IT & Information security Journal
日本企業がとるべきサイバーレジリエンス法の対応実務 第1回
デジタル製品を介したサイバー攻撃が近年劇的に増加するなか、EU市場で流通するデジタル製品をサイバーセキュリティの観点から規制するEUの規則「サイバーレジリエンス法(Cyber Resilience Act)」が2024年12月10日に発効しました。
本連載では、サイバーレジリエンス法について、日本企業への影響や、必要となる対応等を解説します。
本稿では、サイバーレジリエンス法の概要や日本企業への影響、サイバーレジリエンス法が課すこととなる義務、今後のスケジュール、企業がとるべき対応アプローチなど、サイバーレジリエンス法への対応に関する全体像を解説します。
寺門 峻佑
TMI総合法律事務所 弁護士
野間 啓佑
TMI総合法律事務所 弁護士
この記事のポイント
サイバーレジリエンス法は、世界各国におけるサイバーセキュリティに関するルールのベースとなる可能性を秘めており、グローバルにデジタル製品を展開する事業者にとって、今後のサイバーセキュリティ対応を進めていくうえで重要な基準になると考えられる。
サイバーレジリエンス法は、EU域内の対象事業者のみならず、外部との接続を予定した「デジタル要素をもつ製品」をEU向けに製造する日本の事業者、および当該製品をEU市場で入手できるように流通させる日本の事業者に対しても域外適用される。所定の義務に違反した場合は、罰金等に処される可能性もある。
報告義務以外の義務全般については、2027年12月11日以降に「市場におかれた」対象製品のみが適用を受ける。一方、報告義務については、EU市場への供給の時期とは関係なく、2026年9月11日から適用を受ける。
EUのサイバーレジリエンス法(Cyber Resilience Act、以下「CRA」といいます)は、EU市場で流通するデジタル製品をサイバーセキュリティの観点から規制するEUの規則(regulation)1 です。CRAは、2020年EUサイバーセキュリティ戦略において発表されたのち、立法手続が進められ、2024年12月10日に発効しました。
CRAは、デジタル製品を介したサイバー攻撃が近年劇的に増加するなか、次に掲げるような問題に対処するために策定されたものです 2。
多くの製品に組み込まれたサイバーセキュリティのレベルが不十分であることや、製品・ソフトウェアのセキュリティアップデートが不十分であること
消費者や企業において、どの製品がサイバーセキュアであるかを判断したり、サイバーセキュリティが確保されるように製品を設定したりすることができないこと
CRAは、上記問題への対処として、主に、次に掲げる事項を規定しています 3。
デジタル製品をEU市場に流通させるに際しての調和のとれたルール
当該製品の計画、設計、開発および保守を規律するサイバーセキュリティ要件の枠組み
当該製品のライフサイクル全体に対して払われるべき注意義務
また、CRAの発効により、基準に適合していることを示すCEマークを製品に付さなければならなくなるなど、EUにデジタル製品を上市している企業においては、具体的な対応が求められることになります。
さらに、CRAは、GDPR(General Data Protection Regulation:一般データ保護規則)のように、EU市場を超えた世界各国におけるサイバーセキュリティに関するルールのベースとなる可能性をも秘めています。このため、CRAは、グローバルにデジタル製品を展開する事業者にとって、今後のサイバーセキュリティ対応を進めていくうえで重要な基準になると考えられます 4。
CRAは、①EU市場で利用可能な「デジタル要素をもつ製品(products with digital elements)」であって、②意図された目的または合理的に予見可能な使用がデバイスまたはネットワークへの直接的または間接的な論理的または物理的データ接続を含むものに適用されます(以下、①②ともに該当するものを「対象製品」といいます)5。
上記①の「デジタル要素をもつ製品」とは、主に、ソフトウェアまたはハードウェア製品およびその遠隔データ処理ソリューションをいいます(「デジタル要素をもつ製品」は、重要な用語であるため、以下で詳細に説明します)。
