カリフォルニア州のセキュリティ/プライバシー関連の法律といえば、CCPAばかりに注目が集まっていますが、同州では、CCPAと同じ2020年1月1日から、カリフォルニアIoTセキュリティ法(California Internet of Things Security Law)が施行されています。これは、米国で初めてのIoTセキュリティ法です。
とても短い法律なので、一読してみるとよいかと思います。
同法では、CA州において販売される、又は販売のために提供されるすべてのコネクテッドデバイス(connected device)について、「合理的なセキュリティ」(reasonable security)措置をとることが義務づけられています。
コネクテッドデバイスの定義は、
「直接または間接的にインターネットに接続でき、インターネットプロトコルアドレスまたはBluetoothアドレスが割り当てられているデバイスその他の物理的な物」
とされています。インターネットに接続できるものであればなんでも、例えば、コピー機や医療機器、テレビ、プリンター、フィットネス器具など様々なものが含まれます。
同法の適用をうける「製造業者(manufacturer)」は、
「カリフォルニアで販売もしくは販売提供されている接続デバイスを製造する者、または、当該製造を他者に委託する者。」
と定義されています。
ですので、カリフォルニア州でIoT製品を販売する可能性のあるメーカー又は製造委託業者は、その製品がこの法律の要求するセキュリティ要件を満たすようにしておく必要があります。
そこで、この法律の要求するセキュリティ水準ですが、
「下記のすべての点を満たす合理的なセキュリティ上の特徴を有すること
- 当該デバイスの性質と機能に適切であること。
- 収集、保持、または送信する可能性のある情報に対して適切であること。
- 不正なアクセス、破壊、使用、変更、または開示からデバイス、およびデバイスに含まれる情報を保護するように設計されていること。」
が必要であるとされています。
なお、ローカルエリアネットワーク外の認証手段を搭載している場合、下記のいずれかを実装している必要がある、とも定めています。
- 事前にプログラムされたパスワードが、製造された各デバイスに固有であること
- デバイスへのアクセスが初めて許可される前に、ユーザーが新しい認証手段を生成する必要があるというセキュリティ措置が備わっていること
2番目の項目は、アクセスをする前に初期設定のパスワードの変更を要求する必要がある、といった意味です。
総務省は、電気通信事業法に基づく端末設備等規則(省令)を改正しており、2020年4月1日から販売される製品について、
- アクセス制御機能(パスワードを設置してそれを入力しなければアクセスできないなどの機能)
- アクセス制御に使用されるパスワードの変更を適切に促す等の機能
- ソフトウェアのアップデート機能
又は1~3と同等以上の機能
を実装することを義務づけていますが、CA州の要求事項はこれよりも重い、ということになるかと思います。
ご参考になりましたら幸いです。
