IT & Information security Journal

  1. UNITIS
  2. セキュリティと法律
  3. サイバーレジリエンス法における報告義務の内容と具体策

日本企業がとるべきサイバーレジリエンス法の対応実務 第2回

サイバーレジリエンス法における報告義務の内容と具体策

EUのサイバーレジリエンス法(Cyber Resilience Act、以下「CRA」といいます)は、原則として2027年12月11日から適用が開始しますが、当局やユーザへの脆弱性・インシデントの報告・通知義務(以下単に「報告義務」といいます)に関しては、2026年9月11日から適用が開始します 1

また、CRAの下では、原則として、2027年12月11日以降に市場におかれた対象製品(CRAの適用を受けるデジタル製品をいいます 2。以下同様です)のみが適用を受けますが、報告義務に関しては、EU市場におかれた対象製品である限り、2027年12月11日より前に供給されたものであったとしても、報告義務の適用を受けます 3

本稿では、このように他の義務と比べて早期の対応が必要になる報告義務の内容や対応方法について解説します。

この記事のポイント


  • CRAは、製造業者に対し、「実際に悪用されている脆弱性」または「対象製品のセキュリティに影響を及ぼす重大なインシデント」を認識した場合に、CSIRTおよびENISAに報告する義務を定めている。脆弱性またはインシデントを認識後24時間以内に早期警告通知を実施する必要があるなど、極めて迅速な対応が求められ、また、ユーザへの通知も必要となる

  • 輸入業者および流通業者についても、対象製品が重大なサイバーセキュリティリスクをもたらす場合に市場監視当局へ報告しなければならないなど、一定のインシデント対応義務が課されている

  • 報告義務に対応するためには、セキュリティガバナンス体制の構築や他の事業者の協力を仰ぐための契約書上の規定の策定が重要となる。また、GDPR対応との調整も必要となり得る

製造業者の報告義務

CRA上、製造業者は、対象製品に関して「実際に悪用されている脆弱性」または「対象製品のセキュリティに影響を及ぼす重大なインシデント」を認識した場合に、報告義務を負います。詳細は以下のとおりです。

脆弱性を認識した場合の報告義務

① 報告義務の内容

製造業者は、対象製品に「実際に悪用されている脆弱性(actively exploited vulnerability)」があることを認識した場合、各EU加盟国によりコーディネーターとして指定されたCSIRT 4 と、ENISA 5 に報告する必要があります 6

ここでいう「脆弱性」とは、サイバー脅威により悪用される可能性のある対象製品の弱点、脆さまたは欠陥をいい 7、たとえば、対象製品の認証機能の弱点が該当し得ます 8。また、「実際に悪用されている脆弱性」とは、脆弱性のうち、悪意のある者がシステムオーナーの許可なく、システム上で当該脆弱性を悪用したことの信頼できる証拠があるものをいいます 9。このため、システムオーナーおよびユーザのセキュリティを向上させるために実施した調査等の過程で発見された脆弱性については、(悪意者による悪用の証拠が発見されない限り)「実際に悪用されている脆弱性」には当たらず、報告対象ではありません 10

また、製造業者は、実際に悪用されている脆弱性を認識した後、影響を受けるユーザに対し、実際に悪用されている脆弱性および、(必要に応じて)当該脆弱性の影響を緩和するためにユーザが実施可能な対処方法について通知する必要があります 11

なお、製造業者は、報告義務を負わない脆弱性(「実際に悪用されている脆弱性」に該当しないもの)であっても、対象製品に含まれる脆弱性であって、対象製品のリスクプロファイルに影響を及ぼし得るものについて、自主的にCSIRTおよびENISAに報告することもできます 12

② 報告等の方法

製造業者は、上記で説明した実際に悪用されている脆弱性についてのCSIRTおよびENISAへの報告として、①早期警告通知、②脆弱性通知、③最終報告を提出する必要があります 13

①早期警告通知は、製造業者が脆弱性を認識してから24時間以内に実施する必要があり、該当する場合、通知には対象製品が流通しているEU加盟国の範囲を記載する必要があります。

