サイバーレジリエンス法|法の解説と日本企業への影響(No.3)

機能安全

EUのCyber Resilience Act(CRA:サイバーレジリエンス法は、2025年1月に発効し、今や単なる「法規制」ではなく、デジタル製品・サービスを提供する企業にとって市場競争力を左右する基盤ルールとなりつつあります。

この記事では、Regulation (EU) 2024/2847(Cyber Resilience Act; 以下「CRA」)の CHAPTER I ~ CHAPTER VIII における「製造者(manufacturer)」に関する規定を、各章ごとに整理・要約します。原文の条文・文言を参照しつつ、製造者に課される義務・責任・要件を中心にまとめています。

CHAPTER I(General Provisions/総則)

この章では、規制の目的・範囲・定義など基本的ルールが示されており、製造者に関しては以下の点が特に重要です。

  • 規制の目的(Recitals)として、「製造者が製品のライフサイクルを通じてセキュリティを真剣に考慮すること」「市場に出されるハードウェア・ソフトウェア製品が脆弱性が少ない状態であること」が強調されている。
  • 本規則は「デジタル要素を含む製品(products with digital elements)」を対象とし、これを市場に投入する製造者に対して、製品設計・開発・製造の段階から一定のセキュリティ要件を満たすことを義務づける。
  • フリー・オープンソースソフトウェア(FOSS; free and open-source software)については、商業活動の文脈において製造者としての責任が発生する旨が明記されており、また、FOSS コンポーネントを製品に組み込む製造者について、適切なデューデリジェンスを行うことなども含まれる。
  • 製造者以外にも、製品が市場に出されている間のサポート期間(support period)や、脆弱性処理(vulnerability handling)、ユーザーへの情報提供義務などが規定され、それらの多くは製造者に直接的に義務付けられている。

この章(総則)では、製造者が誰を指すか(定義)、何を対象とするか(scope of products, including software, hardware, remote data processing solutions etc.)、製造者が負うであろう義務の全体像が提示される。

CHAPTER II(Essential Cybersecurity Requirements/本質的サイバーセキュリティ要件)

この章では、製造者が市場に製品を置く(placing on the market)際、および製品のライフサイクル中に満たすべき具体的なセキュリティ要件が定められており、製造者の設計・開発・製造・保守に関する責任が詳細化されている。

主な内容:

  • 製造者は、デジタル要素を含む製品が 既知の脆弱性(known exploitable vulnerabilities)を含まない状態で市場に提供されなければならない。
  • 製品の設計・開発・生産の段階で、サイバーセキュリティリスクの評価(cybersecurity risk assessment)を行い、その結果を製品の計画、設計、開発、製造、配布、保守(delivery and maintenance)などに反映させること。これには、ユーザーの安全・健康等の潜在的影響も含む。
  • 脆弱性ハンドリング義務(vulnerability handling):製造者は製品およびそのコンポーネント(FOSS を含む)において脆弱性を特定したら、それを製造者・維持管理者に報告し、修正を行うなど対応をとること。
  • 製品が「重要な製品(important products)」または「重大な製品(critical products)」に分類される場合には、より厳格な適合性評価(conformity assessment)を受けなければならない。製造者はどのクラス・カテゴリーの製品を扱っているかを把握し、そのカテゴリーに応じて相応の評価手続を行う義務。
  • セキュリティ更新(security updates)の提供義務。製造者は、製品に対して無償でセキュリティ更新を提供し、製品に自動更新機能等がある場合にはその機能を設置すること。ただしユーザーが自動更新をオフにするオプションを持つことなど、操作性・ユーザーの選択にも一定の配慮がされている。
  • 製品の支援期間(support period):製造者は、製品が通常使用される期間を考慮して支援期間を設定し、その期間中に脆弱性処理等を含む義務を果たすこと。最低 5 年とする。ただし製品のライフタイムがそれ未満であればその製品の使用期間に対応。
  • 製造者は、支援期間終了後も可能な場合にはソースコードをリリースすることを検討すべきという義務または推奨がある。これは脆弱性処理を他の事業者に引き継ぐ・公共に開示するための対策。

CHAPTER III(Conformity assessment procedures/適合性評価手続)

この章では、製造者がその製品が CRA の要件を満たしていることを示すために取るべき適合性評価の手段および手順について記載されており、製造者に以下の義務がある:

