日本文部科學省發布產學合作研究成果歸屬合約範本【櫻花工具包】

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

國際能源總署（International Energy Agency, IEA）於2022年12月發布「二氧化碳封存資源及其開發」手冊（CO2 storage resources and their development: An IEA CCUS Handbook），概述地質封存之效益、風險與社會經濟相關考量，並補充2022年度7月份的碳捕捉、利用及封存（Carbon Capture, Utilization and Storage, CCUS）法律和監管框架。該手冊架構可分為九個章節，重要章節包含：碳封存資源概述、碳封存開發生命週期、評估階段開發、風險管理、商業化、以及提供具體建議予決策者或私營部門。 由於CCUS涉及複雜管理及營運模式，IEA為決策者確立五個總體行動，簡述如下：（1）識別封存資源並提供必要資料：現有的地質資料是寶貴的起點，政府可以將現有資料數位化並建置資料庫，便於私部門獲取資訊。（2）確保法律與管制框架符合CCUS需求：政府應全面盤點既有法制體系是否到位，並應解決下列幾個關鍵問題：碳封存特定責任與風險、建立明確與適當的許可流程、地下孔隙空間的所有權、案場管理要求（如監控、關閉等）。（3）制定支持碳封存的政策：如將CCUS納入國家能源及氣候計畫、制定CCUS路線圖以協調發展策略、進行全面資源評估、制定獎勵措施（如獎勵資金、稅收抵免、可交易的憑證、鼓勵降低成本的創新計畫、風險緩解措施、碳定價等）。（4）支持先驅者並促進投資：產業先驅者時常面臨發展尚未成熟的開發環境或法制體系，因此建議政府得給予先驅者特定的獎勵措施。（5）支持發展CCUS的技術、專業能力：鼓勵石化與天然氣產業朝向CCUS轉型，如提供相關知識並培養相關技術，支持持續就業並避免人才流失等。

聯邦採購規則（Commonwealth Procurement Rules）為澳洲財政部（Australia Government Department Of Finance）依公共治理、績效及課責法（Public Governance, Performance and Accountability Act 2013）授權所訂定之採購規範。澳洲財政部於2024年發布新修正之聯邦採購規則，並於同年7月1日生效。 新修正之聯邦採購規則除維持現行架構及核心精神外，另增訂聯邦供應商行為準則、擴大經濟效益評估、促進性別平等等措施，同時也擴大對中小企業之支援與協助。 為確保中小企業參與政府標案之公平競爭，新修正之聯邦採購規則要求澳洲政府在評估採購案時應適當提供中小企業競爭機會，並以符合最佳性價比之原則考量下列事項： 一、 向具有競爭力之中小企業進行採購之效益； 二、 中小企業參與競標之障礙，如投標之資金成本； 三、 中小企業之能力及對地區市場之貢獻； 四、 增加潛在供應商數量以最大化競爭所產生之效益，包含在合適之情況下，將大型專案拆分為數項小型專案。 此外，新修正之聯邦採購規則要求聯邦機構提高對中小企業採購之比例。依新修正之聯邦採購規則第5部分，超過澳幣10億元之採購契約，採購總金額中至少25%應係向中小企業採購，較修正前提高5%；超過澳幣2,000萬元之採購契約，採購總金額中則至少應有40%係向中小企業採購，較修正前提高5%。 本次修正是考量中小企業對於澳洲經濟有所貢獻，因此提高中小企業之採購比例，預計修正後亦可讓更多中小企業獲得採購機會。

　　加拿大安大略省議會於2016年5月三讀通過修正健康資訊保護法（Health Information Protection Act, HIPA）。該法案藉由一連串措施，包括增加隱私保護、問責制與提升透明度，以提高病人地位。 1.在符合指令定義內，將違反隱私之行為強制性地通報與資訊與隱私專員； 2.強化違反個人健康資訊保護法之起訴流程，刪除必須於犯罪發生之六個月內起訴之規定； 3.個人犯罪最高額罰款提升到50,000元至100,000元，組織則為250,000元至500,000元。 　　而健康資訊保護法也將更新照護品質資訊保護法（Quality of Care Information Protection Act, QCIPA），有助於提升透明度，以保持醫療系統的品質，更新內容包括： 1.確認病患有權得知其醫療相關資料； 2.釐清不得對關於受影響的病患與家屬保留重要事項之資訊與事實； 3.要求健康與長照部（Minister of Health and Long-Term Care）每五年定期審查照護品質資訊保護法。 　　安大略省亦正著手研究由專家委員會提出，所有關於提升照護品質資訊保護法所稱重大事故透明度之建議。 　　藉著透過該目標，將可提供病患更快的醫療，更好的家庭與社區照顧，安大略政府希望可以透過上開手段以保護病患隱私以及加強其資訊透明度。