欧州ではIoT機器のサイバーセキュリティを強化するための法規制が相次ぎ生まれている。中でも、日本の製造業に大きな影響を及ぼすと考えられるのが、無線機器のサイバーセキュリティ強化を求める欧州無線機器指令(RED)と欧州サイバーレジリエンス法(CRA)だ。本連載ではこのうちCRAについて、製造業各社が対応するために必要な基礎知識と方法論を3回にわたって解説する。
連載第1回の本稿では、CRAが制定された背景と、今後のタイムライン、違反時の罰則、認証制度について説明する。
●欧州サイバーレジリエンス法(CRA)制定の背景
IoT機器の急速な普及に伴い、IoT機器を狙ったサイバー攻撃の被害がそれ以上のペースで増加している。特に、セキュリティ対策が不十分なデバイスを乗っ取り、そこを起点とした攻撃手法が目立つ。
IoT機器の急速な普及で私たちの生活は格段に便利になり、日常に欠かせない物となったが、それゆえにIoT機器のサイバーセキュリティ対策は、経済的な被害だけでなく、国家や地域の安全保障の観点からも喫緊の課題と言える。
ただ現実には、機器のサイバーセキュリティ対策についての法規制はこれまで、医療機器などの一部の領域を除きほとんど存在せず、対策も遅々として進まなかった。製造業各社の自主努力に任せていては、この状況を抜本的に改善することは難しく、欧州連合(EU)は世界に先駆けIoT機器のセキュリティを義務化するという、法律制定に動いた。
EUには大きく分けて「Regulation/Act」(規則)というEU共通の法規制と「Directive」(指令)というEU加盟国に国内法制定を指示する2つの法律がある。今回のCRAは前者に当たり、EU共通の法規制として制定し、迅速な展開を図ろうとする意図があるようだ。
IoTでは機器が設置される国と、機器を制御するクラウドサーバが異なる国・地域に置かれるなど、国境をまたいで利用されるケースが多いことから、悪意のあるハッカーが必ずしも国内にいるとは限らない。そのため、各国が個別の法律で対応するには問題が生じる可能性が高い。各国が個別のサイバーセキュリティ基準を設けると、対応にかかるコストが増大するという問題もあるため、EU単一市場としての法規制(Regulation)が採用された。
●CRAに関する重要タイムラインを整理
CRAは2022年9月、法案が欧州委員会によって公開された後、欧州議会での議論や法案修正を経て、24年3月12日に欧州議会で承認された。24年7月1日現在、欧州委員会での正式採択を待っている状況であり、採択後に発効(EIF: Enter Into Force)することになる。
CRA発効後のタイムラインについては、今まで何度か変更があり、特に発効時期については今後も変動が予想されている。図2はあくまで今年7月1日時点での情報をもとに、今後の見通しをまとめたものであることに留意いただきたい。
CRAに関してしばしば聞かれる質問に、認証取得の要求事項(整合規格)がいつ発表されるかというものがある。実は7月1日時点で、正式な整合規格の公表日時は明確になっていない。
現時点では欧州電気通信標準化機構(ETSI)が発行した、民生品IoT機器用のサイバーセキュリティベースライン要件である「ETSI EN 303 645」および、国際電気標準会議(IEC)が発行した、産業用オートメーション及び制御システムに使われるコンポーネントに対する技術的なセキュリティ要求事項の「IEC 62443-4-2」という2つの規格をベースに準備を進め、正式な整合規格が発行された段階で、差分に対応することが推奨される。
製品開発にあたり、組織的に対応すべきことについてはIEC62443-4-1(安全な製品開発ライフサイクル要求事項)をベースに準備をすることが有効と思われる。この背景については連載第2回で詳しく解説する。
●CRA違反時の罰則・損失
CRAに違反した際には、主に2つの罰則が課される可能性がある。第一に製品の販売禁止だ。CRAは製品を欧州市場で販売するために必要な「CEマーキング」の要件となる予定で、CRAの要求事項を満たさないということは、製品にCEマークを貼付できないということになるうえ、場合によっては製品回収命令が出ることも想定される。
