EUサイバーレジリエンス法(EU Cyber Resilience Act)の用語

CEマーキング
  1. 「デジタル要素を備えた製品 (product with digital elements)」
  2. 「遠隔データ処理 (remote data processing)」
  3. 「サイバーセキュリティ (cybersecurity)」
  4. 「ソフトウェア (software)」
  5. 「ハードウェア (hardware)」
  6. 「コンポーネント (component)」
  7. 「電子情報システム (electronic information system)」
  8. 「論理接続 (logical connection)」
  9. 「物理接続 (physical connection)」
  10. 「間接接続 (indirect connection)」
  11. 「エンドポイント (endpoint)」
  12. 「事業者 (economic operator)」
  13. 「製造業者 (manufacturer)」
  14. 「オープンソース・ソフトウェア管理者 (open-source software steward)」
  15. 「委任代理人 (authorised representative)」
  16. 「輸入業者 (importer)」
  17. 「流通業者 (distributor)」
  18. 「消費者 (consume)」
  19.   「零細企業 (microenterprises)」,「小企業 (small enterprises)」及び「中規模企業 (medium-sized enterprises)」
  20. 「サポート期間 (support period)」
  21. 「上市 (placing on the market)」
  22. 「市場で利用可能にする (making available on the market)」
  23. 「意図された目的 (intended purpose)」
  24. 「合理的に予見可能な使用 (reasonably foreseeable use)」
  25. 「合理的に予見可能な誤使用 (reasonably foreseeable misuse)」
  26. 「EU認定機関 (notifying authority)」
  27. 「適合性評価 (conformity assessment)」
  28. 「適合性評価機関 (conformity assessment body)」
  29. 「ノーティファイドボディ(EU適合性評価機関) (notified body)」
  30. 「大幅な変更 (substantial modification)」
  31. 「CEマーキング (CE marking)」
  32. 「EU整合法 (Union harmonisation legislation)」
  33. 「市場監視当局 (market surveillance authority)」
  34. 「国際規格 (international standard)」
  35. 「欧州規格 (European standard / European Norm)」
  36. 「整合規格 (harmonised standard)」
  37. 「サイバーセキュリティリスク (cybersecurity risk)」
  38. 「重大なサイバーセキュリティリスク (significant cybersecurity risk)」
  39. 「ソフトウェア部品表 (software bill of materials)」
  40. 「脆弱性 (vulnerability)」
  41. 「悪用可能な脆弱性 (exploitable vulnerability)」
  42. 「積極的に悪用された脆弱性 (actively exploited vulnerability)」
  43.    「インシデント (incident)」
  44.  「デジタル要素を備えた製品のセキュリティに影響を及ぼすインシデント (incident having an impact on the security of the product with digital elements)」
  45. 「ニアミス (near miss)」
  46. 「サイバー脅威 (cyber threat)」
  47. 「個人データ (personal data)」
  48. 「フリー・オープンソースソフトウェア (free and open-source software)」
  49. 「リコール (recall)」
  50. 「回収 (withdrawal)」
  51. 「コーディネーターとして指定されたCSIRT (CSIRT designated as coordinator)」

「デジタル要素を備えた製品 (product with digital elements)」

「デジタル要素を備えた製品」とは、ソフトウェアまたはハードウェア製品およびその遠隔データ処理ソリューション(別途市場に投入されるソフトウェアまたはハードウェアのコンポーネントを含む)をいう

「遠隔データ処理 (remote data processing)」

「遠隔データ処理」とは、製造業者が設計・開発したソフトウェア、または製造業者の責任において遠隔で行われるデータ処理であって、当該ソフトウェアがなければデジタル要素を備えた製品がその機能を実行できなくなるものをいう。

「サイバーセキュリティ (cybersecurity)」

「サイバーセキュリティ」とは、ネットワークや情報システム、それらのシステムのユーザー、およびサイバー脅威の影響を受けるその他の人物を保護するために必要な活動をいう。((EU)2019/881 第2条の第1項)

「ソフトウェア (software)」

「ソフトウェア」とは、電子情報システムのうちコンピュータコードで構成される部分をいう。

「ハードウェア (hardware)」

「ハードウェア」とは、デジタルデータを処理、保存または送信することができる物理的な電子情報システムまたはその部分をいう。

「コンポーネント (component)」

「コンポーネント」とは、電子情報システムに統合されることを意図したソフトウェアまたはハードウェアをいう。

「電子情報システム (electronic information system)」

「電子情報システム」とは、デジタルデータを処理、保存または送信することができる電気機器または電子機器を含むシステムをいう。

「論理接続 (logical connection)」

「論理接続」とは、ソフトウェアインターフェースを通じて実装されたデータ接続の仮想的な表現をいう。

「物理接続 (physical connection)」

「物理接続」とは、電気的、光学的または機械的なインターフェース、電線または電波を含む物理的手段を使用して実装された電子情報システムまたはコンポーネント間の接続をいう。

「間接接続 (indirect connection)」

「間接接続」とは、装置またはネットワークへの接続が直接行われるのではなく、そのような装置またはネットワークに直接接続可能なより大きなシステムの一部として行われる接続をいう。

「エンドポイント (endpoint)」

「エンドポイント」とは、ネットワークに接続され、そのネットワークの開始点として機能する装置をいう。

「事業者 (economic operator)」

「事業者」とは、この規則に従ってデジタル要素を含む製品の製造または市場での製品の提供に関連する義務を負う製造業者、委任代表者、輸入業者、流通業者、またはその他の自然人または法人をいう。

「製造業者 (manufacturer)」

「製造業者」とは、有償、収益化、無償を問わず、デジタル要素を備えた製品の開発もしくは製造、またはデジタル要素を備えた製品の設計、開発もしくは製造を委託し、自らの名称または商標で販売する自然人または法人をいう。

「オープンソース・ソフトウェア管理者 (open-source software steward)」

「オープンソース・ソフトウェア管理者」とは、製造業者以外の法人であって、デジタル要素を持ち、フリーソフトウェアおよびオープンソース・ソフトウェアの管理者であり、商業活動を目的とした特定の製品の開発に対して、体系的・継続的に支援を提供し、それらの製品の実行可能性を確保することを目的または目標とする者をいう。

「委任代理人 (authorised representative)」

「委任代理人」とは、EU域内に設立された自然人または法人であって、製造業者から特定の業務に関してその代理として行動するよう書面による委任を受けた者をいう。

「輸入業者 (importer)」

「輸入業者」とは、EU域内に設立された自然人または法人であって、EU域外に設立された自然人または法人の名称または商標を付したデジタル要素を備えた製品を市場に投入する者をいう。

「流通業者 (distributor)」

「流通業者」とは、製造業者または輸入業者以外のサプライチェーン内の自然人または法人であって、デジタル要素を備えた製品をその特性に影響を与えることなくEU市場で販売できるようにする者をいう。

「消費者 (consume)」

  「消費者」とは、その者が貿易、事業、技術または職業以外の目的のために行動する自然人をいう

  「零細企業 (microenterprises)」,「小企業 (small enterprises)」及び「中規模企業 (medium-sized enterprises)」

  
「零細企業」、「小企業」及び「中規模企業」とは、それぞれ、欧州委員会 勧告2003/361/ECの付属書に定義されている零細企業、小企業及び中規模企業をいう。

「サポート期間 (support period)」

「サポート期間」とは、製造業者が デジタル要素を備えた製品の脆弱性が効果的に、かつ附属書Iの第II部に定められた必須要求事項に従って処理されることを保証することが求められる期間をいう。

「上市 (placing on the market)」

「上市」とは、デジタル要素を備えた製品をEU市場で初めて利用可能にすることをいう。

「市場で利用可能にする (making available on the market)」

「市場で利用可能にする」とは、有償、無償を問わず、商業活動の一環として、EU市場での流通または使用のためにデジタル要素を備えた製品を供給することをいう。

「意図された目的 (intended purpose)」

「意図された目的」とは、デジタル要素を備えた製品について製造業者が意図する使用を意味し、取扱説明書、販促用の資料や宣伝、技術文書において 製造業者が提供する情報に明示されている特定の状況や使用条件を含む。

「合理的に予見可能な使用 (reasonably foreseeable use)」

「合理的に予見可能な使用」とは、取扱説明書、販促用の資料や宣伝、技術文書において製造業者が提供する意図された目的とは必ずしも一致しないが、合理的に予見可能な人間の行動や技術的な操作や相互作用から生じる可能性のある使用をいう。

「合理的に予見可能な誤使用 (reasonably foreseeable misuse)」

「合理的に予見可能な誤使用」とは、デジタル要素を備えた製品を、その本来の目的に沿わない方法で使用することであるが、合理的に予見可能な人間の行動または他のシステムとの相互作用から生じる可能性がある。

「EU認定機関 (notifying authority)」

「EU認定機関」とは、適合性評価機関に対する評価、指定、通知、及びその監視のために必要な手続きの設定および実施について責任を負う国家当局をいう。

「適合性評価 (conformity assessment)」

「適合性評価」とは、附属書Iに定める必須要求事項が満たされているかどうかを検証する手順をいう。

「適合性評価機関 (conformity assessment body)」

「適合性評価機関」とは、校正、試験、認証及び検査を含む適合性評価活動を実施する機関をいう。((EU)765/2008 第2条の第13項)。

「ノーティファイドボディ(EU適合性評価機関) (notified body)」

「ノーティファイドボディ(EU適合性評価機関) 」とは、第43条及びその他の関連するEU整合法に従って指定された適合性評価機関をいう。

「大幅な変更 (substantial modification)」

「大幅な変更」とは、デジタル要素を備えた製品の市場投入後に当該製品に対して行われる変更であって、当該デジタル要素を備えた製品の附属書Iの第I部に定める必須要求事項への準拠に影響を与えるもの、または当該デジタル要素を備えた製品の評価対象となった目的の変更をもたらすものをいう。

「CEマーキング (CE marking)」

「CEマーキング」とは、製造業者が、デジタル要素を備えた製品および製造業者が実施したプロセスが、附属書Iおよびその貼付を規定するその他の適用可能なEU整合法に定められた必須要求事項に準拠していることを示すために付けるマークをいう。

「EU整合法 (Union harmonisation legislation)」

「EU整合法」とは、規則(EU)2019/1020の附属書Iに記載されているEU法、および当該規則が適用される製品の販売条件を調和させるその他のEU法をいう。

「市場監視当局 (market surveillance authority)」

「市場監視当局」とは、EU加盟国の域内における市場監視を実施する責任を負うものとしてEU加盟国により指定された当局をいう。(規則(EU)2019/1020 第3条の第4項)

「国際規格 (international standard)」

「国際規格」とは、国際標準化機構 (ISO)によって採択された規格をいう。((EU)1025/2012 第2条の第1項(a))

「欧州規格 (European standard / European Norm)」

「欧州規格」とは、欧州標準化委員会によって採択された規格をいう。((EU)1025/2012 第2条の第1項(b))

「整合規格 (harmonised standard)」

「整合規格」とは、欧州委員会によるEU整合法の適用要請に基づいて採択された欧州規格をいう。((EU)1025/2012 第2条の第1項(c))

「サイバーセキュリティリスク (cybersecurity risk)」

「サイバーセキュリティリスク」とは、インシデントによって引き起こされる損失または混乱の可能性を意味し、そのような損失または混乱の大きさとインシデントの発生の可能性の組み合わせとして表現されるもの。

「重大なサイバーセキュリティリスク (significant cybersecurity risk)」

「重大なサイバーセキュリティリスク」とは、その技術的特性に基づいて、相当な物質的または非物質的な損失または混乱を引き起こすことを含む、重大な悪影響につながる可能性のあるインシデントが発生する可能性が高いと推定されるサイバーセキュリティリスクをいう。

「ソフトウェア部品表 (software bill of materials)」

「ソフトウェア部品表」とは、デジタル要素を備えた製品のソフトウェア要素に含まれるコンポーネントの詳細とサプライチェーンの関係を記載した正式な記録をいう。

「脆弱性 (vulnerability)」

「脆弱性」とは、サイバー脅威によって悪用される可能性のあるデジタル要素を備えた製品の弱点、脆弱性または欠陥をいう。

「悪用可能な脆弱性 (exploitable vulnerability)」

「悪用可能な脆弱性」とは、実際の運用状況下で敵対者によって効果的に利用される可能性がある脆弱性をいう。

「積極的に悪用された脆弱性 (actively exploited vulnerability)」

「積極的に悪用された脆弱性」とは、悪意のある行為者がシステム所有者の許可なくシステム内でその脆弱性を悪用したという信頼できる証拠がある脆弱性をいう。

   「インシデント (incident)」

「インシデント」とは、保存、送信、または処理されたデータ、またはネットワークおよび情報システムによって提供される、またはネットワークおよび情報システムを介してアクセス可能なサービスの可用性、真正性、完全性、または機密性を損なう事象をいう。((EU)2022/2555 第6条の第6項)。

 「デジタル要素を備えた製品のセキュリティに影響を及ぼすインシデント (incident having an impact on the security of the product with digital elements)」

  「デジタル要素を備えた製品のセキュリティに影響を及ぼすインシデント」とは、デジタル要素を備えた製品のデータまたは機能の可用性、真正性、完全性または機密性を保護する能力に悪影響を及ぼす、または悪影響を及ぼす可能性があるインシデントをいう。

「ニアミス (near miss)」

「ニアミス」とは、保存、送信、処理されたデータ、またはネットワークや情報システムによって提供される、またはネットワークや情報システムを介してアクセス可能なサービスの可用性、真正性、完全性、機密性が損なわれる可能性があったが、発生がうまく防止された、または発生しなかった事象をいう。((EU)2022/2555 第6条の第5項)

「サイバー脅威 (cyber threat)」

 「サイバー脅威」とは、ネットワークや情報システム、それらのシステムのユーザー、その他の人物に損害を与え、混乱させ、またはその他の悪影響を及ぼす可能性のある潜在的な状況、事象、または行為をいう((EU)2019/881第2条の第8項)

「個人データ (personal data)」

「個人データ」とは、特定された、または特定可能な自然人(「データ主体」)に関連するあらゆる情報をいう。特定可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子などの識別子、またはその自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的、または社会的アイデンティティに固有の 1 つ以上の要素を参照することにより、直接的または間接的に特定できる個人((EU)2016/679 第4条の第1項)

「フリー・オープンソースソフトウェア (free and open-source software)」

「フリー・オープンソースソフトウェア」とは、ソースコードが公開されており、自由にアクセス、使用、変更、再配布できるすべての権利を規定するフリーオープンソースライセンスに基づいて提供されるソフトウェアをいう。

「リコール (recall)」

「リコール」とは、エンドユーザーに既に提供されている製品の返品を目的としたあらゆる措置をいう。((EU)2019/1020 第3条の第22項)

「回収 (withdrawal)」

「回収」とは、サプライチェーン内の製品が市場で入手可能になるのを防ぐことを目的としたあらゆる措置をいう。((EU)2019/1020 第3条の第23項)

「コーディネーターとして指定されたCSIRT (CSIRT designated as coordinator)」

  
「コーディネーターとして指定されたCSIRT」とは、各EU加盟国が、脆弱性の開示を調整する目的で、自国の CSIRT の 1 つをコーディネーターとして指定するものであり、信頼できる仲介者として行動し、必要に応じて、脆弱性を報告する自然人または法人と、脆弱性の可能性がある ICT 製品または ICT サービスの製造業者または提供者との間のやり取りを、いずれかの当事者の要請に応じて円滑に行う。((EU)2022/2555 第12条の第1項)

コメント