{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
中国は、自動車サイバーセキュリティに関する国家強制規格「完成車サイバーセキュリティ技術要件」(中国語名称:汽车整车信息安全技术要求。以下「完成車サイバーセキュリティGB」)を制定し、2026年1月1日から施行が予定されています。完成車サイバーセキュリティGBは、「中国製造2025」政策1の一環として、2020年「スマート自動車イノベーション発展戦略」2における重要な政策的動向です3。
完成車サイバーセキュリティGBは、自動車サイバーセキュリティに関する法規であるUNR155と、それに準拠するために参照される国際規格であるISO21434の両方を参照しているため、多くの要求事項において類似性が確認できますが、リスクアセスメント方法、データ処理、暗号の使用などに関して差異も多く存在します。
完成車サイバーセキュリティGBの施行により、中国で自動車生産する企業のみならず、中国向けに輸出される自動車もその影響を受ける可能性があります。
適用対象範囲
完成車サイバーセキュリティGBの適用対象車両には、四輪の乗客輸送用Mカテゴリ、四輪の貨物輸送用のNカテゴリおよびOカテゴリのトレーラーなどが挙げられます。
適用時期
新規型式で申請する車両については、完成車サイバーセキュリティGBの施行日から適用され、型式が申請済みの車両については、施行日の25カ月後から適用されます。
主な内容
完成車サイバーセキュリティGBは、主にサイバーセキュリティマネジメントシステム(CSMS)要件、車両に関するサイバーセキュリティ技術的要件、審査およびテスト方法の3つの部分から構成されています。CSMS要件では車両のライフサイクルに応じたサイバーセキュリティマネジメントシステムのほか、研究開発から廃棄までをスコープとしたリスク管理プロセスを構築することが要求されています。サイバーセキュリティ技術的要件は、外部接続セキュリティ要件、通信セキュリティ要件、ソフトウェアアップデートセキュリティ要件、データセキュリティ要件により構成されています。
審査およびテスト方法は、CSMS要件と技術要件の項目ごとに明確な方法が規定されています。
同一型式判定
CSMS認証と型式認証に分かれており、下記の通り同一型式判定はサイバーセキュリティ要件、サイバーセキュリティ審査後に一部変更した場合の同一判定とデータ処理機能による同一判定の3つの状況に応じて行われます。
サイバーセキュリティ要件については、以下のいずれかに該当する場合に同一型式として判定されます。
- サイバーセキュリティマネジメントシステムが引き続き有効な場合
- E/Eアーキテクチャとサイバーセキュリティ対策に変化がない場合
- セントラルゲートウェイのハードウェアと、そのソフトウェアバージョンに変化がない場合
- 車載ソフトウェアアップデートに関するハードウェア、ソフトウェアバージョン(車両サイバーセキュリティに影響ないものは除く)に変化がない場合
- 移動通信ネットワーク関連部品のハードウェア、ソフトウェアバージョンに変化がない場合
- 無線通信関連プロトコル、インターフェース、数量に変化がない、あるいは減少した場合
- 外部接続インターフェース形式、数量に変化がない、あるいは減少した場合
- データ通信する企業のクラウドプラットフォームIPアドレスなどに変化がない場合
また、上記のサイバーセキュリティ要件の一部に変更があるものの、以下の条件に適合する場合には車両全体ではなく、変化した部分のみに対して審査を行うことで拡張の認可を得ることができます。
- E/Eアーキテクチャとサイバーセキュリティ対策に変化がない場合
- 無線通信関連プロトコル、インターフェースに変化がない場合
- 外部接続インターフェースに変化がない場合
データ処理機能については、以下のいずれかに適合する場合、同一型式として判定されます。
- 匿名化アルゴリズムに関するチップブランドと型番に変化がない場合
- 匿名化アルゴリズムのコントロールハードウェア、ソフトウェアバージョン、製造企業に変化がない場合
- 匿名化機能に関するカメラなどデータ収集設備の型番、主なパラメータ、製造企業に変化がない場合
- 車外の個人情報を同意なく収集する時や、ほかの車両のナンバープレート情報の同意なく収集する時、データ収集が禁止されている区域(例:国防関連施設付近)を通過する時などに、既定の匿名化機能が起動する環境に変化がない場合
UNR155との主な差異
完成車サイバーセキュリティGBは、UNR155とISO21434を参照しているため、多くの類似点が確認できますが、以下のとおり、いくつかの差異があります。
- 暗号化方法については、既存の国際、国家規格あるいは業界規格への準拠
- セキュリティバイデフォルトの遵守
- 自動車データ処理に関しては2021年の「自動車データセキュリティ管理若干規定」とその関連規格への準拠
- 2021年の「ネットワーク製品セキュリティ脆弱性管理規定」を考慮した脆弱性管理対策の整備
- ログについて、最低6カ月間の保存と明確化
- 審査方法については、UNR155はISO21434に依存しているに対して、完成車サイバーセキュリティ規格GBはその付属書において審査項目を明確化
- 車両から直接データを越境移転することの禁止
まとめ
中国独自の自動車サイバーセキュリティに関する強制規格である「完成車サイバーセキュリティGB」は、中国において自動車を生産する日本企業のみならず、中国へ自動車を輸出する企業にも影響が及ぼす可能性が高いです。
また、UNR155、ISO21434を参照しているため類似点が多いですが、中国の法規は複雑に相互参照し合い、1つの法規だけでは要件の全体像がつかめないという特性があるため、その差分を確認し対応する必要があります。さらに、新規型式申請する車両への適用移行期間が短いため、早めに検討する必要があります。
完成車サイバーセキュリティGBは、車両のライフサイクルに応じた対策を求めている点で、Tier1を含め、サプライチェーン全体での対応が必要です。
1国务院关于印发《中国制造2025》的通知,2024年7月5日閲覧、https://www.gov.cn/zhengce/content/2015-05/19/content_9784.htm
2关于印发《智能汽车创新发展战略》的通知,2024年7月5日閲覧、https://www.ndrc.gov.cn/xxgk/zcfb/tz/202002/t20200224_1221077.html
3中国における自動車セキュリティに関する法規制(上)(下),2024年7月5日閲覧,
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/china-auto-security1.html
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
