JCMVP運用ガイダンスの新ガイダンスにびっくり！

ずっと放置していましたが、昔の上司と飲んだので、昔のことを思い出しながらカキカキ。

JCMVPの運用ガイダンスが先日更新されました。

質問
既にFIPS140-2認証を取得している暗号モジュールについて、JCMVP制度の要求事項を満足していることを示すためにJCMVP認証を受けようと思います。その場合に、暗号モジュール試験を再度受ける必要がありますか。それとも試験が免除される可能性はありますか？

私の答え：
無駄だからやめなさい。

IPAの答え：

JCMVP認証制度では2007年4月の正式運用よりセキュリティ要件としてJIS X 19790を採用していますが、それ以前の試行運用で採用しておりましたFIPS140-2ベースの認証も経過措置として認めています。
従ってこの間にFIPS140-2認証を取得した暗号モジュールで、かつFIPS140-2で承認された動作モードにおいて、JCMVPで承認されたセキュリティ機能のみを使用している場合、上記経過措置適用条件を満足することが期待されます。
この条件を満足する場合、既にFIPS140-2認証を取得したベンダはJCMVP制度の試験を再度受ける必要はありません。ベンダはFIPS140-2認証に提出した試験報告書をIPAに提出して下さい。試験報告書の内容を確認して問題がなければ、規程に従って認証書を発行します。
しかしFIPS140-2認証取得後に実装変更した場合は、認証機関がその内容をレビューして再認証または新規認証の判断をし、ベンダはそれに従って試験を受ける必要があります。

解釈：
なかなか認証を希望する暗号モジュールが増えないから水増ししなきゃ！

この運用ガイダンスで意味が不明なのは、試験報告書、って何？というのと、実装を変更した時のレビューを行うのが何で試験機関じゃなくて認証機関なの？ということです。
FIPS 140-2の認証を取得するためには、試験機関のテストの後、Security PolicyとTest ReportをNIST&CSEに提出するのですが、そのTest Reportのことを指しているのでしょうか。よく分かりません。
もっと分からないのは、実装変更した場合は、「認証機関」がその内容をレビューする、というくだりです。認証機関は、その名前のとおり、試験機関が試験したモジュールを「認証」すべきであり、レビュー（試験）を実施すべきではありません。報告書の中立性が守れなくなってしまいます。自分たちが試験して良いと言ったものを認証しない選択肢はあり得ませんから。そして、そのレビューの深さも分かりません。ドキュメントレビューなのか、差分のop-testを実施するのか、どっちなのでしょうか。
最後に、

ベンダはそれに従って試験を受ける必要があります。

、とサラっと書いていますが、試験機関が試験に携わらないのっておかしいんじゃないの？その試験が妥当だったってどうやって判断するの？と疑問は尽きません。