また、上記②の「意図された目的または合理的に予見可能な使用がデバイスまたはネットワークへの直接的または間接的な論理的または物理的データ接続を含むもの」という要件については、IoT機器のようにネットワーク接続を前提とした製品や、他の機器やシステムに組み込まれる製品等のデジタル製品が幅広く含まれることになります。
一方で、スタンドアロンで動作し、外部との接続を想定していない製品であれば、上記②の要件を満たさず、CRAの適用対象から除外されると考えられます。
CRA上の義務主体としては、「デジタル要素をもつ製品」のライフサイクル・チェーンに関与するすべての経済事業者(economic operator)、すなわち、①製造業者(manufacturer)、②輸入業者(importer)、③流通業者(distributor)等が想定されています 6。
そのため、CRAは、EU域内の対象事業者のみならず、外部との接続を予定した「デジタル要素をもつ製品」をEU向けに製造する日本の事業者、および当該製品をEU市場で入手できるように流通させる日本の事業者に対しても域外適用されることになります。
CRAでは、製造業者に対して、主に、下表に掲げる義務を課しています。
| 次に掲げる事項への対応義務 | 代表的な根拠条文 |
|---|---|
| 必須サイバーセキュリティ要件の充足 | 13条1項、別紙1 |
| サイバーセキュリティリスクアセスメントの実施・文書化 | 13条2項、3項 |
| 対象製品のサイバーセキュリティに関する文書の作成 | 13条7項 |
| 脆弱性に対処するための措置の実施 | 13条8項 |
| 技術文書の作成 | 13条12項、31条 |
| 適合性評価手続の実施 | 13条12項、32条 |
| EU適合宣言書の作成 | 13条12項、28条 |
| 対象製品へのCEマークの貼付 | 13条12項、29条、30条 |
| CRAの遵守体制の構築 | 13条14項 |
| 対象製品の添付文書等の作成 | 13条15項、16項、18項~20項、別紙2 |
| ユーザへの対応窓口の設置 | 13条17項 |
| 報告義務 | 代表的な根拠条文 |
| 当局への脆弱性・インシデントの報告 | 14条1項~7項 |
| ユーザへの脆弱性・インシデントの通知 | 14条8項 |
CRAのメインターゲットは、製造業者であるため、輸入業者や流通業者には上記の各義務は課されません。もっとも、輸入業者や流通業者には、CRAに適合した対象製品のみをEU市場で流通させることが主に求められ 7、取り扱う対象製品を製造する製造業者がCRA上の義務を果たしているかどうかを確認する必要があります 8。
各義務の詳しい内容や対応方法については、本連載の次回以降で詳細を解説します。
CRAの下では、各EU加盟国において市場監視を実施する責任を負う市場監視当局(market surveillance authority)が指定されます 9。そして、市場監視当局がある製品についてCRAに適合していないと判断した場合には、関連する事業者は、市場監視当局からの求めに応じて、CRAに適合させるための是正措置を講じたり、当該製品を市場から撤退させたり、合理的な期間内に当該製品をEU市場からリコールしたりする必要があります 10。
また、CRAには罰則の定めもあります。たとえば、CRA上のサイバーセキュリティに関する必須サイバーセキュリティ要件 11 に適合していない場合や、脆弱性・インシデントの報告義務に違反した場合には、最高1,500万ユーロまたは前会計年度の全世界の年間総売上高の2.5%のいずれか高い方の金額を上限とする行政罰の対象になることが規定されています 12。
前述のとおり、CRAは、EU市場で入手可能な「デジタル要素をもつ製品(products with digital elements)」であって、意図された目的又は合理的に予見可能な使用がデバイス又はネットワークへの直接的又は間接的な論理的又は物理的データ接続を含むものに適用されます。「デジタル要素をもつ製品」は、ソフトウェアまたはハードウェア製品およびその遠隔データ処理ソリューションをいい、それらと別途に市場におかれるソフトウェアまたはハードウェアコンポーネントも含みます 13。
