こんにちは。
お読みいただきありがとうございます。

本日のテーマは、英国のIoT製品の新たなサイバーセキュリティ規制です。

2022年12月6日、2022年製品セキュリティ及び電気通信インフラ法（The Product Security and Telecommunications Infrastructure Act 2022）（以下「PSTIA」）が国王の裁可を得てイギリスの法律となりました。

このPSTIAにより、2024年4月29日から、IoT製品に対して、新たなセキュリティ規制が課せられます。

ぼくは会員ではないので読めないのですが、こちらの日経の記事でも取り上げられています。

今回は、その概要についてご紹介したいと思います。

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。

PSTIAの概要

こちらが、PSTIAの条文です。

全部で80条の中ぐらいのボリュームの法律ですね。
まずは構成を見て頂けると、PSTIAが何について定めたものなのか、分かりやすいと思います。

このように、PSTIAは、Part 1の製品セキュリティ（Product Security）と、Part 2の電気通信インフラ（Telecommunications Infrastructure）を規律する法律です。名前のとおりですね。

そして、両者は似た分野であるものの、ぼくが読んだ限り、Part 1とPart 2はそこまでリンクしていません。今回はIoT製品のサイバーセキュリティということで、Part 1を中心に紹介したいと思います。

そして、企業の担当者としては、「誰が（適用対象の事業者）、何をするときに適用されて（適用対象の製品）、どのような対応を（事業者の義務）、いつまでに（施行時期）、やらないといけないのか」が気になるところだと思います。

以下で、順番に見ていきたいと思います。

適用対象の事業者

PSTIAは、主に次の事業者に対して、義務を課しています。

それぞれの定義を見ましたが、常識的な規定であり、特に細かく説明する必要はないかなと思いました。気になる方は、s. 7(3)～(5)に定義規定がありますので、ご参照ください！

なお、PSTIAは英国の法律なので、日本企業にとっては、地域的適用範囲も気になると思います。この問題は、次の項で併せて説明します。

適用対象の製品

次に、PSTIAは、どのような行為について規制しているのでしょうか。

先に答えを言ってしまうと、PSTIAのPart 1の規制のほとんどは、英国消費者接続可能製品（UK consumer connectable product）の取扱いに関するものです。定義が長い、、（笑）もっと洗練された言い回しにしてほしいですが、致し方なしですね。

英国消費者接続可能製品の定義は、いくつかの条項にまたがって定められています(*1)。まとめると、次のように言えます。

これでもまだ、細かいところは端折った定義なのですが、分かりにくいですね、、。誤解を恐れずに言うと、英国消費者向けの新品のIoT製品と言えるのではないかと思います。

そして、②‐Bの要件によって、ある事業者Xが英国企業向けにしか販売していないIoT製品であっても、別の事業者Yが同じモデルを英国消費者に販売していれば、事業者Xについても、PSTIAが適用され得ることになります。

なお、ネットワーク接続可能製品、という定義は分かるようで分からない定義ですが、気になる場合は、s. 5(3)をご覧ください。

地域的適用範囲

繰り返しになりますが、PSTIAの適用の対象となるのは、英国消費者接続可能製品です。

そのため、製造業者は、英国消費者接続可能製品を製造する場合には、英国外に所在していても、PSTIAを遵守する必要があります。

PSTIAは、英国消費者接続可能製品となることを意図したり知っていたりなくとも、知っているべきであった場合に、PSTIAを適用するとしています。

ぼくの理解だと、真っ当な商売を行っている製造業者であれば、自社の製品が、一次的にどの地域で販売されるのか予測不可能という事態はあまり考えられず、おのずとその製造業者がPSTIAの適用対象となるか否かは分かるのではないかと思っています。

他方で、輸入業者と販売業者は、あまり地域的適用範囲のことで頭を悩ませることはないように思います。

例外となる製品

英国消費者接続可能製品について、もう一つ気を付けるべき点は、IoT製品であっても、適用が除外されているものが相当するあることです。

具体的には、PSTIAの二次法である通称セキュリティ規則(*1)のSch. 3に定めが置かれています。

主要な適用除外品としては、パソコン、スマートメーター、電気自動車の充電ポイントなどが挙げられます。

事業者の義務

PSTIAのPart 1は、各事業者ごとに義務を定めています。

製造業者の義務

まずは、製造業者の義務から見ていきます。

①　セキュリティ要件遵守義務
製造者は、セキュリティ規則のSch. 1に定めるセキュリティ要件（Security Requirements）を遵守しなければなりません。

当面の間、セキュリティ要件は、主に次の3つです。

このうち、2と3については、英語で公表するとともに、顧客が無料で利用できなければなりません。

なお、PSTIAは、ETSI EN 303 645やISO/IEC 29147といった標準規格に準拠している場合には、セキュリティ要件を満たしているとみなせる旨を定めています(*4)。

したがって、もし、製造業者がこれらの規格に準拠した製造を既に行っていれば、新たにセキュリティ要件の遵守のための措置は不要と言うことになりそうです。具体的な要件については、セキュリティ規則のSche. 2を参照してください。

②　遵守表明書（Statements of compliance）
製造業者は、遵守表明書（又はその要約）を英国消費者接続可能製品に附属させなければいけません(*3)。

この遵守表明書は、所定の形式で作成され、製造業者がセキュリティ要件を遵守していることの表明を記載に含む必要があります。つまり、製造業者は、セキュリティ要件が遵守について、自主的な調査が必要といえます。

③　コンプライアンス違反に関する調査
製造業者は、英国消費者接続可能製品に関連するコンプライアンス違反（セキュリティ要件の不遵守等）を調査し、措置を講じなければなりません(*5)。

④　記録保持
製造業者は、コンプライアンス違反及びこれに係る調査の記録を保持しなければなりません(*6)。

⑤　代理人の設置
英国外の製造業者は、その義務のうち所定のものを遂行する権限を有する者として、英国に代理人を置かなければなりません(*7)。

輸入業者の義務

セキュリティ規則は、輸入業者に適用されるセキュリティ要件を定めていません。したがって、輸入業者が負うこととなる義務は今のところ、次のとおりです。

販売業者の義務

販売業者についても、セキュリティ要件が定められていません。販売業者の義務は以下のとおりです。

要するに、輸入業者の義務から③、④、⑤を引いたものです。

施行時期

既に冒頭で触れてしまったのですが、ここまで述べてきたPSTIAのPart 1は、2024年4月29日に施行されます。

まとめ

いかがだったでしょうか。
本日は、英国のIoT製品の新たなサイバーセキュリティ規制として、PSTIAを紹介しました。

以下のとおり、まとめます。

ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。

【注釈】
*1　s. 5 and 54, PSTIA
*2　The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023 (SI:2023/1007)
*3　s. 9(2), PSTIA
*4　s. 3, PSTIA
*5　s. 10 and 11, PSTIA
*6　s. 12, PSTIA
*7　s. 13. PSTIA

免責事項：
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

X（Twitter）もやっています。
こちらから、フォローお願いします！

このほかにも、データ法に関する解説を書いています。
よければご覧ください。