また、②脆弱性通知は、製造業者が脆弱性を認識してから72時間以内に実施する必要があります。脆弱性通知には、次に掲げる情報を含めなければなりません。

  • 対象製品の一般的な情報

  • 当該脆弱性および悪用の一般的な性質

  • 実施された是正措置・緩和措置の内容

  • ユーザが実施し得る是正措置・緩和措置の内容

  • (該当する場合)製造業者自身が、通知した当該各情報をどの程度機微なものと考えているか

③最終報告は、是正措置または緩和措置が利用可能となってから14日以内に提出する必要があります。最終報告には、次に掲げる情報を含めなければなりません。

  • 脆弱性の重大性および影響を含む、脆弱性の説明

  • (利用可能な場合)脆弱性を悪用した、もしくは悪用している悪意のある者に関する情報

  • 脆弱性を治癒するために提供されたセキュリティアップデートその他の是正措置の詳細

以上の通知および報告の提出に関しては、製造業者の報告を簡素化するために、単一報告プラットフォームが設置されることになっています。製造業者は、同プラットフォーム上で、主たる拠点を有するEU加盟国のCSIRTの窓口に通知・報告することになります。この窓口には、ENISAもアクセスすることができ、これにより、CSIRTとENISAへ同時に通知・報告することができます 14。また、製造業者がEU域内に主たる事務所を有しない場合は、以下の順序に従い決定されたEU加盟国の窓口へ報告を行うこととなります 15

i.  当該製造業者の対象製品を最も多く取り扱っている認定代理人(authorised representative)が所在するEU加盟国

ii.  当該製造業者の対象製品を最も多くEU市場に供給している輸入業者が所在するEU加盟国

iii. 当該製造業者の対象製品を最も多くEU市場に流通させている販売業者が所在するEU加盟国

iv.  当該製造業者の対象製品のユーザが最も多く所在するEU加盟国

以上に加え、製造業者は、CSIRTから必要に応じて実際に悪用されている脆弱性に関する中間報告を求められる場合があります 16

重大なインシデントを認識した場合の報告義務

① 報告義務の内容

製造業者は、対象製品のセキュリティに影響を及ぼす重大なインシデント(severe incident having an impact on the security of the product with digital elements)」を認識した場合、各EU加盟国によりコーディネーターとして指定されたCSIRTと、ENISAに報告する必要があります 17

ここでいう「対象製品のセキュリティに影響を及ぼすインシデント」とは、データまたは機能の可用性、真正性、完全性または機密性を保護する対象製品の能力に対して悪影響を及ぼす、または悪影響を及ぼし得るインシデントを指し 18、以下の場合に、当該インシデントは重大なものであるとみなされます 19

  1. 機微もしくは重要なデータ、または機能の可用性、真正性、完全性もしくは機密性を保護する対象製品の能力に悪影響を及ぼす、または悪影響を及ぼし得る場合

  2. 対象製品自体または対象製品のユーザのネットワークおよび情報システムに悪意のあるコードを導入もしくは実行することになった場合、またはそのようになる可能性がある場合

具体例としては、攻撃者が、製造業者がユーザにセキュリティアップデートをリリースするためのリリースチャネルを通じて、悪意のあるコードを導入した場合があげられます 20

また、製造業者は、対象製品のセキュリティに影響を及ぼす重大なインシデントを認識した後、影響を受けるユーザに対し、重大なインシデントの詳細および、(必要に応じて)当該インシデントの影響を緩和するためにユーザが実施可能な対処方法について通知する必要があります 21

なお、製造業者は、報告義務を負わないインシデント(「重大な」インシデントに該当しないもの)であっても、対象製品のセキュリティに影響を及ぼすインシデントおよびそのようなインシデントになりかけた事案について、自主的にCSIRTまたはENISAに報告することもできます 22

② 報告等の方法

製造業者は、上記で説明したインシデントについてのCSIRTおよびENISAへの報告として、①早期警告通知、②インシデント通知、③最終報告を提出する必要があります 23

①早期警告通知は、製造業者がインシデントを認識してから24時間以内に実施する必要があり、通知には当該インシデントが違法な行為または悪意のある行為によって引き起こされた疑いがあるか否かについて記載する必要があります。さらに、対象製品が複数のEU加盟国で流通している場合には、流通しているEU加盟国の範囲を記載する必要があります。

