✅ ざっくり言うと
- 🔐 JC-STARは、IoT製品のサイバーセキュリティ対応を見える化する日本のラベリング制度です。
- ⚡ 太陽光発電・蓄電池では、PCS・EMS・BMS等の制御機器について、JC-STAR★1が系統連系、長期脱炭素電源オークション、補助金申請に関わる実務要件になりつつあります。
- 🧾 ただし、JC-STAR★1は自己適合宣言方式であり、ラベル取得が完全な安全性を保証するものではありません。
- 🛠️ 再エネ事業者としては、機器選定、EPC契約、O&M契約、補助金申請、金融機関対応の中で、JC-STARの対象範囲と証憑を早めに確認する必要があると考えられます。
✅ 本投稿の音声要約はこちら
はじめに
今回はJC-STARについて説明していきます。
JC-STARという言葉を、最近、太陽光発電や蓄電池の文脈で目にするようになったという方も多いと思います。
私自身も、再エネ関連の制度改正を追っている中で、JC-STARが単なるサイバーセキュリティの専門用語ではなく、再エネ事業の機器選定、系統連系、補助金、オークション、さらには契約実務にまで影響する論点になりつつあると感じています。
このテーマは制度の変化が早く、また「JC-STARを取っていれば安全である」と単純に言い切れるものでもありません。
そこで本稿では、再エネ事業者の実務に関係する範囲に絞って、JC-STARとは何か、なぜ太陽光発電・蓄電池で重要になっているのか、そして事業者として何を確認すべきかを整理します。
JC-STARとは何か
JC-STARは、「セキュリティ要件適合評価及びラベリング制度」の通称です。
英語では、Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirementsとされています。
IPAの制度説明では、経済産業省の制度構築方針に基づき、IoT製品のセキュリティ適合性を可視化する制度として説明されています。
ここでいうIoTとは、Internet of Thingsの略で、さまざまな機器がネットワークを通じてデータを送受信する仕組みを指します。再エネ分野でいえば、太陽光発電設備のPCS、蓄電池のBMS、発電所や蓄電池を遠隔制御するEMS、遠隔監視装置などが問題になりやすい領域です。
PCSはPower Conditioning Systemの略で、日本語ではパワーコンディショナと呼ばれます。太陽光パネルや蓄電池からの直流電力を、系統や需要設備で利用できる交流電力に変換する装置です。
EMSはEnergy Management Systemの略で、発電、蓄電、消費、系統への充放電などを管理・制御する仕組みです。
BMSはBattery Management Systemの略で、蓄電池の状態監視、保護、制御などを担うシステムです。
EPCはEngineering, Procurement and Constructionの略で、設計・調達・建設を一括して担う契約形態を指します。
O&MはOperation and Maintenanceの略で、設備の運転管理・保守を指します。
従来、再エネ事業者の関心は、設備認定、系統連系、土地、許認可、住民対応、価格、出力制御、ファイナンスに集中しがちでした。
もちろん、これらはいまでも重要です。
ただ、今後は「その機器は外部通信をするのか」「制御系の主要機器はJC-STAR★1を取得しているのか」「クラウド部分はどう説明するのか」という観点も、実務上無視しにくくなると考えられます。
JC-STARのレベルと、再エネで主に問題になる★1
JC-STARには、★1から★4までのレベルがあります。
IPAの制度説明によれば、★1はIoT製品共通の最低限の脅威への対応を示すものであり、★2以上は製品類型ごとの特徴を踏まえた、より高い水準のラベルとして整理されています。
再エネ分野で現在特に問題になっているのは、まずは★1です。
系統連系、長期脱炭素電源オークション、補助金の資料では、PCS、EMS、BMS等についてJC-STAR★1という表現が確認できます。
ただし、ここで注意が必要です。
JC-STAR★1と★2は、ベンダーによる自己適合宣言方式です。
IPAは適合ラベルの限界についての中で、★1と★2について、評価結果の根拠となる証跡の提出を申請時に求めておらず、評価結果の内容が正しいかどうかをIPA自ら確認するものではないと説明しています。
また、同じIPAの説明では、適合ラベルが付与されているからといって、完全・完璧なセキュリティが確保されていることを保証するものではないともされています。
この点は、実務上とても重要です。
