{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
機械指令から機械規則へ―何が変わったのか
欧州で機械製品類を提供する製造者は、これまで機械指令(Directive 2006/42/EC)*1に基づいた欧州各国の規制への対応を求められていました。しかし、2023年6月29日に機械規則(Regulation〈EU〉2023/1230)*2が欧州連合(EU)の官報に掲載され、2027年1月14日に機械指令は廃止されることが決まりました。これにより、製造者は2027年の完全施行に向けて機械規則への対応が求められます。
従来の機械指令と同様に、機械規則は欧州市場で流通する機械製品類が、人間やその他生物の安全や健康、環境の保護を保証することを目的としています。製造者が機械製品類を上市する際、機械規則で定められた健康と安全性に関する要件への適合性を証明し、当局から製品類に対するCE(欧州適合性)マークの付与を受ける必要があります。
このように、基本的な目的は機械指令から変わっていませんが、機械規則への切り替えに伴って製造者が押さえるべき2つのポイントがあります。第1に、指令から規則への変更です。欧州法において、指令はEU加盟各国が自国の裁量で対応する国内法を制定して運用するものです。一方で、規則は加盟国の企業や個人などの主体に直接適用されます。つまり、従来に比べてより統一的な法適用が行われることとなります。
第2に、機械製品のデジタル要素への言及です。近年は多くの機械製品にデジタル要素が含まれており、増大するサイバー脅威や人工知能(AI)に関連したリスクへの対応が製造者にとって急務となっています。従来の機械指令では十分に考慮されていなかったこれらの内容が、機械規則では明示的に扱われています。本稿では、関連する法令に言及しながらこれらのトピックについて解説します。
機械規則のセキュリティ要件とサイバーレジリエンス法
機械規則の主要なセキュリティ要件は製品全体に関する不正行為の防止を目的とする附属書IIIの1.1.9と、制御システムの安全性維持を目的とした1.2.1に記載されています。
1.1.9は、他機器やネットワークと接続される製品を構成するハードウェアとソフトウェア、そこで扱われるデータの破損によって利用者などの安全性が損なわれることを防止し、その影響を緩和するための対策を定義しています。安全性の維持のために必要なコンポーネントを保護することを目的とする点が特徴ですが、求められる取り組みとしては、セキュリティ・バイ・デザイン、製品コンポーネントの特定、コンポーネントとデータを破損から保護するための対策の実装、コンポーネントやデータへのアクセスや使用のモニタリングなど、いずれも基本的なものです。
1.2.1は、主に制御システムの安全性に関する要件が定義されており、セキュリティに関連する要件として安全性の棄損に繋がるリスク管理や、セキュリティ関連の記録管理などが要求されています。前者については、負荷や悪意のある介入などのリスクの下でも制御システムの可用性を維持することを含む安全性維持のためのセキュリティリスク管理が求められます。後者については、セキュリティを含む安全性管理に関する意思決定、安全性ソフトウェアの更新履歴、システムへの介入履歴について当局による適合性評価に提出できるように5年間保持することが求められています。
機械規則のセキュリティ要件への対応を検討する上で、併せて考慮すべきなのが製品セキュリティに関する規制である欧州サイバーレジリエンス法(CRA)*3です。CRAにおいては、機械規則の適用範囲に含まれる製品でデジタル要素を有するものは、機械規則の要件と併せてCRAの要件も満たす必要があると規定されています。CRAは機械規則のセキュリティ要件と関連した内容をより具体的に定義しており、機械規則のセキュリティ要件に対応する際に関連づけを行うことで、効率的に対応が進められる可能性があります。以下に機械規則附属書IIIの1.1.9とCRA上の要件の関連付けの例を示します。
機械学習を伴う機器に関する適合性評価と欧州AI規制法
機械規則の対象となる製品のうち、AIが組み込まれた安全性コンポーネントを含むものは高リスクAIシステムとしてセキュリティ要件が課せられる可能性があります。機械規則上でAIに関する個別具体的なセキュリティ要件は示されていませんが、安全性コンポーネントが機械学習アプローチを使用する場合は、適切な適合性評価を受ける必要があると規定されています。欧州AI規制法*4では、第三者による事前適合性評価の対象となる製品の安全性コンポーネントとしての使用が意図されるAIについては、高リスクAIとして規制されることが定められており、AI規制法15条で高リスクAIシステムに対する要件を満たすことが求められます。
この要件に対応するにあたっても、CRAへの対応と関連付けることが可能です。CRA8条では、附属書Iのセキュリティ要件を満たすことでAI規制法15条に準拠できることが示されています。CRA上のセキュリティ要件については、図表1をご参照ください。ただし、AIの利用に際して求められる法的な要件は実際のユースケースごとに異なるため、CRAへの準拠が機械製品類におけるAI利用に際しての全ての義務を充足するとは限らない点にご注意ください。
機械規則と関連した標準整備動向
これまでの説明に関連した動向として、CRAやAI規制法との関連性を踏まえながら機械規則に関する標準の整備を進めることを欧州標準化機構(ESOs)に要請するドラフトが欧州委員会によって2024年7月4日に公開されました*5。本稿で紹介した機械規則のデジタル要素に関連した要件に対応する上では、関連する標準の策定動向を注視する必要があります。
図表2:機械規則に関連した標準整備の対象ドラフト
| No. | 標準の内容 | 標準当局による1次採択期限 |
| 1 | 機械および関連製品のリスク軽減と安全性の水平的な問題に関する規格および成果物で、特に以下のもの
|
2026年1月20日 |
| 2 | 以下の対象に関する規定を導入する水平的および垂直的な標準および成果物
|
|
| 3 | 製品ライフサイクル全体に関して、外部接続、ソフトウェア、またはデータに関する安全機能を偶発的または意図的なイベントよる破損から保護することに関する水平的および垂直的な標準および成果物 | |
| 4 | 監視機能の有無にかかわらず、自律移動機械および関連製品に関する特定の規定を導入する水平的および垂直的な標準および成果物 | |
| 5 | 既存の統一規格ではまだ取り上げられていない特定の規定を導入する規格および成果物 | 標準ごとに決定 |
*「水平」は製品種類に関係ない全般的な標準、「垂直」は特定の製品種類に関する標準を指します。
*No.5に該当する分野については、ドラフトの附属書Iの図表2にまとめられています。
まとめ
機械製品のデジタル化が進む中で、製造者は従来どおりの安全性対応だけではなく、デジタルの文脈で生じる安全性に対するリスクを意識する必要があります。特に、機械規則で言及されている製品の安全性コンポーネントを保護するためのセキュリティ対策は重要であり、これまで以上に企業の品質管理部門とサイバーセキュリティ部門が連携することが求められます。
機械規則のデジタル関連の要件に対応する上では、本稿で解説したようにCRAやAI規制法といった関連分野の規制と関連付ける形で進めるのが効果的です。関連する標準の整備動向などにも注意しながら、組織内の関係コンプライアンス対応部門間で連携することが有用です。
*1 欧州機械指令、2024年7月25日閲覧、
https://eur-lex.europa.eu/eli/dir/2006/42/oj
*2 欧州機械規則、2024年7月25日閲覧、
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02023R1230-20230629
*3 欧州サイバーレジリエンス法、2024年7月25日閲覧、
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454
*4 欧州AI法、2024年7月25日閲覧、
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689
*5 Draft standardisation request to the European Committee for Standardization and to the European Committee for Electrotechnical Standardization as regards machinery and related products in support of Regulation (EU) 2023/1230、2024年7月25日閲覧、
https://ec.europa.eu/docsroom/documents/60695?locale=nl
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