また、②インシデント通知は、製造業者がインシデントを認識してから72時間以内に実施する必要があります。インシデント通知には、次に掲げる情報を含めなければなりません。

  • インシデントの性質

  • インシデントの初期評価

  • 実施された是正措置・緩和措置の内容

  • ユーザが実施し得る是正措置・緩和措置の内容

  • 製造業者自身が、通知した当該各情報をどの程度機微なものと考えているか

③最終報告は、インシデント通知後1か月以内に提出する必要があります。最終報告には、次に掲げる情報を含めなければなりません。

  • インシデントの重大性および影響を含む、インシデントの詳細な説明

  • インシデントを引き起こしたとみられる脅威または根本原因の類型

  • 実施された、または現在進行中の緩和措置の内容

以上の通知および報告の提出は、脆弱性を認識した場合の報告方法と同じく、単一報告プラットフォームを通じて行うこととなります 24

以上に加え、製造業者は、CSIRTから必要に応じてインシデントに関する中間報告を求められる場合があります 25

罰則

「実際に悪用されている脆弱性」または「対象製品のセキュリティに影響を及ぼす重大なインシデント」を認識した場合の報告義務に違反した場合、最高1,500万ユーロまたは前会計年度の全世界の年間総売上高の2.5%のいずれか高い方の金額を上限とする行政罰の対象になります 26

輸入業者と流通業者の報告義務等

輸入業者と流通業者の報告義務に関しては、製造業者の報告義務とは異なり、2027年12月11日以降でなければ適用が開始されないものの 27、関連性が高いため、以下のとおり解説します。

報告義務の内容

輸入業者と流通業者は、下表のとおり、サイバーセキュリティリスクをもたらす一定の場合に、製造業者や市場監視当局に対する報告等をする義務を負います 28


類型 状況 対応

市場におく前の対象製品

対象製品または製造業者が実施したプロセスがCRA(流通業者についてはAnnex I)に準拠していないと考え、またはそのように信じる理由がある。

当該対象製品または当該プロセスがCRAに準拠するまで当該対象製品をEU市場におかない。

対象製品が重大なサイバーセキュリティリスク 29 をもたらす。

製造業者および市場監視当局にその旨を報告する。

(輸入業者のみ)対象製品が非技術的リスク要因に照らして重大なサイバーセキュリティリスクをもたらし得ると信じる理由がある。

 市場監視当局にその旨を報告する。

すでに市場におかれた対象製品

対象製品または製造業者が実施したプロセスがCRAに準拠していないと認識し、またはそのように信じる理由がある。

当該対象製品がCRAに準拠するために必要な是正措置をただちに講じ、または、必要に応じ、当該対象製品の回収・リコールをする。
※流通業者は、上記の対応がなされることを確保する。

対象製品の脆弱性を認識した。

製造業者に遅滞なくその旨を報告する。

対象製品が重大なサイバーセキュリティリスクをもたらす。

すでに対象製品がおかれた市場の市場監視当局にただちにその旨を報告する。

製造業者の義務が輸入業者および流通業者に適用されるケース

輸入業者と流通業者は、対象製品を自身の名称または商標を利用してEU市場においた場合、またはすでにEU市場におかれた対象製品に実質的な改変を加えた場合には、「製造業者」とみなされ、「製造業者の報告義務」の項で述べた製造業者の義務を自ら負うことになります 30

罰則

ここまで解説した義務に違反した場合、最高1,000万ユーロまたは前会計年度の全世界の年間総売上高の2%のいずれか高い方の金額を上限とする行政罰の対象になります 31

報告義務に対応するための具体策

以上で説明した報告義務を遵守するための実務上の対策としては、以下のような措置を講じておくことが考えられます。

CRA対応を含めたセキュリティガバナンス体制の構築

サイバー攻撃等により、CRA上の報告対象事態である「実際に悪用されている脆弱性」や「対象製品のセキュリティに影響を及ぼす重大なインシデント」が発生した場合には、上記のとおり、認識後24時間以内に早期警告通知を行う必要があるなど、きわめて迅速な対応が求められます。加えて、サイバー攻撃等を受けたときには、CRA対応にとどまらず、事業の停止等による損害拡大の回避やユーザ等との契約上の義務の履行のためにも、タイムリーに適切な判断をすることが求められます。したがって、平時からCRA上の報告対象事態を含めたインシデントへの対応体制を整備しておくことが不可欠です。