したがって、PC、スマートフォン、スマートロボット、ICカード、スマートホーム製品、モバイルアプリ、ビデオゲーム等、幅広いソフトウェアまたはハードウェア製品と、これらのコンポーネントがCRAの対象となります。
クラウドソリューションに関しては、「遠隔データ処理ソリューション」に該当する場合にのみ、CRAの適用を受けます。「遠隔データ処理」とは、製造業者自身により、または製造業者の責任の下で設計・開発されたソフトウェアによる遠隔地でのデータ処理であって、それがなければデジタル要素をもつ製品がその機能の一部を実行できなくなるものをいいます 14。たとえば、スマートホーム製品の製造業者が提供するクラウド対応機能で、ユーザが遠隔地からデバイスを制御できるようにするものは、「遠隔データ処理ソリューション」にあたります。他方で、デジタル要素をもつ製品の機能をサポートしないウェブサイトや、デジタル要素をもつ製品の製造業者の責任外で設計・開発されたクラウドサービスは、「遠隔データ処理ソリューション」にあたらず、CRAの適用を受けません 15。
CRAは、医療機器や体外診断用医療機器、自動車、民間航空機器、舶用機器等、すでに分野別のEU法にもとづいて規制されている製品を、その適用から除外しています。また、国家安全保障や防衛のための製品等についても、CRAの適用を受けません 16。
| CRAの適用 | 要件・概要 | 製品の一例 |
|---|---|---|
| ◯あり |
ただし、次の製品等は適用対象から除かれる。
|
【ソフトウェア・ハードウェア製品、コンポーネント】 PC、スマートフォン、スマートロボット、ICカード、スマートホーム製品、モバイルアプリ、ビデオゲームなど 【クラウドソリューション】 スマートホーム製品の製造業者が提供するクラウド対応機能で、ユーザが遠隔地からデバイスを制御できるようにするもの |
| ✕なし |
|
CRAは、2024年12月10日に発効し、今後は次のようなスケジュールが予定されています 17。
| 時期 | 内容 |
|---|---|
| 2024年12月10日 | CRAが発効 |
| 2026年9月11日 | 当局及びユーザへの脆弱性・インシデントの報告および通知義務 18(以下単に「報告義務」といいます)の適用開始 |
| 2027年12月11日 | 報告義務以外の義務の適用開始 |
上記のとおり、CRAでは、対象製品に関する各種サイバーセキュリティ対応等を実施する義務や、報告義務が課されることになりますが、報告義務とそれ以外の義務とで次のとおり適用の基準が分けられています 19。
報告義務以外の義務については、原則として、2027年12月11日以降に「市場におかれた(have been placed on the market)」対象製品のみが適用を受けます 20。ここでいう「市場におく(placing on the market)」とは、商業活動の過程において、EU市場における頒布または使用のために、対象製品を供給(supply)する最初の機会をいいます 21。
そして、CRA前文38項における、「必須サイバーセキュリティ要件は、デジタル要素をもつ製品が個別単位で製造されているか、シリーズで製造されているかにかかわらず、市場におかれるときに、個々のデジタル要素をもつ製品に適用される([E]ssential cybersecurity requirements […] apply to each individual product with digital elements when placed on the market, irrespective of whether the product with digital elements is manufactured as an individual unit or in series.)」との文言からすると、「市場におかれた」か否かは、製品のモデルや型式ではなく、個々の製品ごとに判断されます。したがって、仮に2027年12月11日より前に、モデルAの製品XがEU市場に供給されていたとしても、2027年12月11日以降に、当該製品Xとは製造番号・シリアルナンバーが異なるモデルAの製品YをEU市場に供給する場合、当該製品Yは、報告義務以外の義務全般の適用を受けることになります(他方で、製品Xは、原則として、報告義務以外の義務全般の適用を受けません)。
