PSTI法（Product Security and Telecommunication Infrastructure Bill）

英国におけるIoT製品のサイバーセキュリティ対策向上を目的とした法律であるPSTI法（Product Security and Telecommunication Infrastructure Bill）、が2024年4月29日から施行されます。本記事ではPSTI法について説明します。

PSTI法の成り立ちと対象者／対象製品／罰則について

近年DDoS（Distributed Denial of Service）攻撃などのサイバー攻撃事件が絶えず、さまざまな業界に対して深刻な影響を与え得る大きな問題となっています。英国はサイバー攻撃の継続的な脅威に対して、IoT製品のサイバーセキュリティ対策向上を目的としたPSTI法を2022年12月6日に可決し、2024年4月29日から施行が予定されています。

対象者

PSTI法を準拠すべき対象者は、英国において輸入、販売、製造を行う者となります。
製造者に限らず、英国の輸入業者または販売業者がPSTI法対象製品を輸入して販売する場合、この輸入業者／販売業者がPSTI法に準拠した製品であるか否かを確認する必要があります。

対象製品

PSTI法を準拠すべき製品は、“Product Security and Telecommunications Infrastructure Act 2022”の“4.Relevant connectable products（4.関連する接続可能な製品）”および“8.Duty to comply with security requirements（8.セキュリティ要件を遵守する義務）”において、“internet-connectable product/network-connectable product（インターネット接続可能な製品またはネットワーク接続可能な製品）”の“UK consumer connectable product（英国の消費者向け接続可能製品）”と規定されております。
注意点は「consumer=一般消費者」ではないという点です。“54.Meaning of "UK consumer connectable product（54.「英国の消費者向け接続可能な製品」の意味）”の（3）において以下のとおり規定されています。

(a) the product is or has been made available to customers in the United Kingdom who are not consumers.
製品が消費者ではなく英国の顧客に提供されている、または提供された。

一般消費者向けではない製品でもPSTIを管轄する当局OPSS（Office of Products and Security and Standards）が「対象」と判断した事例がありますので事前に確認することをお勧めします。

罰則

PSTI法に違反した場合、OPSSにより以下の罰金が科されます。

• 最大1,000万ポンド　または
• 世界売上高の4%

前述のとおりPSTI法の対象者は「英国において輸入、販売、製造を行う者」となりますので、罰則の対象も製造者に限らない点に注意が必要です。

PSTI法におけるセキュリティ要件について

PSTI法の要件はETSI EN 303 645の以下の規定に対応しています。

ビューローベリタスのサービス

ビューローベリタスでは、PSTIの要件に対応するEN303645の規定に準じた第三者評価サービス、自己宣言のサポートを行っております。

消費財検査部門　スマートワールド事業部