JC-STAR制度(IoTセキュリティ評価制度)
Murata Kazuya目次
登録申請を検討中の事業者様へ【制度解説・申請支援】
デジタルサイネージ、IoT機器、太陽光・蓄電池など、
通信機能を持つ機器のセキュリティ対策は、いまや「努力目標」ではなく 調達・採択の前提条件 になりつつあります。
その中で注目されているのが、JC-STAR制度(IoT機器セキュリティ評価制度)です。
本記事では、
- JC-STAR制度の概要
- なぜ今、登録が重要なのか
- 行政書士が支援できる実務領域
を分かりやすく解説します。
JC-STAR制度とは?
JC-STAR制度とは、IoT機器のサイバーセキュリティ対策水準を評価・可視化する制度です。
2025年3月から運用が開始された比較的新しい制度です。
IoTが急速に普及している一方、IoT機器を踏み台にしたサイバー攻撃事案が既に発生していたりします。
こうした状況を鑑みて、共通的な物差しでIoT製品のセキュリティ機能を評価・可視化し、適切なセキュリティ対策が講じられているIoT製品が広まる仕組みの構築が必要とされ、本制度が誕生しました。
IoT製品のセキュリティ確保に向けて~セキュリティ要件適合評価及びラベリング制度(JC-STAR*)の紹介~
経済産業省資源エネルギー庁でも、小規模太陽光発電設備の監視装置に内在するリスクについて、どのような対策が考えられるか検討がなされており、本制度との連携も示唆されています。
小規模太陽光発電設備のサイバーセキュリティ対策について 2024年2月4日 資源エネルギー庁 電力産業・市場室
また、2025年末に閣議決定された令和8年度予算案においてもサイバーセキュリティの予算は3倍に拡充されるなど、高市政権でもサイバーセキュリティは国防の観点から見ても非常に重要なキーワードとなっております。
令和8年度予算政府案 : 財務省
令和8年度 総務省予算のポイント(概要)
制度の目的
- セキュリティ対策が施された機器を識別可能にする
- 利用者・調達者が安心して機器を選べる環境を作る
- IoT機器を起点としたサイバー被害を防止する
👉 「性能」ではなく「安全性」を示す制度という点が最大の特徴です。
特に政府系や重要インフラにおいては、将来的にはこの認証の取得がないと製品調達の選択肢に入らなくなる可能性も十分に考えられます。
4つのレベル
★1~4の4つのレベルが存在します。
4つのレベルは、評価主体(誰が評価するか)によって大きく2つに分類されます。
★1は製品共通のベースラインであり、★2以上は製品の特徴や利用環境のリスクに応じた段階的な基準となっています。
• 自己適合宣言(★1、★2)
◦ 申請者(IoT製品ベンダー)が自ら適合評価を行い、その結果を記載したチェックリストに基づき、ラベル発行機関(IPA)が適合ラベルを交付します,。
• 適合評価・認証(★3、★4)
◦ 第三者の評価機関が適合評価を実施し、その結果に基づき認証機関(IPA)が認証・適合ラベルを交付します,。
申請手数料
★1は申請手数料 198,000円(税込)…(事務局へ納付する金額)
★2の受付は2026年以降予定のため、詳細は2025年末時点では不明。
標準処理期間
★1の場合、申請受付から適合ラベル発行まで約1~1.5カ月程度。
申請書類の受領通知⇒申請受付受理書発行まで約2週間程度、さらに申請手数料入金後に適合ラベルが発行されるまでさらに約2週間程度
★1(レベル1):製品類型共通・最低限の要件
◦ 位置付け: 特定の製品類型に絞らず、広範なIoT製品を対象とした統一的な基準です。
◦ 基準: 最低限の脅威に対応するために、IoT製品として共通して求められるセキュリティ要件が定められています。
◦ 評価方式: 自己適合宣言
★2(レベル2):製品類型別・基本的な要件
◦ 位置付け: 製品カテゴリ(製品類型)ごとの特徴を考慮した基準です。
◦ 基準: ★1の要件に加え、追加すべき基本的なセキュリティ要件が定められています。
◦ 評価方式: 自己適合宣言
★3(レベル3):製品類型別・汎用的な要件
◦ 位置付け: 政府機関、重要インフラ事業者、地方公共団体、大企業の重要なシステムでの利用を想定しています。
◦ 基準: 製品類型ごとの汎用的なセキュリティ要件が定められています。
◦ 評価方式: 第三者認証(第三者による評価が必要)
★4(レベル4):製品類型別・高度な要件
◦ 位置付け: ★3と同様に、政府機関や重要インフラ事業者等の重要なシステムでの利用を想定した、より高度な基準と位置づけられています。
◦ 基準: 製品類型ごとの汎用的なセキュリティ要件が定められています。
◦ 評価方式: 第三者認証(独立した第三者による評価が必要)
対象となる主な機器・分野
以下の4つの条件をすべて満たすIoT製品が対象となります。
① 機器が含まれている(機器に対してラベルが付与される)
② インターネットプロトコル(IP)を使用したデータの送受信機能を持つ
③ 直接・間接を問わず、インターネットにつながる(可能性がある/否定できない)
④ 購入時に具備されているセキュリティ機能を利用し、アップデート以外で(調達者・利用者が自らの意志で)後からセキュリティ機能を追加することが困難/できない
JC-STARは、以下のような分野で特に重要性が高まっています。
対象例
- デジタルサイネージ(遠隔配信・管理型)
- IoT機器(センサー、ゲートウェイ等)
- 太陽光発電設備の監視・制御装置
- 蓄電池の通信・管理ユニット
- クラウド連携型制御機器
👉 公共空間・インフラに関わる機器ほど、評価が重視されます。
※汎用的なIT製品(パソコン、タブレット端末、スマートフォン等)は容易にセキュリティ対策を追加することができるため本制度の対象外となります。利用者が製品本体に対して容易にセキュリティ対策を追加できない場合は対象製品とみなされます。
補足事項
- 申請は1件(1製品)ごと
- ラベル利用は、『登録された型番』のみ
- 同一機能を持つ製品(型番)の追加は、『製品型番追加届』を提出して追加が可能。
なぜ今、JC-STAR登録が重要なのか
理由① 公共調達・補助金での重視
- 実証事業
- 補助金事業
- 委託業務
これらでは、「セキュリティ対策をどう説明できるか」が審査上の重要ポイントになっています。
理由② 技適だけでは不十分な時代
- 技適:電波法上の適合(必須要件)
- JC-STAR:セキュリティ水準の可視化
👉 「合法」+「安全」の両立が求められています。
理由③ 将来的な義務化・要件化への備え
現時点では任意制度ですが、
- 調達条件
- 補助金要件
- 業界ガイドライン
に組み込まれる可能性も十分に考えられる制度です。
JC-STAR登録申請でよくあるつまずきポイント
① 申請書類の整理ができない
- 製品仕様の整理
- セキュリティ対策の説明
- 運用・更新体制の説明
👉 技術者目線ではなく、制度目線の整理が必要です。
② 技適・法制度との関係が曖昧
- 技適は取得済みか?
- 対象範囲はどこまでか?
- 機器単体か、システム全体か?
👉 制度横断的な整理が不可欠です。
③ 海外製・OEM製品の説明が難しい
- 開発元と申請主体の関係
- セキュリティ責任の所在
- 更新・サポート体制
👉 書類上の説明が弱いと、評価に影響します。
行政書士が支援できるJC-STAR申請業務
JC-STARは、
「技術そのもの」ではなく「制度としてどう説明するか」が成否を分けます。
行政書士が対応できる支援内容
- 申請に必要な情報整理
- 技適・関連法制度の整理
- 申請書類の構成・文書化支援
- 補助金・実証事業向け説明資料作成
- 登録後の対外説明資料の整備
👉技術者の負担を減らし、制度対応を円滑に進める役割です。
こんな事業者様におすすめです
- デジタルサイネージ・IoT機器メーカー
- 太陽光・蓄電池関連設備事業者
- 公共分野への展開を考えている企業
まとめ
JC-STAR制度は、これからのIoT・エネルギー・サイネージ分野において
「信頼性を示す共通言語」になりつつあります。
- 技適だけでは足りない
- セキュリティ対策を説明できない
- 調達・審査で差がつき始めている
こうした状況だからこそ、早期に制度対応を進めることが競争力につながります。
JC-STAR制度への登録申請、
技適・法制度整理、
補助金・実証事業向けの説明資料作成について
お気軽にご相談ください。
