デジタル製品の安全性が企業の信頼を左右する時代。2024年12月に施行されたEUサイバーレジリエンス法(Cyber Resilience Act, CRA)は、今後数年で日本企業を含む世界中のメーカーや輸入業者に大きな影響を及ぼします。
多くの経営者にとって、「EUの規制」と聞くと距離があるように思えるかもしれません。しかし、IoT機器やソフトウェアを手掛ける企業にとって、CRAは海外展開やブランドの信頼性に直結する問題です。規制に対応できなければ市場参入が制限され、逆に早期に対応すれば「安心・安全」を武器に競争優位を築くことができます。
CRA適用要否の判定方法 ― 自社製品は本当に対象か?
まずは、自社の製品やサービスがCRAの対象となるかを確認する必要があります。判断を誤れば、余計なコストをかけたり、逆に規制違反に陥るリスクがあります。
判断のための5つの質問
次の5つの質問の答えがすべて「はい」ならば対象製品です。
- EU市場に上市(販売)する予定があるか?
- デジタル要素を備えた通信機能をもつ製品か?
- 他のEU法規(医療機器規則、自動車規則など)が適用されていないか?
- 軍事・国家安全保障向け製品ではないか?
- SaaSや非営利目的のOSSではないか?
これらに照らし合わせることで、対象製品かどうかが明確になります。
CRA対象製品判断:5つの質問と条文対応表
| 質問 | 条文参照 | 条文内容の要点 |
|---|---|---|
| 1. EU市場に上市(販売)する予定があるか? | Article 2(1) | CRAは「EU市場に上市される製品」に適用される。 |
| 2. デジタル要素を備えた製品か?(ソフトウェアやハードウェアの製品で遠隔データ処理機能をもつもの) | Article 3(1) 定義 | 「デジタル要素を備えた製品」とは、ネットワークまたは他の機器と直接/間接にデータ通信する機能を持つ製品。 |
| 3. 他のEU法規(医療機器、自動車など)が適用されていないか? | Article 2(2)、2(3)、2(4) | 特定のEU法規(例:医療機器、体外診断用医療機器、自動車、民間航空機器、舶用機器等)が適用される場合、CRAは適用除外。 |
| 4. 軍事・国家安全保障向け製品ではないか? | Article 2(7) | 軍事・国家安全保障目的の製品、またはその利用のために特に設計された製品は除外。 |
| 5.SaaSや非営利目的のOSS | 序文(Whereas (12)、(18)) | SaaSのようにサービス形態が異なる場合や、非営利OSS |
事例
- スマート体重計 → 通信機能あり、医療機器規則に該当しない → CRA対象
- 工場用PLC → 通信機能あり、他規制対象外 → CRA対象
- 冷蔵庫(Wi-Fiなし) → 通信機能なし → CRA対象外
経営的示唆:意思決定マップを活用し、全製品ラインナップを洗い出して対象範囲を明確化することが第一歩です。
事業者の役割と責任 ― 誰がどこまで責任を負うのか?
CRAは、サプライチェーンの各プレイヤーに対して「誰がどの責任を負うか」を明確に定義しています。
| 事業者 | 主な責任 |
|---|---|
| 製造業者(Manufacturer)自ら製品を設計・製造し、自社名でEU市場に出す企業。 | 製品設計、サイバーセキュリティ評価、脆弱性管理、CEマーキング、EU適合宣言の作成 |
| 輸入業者(Importer)EU域外で製造された製品をEU市場に投入する企業。 | 非EUメーカーの製品がCRA適合であることを確認、文書保管、当局への協力 |
| 流通業者(Distributor)市場にすでに流通している製品を再販売する企業。 | 適合品のみを販売する責任、改造や非適合品の流通防止 |
| 委任代理人(Authorized Representative)製造者から委任を受け、EU市場における代表窓口となる者。 | EU内での代表窓口、文書管理、当局対応 |
注意点
- 適合性確認や文書管理を怠ると、最大1,500万ユーロまたは売上の2.5%の罰金が科される可能性がある
経営的示唆:契約段階で「誰がCRA責任を持つのか」を明確にしないと、トラブル時に想定外の責任を負うリスクがある。
製品のリスク分類 ― どの審査が必要かを決める
Annex III:重要製品(Class 1 / Class 2)
Annex III は、サイバーセキュリティ上重要な「デジタル要素を含む製品」を分類し、リスクに応じて クラス 1 と クラス 2 に分けています。
クラス 1(一般的リスク)Important Products Class I
- 対象:幅広く利用されるデジタル製品や部品
- 例:
- オペレーティングシステム、、スマートホーム製品、ネットワーク接続可能な玩具など
- ルーター
- スマートホーム製品
- ネットワーク接続可能な玩具
- 一般的なマイコンや IoT デバイス
- ユーザーやインフラと広く関わるため 基礎的なセキュリティ水準 を確保する。
1. 生体認証リーダーを含む認証及びアクセス制御リーダーを含むID管理システム並びに特権アクセス管理ソフトウェア及びハードウェア
2. スタンドアロン及び組み込みブラウザ
3. パスワードマネージャ
4. マルウェアの検知、削除、隔離を行うソフトウェア
5. VPN機能を持つデジタル製品
6. ネットワーク管理システム
7. セキュリティ情報・イベント管理(SIEM)システム
8. ブートマネージャ
9. 公開鍵基盤及び電子証明書発行ソフトウェア
10. 物理的及び仮想的なネットワークインターフェース
11. オペレーティングシステム(OS)
12. ルーター、インターネット接続用モデム、スイッチ
13. セキュリティ関連機能を持つマイクロプロセッサ
14. セキュリティ関連機能を持つマイクロコントローラ
15. セキュリティ関連機能を持つ特定用途向け集積回路(ASIC)及びフィールドプログラマブルゲートアレイ(FPGA)
16. 汎用スマートホームバーチャルアシスタント
