欧州サイバーレジリエンス法への対応で押さえておく要求事項

• https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html

第13条　製造業者の義務

1. デジタル要素を備えた製品を市場に投入する場合、製造業者は、その製品が附属書Iの第I部に定められた基本要求事項に従って設計、開発、製造されていることを確認しなければならない。
2. 第1項に規定する義務を遵守するため、製造業者は、デジタル要素を備えた製品に関連するサイバーセキュリティのリスクアセスメントを実施し、サイバーセキュリティのリスクを最小限に抑え、インシデントを防止し、ユーザーの健康と安全に関連するものを含め、そのようなインシデントの影響を最小限に抑えることを目的として、デジタル要素を備えた製品の計画、設計、開発、製造、輸送、保守の各段階において、そのアセスメントの結果を考慮しなければならない。
3. サイバーセキュリティのリスクアセスメントは、本条の第８項に従って決定されるサポート期間中、適宜文書化され、更新されなければならない。当該サイバーセキュリティのリスクアセスメントには、少なくとも、製品が使用されると予想される期間を考慮した、運用環境や保護される資産など、デジタル要素を備えた製品の使用目的および合理的に予見可能な使用、ならびに使用条件に基づくサイバーセキュリティのリスクの分析が含まれなければならない。サイバーセキュリティのリスクアセスメントには、附属書 Iの第I部(3)項に規定するセキュリティ要件がデジタル要素を備えた関連製品に適用可能かどうか、また、適用可能である場合はどのような方法で適用可能であるか、また、サイバーセキュリティのリスクアセスメントに基づいてそれらの要求事項がどのように実装されているかが示されなければならない。また、附属書Iの第I部(1)項および附属書Iの第II部に規定される脆弱性ハンドリング要求事項を製造業者がどのように適用するかも示されなければならない。
4. デジタル要素を備えた製品を市場に出す場合、製造業者は、第31条および附属書VIIに従って要求される技術文書に、本条第3項で言及されているサイバーセキュリティのリスクアセスメントを含めなければならない。第12条および第32条(6)項で言及されているデジタル要素を備えた製品は、他のEU法の対象でもあるため、サイバーセキュリティのリスクアセスメントは、それらのEU法で要求されるリスクアセスメントの一部となる可能性がある。特定の必須要求事項がデジタル要素を備えた製品に適用されない場合、製造業者は、その旨の明確な正当性をその技術文書に含めなければならない。
5. 第1項を遵守するために、製造業者は、商業活動の過程で市場に提供されていないフリーソフトウェアおよびオープンソースソフトウェアのコンポーネントを統合する場合を含め、第三者から調達したコンポーネントを統合する際には、それらのコンポーネントがデジタル要素を備えた製品のサイバーセキュリティを侵害しないように十分な注意を払わなければならない。
6. 製造業者は、製品にデジタル要素とともに統合されているオープンソースコンポーネントを含むコンポーネントの脆弱性を特定した場合、その脆弱性をコンポーネントの製造または保守を行う個人または団体に報告し、附属書Iの第II部に規定されている脆弱性処理要件に従って脆弱性に対処し、修復するものとします。製造業者は、そのコンポーネントの脆弱性に対処するためにソフトウェアまたはハードウェアの変更を行った場合、適切な場合は機械可読形式で、関連するコードまたはドキュメントをコンポーネントの製造または保守を行う個人または団体と共有するものとします。
7. 製造業者は、デジタル要素を備えた製品に関するサイバーセキュリティの側面（認識した脆弱性や第三者から提供された関連情報を含む）を、性質およびサイバーセキュリティのリスクに応じた方法で体系的に文書化し、該当する場合は製品のサイバーセキュリティのリスクアセスメントを更新しなければならない。
8. 製造業者は、デジタル要素を備えた製品を市場に投入する際、およびサポート期間中、その製品の脆弱性（そのコンポーネントを含む）が、附属書I、パートIIに規定されている基本要件に従って効果的に処理されることを確保しなければならない。
   製造業者は、特に、合理的なユーザーの期待、製品の性質（その意図された目的を含む）、ならびにデジタル要素を備えた製品の寿命を考慮して、製品が使用されると予想される期間を反映するようにサポート期間を決定しなければならない。製造業者は、サポート期間を決定する際に、他の製造業者が市場に投入した同様の機能を提供するデジタル要素を備えた製品のサポート期間、動作環境の可用性、コア機能を提供し第三者から供給される統合コンポーネントのサポート期間、ならびに第52条(15)に従って設立された市場監視グループ（ADCO）および委員会によって提供される関連ガイダンスも考慮することができる。サポート期間の長さを決定するために考慮すべき事項は、比例性を確保する方法で検討されるものとする。
