「JC-STAR」とは？ IoT製品のセキュリティ評価と申請手順：知っておきたいJC-STAR（2/3 ページ）

今回は「セキュリティ要件適合評価及びラベリング制度」（通称、JC-STAR）の目的や仕組み、ラベル取得などに関して説明します。

[リョーサン]

2. 適合ラベル取得の流れ

2-1. 準備段階から申請まで

　まず、IPAから必要書類を入手した後、自社製品が適合基準を満たしているかを確認します。多くの場合、いくつかの項目で非適合が発見されるため、実機とドキュメントの変更による対策が必要となります。この対策実施が最も時間を要するプロセスとなります。

　その後、適合基準に対するエビデンスを作成し、そのエビデンスを基に申請用チェックリストを作成して適合ラベルを申請します。この一連のプロセスは通常1〜2カ月程度を要します。

2-2. 審査から公開まで

　申請後、IPAによる書類審査が約2週間実施されます。合格となった場合、適合ラベル公開のための準備手続きに約2週間を要し、トータルで約1カ月でラベル発行処理が完了します。

2-3. ラベルの維持管理

　適合ラベルは、取得した時点で完了するものではなく、製品のセキュリティ状態が有効期間中も維持されていることが前提となります。申請時には、各評価項目に対するエビデンスの提出は不要ですが、申請者はそれらを自社で適切に保存しておく義務があります。保存期間はラベルの有効期間（最大2年間）に準じており、IPAから照会があった場合や制度上の検査が実施された際には、保存していたエビデンスを提示できる状態である必要があります。

　なお、製品のサポートが終了した時点でラベルの有効期間も終了します。

適合ラベル取得の流れ

3. 適合評価の分類と方法

3-1. 評価実施主体による分類

　適合評価は大きく2つの方法に分類されます。製品ベンダー自身が自己適合評価を行う場合と、外部に評価を依頼する場合です。

　外部委託する場合は、JC-STAR評価機関またはJC-STAR検証事業者の資格を持つ第三者評価機関に全面的に依頼することが可能です。一部のみを外部委託した場合でも自己適合評価として扱われます。

3-2. 評価結果の種類

　評価項目に対する結果は「適合」「非適合」「対象外」の3種類に分類されます。申請を行うためには、全ての項目が「適合」または「対象外」と判定されている必要があり、「非適合」とされた項目が含まれている場合は申請できません。

　評価結果を「適合」とする場合は、製品がその項目の要件を満たしていることを示すエビデンスが必要です。また「対象外」とする場合でも、その項目が製品に該当しないことを合理的に説明する根拠が求められます。これらのエビデンスは、技術文書や実機テスト結果などをもとに構成され、各項目毎にエビデンスの名称とその根拠を明記する必要があります。

　なお、これらのエビデンスは申請時にIPAへ提出する必要はありませんが、ラベルの有効期間中は保存しておく義務があり、照会や検査の際には提示できる状態であることが求められます。

4. 申請に必要な文書

4-1. 申請に必要な書類

　申請にはJC-STAR適合ラベル申請書、申請確認書、チェックリストなどの文書が必要です。特に、申請確認書とチェックリストは申請において重要となる書類です。

4-2. チェックリストの詳細な構成内容

　チェックリストは評価結果一覧シートと個別の適合基準に対応する詳細シートから構成されます。詳細シートには適合基準番号、適合・非適合などの評価結果、エビデンス名称、そしてそのエビデンスに基づく適合理由を記載する必要があります。

4-3. 適合ラベル発行申請書における重要なポイント

　申請書には企業名、法人番号、登記事項証明書などの基本情報に加え、製品型式・名称、製品型番、ファームウェアバージョン、サポート期間などの製品固有情報が必要です。これらの情報は適合基準のエビデンスと整合している必要があり、不整合があると書類不備として却下される可能性があります。

　また、自己評価、評価機関による評価、検証事業者による評価のいずれかを明記する適合評価方法の選択も必要です。