EUサイバーレジリエンス法案
掲載:2023年09月27日
執筆者:コンサルタント 大津 卓人
ガイドライン
「EUサイバーレジリエンス法案」とは、2022年9月に草案が提出され、2023年後半の発効、2025年後半の適⽤に向けて審議が行われているサイバーセキュリティに関する法案です。この法案が施行されると、すべてのデジタル製品の製造業者や小売業者に、指定のサイバーセキュリティ要件を満たすことが義務付けられます。本稿では、具体的にEUサイバーレジリエンス法案がどのような法律であり、なぜ着目されているのか、そして日本企業に対してどのような影響があるのか解説していきます。
EUサイバーレジリエンス法案とは
EUサイバーレジリエンス法案とは一言で表すと、EUにおける「デジタル製品に対するセキュリティ基準の法的枠組み」です。
具体的には、EU域内で流通するデジタル製品に悪⽤可能な脆弱性が含まれないこと、外部インターフェース等の攻撃対象領域を制限すること等の指定のサイバーセキュリティ要件を満たすことが義務付けられます。それにより、EU域内の消費者の安全性は高まると考えられています。一方で、施行される製品の範囲は広く、EU域内はもちろんのこと、世界中の企業に影響を及ぼし、日本企業としても要件への適合を考えなくてはいけない法案です。
EUサイバーレジリエンス法案制定の背景とポイント
世界的にサイバー攻撃の数は増加しており、その被害も深刻化しています。この要因の一つとして、以下のような状況が挙げられます。
- デジタル製品のセキュリティアップデートが不十分で、低レベルのサイバーセキュリティや脆弱性の蔓延に対処できていない
- ユーザーが適切にセキュリティ対策を備えたデジタル製品を選択できていない
この状況に対し、EUのサイバーセキュリティ当局であるENISA(欧州連合サイバーセキュリティ機関)では、サイバー攻撃を引き起こす市場全体のデジタル製品を対象とし、国境を越えた対策が必須だと考えました。既に特定製品(医療機器、航空、自動車など)については個別に規制する法案が存在しますが、いずれもIoTデジタル機器のサイバーセキュリティに関する必須要件は含まれていません。そのため、本法案がサイバーセキュリティ対策を広く包括的に求める世界初の規則となる可能性が高いと言えます。EUサイバーレジリエンス法案では、主に以下の4つに焦点が当たっています。
- 1) 広範囲への適用
- 2) 適合性評価
- 3) セキュリティ要件への適合義務化
- 4) ENISAへの報告の義務化
1)「広範囲への適用」
一部の例外を除き、デジタル要素を備えた全ての製品が対象となります。つまり、デバイスやネットワークに直接、間接的に接続されるものも含まれ、非常に多くの製品が対象になります。例外となるのは、既に規制されている医療機器、体外診断⽤医療機器、⺠間航空機、⾃動⾞の型式承認の対象製品です。
2)「適合性評価」
デジタル製品はセキュリティに関する品質・安全性に関する認証が求められます。
デジタル要素を有する製品は、大きく「重要なデジタル製品」と「それ以外」に分けられ、「重要なデジタル製品」は使用される環境や取り扱うデータの機密性・影響の範囲を考慮して、低リスク製品(クラスI)と高リスク製品(クラスII)に分類されます。(図1参照、罫線で結ばれているのは同じ製品)この図を見ると、広範囲な製品が重要なデジタル製品に分類され、第三者認証が求められることが分かります。
図1 重要なデジタル製品のクラス分け(経済産業省「EUサイバーレジリエンス法(草案概要)」より引用)
なお、認証については、「重要なデジタル製品以外」は自己適合宣言か第三者認証を選べるのに対し、「重要なデジタル製品」は第三者認証が必須となっています。ただし、低リスク製品のうちEUCC(※1)やEN規格(※2)の対象であるものは既に別認証を取得しているということで、第三者認証は不要です。
※1 EUCC:EUのICT製品のセキュリティ認証規格の一つ
※2 EN規格:欧州30か国で構成されるCEN (欧州標準化委員会)やCENELEC(欧州電気標準化委員会)、ETSI (欧州通信規格協会)が発行する、欧州の統一規格
図2 適合性評価の方法(経済産業省「EUサイバーレジリエンス法(草案概要)」より引用)
3)「セキュリティ要件への適合義務化」
製造業者の義務として、リスクに比例した方法でデジタル製品に関するサイバーセキュリティ側面の体系的な文書化があります。そのために、機械読み取り可能な形式で⼀般的に使⽤されるSBOM作成やセキュリティパッチ、更新プログラム提供等を含む、製品ライフサイクル全体でセキュリティ対応が求められます。また、製造業者は、製品を市場に出してから少なくとも5年間はセキュリティの脆弱性に責任を持ち、セキュリティアップデートを提供する必要があります。
4)「ENISAへの報告の義務化」
製品のセキュリティに影響を与える脆弱性の悪用、インシデントが発覚した場合には、その事態を認識してから24時間以内にENISAに通知する必要があります。これらにより製造者は、自社製品のセキュリティに対してより強い責任を負うことになります。
また、他の規則との関係性についても議論されており、現在、法案策定中の「⼀般製品安全規則」及び「AI規則」との関係性も整理される予定です。
このようにEUサイバーレジリエンス法案は、EU市場で使用されるすべてのデジタル要素を備えた製品について、サイバーセキュリティ対策を広く包括的に求める法律なのです。
日本企業への影響
では、この法律が可決されると日本企業にはどのような影響があるのでしょうか。本法案が施行されればEUに向けて製品を提供している企業は、所在地を問わず製品の製造過程で以下の2択を迫られます。
- EU向け製品だけを別規格で製造する
- 自社で扱うすべての製品の規格をEUサイバーレジリエンス法案に合わせる
展開やコストの面から「自社で扱うすべての製品の規格をEUサイバーレジリエンス法案に合わせる」を選択せざるを得ない企業が多いと考えられます。その結果、EUサイバーレジリエンス法案が世界の基準となる可能性があります。日本企業としても、EU域内に製品を展開している企業は多数存在するため、早急にこの問題を考え、適用していく必要が出てくるでしょう。
これまでのEU発の法案を振り返ると、EU当局とコミュニケーションを取りつつ進める他国・他地域の企業と比べて、日本企業は後手に回りやすいといえます。そのため、本法案に該当する日本企業であれば、法案が成立してから動くのではなく、今からサイバーレジリエンスの確保への積極的な取り組みを行う必要があります。対象製品のセキュリティ要件の準拠状況の確認などから、すぐに着手しましょう。
まとめ
EUサイバーレジリエンス法案について、その概要と日本企業への影響を説明しました。EUサイバーレジリエンス法案は2025年後半に適用される予定です(2023年現在)。施行されると、多くのデジタル製品について要件を満たす必要があり、企業としての施行までの取り組みが色濃く反映されると考えられます。欧州に製品展開する日本企業も他人ごとではなく、今後も情報を収集するとともに、自社での対応方針を決めておくことは急務といえます。