スマホは除外! 適用範囲は?今回の基準変更で対象となる機器について、ガイドラインでは「デジタルデータ伝送用設備との接続においてインターネットプロトコル(IP)を使用するもの」と記載されている。
インターネットにつながるものが対象となるため、BluetoothやZigBeeなど非IPでローカルのみでやり取りするものは範囲の対象外となる。LPWA端末も、インターネット上のクラウドプラットフォームなどから操作可能でなければ対象外だ。
影井氏は「インターネットのプロトコルは地球の裏側からでもアクセスできる。汎用的で影響も大きい。近距離通信やエリアの限られている規格は今回の対象外だ」と解説する。
また、今回はあくまでインターネットに「直接」つながるものが対象となる(図表1)。つまり、インターネットにつながっているルーターや、SIMカードなどで通信するWebカメラは対象となるが、ルーターの配下で使用するWebカメラは対象外。「直接つながる機器への被害が圧倒的に多い」ためだ。
ただし、その場合は紙またはWebサイトの取扱説明書に「本製品は電気通信事業者(移動通信会社、固定通信会社、インターネットプロバイダ等)の通信回線(公衆無線LANを含む)に直接接続することができません。本製品をインターネットに接続する場合は、必ずルーター等を経由し接続してください」などと記載する必要がある。
PCやスマートフォンも例外的に対象外となる。
「スマートフォンなどは結局、利用者が四六時中触っていて、ファームウェアアップデートも逐次されている。技適のポイントは出荷前に、出荷後に対策していると間に合わない要件を確認することだ。PCやスマホは出荷後にアップデートされるため、出荷前と性質が変わる。技適で担保することになじまない」と影井氏は理由を説明する。
図表1 セキュリティ基準(新規則第34条の10)に係る技術基準適合認定等の対象機器の範囲イメージ
いつから対応すればいい?今回の省令改正は2020年の4月1日に施行される(図表2)。その前に出荷されるものは当然、新基準を取得する必要はないが、注意しておきたいのが4月1日を「跨ぐ」場合だ。
図表2 端末設備等規則の改正前後における認定等の対象機器の扱い
IoT機器には通信モジュールを組み込んでいる製品も多い。しかし、通信モジュールは単体で製造されることもあり、製造段階ではどのような製品に組み込まれるか分からないことも時々ある。
その場合は「通信モジュールだけ先行して現行基準で取り、製品全体として新基準で認証を受ける。またはその逆に、通信モジュール単体で新基準で取得する方法も選べる」と影井氏は解説する。
影井氏は最後に「審議会では(メーカーの負担を考慮して)あまり基準を厳しくしてほしくないという意見もあった。ただ、IoT市場全体を活性させるにあたって利用者を守ることは必要になってくる。その中で最低限の要素を積み上げた。今回の制度改正をベースにより高度な対策の追求に繋がればと思っている」と語った。