  • 重要な製品(important products with digital elements)には、クラス I またはクラス II に応じた適合性評価手続を実施すること。クラス I と II によって、評価の厳格さや第三者機関(Notified Body)関与の有無などが異なる。
  • 重篤な製品(critical products with digital elements)は、Annex IV に列挙されていれば、EU のサイバーセキュリティ認証制度(European cybersecurity certification scheme)を用いて一定の保証レベル(assurance level)で適合性を示す義務があるか、またはそれが利用可能でない場合には他の手続を用いる。
  • 製造者は、製品および製造者が設けるプロセスが本規則の「本質的サイバーセキュリティ要件(Essential Cybersecurity Requirements)」を満たしているかどうか、適合性評価を実施または受けさせる義務がある。内部制御 (internal control) や品質保証 (full quality assurance)、型式審査 (EU-type examination) など、該当する手法を用いる。
  • 製造者は、適合性評価の結果として、「EU 適合宣言(EU declaration of conformity)」の作成・保管、その宣言とともに技術文書(technical documentation)を保有し、所定期間(最低 10 年、または支援期間 support period より長い方)市場監視当局(market surveillance authorities)に提示できるようにしておくこと。
  • 製造者は、変更(設計・製造プロセス・製品特性・適用される標準や認証制度など)があれば、それらが本規則との適合性にどう影響するかを評価し、必要ならば改めて適合性評価を行う義務。

CHAPTER IV(Information obligations, incident notification etc./情報義務、インシデント通知等)

この章では、製造者にはユーザーおよび関係機関への情報提供・通知義務が課されている。

主な製造者義務:

  • 製造者は、製品に関する情報と使用説明書(information and instructions to the user)を、製品の提供時に同梱またはアクセス可能な形で提供すること。説明書は理解しやすく、明確で、可読性/可解性を備え、製品の安全な設置、運用、使用を可能としなければならない。説明書・情報はユーザーおよび市場監視当局のために、製品が市場に出された時から 10 年間(あるいは支援期間の長い方)保存されなければならない。
  • 製造者は、「単一連絡窓口(single point of contact)」を設け、ユーザーが製品の脆弱性を報告したり情報を受け取ったりすることができるようにしなければならない。この連絡窓口はユーザーに明示され、最新情報が保たれること。自動化ツールを使う場合でも、電話番号など他の手段を用意する必要がある。
  • 製造者は、製品に自動更新機能がある場合、セキュリティ更新の通知・配布・ダウンロードおよびインストール機能を備えるように設計しなければならない。消費者向け製品では特にこの義務が強い。ただし、自動更新をオフにする選択権をユーザーに与えるなどの配慮が必要。プロフェッショナル用 ICT ネットワークや特殊な産業環境では、自動更新が業務に干渉する可能性があるため例外が認められる。
  • 製造者は、積極的に悪用されている脆弱性(actively exploited vulnerabilities)および、製品のセキュリティに重大な影響を及ぼすインシデント(severe incidents)を、所定の CSIRT(Computer Security Incident Response Team)および ENISA に通知する義務。ユーザーにもその情報を提供しなければならない場合がある。

CHAPTER V(Market surveillance/市場監視)

この章では、市場監視 authorities と製造者のインタラクション、および製造者が市場に出した後の遵守維持の責任について規定される。

製造者の義務:

  • 製造者は、市場監視当局からの要請に応じて、製品と製造者自身が設けたプロセスが CRA の本質的サイバーセキュリティ要件に適合していることを証明するために必要な全ての情報および文書(紙または電子形式)を、分かりやすい言語で提供しなければならない。
  • 製造者は、自らが市場に出した製品が本規則の要件に満たなくなっていることを知った場合、是正措置を直ちに講じ、それが不可能な場合には製品の撤回または回収を行うこと。
  • 製造者が営業を停止する場合には、その停止が有効になる前に、関連する市場監視当局およびできる限りユーザーにも通知する義務がある。

CHAPTER VI(Penalties/罰則)

この章で明記されているものでは、製造者が CRA の義務を怠った場合の制裁・罰則に関する国ごとの措置について規定されており、製造者には法的責任が及ぶ。

  • 各加盟国は、この規則を違反した製造者に対する罰則を定めなければならない。これには、製造者が製品の安全性・セキュリティ要件を満たさない場合の罰金等が含まれること。
  • 罰則は「効果的、適切、抑止力のある (effective, proportionate and dissuasive)」ものとされること。製造者の責任・違反の程度・被害の程度などを考慮して定められる。

CHAPTER VII(Final provisions/最終規定)

この章には施行時期、委任規定、規則の他法規との関係などが含まれており、製造者にとってはどのタイミングで義務を履行しなければならないかが明確化されている。

  • CRA は発効日(in force)後一定期間を経て、義務が段階的に適用される。製造者にはその移行期間 (transition periods) を考慮して準備を進める必要。
  • 委任行為(delegated acts)を通じて、製造者に適用される具体的なカテゴリーの定義、重要または重大な製品に関する認証制度等の細目が追加・変更される可能性があるので、製造者はこれらの委任規定をフォローアップする必要がある。
  • 規則と他の EU 法、国家法との関係が定められており、製造者は、自社が製造・販売する製品が、他の EU 整合法 (harmonised legislation) や指令 (directives) の対象となるかどうか、それらと CRA の関係性を確認・遵守すること。

CHAPTER VIII

CHAPTER VIII の具体的内容は条文構成を確認すると、「Transitional provisions」や “Review and evaluation” あるいは “Powers” に関する規定が含まれており、製造者に対しては次のような点が関連する。

