JC-STARとは — IoT機器のセキュリティを★で表す制度
JC-STAR(ジェイシースター)は、IoT機器が備えるべきセキュリティ機能を評価し、その適合状況を「★の数」で表すラベリング制度である。正式名称はセキュリティ要件適合評価及びラベリング制度。IPA(独立行政法人 情報処理推進機構)が運営し、経済産業省の監督下で運用されている。対象になるのは、IP通信機能を持つIoT製品全般だ。
暗号化通信、アクセス制御、ファームウェアの安全なアップデート、脆弱性対応プロセスといった機能を満たしているかを評価し、満たす水準が高いほど★の数が増える。系統用蓄電池の文脈でこの制度が一気に重みを増したのは、2027年4月に予定されるグリッドコード(系統連系技術要件)改定で、★1取得製品の使用が前提に組み込まれる方向が固まってきたためだ。制度のトリガーや適用基準日といった実務影響の全体像は、JC-STAR★1の起点は「接続契約申込み」で詳しく扱っている。本コラムは、その手前にある「★の段階そのものの違い」と「どの機器が対象か」に絞って整理する。
・JC-STARの★1〜★4が、それぞれ何を求める段階なのか
・どこから「自己適合宣言」で、どこから「第三者認証」に切り替わるのか
・系統用蓄電池のどの機器(PCS・EMS・ゲートウェイ等)が対象で、どこからが対象外か
・電源種別(太陽光・蓄電池・風力等)ごとの適用時期
なお★の段階の細部や上位レベルの基準には検討中の項目があり、本コラムは2026年6月時点の一次資料で確認できる範囲にとどめる。
★1から★4まで — レベル分けの違い
JC-STARの★は、求められるセキュリティ水準の高さを段階で表している。実務でまず押さえるべきは、★1・★2は自己適合宣言、★3・★4は第三者認証という評価方式の切り替わりだ。系統連系で当面問われるのは入口の★1だが、各段階が何を求めるのかを把握しておくと、機器メーカーの説明やラベルの読み解きで取り違えが起きにくくなる。
| レベル | セキュリティ水準 | 評価方式 |
|---|---|---|
| ★ | ベースライン要件(16項目)。初期パスワード変更の強制、セキュアな通信、既知の脆弱性を持たないことの証明など。2027年4月のグリッドコード対象。 | 自己適合宣言 |
| ★★ | 製品類型ごとの追加要件。通信機器・ネットワークカメラ等を対象に基準を検討中。 | 自己適合宣言 |
| ★★★ | 重要インフラ向け。耐改ざん性、ハードウェアレベルのセキュリティ要素。 | 第三者認証 |
| ★★★★ | APT攻撃耐性。設計段階からの厳密な検証、未知の脆弱性への高度なレジリエンス。 | 第三者認証 |
ここで実務上いちばん効くのは、★1が自己適合宣言方式だという点だ。事業者の宣言ベースで取得でき、外部の第三者評価が入るのは★3以降になる(★2も自己適合宣言)。つまり「★1適合です」という主張は、本当に取得済みかをIPAの取得製品リストで裏取りする、という観点が残る。★1の適合ラベルの有効期間は発行日から最長2年で、★1は2年単位で延長申請ができる。
系統用蓄電池の「どの機器」が対象か
★の段階と並んで取り違えが多いのが、対象機器の線引きだ。「ゲートウェイ1台を★1適合にすれば全体を回避できる」という解釈も、「ネットワーク機器すべてに★1が要る」という解釈も、どちらも不正解になる。改定案の文言に即して言えば、対象は「分散型電源が採用する通信機能を有する制御システムのうち、IP通信を用いる機器」だ。中心はPCSとEMSになる。
| 機器 | 判定 | 条件・補足 |
|---|---|---|
| PCS(パワコン) | 対象 | 遠隔制御・監視を行うIP通信モジュールを持つ場合。出力制御指令の受信・実行を担う制御中枢でリスクが最も高い |
| EMS/制御装置 | 対象 | とくにクラウド接続するEMS・監視装置は確実に対象。最もネットに露出するコンポーネント |