   第2 項の規定に影響を与えることなく、サポート期間は少なくとも 5 年間とする。デジタル要素を備えた製品の使用期間が 5 年未満と予想される場合、サポート期間は予想される使用期間に対応するものとする。
   第52条(16)に規定するADCOの勧告を考慮し、委員会は、市場監視データによりサポート期間が不十分であることが示唆される場合、特定の製品カテゴリーについて最小サポート期間を指定することにより、本規則を補足するために第61条に従って委任行為を採択することができる。
   製造業者は、デジタル要素を備えた製品のサポート期間を決定するために考慮された情報を、附属書VIIに記載されている技術文書に含めなければならない。
   製造業者は、内部または外部の情報源から報告されたデジタル要素を備えた製品の潜在的な脆弱性を処理し、修正するための適切なポリシーと手順（附属書Iの第II部 (5）で参照される調整された脆弱性開示ポリシーを含む）を備えなければならない。
9. 製造業者は、サポート期間中にユーザーに提供された、附属書Iの第II部(8)項で言及されている各セキュリティアップデートが、発行後、デジタル要素を備えた製品が市場に投入されてから少なくとも10年間、またはサポート期間の残りの期間のいずれか長い方の期間、引き続き利用可能であることを保証しなければならない。
10. 製造業者がソフトウェア製品のその後の大幅な変更バージョンを市場に投入した場合、その製造業者は、最後に市場に投入したバージョンについてのみ、附属書Iの第II部　 (2)項に規定されている必須要求事項への準拠を確保することができる。ただし、以前に市場に投入されたバージョンのユーザーが最後に市場に投入されたバージョンに無料でアクセスでき、その製品の元のバージョンを使用するハードウェアおよびソフトウェア環境を調整するために追加コストが発生しないことを条件とする。
11. 製造業者は、ユーザーが過去のバージョンにアクセスできるように、公開ソフトウェア アーカイブを維持する場合があります。その場合、サポートされていないソフトウェアの使用に伴うリスクについて、簡単にアクセスできる方法でユーザーに明確に通知しなければならない。
12. デジタル要素を備えた製品を市場に投入する前に、製造業者は第31条に規定する技術文書を作成しなければならない。
    当該機関は、第32条に規定する選択された適合性評価手続を実施し、又は実施させなければならない。
    デジタル要素を備えた製品が附属書Iの第I部に規定されている必須要求事項に準拠していること、および製造業者が実施したプロセスが附属書Iの第II部に規定されている必須要求事項に準拠していることが適合性評価手順によって実証された場合、製造業者は第28条に従って EU 適合宣言を作成し、第30条に従ってCEマークを貼付けなければならない。
13. 製造業者は、デジタル要素を備えた製品が市場に投入されてから少なくとも 10年間、またはサポート期間中のいずれか長い方の期間、技術文書および EU 適合宣言書を市場監視当局が利用できるように保管しなければならない。
14. 製造業者は、一連の生産の一部であるデジタル要素を備えた製品が本規則に準拠し続けるための手順が整備されていることを保証しなければならない。製造業者は、デジタル要素を備えた製品の開発および生産プロセスまたは設計や特性の変更、ならびにデジタル要素を備えた製品の適合性が宣言される参照となる、またはその適合性が検証される適用となる、第27条に規定する整合規格、欧州サイバーセキュリティ認証制度または共通仕様の変更を適切に考慮しなければならない。
15. 製造業者は、デジタル要素を備えた製品に、識別を可能にする型式番号、バッチ番号、シリアル番号またはその他の要素を付記しなければならない、またはそれが不可能な場合には、その情報が包装上またはデジタル要素を備えた製品に付属する文書に記載されていることを保証しなければならない。
16. 製造業者は、デジタル要素を備えた製品、そのパッケージ、またはデジタル要素を備えた製品に付属する文書に、製造業者の名前、登録商標または商標、郵便住所、電子メールアドレスまたはその他のデジタル連絡先、および該当する場合は製造業者に連絡できるウェブサイトを表示するものとします。その情報は、附属書IIに記載されているユーザーへの情報および指示にも含めなければならない。連絡先は、ユーザーと市場監視当局が容易に理解できる言語で記載しなければならない。
17. 本規則の目的のため、製造業者は、デジタル要素を備えた製品の脆弱性に関する報告を容易にするためなど、ユーザーが製造業者と直接かつ迅速に連絡を取ることができるように、単一の連絡先を指定しなければならない。