また、2027年12月11日より前にEU市場におかれた対象製品であっても、例外的に、その対象製品が2027年12月11日以降に「実質的な改変(substantial modifications)」を受ける場合には、義務の適用を受けることになります 22。上記のとおり、「市場におかれた」か否かが個々の製品ごとに判断される以上は、「実質的な改変」の有無も個々の製品ごとに判断されることになります。なお、「実質的な改変」の基準に関しては、欧州委員会が今後、ガイダンスを公表することが予定されていますが 23、たとえば、一旦EU市場においた対象製品をその後修理したり、当該対象製品に搭載されたソフトウェアをその後更新したことなどにより、サイバーセキュリティリスクが一定程度増加した場合が、「実質的な改変」に該当し得ることになると考えられます。
以上をまとめると、CRAは、2027年12月11日以降は、CRAの要件を満たした対象商品のみがEU市場に供給されるようにすることを意図しているといえます。CRAの適用を受ける製造業者においては、製品完成後にCRAの定めるセキュリティ要件やその他の要件に適合させることは、実務上困難な場合もあると考えられるため、2027年12月11日以降もEU市場で販売することが見込まれる対象製品については、当該対象製品の開発段階で、あらかじめCRAへの準拠を検討することが必要になると考えられます。
EU市場におかれた対象製品である限り、2027年12月11日より前に供給されたものであったとしても、報告義務の適用を受けます 24。すなわち、報告義務に関しては、その他の義務とは異なり、EU市場への供給の時期とは関係なく適用があり、EU市場に供給している対象製品に関して、2026年9月11日以降から、当局やユーザへの脆弱性・インシデントの報告・通知を実施する必要があることに留意する必要があります。
ここまで見てきたCRA上の各義務との関係から、CRAの適用を受ける製造業者においては具体的に次に掲げる対応が必要になります。
対象製品の輸入業者や流通業者においては、上記の各対応を自ら行う必要はないものの、取り扱う対象製品の製造業者が上記の各対応を実施しているかを確認する必要があります。
次回は、「報告義務」の詳細と対応方法を解説します。
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
日本企業がとるべきサイバーレジリエンス法の対応実務
バックナンバー(全3件)
第3回
サイバーレジリエンス法における義務の内容と具体策第2回
サイバーレジリエンス法における報告義務の内容と具体策第1回
サイバーレジリエンス法の概要と具体策(対象製品、罰則、義務、スケジュール等)
寺門 峻佑
TMI総合法律事務所 弁護士
日本国・ニューヨーク州弁護士、TMIプライバシー&セキュリティコンサルティング株式会社取締役、情報処理安全確保支援士(第011789号)、情報セキュリティ監査人補。内閣サイバーセキュリティセンタータスクフォース、経済産業省大臣官房臨時専門アドバイザー、防衛省陸上自衛隊通信学校非常勤講師、滋賀大学データサイエンス学部インダストリアルアドバイザー等を歴任。国内および海外のデータ利活用における個人情報保護法対応・情報漏えいインシデント対応を中心としたデータ・プライバシー領域、eコマース・プラットフォーム/アプリ/AI開発・ライセンスを中心としたIT法務、IT関連を中心とした不正調査・国内外紛争案件を主に取り扱う。米国Wikimedia Foundation, Inc.法務部、エストニアのLaw Firm SORAINENでの勤務経験も有する。
野間 啓佑
TMI総合法律事務所 弁護士
2018年東京大学法科大学院修了。2019年弁護士登録、2020年TMI総合法律事務所入所。国内外データ保護関連法対応のほか、IT関連契約対応、国内/グローバル内部通報制度の構築・運用案件、国内外の紛争対応その他一般企業法務を幅広く扱う。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
IoT機器の製品セキュリティとメーカーがとるべき法的対応実務
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす
CLOSEUP セキュリティ組織
この記事をシェアする
最新情報をフォローする