| ゲートウェイ・遠隔監視装置 | 対象 | 制御指令の中継・主要機器への直結を担う |
| BMS(電池管理) | 条件付き対象 | 補助事業・長期脱炭素電源オークションでは「PCS・EMS・BMS等」と明示。制御に関与し通信経路の一部になる場合は対象 |
| 旧型PCS(シリアル通信のみ) | 外れる余地 | IP通信を持たなければ対象外と読める。ただしEMS経由でIP通信に載る構成なら、システムとして対象化し得る |
| 一般IP通信機器(ルータ等) | 対象外 | 制御に関与しないルータ等の除外は一般用電気工作物に限る |
| 蓄電池セル・パック本体 | 対象外 | ネットと直接通信しない(BMS経由のローカル通信のみ) |
肝になるのは、評価が「機器単体」ではなく「通信・制御システムとして」行われる点だ。対象範囲外に見える機器でも、制御機能を持つ場合や、ゲートウェイ等を介さず主要な構成製品に直接連携する場合は対象に取り込まれる拡張規定がある。逆に、蓄電池セル・パック本体がネットと直接通信しないため対象外であることは、海外製バッテリーの採否がJC-STARの制約を受けにくいことを意味する。問われるのは外部通信を担うPCSの通信モジュールとEMS・ゲートウェイだ。この区別と、設備変更時にPCSの★1取得状況をどう確認するかは、接続検討回答後の設備変更で扱っている。
電源種別ごとの適用時期 — 太陽光・蓄電池・風力・燃料電池
「jc-star 太陽光」「jc-star 蓄電池」で時期がよく検索されるが、★レベル自体は電源種別で変わらない。いずれも入口は★1で、変わるのは適用が始まる時期だ。グリッドコード検討会の改定案で示された区分を整理しておく。
| 電源区分 | 適用開始(改定案) | トリガー |
|---|---|---|
| 特別高圧・高圧 (太陽光・蓄電池) | 2027年4月 | 系統アクセスにおける契約申込み |
| 低圧50kW未満 (太陽光・蓄電池) | 2027年10月 | 系統アクセスにおける契約申込み |
| 風力発電 | 2027年4月 | まずゲートウェイのファイアウォール等に限定して早期適用 |
| 燃料電池 | 2028年4月 | PCSを用いる形式が対象 |
太陽光と蓄電池は同じスケジュールで動く。低圧50kW未満が高圧より半年遅いのは、既存パワコン等の流通在庫の消化に配慮した経過措置だ。重要なのは、この基準が「連系日(接続・運開時点)」ではなく「系統アクセスにおける契約申込み」に統一されたという点で、案件のタイムライン計算を左右する。ただし、これは審議会で改定案が了承された段階で、ガイドライン・各社の系統連系技術要件・系統連系規程の条文はいずれも公布前である。「2027年4月から確定で義務化」と言い切れる段階ではない。トリガーの厳密な意味、高圧の自家消費型に対する猶予要望などの未決論点は、JC-STAR★1の起点は「接続契約申込み」で切り分けている。系統側の連系ルール全般はグリッドコードの読み方もあわせて参照したい。
実務でやるべきこと
★の段階と対象機器を踏まえると、機器選定で動かすべき確認は次の3点に集約される。物販的に「★1対応の機器を取り扱う」という話ではなく、案件ごとに接続可否とタイムラインから逆算する観点で見極めたい。
② 「★1適合」の主張は取得製品リストで裏取りする。★1は自己適合宣言方式。IPAの取得製品リストでステータス(有効/失効猶予/失効/取消し)まで確認する。
③ 上位レベルや適用時期の前提は、条文公布まで断定しない。本コラムの整理は改定案ベース。最新の基準は公的情報・管轄の一般送配電事業者への照会で確定させる。
ハードウェアのスペックとkWhあたり単価だけで機器を選ぶ時代は終わりつつある。どの★を、どの機器が満たしているのか——この一段の確認が、系統接続でつまずかないための前提になってきた。