体制整備プロセスの推進にあたっては、旗振り役となるチームの組成が非常に重要です。これは、実質的にそのチームが、体制構築後のセキュリティ組織のコアメンバーとなることが多いためです。

チーム組成の方法はさまざまであり、また、チームの規模も異なりますが、成功のポイントとしては、法務・情報システム・情報セキュリティ・広報・主要事業部門などから、分野横断的に適切なメンバーを揃えることであるといえます。自社の現状把握が適切になされてはじめて実効性のあるセキュリティ確保体制の構築・運用が可能となるため、これを可能とするチームの組成が適切な対応へとつながります。

インシデント対応マニュアルの作成・周知

報告義務については、きわめてタイトなスケジュールでの対応が求められることから、具体的に、誰がいかなる対応をどのように行うのかに関して、平時においてあらかじめ有事に備えたインシデント対応フローを確立し、これをマニュアル化したうえで、研修等により従業員への周知徹底を行っておくことが重要です。CRA上のインシデント対応の一般的な流れは下図のとおりとなると考えられるため、インシデント対応マニュアルでは、以下のプロセスごとに、「誰が」「いかなる対応を」「どのように」行うのかを具体的に定めておくことになります。


GDPR対応とCRA対応の連携

対象製品においては、GDPR(General Data Protection Regulation:一般データ保護規則)の適用対象である「個人データ」が処理されるケースも多いと想定されます。仮に、CRA上の報告対象であるインシデントが発生し、これによって同時に個人データが漏えいしたような場合には、CRA上の報告義務のみならず、GDPR上の関連当局への報告義務も発生します 32。また、当該漏えい等が個人データの本人の権利・自由に高いリスクをもたらす場合には、GDPR上の本人への通知義務も負うことになります 33

そのため、上記のような事態が発生した場合に、CRA対応とGDPR対応とで効率的かつ矛盾のない対応を行うために、CRA対応とGDPR対応とを同じチームで担当するように体制構築しておくことが考えられます。この場合、すでにGDPR対応チームが存在するのであれば、CRA対応に必要なメンバー(製品セキュリティの担当者等)の追加を検討する必要があると考えられます。他方で、GDPR対応チームとCRA対応チームを分ける場合には、少なくとも、各チーム間で情報等の緊密な連携をとりつつ対応する必要があると考えられます。このような連携の方法やタイミングについても、上記のインシデント対応マニュアルに含めておくことが有益です。

なお、GDPRでは、原則としてインシデント認識時から72時間以内に当局への報告をすることが求められている一方、CRA上は、インシデント認識時から24時間以内に早期警告通知をすることが求められているなど、CRAとGDPRとでは対応のスケジュールや内容が異なることに留意しなければなりません。

業務委託先等との間の契約書上の規定の策定

前述のとおり、インシデント発生時には、CRA対応にとどまらず、事業の停止等による損害拡大の回避や、ユーザ等との契約上の義務の履行のために、迅速な対応が求められます。このため、製造業者は、輸入業者や流通業者その他の業務委託先等との間の契約において、脆弱性やインシデントを検知した際には製造業者に対してただちに報告する義務を課すとともに、その報告の方法を指定しておくこと(具体的には、当該製造業者において構築したインシデント時のレポーティングラインへとつながる特定のメールアドレスを、契約書上に明記することなど)が考えられます。また、輸入業者や流通業者においても、その業務委託先等に対して上記と同様の契約書上の規定をおくことが考えられます。

また、CRA上の報告を実施する際は、「製造業者の報告義務」の項で解説したように、さまざまな脆弱性またはインシデントに関する情報を含めなければならず、自社のみで必要な情報を収集するのは難しい場合も予想されます。そのため、効率的に必要な情報を収集できるようにするため、業務委託先等の必要な情報を保持している者との間で、必要な情報を定められた方法で適時に提供したり、自社の指示に基づいて調査を実施したりするなど、一連の報告義務への対応に協力する義務を課しておくことも有益であると考えられます。

