{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
欧州サイバーレジリエンス法案(CRA)概説~日本の製造業への影響と最低限押さえるべき要点~
2022-10-21
欧州委員会は2022年9月15日、欧州サイバーレジリエンス法案(EU Cyber Resilience Act:CRA1)を公表しました。法案が対象とするのは、欧州で販売されるハードウェア・ソフトウェアを問わず、デジタル要素を有するさまざまな製品であり、要件もこれまでのIoT製品を対象としたカリフォルニア州法や日本の技術適合要件とは比べ物にならないほど多くなっています。また、違反した際のペナルティも多大なことから、欧州市場に事業を展開する日本のメーカーにも影響は少なくないと思われます。そこで本稿では、この法案の目的や関係する対象製品、当事者となる事業者などについて概要をご紹介します。
法案の目的と対象製品
欧州サイバーレジリエンス法案は、2022年5月に行われたパブリックコメントの募集2を経て、今回の法案としてまとめられました。法案の目的は、接続された機器とソフトウェアのサイバーセキュリティを強化することであり、以下の4つを定めることとされています。
- デジタル要素を有する製品のサイバーセキュリティを確保するための製品の上市に関する規則
- デジタル要素を有する製品の設計、開発、製造に関する必須要件。ならびに製品に関連するサイバーセキュリティに関する経済事業者3の義務
- デジタル要素を有する製品のサイバーセキュリティを全ライフサイクルにわたって確保するための、製造者が実施する脆弱性処理プロセスに関する必須要件。ならびにこれらのプロセスに関連する経済事業者の義務
- 上記の規則および要件の市場監視および執行に関する規則
欧州市場で販売されるデジタル製品(ハードウェア・ソフトウェア)および付帯サービス(遠隔データ処理ソリューションなど)、市場に個別に投入されるコンポーネント、そしてAnnex IIIに示される重要なデジタル製品が欧州サイバーレジリエンス法案の対象となりますが、逆に対象外となる製品以外の全てが対象となると理解すべきかもしれません。対象外とされているのは、既存の規制で本法案の求めるセキュリティ要件と同等の内容が定められている医療、航空、自動車といった分野の製品、エンドユーザが手にすることのない展示用品や試験品などに限られます。それら以外の製品、ソリューション、コンポーネントは全て対象と考える必要があります。
要件の概要
欧州サイバーレジリエンス法案では、製品の技術的なセキュリティ機能に加えて、脆弱性対応も必須要件となっています(Annex I参照)。さらに本法案では、セキュリティ設計をはじめとする技術文書の10年間保管、サードパーティコンポーネントのセキュリティ保証、上市後5年間の脆弱性対応保証などが定められています。
欧州で製品を販売する製造者は、セキュア製品開発ライフサイクル(SDLC)を実施してセキュリティ要件を満たすことに加え、事実上PSIRT4を組成して運用することが求められます。積極的に悪用される脆弱性に気付いた場合やセキュリティ事故が発生した場合には、24時間以内にENISAに報告しなければならないなどの時限制約事項も脆弱性対応の要件には含まれており、注意が必要です。
また、脆弱性に関する報告窓口の情報や製造者が意図した製品の使用法、SBOM5、そして適合宣言書などへのアクセス方法など、ユーザに対して付帯情報(Annex II参照)を提供することも要件に含まれています。
本法案は、既に欧州で製品を提供しているメーカーの方々にとっては馴染みの深いEU適合宣言(CEマーク)のスキームを採用しており、評価手順(Annex VI参照)に沿って、適合性宣言を出すことも要件になります。
違反時の制裁措置
本法案は、デジタル要素を含む全ての製品がサイバーセキュリティ必須要件を満たすことを規定しているほか、AnnexⅢの重要製品クラスⅡは認証が必要であるとしています。要件に違反した場合には、罰金として1,500万ユーロまたはグローバル年間売上高の2.5%のいずれか高い方が科される可能性があります。
今後の流れと経過措置
本法案では経過措置として、法制化され、発効してから 24カ月後に適用されます。しかし、製造者に対する報告義務は、発効から12カ月後の適用となっているために、準備期間はさらに短くなります。
まとめ
欧州サイバーレジリエンス法案は、既に規制対象となっている製品分野を除き、ハードウェア・ソフトウェア問わず、さまざまなデジタル製品を対象に、製品製造者・輸入事業者・販売者に対して、非常に厳しい要件をクリアすることや、そしてセキュリティ品質の高い製品を製造し、セキュリティ対応体制を整備することを求めています。この法案のまま法制化されるか、いつ成立するのかなど、今後の見通しは本稿執筆時点(2022年10月時点)では不透明ですが、法案への対応が遅れないよう、議論の過程を注視していく必要があります。違反時に課せられるペナルティも高額のため、欧州を市場とする事業部門では、十分な準備期間をとって対応できる体制づくりや、対応コストを吸収できる収益構造への体質改善が必要となってくるでしょう。
PwCは今後も本法案についての調査を継続し、要件への対応方法やとるべき対応について、より具体的に解説してまいります。また、本法案に限らず、PwCグローバルネットワークを通じて収集した情報や、製品事業に影響のある動向についていち早くご紹介します。
1. Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
3. 製造者、輸入者、販売者を指す
4. PSIRT: Product Security Incident Response Team(製品セキュリティインシデント対応チーム)
5. SBOM: Software Bill of Material(ソフトウェア部品表、ソフトウェアを構成するコンポーネントの一覧)
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
