- Column
- CRA発効で製品セキュリティはユーザー保護から社会保護・安全保障へ
CRA発効で“ユーザー保護”から“社会保護(安全保障)”へシフトする製品セキュリティ【第1回】
EU(European Union:欧州連合)が「欧州サイバーレジリエンス法案(CRA:EU Cyber Resilience Act)」を2024年12月に発効させた。従来から製品セキュリティを組織的・機能的に取り組んできたメーカーであっても、品質マネジメントを基盤としたCRA固有の対策を検討する必要がある。品質マネジメントを基盤に対策できなければモノづくりとして定着せず、法規への準拠が難しくなる可能性があるためだ。第1回では、CRAにおけるセキュリティの取り組み概要について解説する。
2025年の日本において、サイバーセキュリティの脅威が社会に与えた影響は大きかった。特にランサムウェアに関するニュースや、サプライチェーンに影響を与えるニュースなどが、一部の専門家のみならず、広く一般にも報道され始めた。
これらの脅威から全てのデジタル製品の安全を確保するための法律がEU(European Union:欧州連合)で2022年9月に発表された。「欧州サイバーレジリエンス法案(CRA:EU Cyber Resilience Act)」である。2024年10月に採択され、同年12月に発効した。
CRAの発効に伴い、2026年9月には同法案の第14条に該当する「製造者による脆弱性・インシデントの報告」が義務化される予定だ。21カ月の猶予期間が設けられている。さらに2027年12月には第13条に該当する「製造者の適合要求」が義務化される予定であり、そのための猶予期間は発効からの36カ月である(図1)。
猶予期間中にも、委任法の採択期限や整合規格、さらに2027年1月にはEU機械規則の義務化も予定されている。EU市場に展開される製品や組織は現在、これらへの対応に追われていると推測される。
CRAには品質マネジメントを軸にした取り組みが不可欠
CRAの目的は「EUデジタル単一市場への信頼性の向上」である。そのために、EU域内におけるデジタル製品の透明性の確保や安全性の保証ができるようにする。
製品のセキュリティに不備・欠陥があれば、製品を購入・利用するユーザーにハッキング被害が及ぶ。この被害に対する救済は製造物責任法でカバーできる。しかし、サイバー攻撃が日常化した今日、製品セキュリティの不備・欠陥によるハッキング被害は、ユーザーだけでなく市民生活に大きな被害をもたらす。
例えば、FA(Factory Automation)機器のハッキング被害は、そのFA機器の被害に留まらず、電気機器や車、兵器などFA機器を使用している生産工場に稼働停止という被害をもたらす。最悪の場合、FA機器を使っている水道や発電システムなどの重要インフラもダウンしかねない。
これら社会的被害は、製造物責任法ではカバーできない。製造物責任法はメーカーに対し、製品セキュリティの不備・欠陥で生じた損害金を逸失利益を含めて弁済させる。しかし、社会的被害の損害金は桁違いに大きく、メーカー1社で弁済できるものではない。そもそも弁済では済まない取り返しのつかない被害かもしれないし、それを好機と見た他国との戦争に巻き込まれる可能性もある。
CRAの意義は正に、この社会的被害の防止にある。社会的被害を生じさせないようメーカーに対し、製品セキュリティの大幅な強化を要請している。
製造物責任法が、メーカーに製品へのセキュリティ対策を求め、セキュリティ対策に欠陥があれば弁済処理をするというアプローチを採るのに対し、CRAは、社会的被害を防止するために、セキュリティ対策の欠陥を認めないというアプローチを採っている。すなわちCRAはメーカーに対し、セキュアな製品を作り出せるプロアクティブな仕組みの構築を求める。
具体的には、メーカーに対して、セキュアな製品を開発できる人材育成や開発体制の確立、開発ルールの策定、厳格なリスクベースでの開発・製造を求めている。こうしたプロアクティブな仕組みは、従来メーカーが取り組んできた品質マネジメントの国際標準「ISO9001」のアプローチと全く同様である。