つまり、JC-STARは「調達や制度対応のための入口」として重要ですが、それだけで発電所や蓄電池システム全体のサイバーセキュリティが完成するわけではありません。
発電事業者としては、JC-STARの有無を確認したうえで、ネットワーク構成、アクセス権限、アップデート体制、脆弱性対応、ベンダーのサポート体制、インシデント時の連絡体制まで含めて確認する必要があると考えられます。
なぜ再エネ事業でサイバーセキュリティが問題になるのか
太陽光発電や蓄電池は、かつては比較的「現場の設備」というイメージが強かったかもしれません。
しかし、現在の再エネ設備は、遠隔監視、遠隔制御、出力制御、需給調整市場、VPP、DRなどと結びついています。発電所や蓄電池は、単に電気を作る、または貯める設備ではなく、ネットワークにつながった制御対象になっていると考えられます。
VPPはVirtual Power Plantの略で、分散した発電設備、蓄電池、EV、需要設備などをまとめて制御し、あたかも一つの発電所のように機能させる仕組みです。
DRはDemand Responseの略で、需要家側の設備を制御することで電力需給の調整に協力する仕組みです。
ERABはEnergy Resource Aggregation Businessの略で、需要家側や分散型のエネルギーリソースを束ねて、送配電事業者、小売電気事業者、需要家、再エネ発電事業者などにサービスを提供するビジネスを指します。
経済産業省は、ERABのサイバーセキュリティに関するガイドラインを改定しており、その背景として、クラウド上のコントローラーを経由した制御や、需要家側ゲートウェイを介さない直接・間接通信といった新しいユースケースを挙げています。
これはERABに関するサイバーセキュリティガイドラインVer.3.0で確認できます。
この変化は、再エネ事業者にとって非常に大きいものです。
発電所や蓄電池が外部から制御されるということは、制御信号、認証情報、通信経路、クラウド環境、アグリゲーターのシステム、機器メーカーの保守環境などが、事業リスクの一部になるということです。
発電量や充放電のタイミングが意図せず変われば、インバランス、契約違反、系統運用上の問題、収益悪化につながる可能性があります。
設備の停止や異常動作が発生すれば、単なる情報漏えいにとどまらず、電力供給や安全性にも影響し得ます。
この意味で、再エネ分野のサイバーセキュリティは、IT部門だけの問題ではありません。
事業開発、調達、法務、EPC、O&M、アグリゲーション、ファイナンスが横断的に関与すべきテーマになっていると思われます。
具体的なサイバー攻撃事例が政策議論を後押ししている
再エネ設備のサイバーリスクは、抽象的な懸念にとどまりません。
たとえば、株式会社コンテックは、太陽光発電施設向け遠隔監視機器であるSolarView Compactについて、一部報道機関によるサイバー攻撃報道を受け、悪意あるハッカーが脆弱性を突き、推奨対策を行っていない一部機器に不正中継を実施できるバックドアを設置した旨を公表しています。
これは同社の2024年5月7日付公表で確認できます。
このような事例は、再エネ設備が「インターネットから見える機器」になった場合のリスクを示していると考えられます。
もちろん、特定製品の事例だけをもって、再エネ設備全体が危険であると一般化することは適切ではありません。
しかし、遠隔監視機器や制御機器が脆弱なまま運用されれば、発電事業者自身が意図しない形で攻撃の踏み台となる可能性があります。
事業者として重要なのは、過去の攻撃事例を過度に恐れることではなく、「なぜ制度側がPCS、EMS、BMS等の主要制御機器に対してセキュリティ要件を求め始めたのか」を理解することだと考えています。
系統連系でJC-STAR★1が問題になる
再エネ事業者にとって、もっとも大きな影響があり得るのは系統連系です。
経済産業省の電力分野の資料では、太陽光発電・蓄電池について、系統連系技術要件においてJC-STAR★1を取得した製品の利用が要件化される方向が示されています。
具体的には、2027年4月以降(経済産業省の電力SWG資料)に新規に系統に接続する太陽光発電及び蓄電池について、通信機能を有する制御システム、たとえばPCS、EMS等にJC-STAR★1を取得した製品を使用することが求められるとされています。
低圧50kW未満(経済産業省の電力SWG資料)については、2027年10月(経済産業省の電力SWG資料)からの適用とされています。
この点は、単なる技術論ではありません。
発電所の開発では、土地、系統、EPC、機器調達、資金調達、許認可、補助金、PPAなどが複雑に絡みます。
もしPCSやEMSの選定が後になってJC-STAR非対応であると判明した場合、調達のやり直し、設計変更、納期遅延、コスト増加、契約上の責任分担といった問題が生じる可能性があります。