    製造業者は、単一の連絡先がユーザーによって容易に識別可能であることを保証しなければなりません。また、附属書IIに記載されているユーザーへの情報および指示に単一の連絡先を含めなければならない。
    単一の連絡先では、ユーザーが好みの通信手段を選択できるようにし、そのような手段を自動化ツールに限定してはならない。
18. 製造者は、デジタル要素を備えた製品に、附属書 II に定めるユーザーへの情報および説明書を紙または電子形式で添付することを保証するものとする。このような情報および説明書は、ユーザーおよび市場監視当局が容易に理解できる言語で提供されるものとする。これらは、明瞭で、理解しやすく、明瞭かつ判読可能であるものとする。これらは、デジタル要素を備えた製品の安全な設置、操作および使用を可能でなければならない。製造者は、附属書 II に定めるユーザーへの情報および説明書を、デジタル要素を備えた製品が市場に投入されてから少なくとも 10 年間、またはサポート期間のいずれか長い方の期間、ユーザーおよび市場監視当局が利用できるように保持するものとする。このような情報および説明書がオンラインで提供される場合、製造者は、デジタル要素を備えた製品が市場に投入されてから少なくとも 10 年間、またはサポート期間のいずれか長い方の期間、これらがアクセス可能で、ユーザーフレンドリであり、オンラインで利用可能であることを保証しなければならない。
19. 製造業者は、第8項で言及されているサポート期間の終了日（少なくとも月と年を含む）が、購入時に容易にアクセスできる方法で、また該当する場合はデジタル要素を備えた製品、そのパッケージ、またはデジタル手段によって、明確かつ理解しやすいように指定されることを保証しなければならない。
    デジタル要素を備えた製品の性質を考慮して技術的に実行可能な場合、製造業者は、デジタル要素を備えた製品のサポート期間が終了したことをユーザーに通知する通知を表示しなければならない。
20. 製造業者は、デジタル要素を備えた製品に、EU適合宣言のコピーまたは簡易EU適合宣言のいずれかを提供しなければならない。簡易EU適合宣言を提供する場合、完全なEU適合宣言にアクセスできる正確なインターネットアドレスを含めなければならない。
21. 市場投入からサポート期間中、デジタル要素を備えた製品または製造業者が導入したプロセスが附属書Iに定められた基本要件に適合していないことを知っている、またはそう信じる理由がある製造業者は、デジタル要素を備えた製品または製造業者のプロセスを適合させるために必要な是正措置を直ちに講じ、必要に応じて製品を撤回またはリコールしなければならない。
22. 製造業者は、市場監視当局からの正当な要求があった場合、当該当局が容易に理解できる言語で、デジタル要素を備えた製品および製造業者が実施したプロセスが附属書Iに定める必須要件に準拠していることを証明するために必要なすべての情報および文書を、紙または電子形式で当該当局に提供しなければならない。製造業者は、当該当局の要求に応じて、市場に投入したデジタル要素を備えた製品によってもたらされるサイバーセキュリティのリスクを排除するために講じられたあらゆる措置について、当該当局に協力しなければならない。
23. 事業を停止し、その結果、本規則に定められた義務を遵守できなくなった製造業者は、事業停止の効力が発生する前に、関連する市場監視当局に通知するとともに、利用可能なあらゆる手段により、可能な限り、市場に投入されたデジタル要素を備えた関連製品のユーザーに、差し迫った事業停止を通知しなければならない。
24. 委員会は、欧州または国際基準およびベストプラクティスを考慮した実施行為によって、附属書Iの第II部(1)項に規定するソフトウェア部品表の形式および要素を特定することができる。これらの実施行為は、第62条(2)項に規定する審査手続きに従って採択されなければならない。
25. 加盟国およびEU全体のソフトウェアコンポーネント、特にフリーソフトウェアおよびオープンソースソフトウェアとみなされるコンポーネントへの依存度を評価するために、ADCOは、デジタル要素を備えた特定の製品カテゴリについてEU全体の依存度評価を実施することを決定できる。その目的のために、市場監視当局は、デジタル要素を備えたそのような製品カテゴリの製造業者に対し、附属書Iの第II部(1)項で言及されている関連ソフトウェア部品表を提供するよう要求できる。市場監視当局は、そのような情報に基づき、ソフトウェアの依存関係に関する匿名化され集約された情報をADCOに提供できる。ADCOは、依存度評価の結果に関する報告書を、(EU)2022/2555指令の第14条に従って設立された協力グループに提出しなければならない。