販売機会の喪失だけでなく、ユーザーに対しての補償にかかる費用も莫大になることが予想され、製品の回収にかかる送料、製品の保管費用、不具合製品の改修、廃棄費用、消費者からの問い合わせに対応するコールセンターの運用費用、フリーダイヤルの電話代、購入金額の払い戻しなど、ありとあらゆる想定外のコストがかかる可能性がある。
第二に監督機関からの罰金である。CRAに違反した場合、最大1500万ユーロ(約26億円、1ユーロ173円換算)もしくは前年度全世界売上高の2.5%、どちらか高いほうが課される可能性がある。
ポイントは、罰金の計算根拠にあり、近年制定された欧州のデジタル・サイバーセキュリティ法は、いずれも全世界の売り上げを基準に罰金額を算定している。EU一般データ保護規則(GDPR)、欧州データ法、欧州AI規制法などは算出割合こそ違うが、全て全世界の売り上げをベースに罰金を算出することになっているため、欧州での売上高が大きくない会社も、思わぬ高額な罰金を課されかねない点に注意が必要だ。
CRA違反を起こすと、多大なキャッシュアウトを余儀なくされる可能性が高い。製品のサイバーセキュリティ対応は、今や製品開発現場だけの問題ではなく、経営課題として取り組むべき内容だと言える。
●CRAが適用される機器と認証の必要有無
CRAが適用される機器は非常に幅広く「デジタル要素を含む」製品に広く適用されることになる。CEマーキング取得の基準には、製品のリスクに応じて差が生じる見通しで、ハイリスクな製品は第三者認証機関による認証(CoC, Certificate of Conformity)が必須となり、比較的リスクの低い製品は自己宣言(DoC, Declaration of Conformity)でのCEマーキング取得が可能になる。
市場に出回る大半の製品は、自発的な宣言でCEマーキングを取得できる見込みだが、まれに低リスク製品の場合であっても、製品をOEM(相手先ブランドによる生産)供給する場合や、輸入販売業者からの要求でCoCが要求される場合もあるので、事前に確認することを推奨する。
なお、デジタル要素を含む製品であっても、以下の法規による認証対象製品は、CRAの対象外となる。
これらの機器にトラブルが起きると、人間の生命と安全に直接的な影響を与えるため、既に個別のサイバーセキュリティ要求が実施されており、CRAの対象からは外されている。
一方、これらの機器を「制御する製品」はCRAの対象となる場合があるので注意が必要だ。例えば、医療機器と医療機器を制御するデバイスがあり、医療機器としての認証を取るデバイスは、欧州医療機器規則(MDR)に準拠しての対応が当然必要になる。
医療機器を制御するデバイスは「医療機器ではない」ためMDRに対応する必要はなくなるが、CRAとしての対応は必要になるというケースが考えられる。自社が開発する製品が準拠すべき法令については、なるべく早く専門家に相談し、確認することが望ましい。
次回は、CRAで要求されるサイバーセキュリティの技術的要求事項(整合規格)について、現時点でわかっていること、および推測されること、開発にあたり組織的に対応すべき事項について解説する。
●著者プロフィール:Koeksal Sahin(ケックサル・シャーヒン、KPMGコンサルティング Sustainability Transformationマネジャー、ドイツ弁護士)
ドイツ出身。ドイツ弁護士資格を持つ。大学卒業後、日本の法律に関する修士と博士を取得し、17年以上の職務経験を持つ。グローバルに活動するITとソフトウエアの日系企業おいて欧州事業法務部・コンプライアンスを担当。2017年にKPMGドイツ法律事務所に入社し、日系企業向けに欧州規則に関するコンプライアンス、欧州の紛争に特化した支援業務に従事。2022年にKPMGジャパンに出向。欧州規則に関する日系企業の法務部の支援強化、ビジネスソリューションも含めた法的手段以外の紛争戦略の提言及び支援業務に従事。