総務省、自治体IT機器の調達に「中国製品排除」重要な調達の実態を解説|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年04月23日更新日時: 2026年06月01日

共同通信など複数の国内メディアは2026年4月20日、総務省が自治体の使用するIT機器について政府の評価制度で認定された製品のみの調達を義務付ける方針を固めたと報じました。認定製品に中国製の製品は含まれておらず事実上排除される、6月にも省令を改正し2027年夏から運用を始める見通し——報道はこのように伝えています。

ただし、「中国製品排除」という見出しのインパクトを受け取る前に、情報システム部門の担当者として知っておくべき重要なことがあります。この方針の実質は、中国製品を名指しで禁じる新政策ではなく、調達要件を証拠ベース・認証ベースに標準化する制度の拘束力化点です。

1 報道の背景にある既存の制度的土台
2 「中国製品排除」という表現は不正確
3 制度の核心：JC-STARとは
4 自治体情シス担当者が今やるべき3つのこと
5 自治体のIT機器更改シナリオ
6 よくある質問（FAQ）
7 参考情報

報道の背景にある既存の制度的土台

2025年3月28日に公表された総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」改定版は、インターネットプロトコルを用いる機器の調達に関してIPA運営のJC-STAR（IoT製品向けセキュリティ適合性評価制度）の適合ラベル取得状況を「参考になる」と明記し、SBOM、サプライチェーン追跡可能性、署名付き更新、不要ポートの無効化などを調達論点として整理しました。

さらに2024年の地方自治法改正で新設された第244条の5・第244条の6は、普通地方公共団体に対しサイバーセキュリティ措置の実施義務と、各執行機関によるサイバーセキュリティ確保方針の策定・公表義務を課し、その施行日が2026年4月1日でしたので

今回の報道は、この法的義務に「調達の認証ゲート」を接続する次の一手の可能性が高いです。

「中国製品排除」という表現は不正確

報道の「中国製品を事実上排除」という表現は結果の一面を捉えてはいますが、制度の設計思想を伝えていません。

2024年1月、米国司法省はPRC系のVolt Typhoonが米国内のSOHOルーター数百台を乗っ取り構築したKV Botnetを裁判所命令に基づき無力化したと発表しました。

攻撃者はこれらの機器を経由することで中国発であることを隠しながら、米国の通信・エネルギー・輸送・水道などの重要インフラ組織への侵入を秘匿していました。また、Microsoftが2024年10月に詳述した事例では、主として中国所在の攻撃者がTP-Link製ルーターの脆弱性を悪用して遠隔コード実行権限を得た後、バックドアを設置し複数組織の認証情報をパスワードスプレーで狙っていました。

重要なのは、これらの事例が中国製ルーターに秘密のバックドアが最初から仕込まれていた証拠ではなく、脆弱性管理の不備と大量普及を悪用した標的型攻撃インフラ化された点です。

つまり危険なのは「中国製」というラベルそのものではなく、サポート切れ・未更新・SBOM不在・遠隔保守の不透明性・サプライチェーンの追跡不可能性という部分が危険です。

米英はこの認識のもと、ベンダー名指し排除から法令・認証・撤去補助・設備認可停止を組み合わせた供給網防衛へ移行しています。

米国ではFCCがHuawei・ZTE等を国家安全保障上の脅威に指定し認可停止と「Rip-and-Replace」補助に進み、2026年には外国製ルーター全般を原則対象とするまで拡張しました。英国はNCSCの助言を踏まえHuaweiの5G新規調達停止と2027年末までの撤去を法的義務にしています。

日本が同方向へ進むなら、自治体への最大の影響は「中国製品排除」そのものより、調達要件の標準化・例外管理・入替え優先順位付け・コスト平準化の設計に現れます。

制度の核心：JC-STARとは

今回の報道で言及されている「政府の評価制度」として中心に挙げられているのが、IPAが運営するJC-STAR（IoT製品向けセキュリティ適合性評価制度）です。

JC-STARは★1〜★4の4段階構造をとっており、★1・★2は自己適合宣言、★3・★4は第三者評価機関による審査が必要です。問題は、JC-STARは現時点でIoT製品向けの制度であり、PCやサーバー、クラウドサービスをどの認定制度で評価・認定済みとみなすかは整理途上である点です。