特に、系統連系の時期が2027年4月以降にかかる案件では、早い段階からJC-STAR対応状況を確認しておく必要があると考えられます。
低圧案件でも、2027年10月以降に新規接続する場合には影響を受ける可能性があります。これらの時期は、調達や開発のリードタイムを考えると、それほど先の話ではありません。
長期脱炭素電源オークションにも影響している
JC-STARは、長期脱炭素電源オークションにも影響しています。
長期脱炭素電源オークションは、脱炭素電源への新規投資を促すため、長期にわたる固定的な収入の予見可能性を与える制度です。OCCTOはOrganization for Cross-regional Coordination of Transmission Operatorsの略で、日本語では電力広域的運営推進機関です。
2025年度の募集要綱(OCCTOの2025年度募集要綱)では、原則20年間(OCCTOの2025年度募集要綱)の容量確保契約金額の支払期間が示されています。
同募集要綱では、太陽光、陸上風力、洋上風力に限った登録項目として、PCSに係るセキュリティ対策の実施有無が掲げられ、セキュリティ要件適合評価及びラベリング制度、すなわちJC-STARにおける★1を取得していることを示す適合ラベルが求められています。これも同じ募集要綱で確認できます。
また、蓄電池については、BMS、EMS、PCSについてメーカー名、型番、JC-STAR適合ラベル登録番号を記載する形式が示されています。
さらに、蓄電システムが採用するすべての制御システムのセキュリティに関する主要な構成製品について、JC-STAR★1を取得していることを示す適合ラベルや、システム構成図等の提出が求められています。
これもOCCTOの2025年度募集要綱で確認できます。
ここで重要なのは、JC-STARが「将来の制度」ではなく、すでに一部の制度資料に記載されているという点です。
再エネ事業者が長期脱炭素電源オークションを活用する場合、発電設備や蓄電池の性能、価格、工期だけでなく、制御システムのセキュリティ適合性も早期に確認する必要があります。
金融機関や投資家から見ても、JC-STAR非対応による制度参加リスクは、デューデリジェンス上の確認項目に今後なり得るのではないかと推測しています。
補助金申請でもJC-STARが確認項目になっている
補助金の世界でも、JC-STARは無視しにくくなっています。
たとえば、SII、すなわち一般社団法人 環境共創イニシアチブの再生可能エネルギー併設型蓄電池導入支援事業の公募要領では、導入する蓄電システムが採用するすべての制御システムのセキュリティに関する主要な構成製品、具体的にはBMS、PCS、EMS等について、JC-STAR★1を取得していることを示す適合ラベルを求めています。これはSIIの再エネ併設蓄電池公募要領で確認できます。
大規模業務産業用蓄電システムについても、BMS、PCS、EMS等の主要な構成製品についてJC-STAR★1の適合ラベルを求める記載があります。これはSIIの大規模業務産業用蓄電システム公募要領で確認できます。
業務産業用蓄電システム導入支援事業でも、同様にBMS、PCS、EMS等についてJC-STAR★1の適合ラベルを求める記載があります。これはSIIの業務産業用蓄電システム公募要領で確認できます。
さらに、DR対応IoT化関連設備導入支援事業では、高圧以上の需要家側に設置されている既存リソースをDR対応可能とするための通信設備、センサー、EMS等のIoT化関連機器が補助対象設備とされ、外部と通信を行うための機器についてJC-STAR★1を取得していることが確認できる設備であることが求められています。
これはSIIのDR対応IoT化関連設備公募要領で確認できます。
このように見ると、JC-STARは、少なくとも一部の補助金では、すでに採択や申請実務に関わる確認項目になっています。
もっとも、すべての補助金で同じ要件が一律に課されているとまではいえません。
補助金ごとに対象設備、対象機器、提出書類、申請時点で必要な証憑が異なるため、案件ごとに最新の公募要領を確認する必要があります。このあたりは、実務上かなり重要です。
「外部と直接通信しない機器」も安心とは限らない
補助金やオークションの資料を読むうえで、特に注意すべき表現があります。
それは、外部と直接通信を行わない場合でも、外部との間接的な通信などを通じて設備全体に影響を及ぼす可能性のある機器を含む、という趣旨の記載です。