17. スマートドアロック、防犯カメラ、ベビーモニタリングシステム、警報システム等、セキュリティ機能を備えたスマートホーム製品
18. Directive 2009/48/EC of the European Parliament and of the Councilの対象となるインターネットに接続された玩具で、ソーシャルインタラクティブ機能(会話や撮影等)を有するもの、又は位置追跡機能を有するもの。
19. 健康監視(トラッキング等)を目的とし、Regulation (EU) 2017/745 又は (EU) No 2017/746が適用されない、人体に装着又は装着される個人用ウェアラブル製品、又は子供による使用及び子供のための使用を意図した個人用ウェアラブル製品
クラス 2(高リスク)Important Products Class II
- 対象:重要・機微な環境で利用される製品
- 例:
- ハイパーバイザ
- コンテナランタイム
- ファイアウォール
- IDS/IPS(侵入検知・防御システム)
- 改ざん耐性を持つマイクロプロセッサ/マイコン
- 特徴:産業や重要インフラなど 高リスク環境 に用いられるため、
より厳格な適合性評価(Conformity Assessment)が要求される。
1. オペレーティングシステム及び類似環境の仮想化実行をサポートするハイパーバイザー及びコンテナランタイムシステム
2. ファイヤウォール、侵入検知・防止システム
3. 耐タンパー性マイクロプロセッサ
4. 耐タンパー性マイクロコントローラ
Annex IV:特に重要な製品(Critical Products)
- Annex IV は、最も高いサイバーセキュリティ保証を必要とする製品群
- セキュリティボックス搭載ハードウェア
(機微なデータや処理を安全に行うための専用環境) - スマートメーターゲートウェイ
(EU 指令 2019/944 に基づくエネルギーインフラ機器) - スマートカード・セキュアイレメント
(認証・暗号処理・機密取引の保護に必須)
- セキュリティボックス搭載ハードウェア
通常のデジタル製品(Annex IIIとAnnex IV以外の製品)
Annex IIIとAnnex IVのいずれにも分類されないデジタル要素を含む製品
適合性評価(自己適合宣言と第三者認証)の違い
| 実証方法 | 手続き | 製品の重要性 | |||
|---|---|---|---|---|---|
| 通常の製品 | 重要な製品 | 非常に重要な 製品 | |||
| クラスI | クラスII | ||||
| 自己適合宣言 | Module A(内部生産管理) | 〇 | △ | – | – |
| 第三者認証 | Module B&C(EU型式試験および内部生産管理に基づくEU型式への適合) | 〇 | 〇 | 〇 | △ |
| Module H(完全品質保証に基づく適合) | 〇 | 〇 | 〇 | △ | |
| サイバーセキュリティ認証制度(EUCC) | 〇 | 〇 | 〇 | 〇 | |
凡例:〇 適用可能、 △ 他の手続きをとることができない場合、適用可能、- 適用対象外
適合性評価モジュール
Module A:内部管理(Internal Control)
- 内容:メーカー自身が内部で適合性を確認する。
- 対象:リスクの低い製品(主に 通常のデジタル製品)。
- 特徴:最も簡便な方法で、第三者認証は不要。
Module B & C:EU型式審査 + 適合性管理
- Module B(EU Type Examination)
公認機関による型式審査(製品設計段階の審査)。 - Module C(Conformity to Type)
承認済み型式に基づき、製造された製品が適合しているか確認。 - 対象:中程度のリスク製品(Class I / Class II)。
- 特徴:メーカーと外部機関の両方が関与する中間的手続き。
Module H:完全品質保証(Full Quality Assurance)
- 内容:メーカーの 品質管理システム全体 を対象に、外部機関が評価。
- 対象:高リスク・特に重要な製品(Class II / Annex IV)。
- 特徴:最も厳格で、長期的な管理・審査が必要。
欧州サイバーセキュリティ認証制度
- Annex IV の「特に重要な製品」では、
可能な場合 EU サイバーセキュリティ認証スキーム を利用。 - これにより、最高度のセキュリティ保証を提供する。
事例
- スマート冷蔵庫(Wi-Fi付き):Class I → 自己評価で対応可能
- 工場向け制御システム:Class II → 第三者審査が必要
経営的示唆:リスク分類を誤ると「想定外の審査コスト」や「販売差し止め」のリスクに直結する。早期に分類判定を行い、開発段階から準備すべき。
経営戦略としてのCRA対応
CRAは単なる規制ではなく、経営にとって「信頼戦略」の一部と捉えるべきです。
5つのメリット
- EU市場アクセスの確保:規制対応は参入の前提条件
- ブランド信頼の向上:セキュリティ強化は顧客からの安心感に直結
- 競争優位性の確立:対応が遅れた競合との差別化要因に
- リスク削減:罰金やリコールのリスクを低減
- 長期的コスト削減:早期対応により、後からの設計変更や市場対応コストを回避
経営者に求められるアクション
- CRA専任の社内チームを設置する
- サプライチェーン契約にCRA条項を盛り込む
- 製品リスク評価を定期的に実施する
- IT部門と法務部門の連携を強化する
まとめ ― CRAを「規制」から「競争力」へ
CRAは企業に新たな義務を課す一方で、それをチャンスに変えることもできます。
経営者がやるべきことは、
- 適用判定を早期に行い、影響範囲を明確化する
- 経済事業者としての責任を把握し、社内体制を整える
- 製品のリスク分類をもとに、開発・認証プロセスを最適化する
こうした準備を進めることで、CRA対応を「コスト」から「投資」へ転換し、国際競争力を高めることができます。
MSDコンサルタント
コメント