附属書I 第I部｜必須要求事項

第I部 デジタル要素を備えた製品の特性に関するサイバーセキュリティ要求事項

（１） デジタル要素を含む製品は、リスクに基づいて適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されなければならない。

— 製品のライフサイクル全体にわたってサイバーセキュリティのリスク分析(risk analysis)を実施し、監視すること。
— 製品製造のすべての段階でサイバーセキュリティを考慮すること。 (例: セキュアコーディング(secure coding)、セキュア・バイ・デザインの基本原則(security by design principles)など)

（２） 第１３条(２)項に規定するサイバーセキュリティリスク評価に基づき、該当する場合には、デジタル要素を有する製品は、(a) 既知の脆弱性を悪用されることなく市場に提供されること。

— 製品のデジタル要素に対して脆弱性評価(vulnerability assessment)を実施すること。
— 悪用が確認されている脆弱性(known exploitable vulnerability)は、製品のリリース前に修正すること。

(b) デジタル要素を備えた特注製品に関して製造業者とビジネスユーザーの間で別段の合意がない限り、製品を元の状態にリセットする可能性を含め、デフォルトで安全な構成で市場に提供されること。

— デフォルト設定(default configuration)で初期/標準の認証情報が予測される場合、製品ごとに異なる複雑でランダムに選択されたパスワード(randomised password)を使用すること。
— デフォルト設定でサイバーセキュリティ項目がカバーされる場合、各項目に対して適切なレベルのセキュリティを採用すること。
— デフォルト設定は消去不可能なメモリ(non-erasable memory / non-volatile memory e.g. ROM)に配置すること。
— 製品設定をデフォルトにリセット(reset)機能を実装すること。

(c) セキュリティアップデートを通じて脆弱性に対処できるようにしなければならない。該当する場合は、明確で使いやすいオプトアウトメカニズムを備え、ユーザーに利用可能なアップデートを通知し、一時的に延期するオプションを備えた、適切な時間枠内にインストールされる自動セキュリティアップデートをデフォルト設定として有効にすることなどが含まれる。

(d)認証IDとアクセス管理(IAM: IDentity and Access management)システムを含むがこれらに限定されない適切な管理メカニズムによって不正アクセスからの保護を確保し、不正アクセスの可能性を報告しなければならない。

— 製品特性とリスク分析で特定された関連リスクに応じて、認証(authentication)と承認(authorisation)を提供する適切なシステムを実装すること。
— 個人情報/保護データおよび管理/構成機能へのアクセスは、認証され承認された利用者のみに許可(logical access control)すること。
— 製品特性とリスク分析で特定された関連リスクに応じて、物理的な不正アクセスを禁止(physical access control)すること。

(e）保存中または転送中の関連データを最先端の仕組みによって暗号化、その他の技術的手段の使用により、個人情報の有無にかかわらず、保存、転送、またはその他の方法で処理されるデータの機密性を保護しなければならない。

— 製品の内部メモリに保存されたデータは、現在非推奨ではない技術を使用して保存時に暗号化する必要があります
— データの送受信に使用される送信プロトコルは、暗号化された通信をサポートし、デフォルトで有効にする必要があります
— 製品は、交換されたデータの機密性が保護されるように、対称または非対称の暗号化スキーム (PKI を含む) を実装する必要があります