仮に将来の省令が「認定製品のみの調達を義務付ける」とした場合、PCやサーバーは何の制度で「認定済み」とみなされるのか、自己宣言ラベルをどこまで許容するのか、例外承認はどう設計するのかという問いに答えが出ていなければ、制度は実務で空回りするリスクがあります。

調達要件の標準化を歓迎しながら、制度詳細の具体化を注視し続けることが情報システム部門の務めです。

自治体情シス担当者が今やるべき3つのこと

報道を受けて「省令が出た」と誤認して全面更改に走ることは合理的ではありません。一方で、制度化の方向は既存の一次資料からも明確であり、準備を先行させることには確実な価値があります。

資産棚卸しを「中国ブランドか否か」ではなく「リスク属性」で行う

どの端末・ルーター・無線AP・スイッチ・複合機・管理サーバーが認証未取得か、EOL（サポート終了）に近いか、SBOM不在か、遠隔保守の統制が不透明かを洗い出すことが先決です。「中国ブランドか否か」は一つの指標に過ぎず、国産・欧米製でも同様のリスク属性を持つ機器が存在します。

優先順位は波及影響の大きい領域から

住民情報・税・福祉・医療・教育・LGWAN接続点など、機密性・可用性への要求が高い領域から更改順位を付けてください。全面一括更改はコスト逼迫と移行失敗リスクが大きく非現実的です。英国政府がHuawei撤去で最大20億ポンド・2〜3年の遅延を見込んだように、入替えには想定以上の時間とコストがかかります。

調達仕様書の要件を今から見直す

次回の機器更新時から、認証ラベルの有無だけでなく、サポート年限・署名付きアップデート・ログ取得機能・MFA対応・SBOM提供・脆弱性通知体制・インシデント時の国内窓口を必須要件として仕様書に盛り込む準備を始めてください。省令改正の有無にかかわらず、この作業は無駄になりません。

自治体のIT機器更改シナリオ

更改シナリオ	想定内容	コスト	期間	セキュリティ評価
自然更新型	新規調達分のみ認定・非中国系候補へ切替	低〜中	1〜3年度	低リスク化は進むが既存機器は残る
重点更改型	境界機器・管理者端末・個人情報系から前倒し更改	中	6〜18か月	リスク低減効率が最も高い
前倒し一括型	庁内ネットワーク・端末を広範に前倒し更改	高	1〜2年	高いが調達逼迫と移行失敗リスクも大きい

重点更改型が最もリスク低減効率が高く、多くの自治体に現実的な選択肢として推奨できます。

よくある質問（FAQ）

Q. 今すぐ使用中の中国製機器を撤去しなければなりませんか？
現時点では正式な省令改正が確認されていません。仮に報道通りに進んでも、2027年夏の運用開始が見通しとして伝えられており、既存機器への即時対応を求めるものではないと考えられます。優先すべきは資産棚卸しと優先順位付けの先行着手です。

Q. JC-STAR認定済みかどうかはどこで確認できますか？
IPAのJC-STAR製品リスト（https://www.ipa.go.jp/security/jc-star/list/jc-star-product-list/index.html）で公開されています。ただし現時点でIoT製品が対象であり、PCやサーバーなどは別の認定枠組みの整備状況を注視する必要があります。

Q. 「中国製品が含まれていない」とはどういう意味ですか？
JC-STAR認定を取得している製品群に中国系メーカーの製品が現時点で存在しないということです。ただし今後、中国系メーカーが認定を取得した場合の扱いや、OEM・部品レベルでの中国製部品の扱いは現時点では明確にされていません。

Q. ベンダー選定で「非中国製」だけを基準にすれば十分ですか？
不十分です。国産・欧米製であっても、サポート終了（EOL）が近い、SBOM（ソフトウェア部品表）を提供していない、脆弱性通知体制が不明確という機器は同様のリスクを持ちます。調達仕様書への技術的要件の組み込みが本質的な対策です。