  • 移行期間 (transitional period):重要製品・重大製品カテゴリが追加・変更される場合、その新しい評価手続や認証義務が適用開始されるまでに一定の移行期間が設けられる。製造者はその期間内に準備を整えること。
  • 規則施行後、製造者および欧州委員会・ENISA・市場監視当局らはこの規則の実施状況を評価し、適用状況や効果をレビューすること。製造者もレビュー対象となる義務の履行状況などが評価される対象となる。

ANNEX I — Essential cybersecurity requirements(本質的サイバーセキュリティ要件)

製造者へのインパクト(要点)

  1. 設計義務:製造者は製品を「適切なレベルのサイバーセキュリティ」を備えるように設計・開発・生産する義務がある。リスクアセスメントを実施し、意図された用途・予見される使用条件を考慮すること。
  2. 既知の悪用可能な脆弱性の排除:市場に出す時点で既に悪用可能な脆弱性を含まないことが要求される。
  3. 脆弱性処理プロセス:製造者は脆弱性の受領・評価・修正・通知(coordinated vulnerability disclosure を含む)を行うための方針・手続きを整備すること。これらのプロセス自体も附属書で要件化されている。
  4. セキュリティ更新とサポート期間:製造者は製品のライフサイクルに応じた支援期間(support period)を設定し、セキュリティ更新を提供する責務を負う。公開済み更新は一定期間(規定により最低 10 年または支援期間の長い方)保持すること。(EUR-Lex)
  5. サードパーティ/FOSS の扱い:オープンソース等の外部コンポーネントを組み込む場合でも、製造者はデューデリジェンスを行い、それらが製品全体の安全性を損なわないことを担保しなければならない。

ANNEX II — Information and instructions to the user(利用者向け情報・指示書)

製造者義務(要点)

  1. 同梱・提供義務:製品はわかりやすい言語で、設置・運用・保守・更新に関する情報と安全指示を同梱または容易にアクセス可能な形で提供すること。
  2. 単一連絡窓口(single point of contact):ユーザーが脆弱性報告やサポートを行える連絡先を明示し、製品・パッケージ・説明書に記載すること。
  3. 保管義務:これらの情報は、製品の市場投入後最低 10 年または支援期間の長い方を目安に保持し、ユーザーおよび市場監視当局が入手可能であること。

ANNEX III / ANNEX IV — 分類(Important/Critical products)およびクラス分け

製造者義務(要点)

  1. 自己識別責任:製造者は自社製品が「重要(important)」や「重大(critical)」に該当するかを判断する責任があり、該当すればより厳格な適合性評価・試験・ドキュメント義務が課される。
  2. クラス依存の手続:Class I/II 等で求められる適合性評価手続(Annex VIII に定める手続の選択肢)や、場合によっては欧州レベルの認証スキーム適用が必要。

ANNEX V / ANNEX VI — EU declaration of conformity 等(適合宣言の形式)

製造者義務(要点)

  1. EU 適合宣言の作成:製造者は、製品が Annex I の要件に適合することを示す EU 適合宣言(様式や記載事項は附属書で規定)を作成・保管すること。
  2. 保存期間・開示:宣言は技術文書とともに、所定の期間(通常最低 10 年)保存し、要請があれば市場監視当局に提示する義務がある。

ANNEX VII — Technical documentation(技術文書)

製造者義務(要点)

  1. 必須記載項目:設計仕様、ソフトウェア構成(SBoM: software bill of materials が要請され得る)、リスク評価、脆弱性管理方針、サポート期間の根拠、テスト報告等を含めること。
  2. 提示義務:市場監視のため、必要に応じて技術文書を提示できる体制を整備すること(電子的提出を想定)。

ANNEX VIII — Conformity assessment procedures(適合性評価手続)

製造者義務(要点)

  1. 選べる手続の履行:製造者は自らの製品・クラスに応じ、内部管理(internal control / module A)、EU-type examination(module B)+生産に基づく適合(module C)、あるいは full quality assurance(module H)等の手続を実施し、適合を実証する必要がある。
  2. 内部管理(module A):自身の責任で設計・開発・生産・脆弱性処理プロセスが Annex I に適合することを保証し、EU 適合宣言と技術文書を整備する。
  3. 外部審査(module B/C 等):重要・重大製品では公認機関(notified body)による型式審査や定期監査、現地試験等が必要となる。製造者は審査への協力、変更時の通知義務、証明書保管等を負う。

実務的留意点(製造者向けまとめ)

  • ドキュメント重視:技術文書・宣言・脆弱性対応方針・更新計画は必須で、保存期間・提示体制を整える。
  • ライフサイクル管理:設計→生産→市場投入→保守(更新・脆弱性対応)まで一貫して管理し、変更があれば再評価を行う。
  • SBoM 等の透明性:市場監視当局からの要請に備え、ソフトウェア構成の開示・保持が求められる場合がある。

参考情報

コメント