たとえば、SIIの再エネ併設蓄電池公募要領では、BMS、PCS、EMS等についてJC-STAR★1を求めるだけでなく、IP通信機能を持たないためにJC-STARの取得対象にならない機器を含む場合、IPとのプロトコル変換を行う機器を組み入れた構成等としてJC-STAR★1を取得していることを示す適合ラベルが求められています。
また、クラウド上に搭載されるためにJC-STARの取得対象にならない機器を含む場合等には、取得対象にならないことの根拠と、同等のセキュリティ対策を講じていることの説明資料が求められています。これはSIIの再エネ併設蓄電池公募要領で確認できます(こちらの19ページご参照)。
つまり、「この機器はインターネットに直接つながっていないから関係ない」とは言い切れません。
システム全体として外部通信の影響を受けるのか、プロトコル変換機器がどこにあるのか、クラウド部分がどのように制御に関与しているのか、EMSとPCSとBMSの責任分界点がどうなっているのかを確認する必要があります。
これは、再エネ事業者にとって非常に実務的な論点です。
機器メーカー、EPC、EMSベンダー、アグリゲーター、O&M事業者、クラウドサービス提供者が関与する場合、誰がどの部分のセキュリティ適合性を説明するのかが曖昧になりがちです。
補助金申請やオークション応札の段階で、システム構成図とJC-STARの対象範囲が整合していなければ、後から説明に苦労する可能性があります。
JC-STAR適合製品リストの見方
IPAは、JC-STARの適合ラベルを取得した製品リストを公開しています。
同リストは随時更新されるため、最新の状況はIPAの適合製品リストページに記載された更新日でご確認ください。
同ページでは、登録番号、ラベル取得事業者、製品名称、レベル、ステータス、ラベル取得日、有効期間などを確認できます。
再エネ事業者としては、少なくとも次の点を確認する必要があると考えられます。
- 製品名だけでなく、型番やバージョンが案件で採用するものと一致しているか。
- JC-STARの登録番号が確認できるか。
- ラベルのステータスが有効か。
- ラベルの対象が、案件で問題となるPCS、EMS、BMS、通信機器、プロトコル変換機器等のどれに対応しているか。
- クラウド部分やシステム全体について、ラベル対象外となる部分の説明が可能か。
- 補助金、オークション、系統連系の各要件と、ラベルの対象範囲が整合しているか。
ここでも、単に「JC-STAR取得済み」と聞くだけでは足りません。
制度資料が求めているのは、案件で導入する機器と、JC-STAR★1の取得対象機器と取得内容との整合です。
したがって、営業資料にJC-STAR対応と書いてあるだけではなく、登録番号、対象機器、構成図、証憑を確認する必要があると思われます。
契約実務で見るべきポイント
ここからは、弁護士としての実務感覚も踏まえた整理になります。
再エネ事業者がJC-STAR対応を確認する場面は、単に技術担当者の確認にとどまりません。契約書や仕様書にも落とし込む必要があるのではないかと考えています。
まず、EPC契約や機器売買契約では、対象機器がJC-STAR★1を取得していることを、どの時点で、どの資料により確認するのかを明確にする必要があります。
次に、納入後にラベルが失効、取消し、自主取下げとなった場合の対応も検討しておく必要があります。
IPAの適合製品リストでは、ステータスとして有効だけでなく、失効猶予、失効、自主取下げ、取消しといった状態が想定されています。これはIPAの適合製品リストページで確認できます。
また、O&M契約では、セキュリティアップデートの適用、脆弱性情報の通知、アカウント管理、リモートアクセス管理、ログの保存、異常検知時の連絡体制などを定めることが重要になります。
さらに、アグリゲーターやEMSベンダーが関与する場合には、制御権限、通信経路、クラウド障害時の対応、サイバー攻撃時の責任分担を整理する必要があります。
ここで難しいのは、再エネ案件では、発電事業者、EPC、メーカー、O&M、アグリゲーター、需要家、金融機関が別々に存在することが多い点です。
サイバーセキュリティ上の責任は、技術的にはシステム全体にまたがります。
しかし、契約上は各当事者の責任範囲が分かれているため、隙間が生じやすいと考えられます。
JC-STAR要件化が進むことで、この隙間がより明確に問題化していく可能性があります。
金融機関・投資家から見たJC-STAR
再エネ事業者にとって、もう一つ重要なのはファイナンスです。
プロジェクトファイナンスやM&Aのデューデリジェンスでは、従来、FIT・FIP認定、系統連系、土地権原、許認可、EPC契約、O&M契約、発電量予測、保険、環境・住民対応などが中心的な確認項目でした。