(f）保存、送信、またはその他の方法で処理されたデータ、個人情報またはその他のコマンド、プログラム、および構成の整合性を、ユーザーが許可していない操作または変更から保護し、破損を報告する。
(g)デジタル要素を含む製品の本来の目的に関連して適切かつ関連性があり、必要なものに限定された個人情報やその他のデータのみを処理する（データの最小化）。
(h）サービス拒否攻撃に対する回復力および緩和策を含め、インシデント発生後も重要な基本機能の可用性を保護する。
(i）製品自体または接続されたデバイスが他のデバイスまたはネットワークによって提供されるサービスの可用性に及ぼす悪影響を最小限に抑える。
(j）外部インターフェースを含む攻撃対象領域を制限するように設計、開発、製造される。
(k）適切な悪用緩和メカニズムと技術を使用してインシデントの影響を軽減するように設計、開発、製造される。
(l）データ、サービス、機能へのアクセスや変更を含む関連する内部活動を記録および監視し、ユーザー向けのオプトアウトメカニズムを使用してセキュリティ関連情報を提供する。
(m) ユーザーがすべてのデータと設定を安全かつ簡単に永久に削除できるようにするとともに、そのようなデータを他の製品やシステムに転送できる場合には、安全な方法で転送されるようにする。

附属書I 第II部 | 脆弱性ハンドリング条件

デジタル要素を含む製品の製造業者は、以下を遵守するものとする。
（１）デジタル要素を備えた製品に含まれる脆弱性とコンポーネントを特定し、文書化する。これには、少なくとも製品の最上位レベルの依存関係を網羅した、一般的に使用され、機械可読な形式でソフトウェア部品表を作成することも含まれる。
（２）デジタル要素を備えた製品に生じるリスクに関しては、セキュリティアップデートの提供を含め、遅滞なく脆弱性に対処し、修正する。技術的に可能な場合には、新たなセキュリティアップデートは機能アップデートとは別に提供されるものとする。
（３）デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレビューを実施する。
（４）セキュリティアップデートが利用可能になったら、脆弱性の説明、影響を受けるデジタル要素を含む製品をユーザーが識別できるようにする情報、脆弱性の影響、その深刻度、およびユーザーが脆弱性を修正するのに役立つ明確でアクセス可能な情報を含む、修正された脆弱性に関する情報を共有し、公開します。メーカーが公開によるセキュリティリスクがセキュリティ上の利点を上回ると判断した正当な理由がある場合、メーカーは、ユーザーが関連するパッチを適用する可能性が与えられるまで、修正された脆弱性に関する情報の公開を遅らせることができます。
（５）協調的な脆弱性開示に関する政策を策定し、施行する。
（６）デジタル要素を含む自社製品およびその製品に含まれる第三者のコンポーネントの潜在的な脆弱性に関する情報の共有を容易にするための措置を講じ、デジタル要素を含む製品で発見された脆弱性を報告するための連絡先を提供することを含む。

（７）デジタル要素を備えた製品のアップデートを安全に配布する仕組みを提供し、脆弱性が適時に修正または緩和され、セキュリティアップデートが該当する場合は自動的に修正または緩和されることを保証しなければならない。

— セキュリティ更新は、発行者の身元を確認するためにコードサイニング証明書(Code Signing Certificate)を使用してデジタル署名(digital signatures)すること。
— 更新のハッシュ(Hash)は、検証方法の説明とともに公開すること。

（８）特定されたセキュリティ問題に対処するためのセキュリティアップデートが利用可能な場合、そのアップデートが遅滞なく配布され、デジタル要素を含むオーダーメイドの製品に関して製造業者とビジネスユーザーの間で別段の合意がない限り、取るべき潜在的な措置を含む関連情報をユーザーに提供するアドバイスメッセージが添付され、無料で提供されることを保証しなければならない。

— 自動配信、ポップアップ、ニュースレターなどを通じて、ユーザーにセキュリティ更新の存在を知らせること。
— この通知には、修正された問題に関する情報と更新の適用方法の説明を含めること。
— セキュリティ更新は無料でリリースすること。