  • CRA71条2項 ↩︎
  • CRAの適用を受ける製品の範囲については、「サイバーレジリエンス法の概要と具体策(対象製品、罰則、義務、スケジュール等)」(以下、前回記事)をご参照ください。↩︎
  • CRA69条。詳細は、前回記事をご参照ください。↩︎
  • CSIRT とは、Computer Security Incident Response Teamの略称であり、ここでは、各EU加盟国において設立または指定された1つまたは複数の組織をいいます。また、「コーディネーターとして指定されたCSIRT」とは、各EU加盟国が、NIS2指令(Directive (EU) 2022/2555)12条1項に基づき、脆弱性に関する対応を調整するために指定したCSIRTをいいます(CRA3条51号)。↩︎
  • ENISAとは、欧州全域でのサイバーセキュリティの共通水準を高めることを目的としたEUの機関であるEuropean Union Agency for Cybersecurityを指します。↩︎
  • CRA14条1項 ↩︎
  • CRA3条40号 ↩︎
  • CRA前文68項 ↩︎
  • CRA3条42号 ↩︎
  • CRA前文68項参照 ↩︎
  • CRA14条8項 ↩︎
  • CRA15条1項 ↩︎
  • CRA14条2項各号。前文71項参照 ↩︎
  • CRA14条7項、16条1項 ↩︎
  • CRA14条7項各号 ↩︎
  • CRA14条6項 ↩︎
  • CRA14条3項 ↩︎
  • CRA3条44号 ↩︎
  • CRA14条5項 ↩︎
  • CRA前文68項 ↩︎
  • CRA14条8項 ↩︎
  • CRA15条2項 ↩︎
  • CRA14条4項各号。前文71項参照 ↩︎
  • CRA14条7項 ↩︎
  • CRA14条6項 ↩︎
  • CRA64条2項 ↩︎
  • CRA71条2項 ↩︎
  • CRA19条3項、5項、20条3項、4項 ↩︎
  • 「サイバーセキュリティリスク」とは、インシデントによって引き起こされる損失または混乱の可能性をいい、リスクの大小は、損失や混乱の程度およびインシデントが発生する可能性の高低を組み合わせて判断することになります(CRA3条37号)。↩︎
  • CRA21条 ↩︎
  • CRA64条3項 ↩︎
  • GDPR 33条 ↩︎
  • GDPR 34条 ↩︎

この記事は会員限定です。
登録すると続きをお読みいただけます。

UNITIS 利用規約に同意のうえ

このサイトはreCAPTCHAによって保護されており、
Googleの プライバシーポリシー利用規約 が適用されます。

日本企業がとるべきサイバーレジリエンス法の対応実務

バックナンバー(全3件)

もっと見る
寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

日本国・ニューヨーク州弁護士、TMIプライバシー&セキュリティコンサルティング株式会社取締役、情報処理安全確保支援士(第011789号)、情報セキュリティ監査人補。内閣サイバーセキュリティセンタータスクフォース、経済産業省大臣官房臨時専門アドバイザー、防衛省陸上自衛隊通信学校非常勤講師、滋賀大学データサイエンス学部インダストリアルアドバイザー等を歴任。国内および海外のデータ利活用における個人情報保護法対応・情報漏えいインシデント対応を中心としたデータ・プライバシー領域、eコマース・プラットフォーム/アプリ/AI開発・ライセンスを中心としたIT法務、IT関連を中心とした不正調査・国内外紛争案件を主に取り扱う。米国Wikimedia Foundation, Inc.法務部、エストニアのLaw Firm SORAINENでの勤務経験も有する。

野間 啓佑

野間 啓佑

TMI総合法律事務所 弁護士

2018年東京大学法科大学院修了。2019年弁護士登録、2020年TMI総合法律事務所入所。国内外データ保護関連法対応のほか、IT関連契約対応、国内/グローバル内部通報制度の構築・運用案件、国内外の紛争対応その他一般企業法務を幅広く扱う。

滝川 航生

滝川 航生

TMI総合法律事務所 弁護士

2022年東京大学法学部卒業。2023年弁護士登録、2024年TMI総合法律事務所入所。情報処理安全確保支援士(第026420号)。国内外データ保護法関連対応のほか、一般企業法務を取扱う。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP