EUで成立した「サイバーレジリエンス法(Cyber Resilience Act, CRA)」が、2027年から本格的に施行される予定です。対象となるのはIoT機器やソフトウェアを含む幅広い製品であり、EU市場での販売を続けるためには、この新しい規制に準拠することが避けられません。
「自社の製品は対象になるのか?」
「いつまでに何を準備すればいいのか?」
「他社はどのように対応しているのか?」
多くの企業がこうした疑問や不安を抱えています。特に製造業やIoT機器メーカー、ソフトウェアベンダーにとっては、対応の遅れがそのままビジネス機会の損失につながりかねません。
本記事では、サイバーレジリエンス法の概要を整理した上で、企業が取るべき具体的な対応ステップを分かりやすく解説します。これから準備を始める方でも理解できるように、ロードマップ形式で「いま何をすべきか」「施行までにどんな状態になっておくべきか」を提示します。
CRA対応を「負担」ではなく「競争力強化のチャンス」に変えるために、ぜひ参考にしてください。デジタル社会において、企業活動はインターネットやITシステムなしには成立しません。しかし同時に、サイバー攻撃や情報漏えいといったリスクは年々拡大し、経営リスクとしての比重を増しています。
はじめに:CRAとは何か・なぜ重要か
CRA(Cyber Resilience Act)は、EUが導入した「デジタル要素を含む製品」に対するサイバーセキュリティ基準を義務化する法律です。対象は以下を含みます。
ず、「CRA」が何を目指しているのか、なぜ製造業の開発部門にとって無視できない規律になったのかを確認します。
- 目的:EU域内(とEU市場に製品を提供する事業者)で販売される「デジタル要素を含む製品(products with digital elements)」について、製品の設計から廃棄までを通じて一定のサイバーセキュリティ要件を義務づけ、消費者・事業者をサイバーリスクから守る。
- 背景:IoT機器・スマートデバイスの普及に伴って、脆弱性(セキュリティの弱点)が悪用される事件が増えており、製品のライフサイクル中のセキュリティ更新が不十分、あるいは情報提供が不透明との指摘があるため。製造者により大きな責任を持たせることで、市場での安全性・信頼性を高めようとしている。
- 施行スケジュール:
- 法律としては 2024年12月10日 に発効。
- 主な義務が適用されるのは 2027年12月11日 から。
- ただし、報告義務など一部の規定は早くから課される(2026年9月11日など)
- 罰則:最大1,500万ユーロ または世界売上高の2.5%のいずれか高い方
なぜCRAが必要とされるのか
サイバー攻撃は年々巧妙化し、企業経営への影響は拡大しています。
- ランサムウェア攻撃による工場の稼働停止(WannaCry(2017年):ランサムウェア攻撃により、150か国の23万台以上のPCに感染し医療機関・企業が影響を受けた)
- 顧客情報漏えいによる企業イメージの失墜(サンリオエンターテイメント(2025年):ランサムウェア攻撃による大規模な情報漏えいが発生、最大で約200万人分の個人情報が流出した可能性があると発表された、。)
- サプライチェーンを狙った攻撃により被害拡大(トヨタ自動車の取引先である小西製作所(2022年):サイバー攻撃を受け、その影響でトヨタの国内工場が一時的に稼働を停止)
こうした事態が発生すると、直接的な金銭的損害に加え、株価下落やブランド価値の毀損といった長期的なダメージも避けられません。CRAは「市場に出る製品が一定のセキュリティを担保していること」を求めることで、このリスクを低減しようとしています。
対象となる製品と関係者
製造業者マネージャとして、「自社のどの製品が対象になるか」「自社のどの部門・どのプロセスに影響があるか」をまず見極める必要があります。
製品の範囲(適用対象)
CRAが対象とする製品は次のようなものです。製造業ではハードウェアだけでなく、ソフトウェア、ファームウェア、クラウドや遠隔処理機能を持つものなども含まれます。
- 基本的な定義:「製品 with デジタル要素(products with digital elements, PDE)」とは、製品が「物理的なハードウェア」であり、その中にソフトウェア・ファームウェアが組み込まれているか、あるいはネットワークにつながっていたり他のネットワーク/機器に直接・間接に接続可能だったりするもの。
- ハードウェア例:IoT機器、スマートホームデバイス、工業用制御装置(Industrial Control Systems)、マイクロチップ、ネットワーク機器等。
- ソフトウェア例:OS、ブラウザ、パスワード管理ソフト、組み込みソフトウェア、遠隔処理を伴うもの。
除外される製品
ただし、CRAには明確に 除外される分野 もあります。製造業者が「これはCRAの対象外か」を確認する必要があります。
- 医療機器:すでに別規制があるもの(EUの医療機器規制など)
- 航空機器、自動車など、その分野に特化した規制が既に存在しており、CRAでは重複を避ける形での除外がある範囲。
- 開発者ツール/オープンソースソフトウェア(条件あり):商用製品内で使われる場合には対象になるが、純粋に非営利で開発・配布される OSS そのものや、製品の主要機能をなさないものについては軽い義務または除外がある。
関与する事業者
誰がどの義務を負うのかを整理します。製造業者としては「メーカー(製造者)」が中心ですが、他にも関係者がいるため、自社製品が流通するサプライチェーン全体を把握する必要があります。
- 製造業者 (Manufacturer):製品を設計・製造する者。CRAで最も重い義務を持つ。設計段階、ライフサイクル全体、脆弱性対応、文書化など。
- 輸入業者 (Importer):EU外で製造された製品をEU市場に持ち込む者。製造者が義務を果たしているか確認する責任あり。
- 流通業者/販売業者 (Distributor):CEマーク有無の確認、ユーザ向け情報・指示書の付与など、製品を市場に出す目線での義務あり。
CRAが日本企業にもたらす影響
CRAは製品開発部門だけでなく、経営や管理に携わる立場の方々にとっても大きな意味を持ちます。主な影響は以下のとおりです。
- コンプライアンス対応コストの増大
製品設計から販売後のサポートまで、ライフサイクル全体でセキュリティ要件を満たす必要があります。そのため、開発体制や品質保証の強化が必須となります。 - リスクマネジメント体制の再構築
サイバーセキュリティはもはやIT部門だけの責任ではなく、経営全体のガバナンスの一部です。経営層として、セキュリティリスクを財務や法務と同等に扱う姿勢が求められます。 - 取引先・顧客からの信頼性確保
「CRA準拠」を証明できるかどうかは、EU市場での競争力に直結します。顧客や取引先への説明責任を果たすことが、営業面でも重要になります。
企業が取るべき具体的対応
- 全社的なセキュリティ戦略の策定
CRAは製品の開発部門だけでなく、法務、営業、広報、人事など多部門に影響します。部門横断的なセキュリティ戦略を立案し、社内に浸透させる必要があります。 - セキュリティ教育・人材育成
社員一人ひとりの意識が不十分だと、制度対応が形骸化します。若手社員や技術者への教育投資は長期的なリスク低減に直結します。 - サプライチェーン管理の強化
自社だけでなく取引先のセキュリティも監督対象です。CRA対応の観点から、調達や外注管理プロセスを見直すことが求められます。 - ガバナンスと責任の明確化
不具合や脆弱性の報告義務が定められているため、責任分担を明確にし、迅速に対応できる仕組みを構築する必要があります。
サプライチェーンとSBOMの重要性
CRAでは、製品単体の安全性だけでなく、第三者コンポーネントや取引先管理も重視されます。
- SBOMの提出・管理は調達条件として一般化する可能性が高い。
- 調達・外注契約に「セキュリティ要件条項」を盛り込むことが必須。
- サプライヤを含むセキュリティ監査体制を整えることで、取引先からの信頼性も向上。
企業への示唆
日本企業にとって、CRA対応は「EU輸出企業だけの課題」ではありません。今後、同様の規制は世界的に拡大する可能性が高く、早期に取り組むことは競争優位につながります。
また、CRAは「規制対応のためのコスト増」ではなく、「信頼性を高め、持続的成長を実現するための投資」と捉えることが重要です。経営層・管理者が主導して全社を巻き込む姿勢が成否を分けるでしょう。
まとめ
- CRAは「デジタル要素を含む製品」のセキュリティを義務化するEU法
- 発効:2024年12月/主要義務の適用開始:2027年12月11日
- 罰則は最大1,500万ユーロまたは世界売上高2.5%と極めて重い
- 日本企業は短期的にはギャップ分析と報告体制構築、中長期的にはSDL・SBOM・サプライチェーン監査が必須
- CRA対応は法令遵守を超えて、企業価値を高めるチャンス
参考情報
- 公式EU CRAページ:EU Cyber Resilience Act
- ENISAガイドライン(IoTセキュリティ):ENISA IoT Security Guidelines 2024
MSDコンサルティング
コメント