラベリング・プログラムに準拠していないことに関して、委員会に直接苦情が提出された場合、または主管理者もしくはその他の関係者から委員会に苦情が提出された場合であって、その苦情が正当であると委員会が判断した場合、委員会は、当該被補助事業者に対し、当該苦情を調査し、20 日以内に調査結果を委員会に報告するよう求めることができる。また、報告書には、今後の生産に関して、また、使用者、販売者、頒布事業者の手元にある物品に関して、不具合を是正するために被補助事業者がどのような措置を講じたか、または講じる予定であるかが記載されなければならない。 |
| § 8.215 | § 8.215 |
| Retention of records. | 記録の保持。 |
| (a) For complying consumer IoT products granted authorization to use the FCC IoT Label, the grantee shall maintain the records listed as follows: | (a) FCC IoT ラベルの使用が認可された適合消費者向け IoT 製品について、被認証者は、 以下の記録を保持しなければならない: |
| (1) A record of the original design and specifications and all changes that have been made to the complying consumer IoT product that may affect compliance with the standards and testing procedures of this subpart. | (1) 当初の設計および仕様、ならびに準拠する消費者向け IoT 製品に対して行われたすべての変更 の記録であって、本サブパートの標準および試験手順への準拠に影響を及ぼす可能性のあるもの。 |
| (2) A record of the procedures used for production inspection and testing to ensure conformance with the standards and testing procedures of this subpart. | (2) 本編の標準および試験手順への適合を確実にするために製造検査および試験に使用した手順の記録。 |
| (3) A record of the test results that demonstrate compliance with the appropriate regulations in this chapter. | (3) 本章の該当する規制への適合を証明する試験結果の記録。 |
| (b) Records shall be retained for a two-year period after the marketing of the associated product has been permanently discontinued, or until the conclusion of an investigation or a proceeding if the grantee is officially notified that an investigation or any other administrative proceeding involving its product has been instituted. | (b) 記録は、関連製品の販売が永久に中止された後2年間、または、被補助者が、その製品に関わる調査またはその他の行政手続きが開始されたことを公式に通知された場合は、調査または手続きが終了するまで保管しなければならない。 |
| § 8.216 | § 8.216 |
| Termination of authorization to use the FCC IoT Label. | FCC IoTラベルの使用認可の終了。 |
| (a) Grant of authorization to use the FCC IoT Label is automatically terminated by notice of the Bureau following submission of a report as specified in § 8.214 has not been adequately corrected: | (a) FCC IoT ラベルの使用認可は、8.214 条に規定される報告書の提出後、適切に是正されていない場合、局からの通知により自動的に終了する: |
| (1) For false statements or representations made either in the application or in materials or response submitted in connection therewith or in records required to be kept by § 8.215. | (1) 申請書、またはそれに関連して提出された資料もしくは回答、または 8.215 条により保管が義務付けられている記録において虚偽の記述または表明が行われた場合。 |
| (2) If upon subsequent inspection or operation it is determined that the consumer IoT product does not conform to the pertinent technical requirements in this subpart or to the representations made in the original application. | (2) その後の検査または操作により、消費者用 IoT 製品が本款の該当する技術要件または当初の申請で行わ れた説明に適合していないと判断された場合。 |
| (3) Because of conditions coming to the attention of the Commission which would warrant it in refusing to grant authorization to use the FCC IoT Label. | (3) FCC IoT ラベルの使用を認可しないことを正当化するような状況が委員会の知るところとなった場合。 |
| (4) Because the grantee or affiliate has been listed as described in § 8.204. | (4) 付与対象者または関連会社が、8.204 節に記載されるようにリストアップされたため。 |
| (b) [Reserved] | (b) [留保]。 |
| § 8.217 | § 8.217 |
| CyberLABs. | サイバーラボ。 |
| (a) A CyberLAB providing testing of products seeking a grant of authorization to use the FCC IoT Label shall be accredited by a recognized accreditation body, which must attest that the CyberLAB has demonstrated: | (a) FCC IoT ラベルを使用する認可の付与を求める製品の試験を提供するサイバーラボは、公認の 認定機関によって認定されなければならず、その認定機関は、サイバーラボが以下を実証して いることを証明しなければならない: |
| (1) Technical expertise in cybersecurity testing and conformity assessment of IoT devices and products. | (1) IoT 機器および製品のサイバーセキュリティ試験および適合性評価に関する技術的専門知識。 |
| (2) Compliance with accreditation requirements based on ISO/IEC 17025 (incorporated by reference, see § 8.201). | (2) ISO/IEC 17025(参照により組み込まれる、8.201 節を参照)に基づく認定要件への準拠。 |
| (3) Knowledge of FCC rules and procedures associated with products compliance testing and cybersecurity certification. | (3) 製品適合性試験およびサイバーセキュリティ認証に関連する FCC 規則および手順の知識。 |
| (4) Necessary equipment, facilities, and personnel to conduct cybersecurity testing and conformity assessment of IoT devices and products. | (4) IoT 機器及び製品のサイバーセキュリティ試験及び適合性評価を実施するために必要な設備、 施設及び要員。 |
| (5) Documented procedures for conformity assessment. | (5) 適合性評価のための文書化された手順。 |
| (6) Implementation of controls to eliminate potential conflicts of interests, particularly with regard to commercially sensitive information. | (6) 特に商業上の機密情報に関して、潜在的な利益相反を排除するための管理の実施。 |
| (7) That the CyberLAB is not an organization, its affiliates, or subsidiaries identified by the listed sources of prohibition under § 8.204. | (7) 当該サイバーラボが、8.204 項に基づきリストアップされた禁止源によって特定された組織、その 関連会社、または子会社ではないこと。 |
| (8) That it has certified the truth and accuracy of all information it has submitted to support its accreditation. | (8) 認定を裏付けるために提出した全ての情報の真実性と正確性を証明したこと。 |
| (b) Once accredited or recognized the CyberLAB will be periodically audited and reviewed to ensure they continue to comply with the requirements of the ISO/IEC 17025 standard. | (b) 一旦認定又は承認されたサイバーラボは、ISO/IEC 17025 標準の要求事項を継続 的に遵守していることを確認するために、定期的に監査及び審査を受ける。 |
| (c) The Lead Administrator will verify that the CyberLAB is not listed in any of the lists in § 8.204. | (c) 主管庁は、サイバーラボが§8.204のリストに掲載されていないことを確認する。 |
| (d) The Lead Administrator will maintain a list of accredited CyberLABs that it has recognized, and make publicly available the list of accredited CyberLAB. Inclusion of a CyberLAB on the accredited list does not constitute Commission endorsement of that facility. Recognition afforded to a CyberLAB under the labeling program will be automatically terminated for entities that are subsequently placed on the Covered List, listed sources of prohibition under § 8.204, or of it, its affiliate, or subsidiary is owned or controlled by a foreign adversary country defined by the Department of Commerce in 15 CFR 7.4. | (d) 主管庁は、認定したサイバーラボのリストを管理し、一般に公開する。サイバーラボを認定リストに掲載することは、その施設を委員会が承認したことを意味しない。ラベリング・プログラムの下でサイバーラボに与えられた認定は、その後「対象リスト」 に掲載された事業体、第 8.204 条に基づき禁止源としてリストアップされた事業体、または 15 CFR 7.4 で商務省が定義する外国の敵対国によってその事業体、その関連会社、または子会社が所有または管理されている場合には、自動的に解除される。 |
| (e) In order to be recognized and included on the list in paragraph (d) of this section, the accrediting organization must submit the information in paragraphs (e)(1) through (9) of this section to the Lead Administrator: | (e) 本項(d)のリストに掲載されるためには、認定機関は、本項(e)(1)から(9)の情報を 主管庁に提出しなければならない: |
| (1) Laboratory name, location of test site(s), mailing address and contact information; | (1) 試験所名、試験所の所在地、郵送先住所、連絡先情報; |
| (2) Name of accrediting organization; | (2) 認定機関名; |
| (3) Scope of laboratory accreditation; | (3) 試験所認定の範囲; |
| (4) Date of expiration of accreditation; | (4) 認定の有効期限; |
| (5) Designation number; | (5) 指定番号 |
| (6) FCC Registration Number (FRN); | (6) FCC 登録番号(FRN); |
| (7) A statement as to whether or not the laboratory performs testing on a contract basis; | (7) 試験所が契約ベースで試験を実施しているか否かの記述; |
| (8) For laboratories outside the United States, details of the arrangement under which the accreditation of the laboratory is recognized; and | (8) 米国外の試験所については、当該試験所の認定が認められた取り決めの詳細。 |
| (9) Other information as requested by the Commission. | (9) その他、委員会が要求する情報。 |
| (f) A laboratory that has been accredited with a scope covering the measurements required for the types of IoT products that it will test shall be deemed competent to test and submit test data for IoT products subject to cybersecurity certification. Such a laboratory shall be accredited by a Public Safety and Homeland Security Bureau-recognized accreditation organization based on ISO/IEC 17025. The organization accrediting the laboratory must be recognized by the Public Safety and Homeland Security Bureau to perform such accreditation based on ISO/IEC 17011 (incorporated by reference, see § 8.201). The frequency for reassessment of the test facility and the information that is required to be filed or retained by the testing party shall comply with the requirements established by the accrediting organization, but shall occur on an interval not to exceed two years. | (f) 試験を行う IoT 製品の種類に必要な測定を網羅する範囲の認定を受けた試験所は、サイバーセ キュリティ認証の対象者となる IoT 製品を試験し、試験データを提出する能力があるとみなされる。このような試験所は、ISO/IEC 17025 に基づき、公共安全・国土安全保障局が認定した認定機関に認定されなければならない。試験所を認定する組織は、ISO/IEC 17011(参照により組み込まれる、§8.201 を参照)に基 づいて当該認定を実施することを、公安国土安全保障局によって承認されていなければならない。試験施設の再評価の頻度及び試験関係者が提出又は保持することが要求される情報は、認定機関 が定める要件に従うが、2 年を超えない間隔で実施されなければならない。 |
| § 8.218 | § 8.218 |
| Recognition of CyberLAB accreditation bodies. | サイバーラボ 認定団体の承認。 |
| (a) A party wishing to become a laboratory accreditation body recognized by the Public Safety and Homeland Security Bureau (PSHSB or Bureau) must submit a written request to the Chief of PSHSB requesting such recognition. PSHSB will make a determination based on the information provided in support of the request for recognition. | (a) 公共安全・国土安全保障局(PSHSB または局)が認定する試験所認定団体になることを希望す る当事者は、PSHSB の長に対して、認定を要請する文書を提出しなければならない。PSHSBは、承認要請の裏付けとして提供された情報に基づき判定を行う。 |
| (b) Applicants shall provide the information in paragraphs (b)(1) through (4) of this section as evidence of their credentials and qualifications to perform accreditation of laboratories that test equipment to Commission requirements, consistent with the requirements of § 8.217(e). PSHSB may request additional information, or showings, as needed, to determine the applicant's credentials and qualifications. | (b) 申請者は、§8.217(e)の要件と整合するように、委員会の要件に適合する機器を試験する試験所の認定を行う資格と資 格を証明するものとして、本項(b)(1)から(4)の情報を提供しなければならない。PSHSB は、申請者の資格及び資質を判断するため、必要に応じて追加情報又は提示を求めることができる。 |
| (1) Successful completion of an ISO/IEC 17011 peer review, such as being a signatory to an accreditation agreement that is acceptable to the Commission. | (1) ISO/IEC 17011 のピアレビューに合格していること(例えば、委員会が認める認定契 約の署名者であること)。 |
| (2) Experience with the accreditation of conformity assessment testing laboratories to ISO/IEC 17025. | (2) ISO/IEC 17025 に対する適合性評価試験所の認定に関する経験。 |
| (3) Accreditation personnel/assessors with specific technical experience on the Commission cybersecurity certification rules and requirements. | (3) 委員会のサイバーセキュリティ認証規則および要求事項に関する特定の技術的経験を有する認定要 員/審査員であること。 |
| (4) Procedures and policies developed for the accreditation of testing laboratories for FCC cybersecurity certification programs. | (4) FCCサイバーセキュリティ認証プログラムの試験所認定のために作成された手順および方針。 |
| § 8.219 | § 8.219 |
| Approval/recognition of Cybersecurity Label Administrators. | サイバーセキュリティ・ラベル管理者の承認/認定。 |
| (a) An accredited third-party entity wishing to become a Cybersecurity Label Administrator (CLA) must file a written application with the Commission. The Commission may approve the written application for the accredited third-party entity to be recognized and authorized by the Commission as a CLA to manage and administer the labeling program by meeting the requirements of paragraph (b) of this section. An accredited third-party entity is recognized and authorized by the Commission to manage and administer the labeling program in accordance with the Commission's rules in this subpart. | (a) サイバーセキュリティ・ラベル管理者(CLA)になることを希望する認定サードパーティ事業体は、委員会に申請書を提出しなければならない。委員会は、本項(b)の要件を満たすことで、認定サードパーティ事業体を、ラベリングプログラムを管理・運営するCLAとして委員会が承認し、認可するための申請書を承認することができる。認定サードパーティ事業体は、本サブパートの委員会規則に従い、表示プログラムを管理・運営することを委員会から認められ、認可される。 |
| (b) In the United States, the Commission, in accordance with its procedures, allows qualified accrediting bodies to accredit CLAs based on ISO/IEC 17065 and other qualification criteria. CLAs shall comply with the requirements in § 8.220. | (b) 米国では、委員会は、その手続きに従い、ISO/IEC 17065及びその他の規準に基づき、適格な認定団体がCLAを認定することを認めている。CLA は、8.220 節の要件に準拠しなければならない。 |
| § 8.220 | § 8.220 |
| Requirements for CLAs. | CLA に対する要求事項。 |
| (a) In general. CLAs designated by the Commission, or designated by another authority recognized by the Commission, shall comply with the requirements of this section. Each entity seeking authority to act as a CLA must file an application with the Commission for consideration by PSHSB, which includes a description of its organization structure, an explanation of how it will avoid personal and organizational conflict when processing applications, a description of its processes for evaluating applications seeking authority to use the FCC IoT Label, and a demonstration of expertise that will be necessary to effectively serve as a CLA including, but not limited to, the criteria in paragraph (c) of this section. | (a) 一般的に。委員会が指定した、または委員会が認めた他の認可機関が指定したCLAは、本項の要件に準拠しなければならない。CLAとして活動する権限を求める事業体は、PSHSBの検討のため、委員会に申請書を提出しなければならない。この申請書には、その組織構造の説明、申請書を処理する際に個人的・組織的対立を回避する方法の説明、FCC IoTラベルの使用権限を求める申請書の評価プロセスの説明、および本項(c)の規準を含むがこれに限定されない、CLAとして効果的に活動するために必要な専門知識の証明を含む。 |
| (b) Methodology for reviewing applications. (1) A CLA's methodology for reviewing applications shall be based on type testing as identified in ISO/IEC 17065 (incorporated by reference, see § 8.201). | (b) 申請の審査方法。(1) CLA の申請書審査方法は、ISO/IEC 17065(参照により組み込まれる、第 8.201 条参照)に規定される型式試験に基づくものとする。 |
| (2) A CLA's grant of authorization to use the FCC IoT Label shall be based on the application with all the information specified in this part. The CLA shall review the application to determine compliance with the Commission's requirements in this subpart and shall issue a grant of product cybersecurity certification in accordance with § 8.208. | (2) CLA による FCC IoT ラベル使用の認可は、本編に規定されるすべての情報を伴う申請書に基 づくものとする。CLA は、本編における委員会の要件への準拠を判断するために申請を審査し、8.208 条に従って製品サイバーセキュリティ認証の付与を発行するものとする。 |
| (c) Criteria for designation. (1) To be designated as a CLA under this section, an entity shall demonstrate cybersecurity expertise and capabilities in addition to industry knowledge of IoT and IoT labeling requirements. | (c) 指定の規準。(1) 本項に基づき CLA に指定されるには、事業体は、IoT および IoT ラベリング要件に関する業界知識に加え、サイバーセキュリティの専門知識および能力を実証しなければならない。 |
| (2) The entity shall demonstrate expert knowledge of National Institute of Standards and Technology's (NIST) cybersecurity guidance, including but not limited to NIST's recommended criteria and labeling program approaches for cybersecurity labeling of consumer IoT products. | (2) 事業体は、消費者向け IoT 製品のサイバーセキュリティラベリングに関する NIST の推奨規準およびラベリングプログラムのアプローチを含むがこれに限定されない、国立標準技術研究所(NIST)のサイバーセキュリティガイダンスの専門知識を実証しなければならない。 |
| (3) The entity shall demonstrate expert knowledge of FCC rules and procedures associated with product compliance testing and certification. | (3) 事業体は、製品適合試験および認証に関連する FCC 規則および手順の専門知識を実証すること。 |
| (4) The entity shall demonstrate knowledge of Federal law and guidance governing the security and privacy of agency information systems. | (4) 事業体は、政府機関の情報システムのセキュリティとプライバシーを管理する連邦法およびガイダンスの知識を実証しなければならない。 |
| (5) The entity shall demonstrate an ability to securely handle large volumes of information and demonstrate internal security practices. | (5) 事業体は、大量の情報を安全に取り扱う能力を実証し、内部セキュリティ慣行を実証すること。 |
| (6) To expedite initial deployment of the FCC labeling program, the Commission will accept and conditionally approve applications from entities seeking to be designated as a CLA provided they commit to obtain accreditation pursuant to all the requirements associated with ISO/IEC 17065 with the appropriate scope within six (6) months of the effective date by the adopted standards and testing procedures and otherwise meet the FCC's IoT Labeling Program requirements. The entity must also demonstrate implementation of controls to eliminate actual or potential conflicts of interests (including both personal and organizational), particularly with regard to commercially sensitive information. The Bureau will finalize the entity's application upon receipt and demonstration of ISO/IEC 17065 accreditation with the appropriate scope. | (6) FCCラベリング・プログラムの初期展開を迅速化するため、委員会は、採択された標準および試験手順により、発効日から6ヶ月以内に適切な範囲のISO/IEC 17065に関連するすべての要件に従って認定を取得し、その他FCCのIoTラベリング・プログラムの要件を満たすことを約束することを条件に、CLAとして指定されることを求める事業体からの申請を受理し、条件付きで承認する。事業体はまた、特に商業上の機密情報に関して、(個人的および組織的なものを含む)実際のまたは潜在的な利益相反を排除するための管理の実施を実証しなければならない。事務局は、適切な範囲のISO/IEC 17065認定を受領し、証明した時点で事業体の申請を確定する。 |
| (7) The entity is not owned or controlled by or affiliated with any entity identified on the Commission's Covered List, listed sources of prohibition under § 8.204, or of it, its affiliate, or subsidiary is owned or controlled by a foreign adversary country defined by the Department of Commerce in 15 CFR 7.4. | (7) 当該事業体は、委員会の対象リスト、8.204条に基づく禁止リストに記載されている事業体、または当該事業体、その関連会社、もしくは子会社が、15CFR 7.4で商務省が定義する外国の敵対国に所有もしくは支配されていないこと。 |
| (8) The entity must demonstrate it has implemented controls to eliminate actual or potential conflicts of interests (including both personal and organizational), particularly with regard to commercially sensitive information, to include but not limited to, remaining impartial and unbiased and prevent them from giving preferential treatment to certain applications ( e.g., application line jumping) and from implementing heightened scrutiny of applications from entities not members or otherwise aligned with the CLA. | (8) 事業体は、特に商業上機微な情報に関して、実際の又は潜在的な利益相反(個人的及び組 織的なものを含む)を排除するための管理を実施していることを証明しなければならず、これには、 公平かつ公平な立場を維持し、特定の申請(例えば、申請ラインジャンプ)を優遇することや、CLA のメンバ ーでない又は他の方法で連携していない事業体からの申請に対して、より厳しい精査を実施するこ とを防止することが含まれるが、これらに限定されない。 |
| (d) External resources. (1) In accordance with the provisions of ISO/IEC 17065 the evaluation of a product, or a portion thereof, may be performed by bodies that meet the applicable requirements of ISO/IEC 17025, in accordance with the applicable provisions of ISO/IEC 17065 for external resources (outsourcing). Evaluation is the selection of applicable requirements and the determination that those requirements are met. Evaluation may be performed using internal CLA resources or external (outsourced) resources. | (d) 外部リソース (1) ISO/IEC 17065 の規定に従って、製品又はその一部の評価は、ISO/IEC 17025 の該当する要求事項を満たす団体が、ISO/IEC 17065 の該当する外部資源(外部委託)の規定に従って実施することができる。評価とは、適用される要求事項を選択し、それらの要求事項が満たされていると判定すること である。評価は、CLA の内部資源又は外部(外部委託)資源を用いて実施することができる。 |
| (2) A CLA shall not outsource review or decision activities. | (2) CLA は、審査または決定活動を外部委託してはならない。 |
| (3) When external resources are used to provide the evaluation function, including the testing of products subject to labeling, the CLA shall be responsible for the evaluation and shall maintain appropriate oversight of the external resources used to ensure reliability of the evaluation. Such oversight shall include periodic audits of products that have been tested and other activities as required in ISO/IEC 17065 when a CLA uses external resources for evaluation. | (3) ラベリング対象製品の試験を含め、評価機能を提供するために外部資源が使用される場合、 CLA は評価に責任を持ち、評価の信頼性を確保するために使用される外部資源の適切な監視を維持するものとする。かかる監視には、CLA が評価のために外部資源を使用する場合、試験された製品の定期的な監査及び ISO/IEC 17065 で要求されるその他の活動を含むものとする。 |
| (e) Commission approves a CLA. (1) The Commission will approve as a CLA: | (e) 委員会がCLAを承認する。(1) 委員会は、CLAとして承認する: |
| (i) Any entity in the United States that meets the requirements of this section. | (i) 本項の要件を満たす米国内の事業体。 |
| (ii) The Commission will not approve as a CLA any organization, its affiliates, or subsidiaries listed in the listed sources of prohibition under § 8.204. | (ii) 委員会は、8.204項に記載されている禁止事項に該当する組織、その関連会社、または子会社をCLAとして承認しない。 |
| (2) The Commission will withdraw its approval of a CLA if the CLA's designation or accreditation is withdrawn, if the Commission determines there is just cause for withdrawing the approval, or upon request of the CLA. The Commission will limit the scope of products that can be certified by a CLA if its accreditor limits the scope of its accreditation or if the Commission determines there is good cause to do so. The Commission will notify a CLA in writing of its intention to withdraw or limit the scope of the CLA's approval and provide at least 60 days for the CLA to respond. | (2) 委員会は、CLAの指定または認定が取り消された場合、承認を取り消す正当な理由があると委員会が判断した場合、またはCLAからの要請があった場合、CLAの承認を取り消す。委員会は、CLAの認定者が認定範囲を制限した場合、または委員会が正当な理由があると判断した場合、CLAが認定できる製品の範囲を制限する。委員会は、CLAの認定を取り消すか、またはその範囲を限定する意向を書面にてCLAに通知し、CLAがこれに対応するために少なくとも60日間の猶予を与える。 |
| (3) The Commission will notify a CLA in writing when it has concerns or evidence that the CLA is not carrying out its responsibilities under the labeling program in accordance with the Commission's rules in this subpart and policies and request that it explain and correct any apparent deficiencies. | (3) 委員会は、CLAがこのサブパートの規則および方針に従って表示プログラムの責任を果たしていないという懸念または証拠がある場合、CLAに書面で通知し、明らかな欠陥について説明し是正するよう要請する。 |
| (4) The Public Safety and Homeland Security Bureau shall provide notice to the CLA that the Bureau proposes to terminate the CLA's authority and provide the CLA a reasonable opportunity to respond (not more than 20 days) before reaching a decision on possible termination. | (4) 公安・国土安全保障局は、CLAに対して、同局がCLAの認可を取り消すことを提案していることを通知し、取り消しの可能性について決定を下す前に、CLAに相応の回答機会(20日を超えない)を与えるものとする。 |
| (5) If the Commission withdraws its recognition of a CLA, all grants issued by that CLA will remain valid unless specifically set aside or revoked by the Commission. | (5) 委員会がCLAの承認を取り消した場合、当該CLAが発行したすべての補助金は、委員会が特に無効とするか、取り消さない限り有効である。 |
| (6) A list of recognized CLAs will be published by the Commission. | (6) 承認されたCLAのリストは、委員会が公表する。 |
| (f) Scope of responsibility. (1) A CLA shall receive and evaluate applications and supporting data requesting authority to use the FCC IoT Label on the product subject to the application. | (f) 責任の範囲。(1) CLAは、申請対象製品にFCC IoTラベルを使用する認可を求める申請書および裏付けデータを受理し、評価する。 |
| (2) A CLA shall grant authorization to use the FCC IoT Label with a complying consumer IoT product in accordance with the Commission's rules in this subpart and policies. | (2) CLAは、本サブパートの委員会の規則および方針に従い、適合する消費者向けIoT製品にFCC IoTラベルを使用する認可を与えなければならない。 |
| (3) A CLA shall accept test data from any Lead Administrator-recognized accredited CyberLAB, subject to the requirements in ISO/IEC 17065 and shall not unnecessarily repeat tests. | (3) CLA は、ISO/IEC 17065 の要件に従い、主管庁が認める認定サイバーラボからの試験データを受 け入れ、不必要に試験を繰り返してはならない。 |
| (4) A CLA may establish and assess fees for processing applications and other Commission-required tasks. | (4) CLA は、申請書の処理及びその他委員会が要求する業務に対して料金を設定し、アセスメントすること ができる。 |
| (5) A CLA may only act on applications that it has received or which it has issued a certification authorizing use of the FCC IoT Label. | (5) CLA は、CLA が受理した申請、または FCC IoT ラベルの使用を認可する認証を発行した申請に対して のみ対応することができる。 |
| (6) A CLA shall dismiss an application that is not in accordance with the provisions of this subpart or when the applicant requests dismissal, and may dismiss an application if the applicant does not submit additional information or test samples requested by the CLA. | (6) CLAは、本サブパートの規定に従っていない申請、または申請者が却下を要求した場合、申請を却下するものとし、申請者がCLAから要求された追加情報または試験サンプルを提出しない場合、申請を却下することができる。 |
| (7) A CLA shall ensure that manufacturers make all required information accessible to the IoT registry. | (7) CLA は、製造事業者がすべての必要な情報を IoT 登録簿にアクセスできるようにしなければならな い。 |
| (8) A CLA shall participate in a consumer education campaign in coordination with the Lead Administrator. | (8) CLA は、主管理者と協力して、消費者教育キャンペーンに参加する。 |
| (9) A CLA shall receive complaints alleging a product bearing the FCC IoT Label does not support the cybersecurity criteria conveyed by the Cyber Trust Mark and refer these complaints to the Lead Administrator which will notify the Public Safety and Homeland Security Bureau. | (9) CLA は、FCC IoT ラベルが貼付された製品がサイバートラストマークが示すサイバーセキュリティ規準をサポ ートしていないとする苦情を受け、公共安全・国土安全保障局に通知する主管庁に照会する。 |
| (10) A CLA may not: | (10) CLA は以下のことを行ってはならない: |
| (i) Make policy, interpret unclear provisions of the statute or rules, or interpret the intent of Congress; | (i) 政策を決定し、法令または規則の不明確な規定を解釈し、または議会の意図を解釈する; |
| (ii) Grant a waiver of the rules in this subpart; or | (ii) このサブパートの規則の免除を認める。 |
| (iii) Take enforcement actions. | (iii) 強制措置を取る。 |
| (11) All CLA actions are subject to Commission review. | (11) すべてのCLA措置は、委員会の審査に従う。 |
| (g) Post-market surveillance requirements. (1) In accordance with ISO/IEC 17065, a CLA shall perform appropriate post-market surveillance activities. These activities shall be based on type testing a certain number of samples of the total number of product types for which the CLA has certified use of the Label. | (g) 市販後調査要件。(1) ISO/IEC 17065に従い、認証機関は適切な市販後調査活動を実施しなければならない。これらの活動は、CLA がラベルの使用を認証した製品の全種類から一定数のサンプルの型式試験 に基づくものとする。 |
| (2) PSHSB may request that a grantee of authority to use the FCC IoT Label submit a product sample directly to the CLA that evaluated the grantee's application as part of the post market surveillance. Any product samples requested by the Commission and tested by the CLA will be counted toward a minimum number of samples that the CLA must test to meet its post market surveillance requirements. | (2) PSHSBは、FCC IoTラベルの使用権限を付与された被認証者に対し、市販後調査の一環として、被認証者の申請を評価したCLAに製品サンプルを直接提出するよう要請することができる。委員会が要求し、CLAが検査した製品サンプルは、CLAが市場調査後の要件を満たすために検査しなければならない最小サンプル数に算入される。 |
| (3) A CLA may also request a grantee submit samples of products that the CLA has certified to use the FCC IoT Label directly to the CLA. | (3) CLAは、CLAがFCC IoTラベルの使用を認証した製品のサンプルをCLAに直接提出するよう、被認証者に要求することもできる。 |
| (4) If during post market surveillance of a complying consumer IoT product, a CLA determines that the product fails to comply with the technical regulations (or other FCC requirements) for that product, the CLA shall immediately notify the grantee and the Commission in writing of its findings. The grantee shall provide a report to the CLA describing the actions taken to correct the situation, as provided in § 8.216, and the CLA shall provide a report of these actions to the Commission within 30 days. | (4) 準拠している消費者向けIoT製品の市販後サーベイランスにおいて、CLAが、当該製品が当該製品の技術規定(またはその他のFCC要件)に準拠していないと判断した場合、CLAは、直ちに、その調査結果を書面で被補助事業者および委員会に通知するものとする。被補助事業者は、8.216条に規定されるとおり、状況を是正するために取られた措置を記載した報告書をCLAに提出しなければならず、CLAは、30日以内にこれらの措置の報告書を委員会に提出しなければならない。 |
| (5) CLAs shall submit periodic reports to the Commission of their post-market surveillance activities and findings in a format and by a date specified by the Commission. | (5) CLAは、委員会が指定する形式及び期日までに、市販後調査活動及び調査結果に関する定期報告書を委員会に提出するものとする。 |
| § 8.221 | § 8.221 |
| Requirements for the Lead Administrator. | 主任管理者の要件 |
| (a) Establishing a Lead Administrator. If more than one qualified entity is selected by the Commission to be a CLA, the Commission will select a Lead Administrator. The Lead Administrator shall: | (a) 主管理者の設置。複数の適格な事業体が委員会によりCLAに選定された場合、委員会は、主管理者を選定する。主管理者は、以下を行うものとする: |
| (1) Interface with the Commission on behalf of the CLAs, including but not limited to submitting to the Bureau all complaints alleging a product bearing the FCC IoT Label does not meet the requirements of the Commission's labeling program; | (1) FCC IoTラベルが貼付された製品が、委員会のラベリング・プログラムの要件を満たしていないと申し立てるすべての苦情を同局に提出することを含むが、これに限定されない; |
| (2) Coordinate with CLAs and moderate stakeholder meetings; | (2) CLAと調整し、利害関係者会議の司会を務める; |
| (3) Accept, review, and approve or deny applications from labs seeking recognition as a lab authorized to perform the conformity testing necessary to support an application for authority to affix the FCC IoT Label, and maintain a publicly available list of Lead Administrator-recognized labs and a list of labs that have lost their recognition; | (3) FCC IoTラベルを貼付する権限の申請を支援するために必要な適合性試験を実施する権限を与えられた試験所として認可を求める試験所からの申請を受理し、審査し、承認または拒否し、一般に利用可能な主管理者認定試験所のリストおよび認定を失った試験所のリストを維持する; |
| (4) Within 90 days of election as Lead Administrator, the Lead Administrator will, in collaboration with the CLAs and stakeholders ( e.g., cyber experts from industry, government, and academia): | (4) 主管理者に選出されてから 90 日以内に、主管理者は、CLA および利害関係者(産官学 のサイバー専門家など)と協力して、以下のことを行う: |
| (i) Submit to the Bureau recommendations identifying and/or developing the technical standards and testing procedures for the Commission to consider with regard to at least one class of IoT products eligible for the IoT labeling program. The Bureau will evaluate the recommendations, subject to any required public notice and comment, incorporate them by reference into the Commission's rules in this subpart; | (i) IoTラベリングプログラムの対象となる少なくとも1つのクラスのIoT製品に関して、委員会が検討すべき技術標準および試験手順を特定および/または策定するための勧告を事務局に提出する。同局は勧告を評価し、必要な公示とコメントに従い、参照することにより本サブパートの委員会規則に組み込む; |
| (ii) Submit to the Bureau a recommendation on how often a given class of IoT products must renew their request for authority to bear the FCC IoT Label, which may be dependent on the type of product, and that such a recommendation be submitted in connection with the relevant standards recommendations for an IoT product or class of IoT products. The Bureau will evaluate the recommendations, and if the Bureau approves of the recommendations, subject to any required public notice and comment, incorporate them by reference into the Commission's rules in this subpart; | (ii) 特定のクラスの IoT 製品が、FCC IoT ラベルを貼付する認可申請を更新しなければならない頻度(製品の種類に依存する可能性がある)に関する勧告を同局に提出し、当該勧告を、IoT 製品または IoT 製品のクラスに関する関連標準勧告と関連付けて提出すること。同局は勧告を評価し、同局がその勧告を承認した場合、必要な公示および意見表明を行った上で、参照により本サブパートの委員会規則に組み込む; |
| (iii) Submit to the Bureau a recommendation on procedures for post market surveillance by the CLAs. The Bureau will evaluate the recommendations, and if the Bureau approves of the recommendations, subject to any required public notice and comment, incorporate them by reference into the Commission's rules in this subpart; | (iii) CLAによる市場事後サーベイランスの手続きに関する勧告を同局に提出する。同局は勧告を評価し、同局がその勧告を承認した場合、必要な公示とコメントを経て、参照することにより、本サブパートの委員会規則に組み込む; |
| (iv) Make recommendations to the Bureau with regard to updates to the registry including whether the registry should be in additional languages, and if so, to recommend specific languages for inclusion; and | (iv) レジストリの更新に関して、レジストリの言語を追加すべきかどうか、追加する場合は特定の言語を推奨するかどうかを含め、事務局に勧告を行う。 |
| (v) Submit to the Bureau recommendations on the design of the FCC IoT Label, including but not limited to labeling design and placement ( e.g., size and white spaces, product packaging) and whether to include the product support end date on labels for certain products or category of products. The Bureau will evaluate the recommendations, and if the Bureau approves of the recommendations, subject to any required public notice and comment, incorporate them by reference into the Commission's rules in this subpart; | (v) ラベルのデザインと配置(例:サイズと余白、製品パッケージ)、特定の製品またはカテゴ リー製品のラベルに製品サポート終了日を含めるかどうかなど、FCC IoTラベルのデザインに関す る勧告を同局に提出すること。同局は勧告を評価し、同局がその勧告を承認した場合、必要とされる公示とコメントに従って、参照することにより、本サブパートの委員会規則に組み込む; |
| (5) Within 45 days of publication of updates or changes to NIST guidelines, or adoption by NIST of new guidelines, recommend in collaboration with CLAs and other stakeholders any appropriate modifications to the labeling program standards and testing procedures to stay aligned with the NIST guidelines; | (5) NISTガイドラインの更新または変更の公表、あるいはNISTによる新ガイドラインの採択から45日以内に、CLAおよびその他の利害関係者と協力して、NISTガイドラインとの整合性を保つために、ラベリングプログラムの標準および試験手順に対する適切な修正を勧告する; |
| (6) Submit to the Commission reports on CLAs' post-market surveillance activities and findings in the format and by the date specified by Public Safety and Homeland Security Bureau; | (6) CLAの市販後調査活動および調査結果に関する報告書を、公共安全・国土安全保障局が指定する書式および期日までに、委員会に提出する; |
| (7) Develop in collaboration with stakeholders a consumer education campaign, submit the plan to the Public Safety and Homeland Security Bureau, and participate in consumer education; | (7) 関係者と協力して消費者教育キャンペーンを策定し、その計画を公安局に提出し、消費者教育に参加する; |
| (8) Receive complaints about the labeling program, including but not limited to consumer complaints about the registry and coordinate with manufacturers to resolve any technical problems associated with consumers accessing the information in the registry; | (8) レジストリに関する消費者の苦情を含むがこれに限定されない、ラベル表示プログラムに関する苦情を受理し、レジストリの情報への消費者のアクセスに関連する技術的問題を解決するために製造事業者と調整する; |
| (9) Facilitate coordination between CLAs; and | (9) CLA間の調整を促進する。 |
| (10) Submit to the Commission any other reports upon request of the Commission or as required by Commission rules in this subpart. | (10) 委員会の要請に応じて、またはこのサブパートの委員会規則で義務付けられているその他の報告を委員会に提出すること。 |
| (b) Criteria for designation. In addition to completing the CLA application information, entities seeking to be the Lead Administrator will submit a description of how they will execute the duties of the Lead Administrator, including: | (b) 指定基準。主管理者になろうとする事業体は、CLA申請情報への記入に加え、以下を含む主管理者の職務をどのように遂行するかについての説明を提出する: |
| (1) Their previous experience in IoT cybersecurity; | (1) IoT サイバーセキュリティにおける過去の経験; |
| (2) What role, if any, they have played in IoT labeling; | (2) IoTラベリングにおいてどのような役割を果たしてきたか(もしあれば); |
| (3) Their capacity to execute the Lead Administrator duties; | (3) 主管理者の職務を遂行する能力; |
| (4) How they would engage and collaborate with stakeholders to identify or develop the Bureau recommendations; | (4) 局の勧告を特定または策定するために、利害関係者とどのように関わり、協力するか; |
| (5) A proposed consumer education campaign; and | (5) 消費者教育キャンペーン案。 |
| (6) Additional information the applicant believes demonstrates why they should be the Lead Administrator. | (6) 主管者となるべき理由を示すと申請者が考える追加情報。 |
| § 8.222 | § 8.222 |
| Establishment of an IoT Registry. | IoT レジストリの設置。 |
| (a) A grantee of authority to use the FCC IoT Label shall provide information about the complying consumer IoT product to the public. Information supplied by grantees shall be made available in a dynamic, decentralized, publicly accessible registry through a common Application Programming Interface (API) that is secure by design. | (a) FCC IoT ラベルを使用する認可を受けた被認可者は、適合する消費者向け IoT 製品に関する情報を一般に提供しなければならない。被認証者から提供された情報は、設計上安全な共通のアプリケーション・プログラミング・インタフェース(API)を通じて、動的で分散化された一般にアクセス可能なレジストリで利用できるようにするものとする。 |
| (b) A grantee of authority to use the FCC IoT Label shall publish the following information through the common API in the Registry: | (b) FCC IoT ラベルを使用する認可を受けた被認証者は、共通の API を通じて、以下の情報をレジストリに公開するものとする: |
| (1) Product Name; | (1) 製品名; |
| (2) Manufacturer name; | (2) 製造事業者名; |
| (3) Date the product received authorization ( i.e., cybersecurity certification) to affix the label and current status of the authorization (if applicable); | (3) 製品がラベルを貼付する認可(すなわち、サイバーセキュリティ認証)を受けた日付および認可の現 在の状況(該当する場合); |
| (4) Name and contact information of the CLA that authorized use of the FCC IoT Label; | (4) FCC IoT ラベルの使用を認可した CLA の名称および連絡先; |
| (5) Name of the lab that conducted the conformity testing; | (5) 適合性試験を実施した試験所名; |
| (6) Instructions on how to change the default password (specifically state if the default password cannot be changed); | (6) デフォルトパスワードの変更方法に関する説明(デフォルトパスワードが変更できない場合は具体的に記載すること); |
| (7) Information (or link) for additional information on how to configure the device securely; | (7) デバイスを安全に設定する方法に関する追加情報の情報(またはリンク); |
| (8) Information as to whether software updates and patches are automatic and how to access security updates/patches if they are not automatic; | (8) ソフトウェアの更新およびパッチが自動的であるかどうか、および自動的でない場合にセキュリティ更新/パッチにアクセスする方法に関する情報; |
| (9) The date until which the entity promises to diligently identify critical vulnerabilities in the product and promptly issue software updates correcting them, unless such an update is not reasonably needed to protect against cybersecurity failures ( i.e., the minimum support period); alternatively, a statement that the device is unsupported and that the purchaser should not rely on the manufacturer to release security updates; | (9) そのようなアップデートがサイバーセキュリティの障害から保護するために合理的に必要でない場合を除き、事業体が製品の重要な脆弱性を真摯に特定し、それらを修正するソフトウェア・アップデートを速やかに発行することを約束する期日(すなわち、最低サポート期間)、あるいは、そのデバイスはサポート対象外であり、購入者は製造者がセキュリティ・アップデートをリリースすることを信頼すべきではないという声明; |
| (10) Disclosure of whether the manufacturer maintains a Hardware Bill of Materials (HBOM) and/or a Software Bill of Materials (SBOM); and | (10) 製造事業者がハードウェア部品表(HBOM)および/またはソフトウェア部品表(SBOM)を保持しているかどうかの開示。 |
| (11) Additional data elements that the Bureau deems necessary. | (11) 当局が必要と判断するその他のデータ要素。 |
| Footnotes | 脚注 |
| 1. Motor Vehicle “means a vehicle driven or drawn by mechanical power and manufactured primarily for use on public streets, roads, and highways, but does not include a vehicle operated only on a rail line.” 49 U.S.C. 30102(7). | 1. 自動車とは、「機械的動力により駆動または牽引され、主として公道、道路、および高速道路で使用するために製造された車両をいうが、鉄道線路でのみ運行される車両は含まれない」。49 U.S.C. 30102(7)。 |
| 2. For purposes of the IoT Labeling Program, the NISTIR 8425 scoping definition of “components” falls into three main types: Specialty networking/gateway hardware ( e.g., a hub within the system where the IoT device is used); Companion application software ( e.g., a mobile app for communicating with the IoT device); and Backends ( e.g., a cloud service, or multiple services, that may store and/or process data from the IoT device). See NISTIR 8425 at 2. Our use of this scoping definition of “components” is intended only to apply to the IoT Labeling program. We note that Commission rules use the term “components” in a variety or contexts and different rule provisions, and we are not intending to affect the use of that term in those other contexts. | 2. IoT ラベリング・プログラムの目的上、NISTIR 8425 のスコープ定義では、「コンポーネント」は主に 3 つのタイプに分類される: 特殊なネットワーキング/ゲートウェイ・ハードウェア(例えば、IoT デバイスが使用されるシステム内のハブ)、コンパニオン・アプリケーション・ソフトウェア(例えば、IoT デバイスと通信するためのモバイル・アプリ)、およびバックエンド(例えば、IoT デバイスからのデータを保存および/または処理するクラウド・サービス、または複数のサービス)である。NISTIR 8425 at 2を参照のこと。この「コンポーネント」のスコープ定義の使用は、IoTラベリングプログラムへの適用のみを意図している。委員会の規則では、さまざまな文脈や異なる規則条項で「コンポーネント」という用語が使用されていることに留意されたい。 |
| 2. To further clarify, nothing in this item prohibits manufacturers from allowing product owners from installing the software of their choice, from disabling security features, or from replacing or modifying components of a product, including the firmware and software. An IoT manufacturer cannot be held responsible for the owner's decision to make such changes, just as a traditional product manufacturer cannot be responsible for the actions of a consumer who modifies the core mechanisms of a product and thereby risks rendering it unsafe. However, we reiterate that in order to be authorized to use the FCC IoT Label, manufacturers must meet the requirements of the program. | 2. さらに明確化すると、本項目は、製造事業者が、製品の所有者が選択したソフトウェアをインストールすること、セキュリ ティ機能を無効にすること、ファームウェアやソフトウェアを含む製品のコンポーネントを交換または変更するこ とを禁止するものではない。IoT製造事業者は、そのような変更を行う所有者の決定に対して責任を負うことはできない。ちょうど、従来の製品製造事業者が、製品のコア・メカニズムを変更し、それによって製品を安全でなくするリスクを負う消費者の行動に対して責任を負うことができないのと同じである。ただし、FCC IoTラベルの使用を認可されるためには、製造事業者は同プログラムの要件を満たさなければならないことを再確認する。 |
| 3. There are many types IoT devices and products, which may be divided into various categories or classes based on their purpose, application, and functionality. These classes of IoT devices and products include smart home ( e.g., smart thermostats, smart lights, smart locks, smart cameras), wearables ( e.g., fitness trackers, smart watches), and Healthcare ( e.g., remote patient monitoring devices, smart medical equipment). It is worth noting that not all IoT devices or products are created equal, in terms of features, security and the level of risk they present. Additionally, from security standpoint, an IoT product that is appropriate for consumer or home use may not be suitable for industrial or enterprise environment. These differences suggest the need for different security standards that distinguish between low-risk, medium-risk and high-risk applications. Our approach to identifying the specific cybersecurity standards to apply enables us to appropriately account for that in the case of particular wireless consumer products (or categories of such products) in our initial implementation of the IoT Labeling Program. | 3. IoT 機器や製品には多くの種類があり、目的、用途、機能に基づいてさまざまなカテゴリーやクラス に分類される。スマートホーム(スマートサーモスタット、スマートライト、スマートロック、スマートカメラなど)、ウェアラブル(フィットネストラッカー、スマートウォッチなど)、ヘルスケア(遠隔患者モニタリング機器、スマート医療機器など)などが含まれる。すべてのIoTデバイスや製品が、機能、セキュリティ、リスクのレベルにおいて、同じように作られているわけではないことは注目に値する。さらに、セキュリティの観点からは、消費者や家庭での使用に適したIoT製品が、産業やエンタープライズ環境には適さない場合もある。これらの違いは、低リスク、中リスク、高リスクのアプリケーションを区別する異なるセキュリティ標準の必要性を示唆している。適用すべき特定のサイバーセキュリティ標準を特定する我々のアプローチは、IoTラベリング・プログラムの初期実施において、特定の無線コンシューマ製品(またはそのような製品のカテゴリー)の場合に、それを適切に考慮することを可能にする。 |
| 4. The organization(s) accrediting the prospective Label Administrators and testing labs must meet the requirements and conditions in ISO/IEC 17011. See47 CFR 8.910(b)(1) ISO/IEC 17011:2004(E), “Conformity assessment—General requirements for accreditation bodies accrediting conformity assessment bodies,” First Edition, 2004-09-01, IBR approved for §§ 8.217(e) and 8.218(b). | 4. ラベル管理者候補と試験所を認定する組織は、ISO/IEC 17011 の要件と条件を満たさなければならない。47 CFR 8.910(b)(1)参照 ISO/IEC17011:2004(E)「適合性アセスメント-適合性評価機関を認定する認定団体に対す る一般要求事項」第 1 版、2004-09-01、IBR は第 8.217 条(e)及び第 8.218 条(b)を承認した。 |
| 5. There appeared to be some confusion in the record with the Commission's use of the term Cybersecurity Labeling Authorization Bodies. Specifically, the ANSI National Accreditation Board (ANAB) recommended the Commission reconsider the use of the term “CyberLAB” as the “implication that such organizations are laboratories could create market confusion.” ANAB Reply at 2. We disagree that the term CyberLAB may be confusing because these organizations are, in fact, laboratories/testing bodies that will be testing products to determine compliance with applicable standards. The CyberLABs, however, are not “certification bodies.” Rather, the entity that will be authorizing an applicant to use the Cyber Trust Mark on their product is the CLA, as described below. To ensure there is no confusion, the Commission has changed the term from Cybersecurity Labeling “Authorization Bodies” as these terms are reserved for accreditation bodies, to Cybersecurity Testing Laboratories, reflecting that the function of these labs is for testing and generating reports, and not certifying or issuing a label. We continue to use the short-form term “CyberLAB” to refer to these testing labs. | 5. 記録には、委員会によるサイバーセキュリティ・ラベリング認可団体という用語の使用について、若干の混乱があるように見受けられた。特に、ANSI全米認定委員会(ANAB)は、「このような組織が試験所であるという意味合いは、市場の混乱を引き起こす可能性がある」として、委員会に対し、「サイバーラボ」という用語の使用について再考するよう勧告した。我々は、サイバーラボという用語が混乱を招く可能性があるという意見に同意しない。なぜなら、これらの団体は、実際には、適用される標準への準拠を判断するために製品を試験する試験所/試験団体であるからである。しかし、サイバーラボは「認証団体」ではない。むしろ、申請者が製品にサイバートラストマークを使用することを認可する事業体は、後述するように CLA である。混乱を避けるため、委員会は、サイバーセキュリティ・ラベリングの「認可団体」という用語は認定団体に使用されるものであることから、この用語を「サイバーセキュリティ試験所」に変更した。これは、これらの試験所の機能が試験と報告書の作成であり、認証やラベルの発行ではないことを反映したものである。これらの試験所については、引き続き「サイバーラボ」という短縮形を使用する。 |
| 6. If the Lead Administrator, in addition to its administrative duties, intends to offer lab testing service (CLA-run lab), it must submit an application with PSHSB seeking FCC recognition as a lab authorized to perform conformity testing to support an application for authority to affix the FCC IoT Label. The Lead Administrator is not authorized to recognize its own cybersecurity testing lab. If approved by PSHSB, the Lead Administrator will add the name of its lab to the list of recognized labs. | 6. 主管理者が、その管理業務に加えて、試験所試験サービス(CLA-run ラボ)を提供しようとする場合、FCC IoT ラベルを貼付する権限の申請を支援するために、適合試験を実施する権限を有する試験所として FCC の認可を求める申請書を PSHSB に提出しなければならない。主管理者は、独自のサイバーセキュリティ試験所を認可する権限はない。PSHSB により承認された場合、主管理者はその試験所名を認定試験所リストに追加する。 |
| 7. This process does not foreclose the ability of consumers to file an informal complaint in accordance with the Commission's rules. See47 CFR 1.716 through 1.719. In the event an informal complaint is filed with the Commission, the complaint will be forwarded to the Lead Administrator for investigation and/or referral to the issuing CLA. | 7. このプロセスは、消費者が委員会の規則に従って非公式の苦情を申し立てることを妨げるものではない。47 CFR 1.716から1.719を参照のこと。非公式な苦情が委員会に提出された場合、その苦情は、調査および/または発行元CLAへの照会のため、主管庁に転送される。 |
| 8. As below, we emphasize the importance of leveraging existing expertise in this space, and as such adopt as a criterion for consideration in selecting the lead administrator the ability to convene and develop consensus among stakeholders. | 8. 以下の通り、我々は、この分野における既存の専門知識を活用することの重要性を強調しており、そのため、主管庁を選定する際の検討基準として、利害関係者を招集し、合意を形成する能力を採用する。 |
| 9. This approach necessitates a mechanism for the Commission to recognize administrators, and we accordingly adopt a rule doing so. See47 CFR 8.219. We model our approach on analogous elements of our equipment authorization rules, with which the Commission and industry have substantial experience, and which have proven workable in practice. See47 CFR 2.949. We delegate to PSHSB and OMD authority to take any necessary steps, including adoption of additional procedures and any applicable fees (pursuant to any required public notice and comment), as necessary to ensure compliance with the Communications Act with respect to any rules adopted here that contemplate the filing of applications directly with the Commission. 47 U.S.C. 158(c). | 9. このアプローチでは、委員会が管理者を認定する仕組みが必要であり、そのための規則を採択する。47 CFR 8.219を参照のこと。このアプローチは、委員会および業界が多くの経験を持ち、実際に実行可能であることが証明されている、機器認可規則の類似の要素をモデルとしている。47 CFR 2.949を参照のこと。我々は、PSHSBおよびOMDに対し、委員会に直接申請することを前提としたここで採択された規則に関して、コミュニケーション法の遵守を確保するために必要な追加手続きおよび適用される料金の採択(必要とされる公示およびコメントに従って)を含む必要な措置を講じる権限を委譲する。47 U.S.C. 158(c). |
| 10. The scope of CLA's ISO/IEC 17065 certification includes certifying IoT products and devices for compliance with FCC cybersecurity standards. | 10. CLAのISO/IEC 17065認証の範囲には、FCCのサイバーセキュリティ標準に準拠するIoT製品やデバイスの認証も含まれる。 |
| 11. Consistent with standard practice for accreditation, the organization accrediting the CLAs must be recognized by the Bureau to perform such accreditation based on International Standard ISO/IEC 17011. | 11. 11. 認定に関する標準慣行に従い、CLA を認定する組織は、国際規格 ISO/IEC 17011 に基づき、そのような認定を行うことを局によって認められなければならない。 |
| 12. Because of the public safety importance of a CLA having the requisite qualifications and adhering to our rules when evaluating requests to use the FCC IoT Label, this process should proceed appropriately expeditiously to minimize any periods of time where a CLA continues to operate in that capacity once concerns have come to PSHSB's attention. In particular, PSHSB shall provide notice to the CLA that the Bureau proposes to terminate the CLA's authority and provide the CLA a reasonable opportunity to respond (not more than 20 days) before reaching a decision on possible termination. PSHSB may suspend the CLA's ability to issues labeling authorizations during the pendency of such consideration if appropriate. | 12. 12. FCC IoT ラベルの使用依頼を評価する際、CLA が必要な資格を有し、輸入事業者の規則を遵守 することは、公共の安全にとって重要であるため、このプロセスは、PSHSB の注意を喚起した後、CLA がその資格で業務を継続する期間を最小化するために、適切かつ迅速に進められるべきである。特に、PSHSBはCLAに対して、局がCLAの認可を終了することを提案していることを通知し、終了の可能性について決定を下す前に、CLAに合理的な回答機会(20日以内)を提供するものとする。PSHSBは、適切であれば、当該検討期間中、ラベリング認可を発行するCLAの権限を一時停止することができる。 |
| 13. We also agree with CTA in highlighting the importance of PSHSB's involvement in matters where the Lead Administrator and CLAs may share vested interests. | 13. また、主管庁とCLAが既得権益を共有する可能性がある問題において、PSHSBが関与することの重要性を強調するCTAに同意する。 |
| 14. We recognize the potential raised by ioXt Alliance for anticompetitive preferences in recommendations made to the Bureau if a CLA is chosen as Lead Administrator. | 14. 我々は、ioXtアライアンスが提起した、CLAが主管者として選ばれた場合、事務局への勧告において反競争的な優遇措置が取られる可能性を認識している。 |
| 15. To enable the Lead Administrator to compile a reliable and verifiable list, we require accredited CyberLABs to submit certain information to the Lead Administrator: (1) Laboratory name, location of test site(s), mailing address and contact information; (2) Name of accrediting organization; (3) Scope of laboratory accreditation; (4) Date of expiration of accreditation; (5) Designation number; (6) FCC Registration Number (FRN); (7) A statement as to whether or not the laboratory performs testing on a contract basis; (8) For laboratories outside the United States, details of the arrangement under which the accreditation of the laboratory is recognized; and (9) Other information as requested by the Commission. | 15. 15. 主管庁が信頼でき検証可能なリストを作成できるようにするため、我々は認定を受けたサイ バーラボに対し、特定の情報を主管庁に提出するよう求める: (1) 試験所名、試験所の所在地、郵送先住所、連絡先情報 (2) 認定機関名 (3) 試験所認定の範囲 (4) 認定満了日 (5) 指定番号 (6) FCC 登録番号(FRN); (8) 米国外の試験所については、当該試験所の認定が認められている取り決めの詳細 (9) その他、委員会が要求する情報。 |
| 16. This approach necessitates a mechanism for the Commission to recognize lab accreditation bodies, and we accordingly adopt a rule doing so. See47 CFR 8.218. We model our approach on analogous elements of our equipment authorization rules, with which the Commission and industry have substantial experience, and which have proven workable in practice. See47 CFR 2.949. We delegate to PSHSB and OMD authority to take any necessary steps, including adoption of additional procedures and any applicable fees (pursuant to any required public notice and comment), as necessary to ensure compliance with the Communications Act with respect to any rules adopted here that contemplate the filing of applications directly with the Commission. 47 U.S.C 158(c). | 16. このアプローチでは、委員会が検査施設認定団体を承認する仕組みが必要であり、そのための規則を採択した。47 CFR 8.218を参照のこと。このアプローチは、委員会と業界が多くの経験を有し、実際に実行可能であることが証明されている、機器認可規則の類似の要素をモデルとしている。47 CFR 2.949を参照のこと。我々は、PSHSBおよびOMDに対し、委員会に直接申請することを前提としたここで採択された規則に関して、コミュニケーション法の遵守を確保するために必要な追加手続きおよび適用される料金の採択(必要とされる公示およびコメントに従って)を含む必要な措置を講じる権限を委譲する。47 U.S.C. 158(c). |