今後、太陽光発電や蓄電池の案件では、制御機器のJC-STAR対応状況も確認項目になっていくと考えられます。
特に、長期脱炭素電源オークションに参加する案件、補助金を前提とする案件、2027年4月以降(経済産業省の電力SWG資料)に新規系統連系する案件では、JC-STAR非対応が事業計画に影響する可能性があります。
金融機関や投資家としては、少なくとも、対象機器の登録番号、ステータス、証憑、構成図、ラベル対象外部分の説明、ベンダーの保守体制を確認することが望ましいと思われます。
また、サイバーセキュリティ事故が発生した場合の保険適用、契約責任、事業中断リスクも検討対象になり得ます。
再エネ事業者が今から確認すべきこと
再エネ事業者としては、JC-STARを単なる「メーカー側の話」として扱うのではなく、自社の案件管理に組み込む必要があります。
まず、開発中または検討中の案件について、系統連系予定時期を確認する必要があります。
2027年4月以降(経済産業省の電力SWG資料)に新規系統連系する太陽光発電・蓄電池は、JC-STAR★1要件の影響を受ける可能性があります。
低圧50kW未満については2027年10月以降(経済産業省の電力SWG資料)の適用が示されています。
次に、採用予定のPCS、EMS、BMS、遠隔監視装置、通信機器、プロトコル変換機器について、JC-STAR取得状況を確認する必要があります。
さらに、補助金やオークションを利用する場合には、公募要領や募集要綱において、どの機器について、どの時点で、どの資料を提出する必要があるかを確認する必要があります。
また、EPCやメーカーから提出される資料について、登録番号、対象機器、型番、バージョン、ステータス、有効期間、構成図との整合を確認することが望ましいと考えられます。
最後に、契約書上、JC-STAR対応が単なる努力義務になっていないかを確認する必要があります。
補助金やオークションの要件に直結する場合には、表明保証、納入条件、解除・損害賠償、代替機器提供、アップデート対応などを具体的に定めることが重要になると思われます。
JC-STARだけでは足りない
ここまでJC-STARの重要性を説明してきましたが、最後に補足というか、強調しておきたい点があります。
JC-STARは重要ですが、JC-STARだけでは足りません。
IPA自身が説明しているとおり、適合ラベルは完全・完璧なセキュリティを保証するものではありません。また、★1と★2は自己適合宣言方式です。これはIPAの適合ラベルの限界に関する説明で確認できます。
したがって、再エネ事業者としては、JC-STARを「最低限の確認項目」として位置づけ、そのうえで、実際の運用環境に即したセキュリティ対策を行う必要があります。
具体的には、不要な外部公開の停止、初期パスワードの変更、認証強化、アクセス権限の管理、ソフトウェアアップデート、脆弱性情報の収集、ログ管理、遠隔保守の制限、ネットワーク分離、インシデント対応手順の整備などが重要になります。
また、設備を導入した後のO&M段階で、誰がアップデートを行うのか、誰が脆弱性情報を確認するのか、誰が異常時の一次対応を行うのかを決めておく必要があります。
再エネ設備は、建設して終わりではありません。
長期にわたって運用される資産です。
サイバーセキュリティも、導入時だけでなく、運用期間を通じて管理する必要があると考えられます。
まとめ
JC-STARは、再エネ事業者にとって、今後ますます重要な制度になると考えられます。
特に、太陽光発電・蓄電池においては、PCS、EMS、BMS等の制御機器が外部通信や遠隔制御と結びつき、系統運用、需給調整、補助金、オークション、ファイナンスに影響するようになっています。
2027年4月以降(経済産業省の電力SWG資料)に新規系統連系する太陽光発電・蓄電池について、通信機能を有する制御システムにJC-STAR★1取得製品の使用が求められる方向が示されています。
低圧50kW未満については2027年10月以降(経済産業省の電力SWG資料)の適用が示されています。
また、長期脱炭素電源オークションや一部の補助金では、すでにJC-STAR★1の適合ラベルや登録番号、構成図等が実務上の確認項目になっています。
もっとも、JC-STARは万能ではありません。
特に★1は自己適合宣言方式であり、ラベル取得が完全なセキュリティを保証するものではありません。
再エネ事業者としては、JC-STARを「制度対応のためのチェック項目」としてだけでなく、「自社の設備と事業を守るための入口」として捉えることが重要だと考えています。
今後、再エネ事業では、発電量や価格だけでなく、サイバーセキュリティへの対応力も、事業の信頼性を左右する要素になっていくと思われます。
コメント