このでは、CRA(Cyber Resilience Act)に準拠させるための適合性評価プロセスについて解説します。
このプロセスの最終成果物は、EU適合宣言(Declaration of Conformity)であす。
適合性評価の概要
CRAでは、製品の重要度(Criticality)や用途に応じて複数の適合性評価モジュールが定められています。
| モジュール | 概要 | 対象製品 |
|---|---|---|
| Module A | 内部管理(Self-Assessment) | 非クリティカル製品(例:一般的なIoTカメラ) |
| Module B | 外部認証機関による技術設計評価 | 重要な製品 |
| Module C | Module Bで承認された型に基づく生産プロセス確認 | 重要な製品 |
| Module H | 全面品質保証、外部機関による製造工程監視 | 高リスク製品 |
当社のIoTカメラは非クリティカル製品であるため、Module A(内部管理手順)に従って適合性評価を行います。
Module Aのプロセス詳細
Module Aは、コスト効率が高く、内部リソースで対応可能な手順です。主なステップは以下の通りです。
技術文書の作成
- Annex Vに従い、製品の設計、セキュリティリスク評価、SBOM(Software Bill of Materials)などを文書化
- これにより、製品のトレーサビリティとセキュリティ管理が確保されます
プロセス準拠確認
- 設計、開発、製造、脆弱性管理の各プロセスがCRA要件に準拠していることを確認
- Annex I(セキュリティ要求)の各項目をチェックリストとして使用
CEマーキングと適合宣言
- 製品または同梱文書にCEマーキングを明示
- 適合宣言書を作成し、メーカーが自らの責任でCRA準拠を保証
- CEマーキングは「見やすく、判読可能で、消えない方法」で表示する必要があります
文書保管
- 技術文書と適合宣言書は、製品発売後10年間保持
- CRA監査や市場監視の際の証跡として活用
EU適合宣言(Declaration of Conformity)の構成要素
CRA Annex IVには、EU適合宣言のテンプレートが規定されています。
必須記載事項は以下の通りです。
- 製品の明確な識別(名称、型番、固有の特徴)
- メーカーまたは認定代表者の名称と住所
- 製品がCRAおよび関連規制に準拠している旨の正式声明
- 製品の詳細な説明(トレーサビリティ確保)
- 適用される法規・規格・認証の参照
- 外部認証機関を使用した場合は、その名称・役割・署名者情報
このテンプレートを使用することで、CRAの文書化要件とトレーサビリティ要件を確実に満たすことができます。
実務上のポイント
- Module Aは自己評価型のため、メーカーが全責任を負う
- CEマーキングと適合宣言は、製品の市場投入前に必ず完了
- 技術文書やSBOMの管理を徹底することで、将来的な規制監査や脆弱性対応が容易になる
- CRA遵守は単なる法令対応ではなく、製品の信頼性・ブランド価値向上にも直結します
まとめ
本講義で扱ったModule Aによる適合性評価のプロセスは、以下を網羅しています。
- 技術文書・SBOMの作成
- CRA準拠のプロセス確認
- CEマーキングとEU適合宣言作成
- 文書保管・監査対応
コメント