| 17. Because of the public safety importance of a CyberLAB having the requisite qualifications and adhering to our rules when evaluating requests to use the FCC IoT Label, this process should proceed appropriately expeditiously to minimize any periods of time where a CyberLAB continues to operate in that capacity once concerns have come to PSHSB's attention. In particular, PSHSB shall provide notice to the CyberLAB that the Bureau proposes to terminate the CyberLAB's authority and provide the CyberLAB a reasonable opportunity to respond (not more than 20 days) before reaching a decision on possible termination. PSHSB may suspend the CLA's ability conduct product testing during the pendency of such consideration if appropriate. | 17. FCC IoTラベルの使用申請を評価する際、サイバーラボが必要な資格を有し、当委員会の規則を遵守することは公共の安全にとって重要であるため、このプロセスは、サイバーラボがPSHSBの注意を喚起した後、その資格で業務を継続する期間を最小化するために、適切に迅速に進められるべきである。特に、PSHSBはサイバーラボに対して、局がサイバーラボの認可を終了することを提案していることを通知し、終了の可能性について決定を下す前に、サイバーラボに合理的な回答機会(20日以内)を提供するものとする。PSHSB は、適切であれば、当該検討の期間中、CLA の製品試験実施能力を一時停止することができる。 |
| 18. In addition to the discussion in the text, we adopt certain rules to support the administration and integrity of the IoT Labeling Program, including governing the designation of agents for service of process and governing required signatures. See47 CFR 8.208(i), (k). We model our approach on analogous elements of our equipment authorization rules, with which the Commission and industry have substantial experience, and which have proven workable in practice. See47 CFR 2.911(d)(7), (f). | 18. 本文中の議論に加え、IoTラベリングプログラムの管理および完全性をサポートするため、送達のための代理人の指定や必要な署名の管理など、一定のルールを採用する。47 CFR 8.208(i)、(k)を参照のこと。IoTラベリング・プログラムのアプローチは、委員会と産業界が豊富な経験を持ち、実際に実行可能であることが証明されている機器認可規則の類似の要素をモデルとしている。47 CFR 2.911(d)(7)、(f)を参照のこと。 |
| 19. We recognize that many of the duties of the Lead Administrator benefit all the CLAs and the program as a whole, and we do not suggest that the costs associated with the duties of the Lead Administrator as described in the Order to be an exhaustive list of the shared costs we expect to be shared among CLAs as a whole. | 19. 我々は、主管理者の職務の多くが、すべてのCLAおよびプログラム全体に利益をもたらすことを認識しており、命令書に記載された主管理者の職務に関連する費用が、CLA全体で共有されることを期待する共有費用の網羅的なリストであることを示唆するものではない。 |
| 20. The issue of where the FCC IoT Label would be placed was raised in the record. We agree that flexibility in placement is important in instances where the consumer might not see the product's packaging, such as in larger appliances, before purchasing the product. We recognize that some types of products might be customarily displayed in ways that make a one-size-fits-all approach inappropriate. As such, we agree with the ioXt Alliance's suggestion that we consider how the label may be placed in ways that will be helpful to a consumer, such as through an in-store display, advertisement on a screen, or website. | 20. FCC IoTラベルがどこに設置されるかという問題が記録で提起された。我々は、大型家電製品のように、消費者が製品を購入する前に製品の包装を見ない可能性がある場合、配置の柔軟性が重要であることに同意する。我々は、製品の種類によっては、画一的なアプローチが不適切となるような方法で慣習的に陳列される場合があることを認識している。そのため、我々は、店頭表示、画面上の広告、ウェブサイトなど、消費者に役立つ方法でラベルを表示する方法を検討するというioXtアライアンスの提案に同意する。 |
| 21. In addition to the declaration, the SBOM and HBOM will be made available upon request by the Commission, CyberLAB, and/or CLA. | 21. 宣言に加え、SBOMおよびHBOMは、委員会、サイバーラボ、および/またはCLAの要請に応じて提供される。 |
| 22. To enable a meaningful audit process it will be important to be able to review certain key records, which we consequently will require grantees to retain records regarding the original design and specifications and all changes that have been made to the relevant consumer IoT product that may affect compliance with the IoT Labeling Program requirements; a record of the procedures used for production inspection and testing; and a record of the test results that demonstrate compliance. See47 CFR 8.215. We model our approach on analogous elements of our equipment authorization rules, with which the Commission and industry have substantial experience, and which have proven workable in practice. See47 CFR 2.938(a), (f). | 22. 有意義な監査プロセスを可能にするためには、特定の重要な記録を確認できることが重要であり、そのた め、IoT ラベリングプログラム要件への準拠に影響を及ぼす可能性のある、関連する消費者向け IoT 製品 の当初の設計と仕様、およびすべての変更に関する記録、製造検査と試験に使用された手順の記録、準拠を実証する試験 結果の記録を保持するよう、補助金交付事業者に要求する。47 CFR 8.215 を参照のこと。このアプローチは、委員会および業界が多くの経験を有し、実際に実行可能であることが証明されている機器認可規則の類似の要素をモデルとしている。47 CFR 2.938(a)、(f)を参照のこと。 |
| 23. If necessary to accommodate the volume of auditing, a CLA may outsource some post-market surveillance testing to a recognized CyberLAB, but retains responsibility for the final review. | 23. 監査の量に対応するために必要であれば、CLA は、市販後サーベイランス試験の一部を公認の サイバーラボ に委託することができるが、最終的な審査については責任を保持する。 |
| 24. In addition, to further help safeguard the integrity of the IoT Labeling Program and the FCC IoT Label, we codify a rule that prohibits any person from, in any advertising matter, brochure, etc., using or making reference to the FCC IoT Label or the Cyber Trust Mark in a deceptive or misleading manner. See47 CFR 8.213(b). We model our approach on analogous elements of our equipment authorization rules, with which the Commission and industry have substantial experience, and which have proven workable in practice. See47 CFR 2.927(c). | 24. さらに、IoT ラベリング・プログラムおよび FCC IoT ラベルの完全性をさらに保護するため、広告物、 パンフレット等において、FCC IoT ラベルまたはサイバートラストマークを欺瞞的または誤解を招くような 方法で使用または言及することを禁止する規則を成文化する。47 CFR 8.213(b)を参照のこと。このアプローチは、委員会と産業界が実質的な経験を有し、実際に実行可能であることが証明されている機器認可規則の類似の要素をモデルとしている。47 CFR 2.927(c)を参照のこと。 |
| 25. $60 million = (15,000,000*$16*(15/60)) is the estimated value for 15 minutes of time savings nationwide. | 25. 6,000万ドル=(15,000,000*$16*(15/60))は、全国で15分の時間節約に対する推定値である。 |
| 26. The Consumer Reports proposed registry architecture includes a dataset that can store images and PDFs as well as allows for device manufacturers, retailers, security researchers and administrators to access the platform. The registry, as adopted, does not include these features and therefore would not incur the costs to develop and maintain them. | 26. コンシューマー・レポートが提案するレジストリ・アーキテクチャには、画像やPDFを保存できるデータセットが含まれ、機器製造事業者、小売業者、セキュリティ研究者、管理者がプラットフォームにアクセスできるようになっている。採用されたレジストリにはこれらの機能は含まれていないため、開発・維持のためのコストは発生しない。 |
| 27. Because we conclude that section 302 of the Act authorizes our actions in the Order, we defer consideration of other sources of authority that the Communications Act may grant the Commission over this area. | 27. 我々は、同法第302条がこの命令における我々の行動を認可していると結論付けているため、この分野に関してコミュニケーション法が委員会に与える可能性のある他の権限源の検討を延期する。 |
| 28. OMB has not yet issued final guidance. | 28. OMBはまだ最終指針を発表していない。 |
| [FR Doc. 2024-14148 Filed 7-29-24; 8:45 am] | [FR Doc. 2024-14148 Filed 7-29-24; 8:45 am]. |
| BILLING CODE 6712-01-P | 請求コード 6712-01-p |
Comments