{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
2022年12月7日に成立した英国の「製品セキュリティおよび通信インフラストラクチャ法規制」(Product Security and Telecommunication Infrastructure Act:PSTI法)が、2024年4月29日から適用されます。
本稿では、PSTI法の対象となる製造者が改めて確認しておくべきセキュリティ要件の内容や、流通在庫(法規適用日時点で上市済みかつ輸入元や販売店にある未販売のもの)への対応にあたり注意すべき点を解説します。
製造者の義務のおさらい
PSTI法はセキュリティ要件として、以下の3つを定めています。
- 出荷時の共通パスワード設定の禁止
- 脆弱性情報の報告方法の提供
- 製品のセキュリティサポート期間の明示
特に「2. 脆弱性情報の報告方法の提供」では、実質的なセキュリティ対応体制(PSIRT: Product Security Incident Response Team)を構築することが求められます。英国市場からの脆弱性情報を受け付け、対応できるPSIRT体制が整備されていなければ、PSTI法のセキュリティ要件を満たすことは困難です。
なお英国市場で上市させるためには、適合宣言が必要で、違反時の罰金も多額(1,000万ポンド、もしくは製造者の直近の会計年度の全世界の総売上の4%のうち多い額)であるため、注意が必要です。
PSTI法の要件は、前回公開記事「英国Product Security and Telecommunication Infrastructure Act(PSTI法)成立~英国市場での製品セキュリティ対応カウントダウン始まる~」にて解説していますので、詳しくはこちらを参照ください。
流通在庫も適用対象に
一方でPSTI法は、PSTI法適用後に上市される製品のみならず、すでに上市済みで製造者の手元を離れた流通在庫にも適用されるという点に注意が必要です。
英国政府のPSTI法主席担当官(UK government‘s lead official for connectable product security legislation)であるJonathan Angwin氏は、2023年11月に英国のIoTSF(The Internet of Things Security Foundation)が実施したオンラインセミナーにおいて、以下のように説明しています。
「製造業者は、下流の輸入業者や流通業者が英国の顧客に供給するサプライチェーンに非準拠の製品を持ち込まないようにする義務を負う」
さらに、この義務がPSTI法適用日である2024年4月29日以前に製造された流通在庫に関しても例外なく適用される点を口頭で補足しています。
このオンラインセミナーで触れられていた流通在庫への適用についてJonathan Angwin氏に改めてヒアリングを実施したところ、流通在庫もPSTI法の対象となることが確認されました。また、適合できていない製品が流通在庫にある場合、製品を要件に適合させる、または英国以外の市場に販売する必要があるという見解でした。
Jonathan Angwin氏とのQA概要
Q. すでに流通している在庫であっても、2024年4月29日以降に販売される製品はPSTI法の対象となるのか。 A. PSTI制度(2022年PSTI法および2023年PSTI規則)の要件は、エンドユーザーにまだ販売されていない、すでに上市されている全ての新製品または既存製品に適用される。
Q. 流通業者や小売業者が、PSTI法非準拠製品を在庫として保管している場合、製造者が問題を解決するまで、その製品を販売することはできないのか。 A. 新しいセキュリティ要件に準拠しておらず、PSTI規則で言及されている適合宣言書が添付されていない製品は、たとえ2024年4月29日以前に流通業者や小売業者が入手したものであっても、消費者に販売することはできなくなる。
Q. 4月29日より前に出荷しているものの、販売は同日以降にされる製品に対して、どのような対応を実施すべきか。 A. 以下のような対応が考えられる。
|
したがって、英国に消費者向けIoT製品を展開しているメーカーは、PSTI法対象となる製品の適合状況を確認した上で、適合していない製品については2024年4月29日以降に販売を停止するか、改修の上適合させて販売するかを判断する必要があります。
まとめ
PSTI法は流通在庫にも適用されるという見解が示されました。すなわち、すでに上市されていてもユーザの手に渡っていない製品は、2024年4月29日以降PSTI法のセキュリティ要件を満たしている必要があります。流通在庫がセキュリティ要件を満たしていない場合の対応についても検討した上で、適用日を迎えなければなりません。
英国PSTI法の適用まで、残された時間はわずかです。製品メーカーは、自社の製品や体制がセキュリティ要件を満たしているかを、改めて確認する必要があります。
執筆者
亀井 啓
シニアマネージャー, PwCコンサルティング合同会社
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
