IoT機器の技術的要件

総務省から、2019年3月1日に以下のような省令が出ており、これによりIoT機器の安全基準が示されていたことを知りました。

---

「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令(平成31年総務省令第12号)」
端末設備等規則
（インターネットプロトコルを使用する専用通信回線設備等端末）
第34条の10
専用通信回線設備等端末（デジタルデータ伝送用設備に接続されるものに限る。以下この条において同じ。）であつて、デジタルデータ伝送用設備との接続においてインターネットプロトコルを使用するもののうち、電気通信回線設備を介して接続することにより当該専用通信回線設備等端末に備えられた電気通信の機能（送受信に係るものに限る。以下この条において同じ。）に係る設定を変更できるものは、次の各号の条件に適合するもの又はこれと同等以上のものでなければならない。ただし、次の各号の条件に係る機能又はこれらと同等以上の機能を利用者が任意のソフトウェアにより随時かつ容易に変更することができる専用通信回線設備等端末については、この限りでない。
1　当該専用通信回線設備等端末に備えられた電気通信の機能に係る設定を変更するためのアクセス制御機能（不正アクセス行為の禁止等に関する法律（平成11年法律第128号）第2条第3項に規定するアクセス制御機能をいう。以下同じ。）を有すること。
2　前号のアクセス制御機能に係る識別符号（不正アクセス行為の禁止等に関する法律第2条第2項に規定する識別符号をいう。以下同じ。）であつて、初めて当該専用通信回線設備等端末を利用するときにあらかじめ設定されているもの（2以上の符号の組合せによる場合は、少なくとも一の符号に係るもの。）の変更を促す機能若しくはこれに準ずるものを有すること又は当該識別符号について当該専用通信回線設備等端末の機器ごとに異なるものが付されていること若しくはこれに準ずる措置が講じられていること。
3　当該専用通信回線設備等端末の電気通信の機能に係るソフトウェアを更新できること。
4　当該専用通信回線設備等端末への電力の供給が停止した場合であつても、第1号のアクセス制御機能に係る設定及び前号の機能により更新されたソフトウェアを維持できること。

---

概要によれば、以下のような内容です。

---

インターネットプロトコルを使用し、電気通信回線設備を介して接続することにより、電気通信の送受信に係る機能を操作することが可能な端末設備について、最低限のセキュリティ対策として、以下の機能を具備することを技術基準に追加することが適当。
①アクセス制御機能※1
②アクセス制御の際に使用するID/パスワードの適切な設定を促す等の機能
③ファームウェアの更新機能※1
①～③と同等以上の機能※2

※1 端末への電力供給が停止した場合でも、これらの機能の維持が必要。
※2 同等以上の機能を持つものとしては、国際標準ISO/IEC15408に基づくセキュリティ認証(CC認証)を受けた複合機等が含まれる。
ただし、PCやスマートフォン等、利用者が随時かつ容易に任意のソフトウェアを導入することが可能な機器については本セキュリティ対策の対象外とすることが適当。
本セキュリティ対策の追加は、IoT機器メーカや登録認定機関等の対応を考慮して一定の期間（1年～2年程度）を設けることが適当。
従来の制度に基づき、新制度の施行前に取得した技術基準適合認定等については、施行後も引き続き有効であり、当該認定等に基づく機器も引き続き使用することを可能とすることが適当。

---

パスワードのレベルが不明なこと、ファームウェアの更新機能は付いていればよく、その機能要件は明確にされていないことに注意が必要です。