Column

EU（European Union：欧州連合）が2022年9月に発表した「欧州サイバーレジリエンス法案（CRA：EU Cyber Resilience Act）」は2024年10月に採択され、同年12月に発効された。このCRAは段階的に適用され、2027年12月に全面適用になる予定である。CRAの意義は、社会的被害の防止にある。そのためCRAは、これまでの製造物責任法とは異なるアプローチを採用している。製造物責任法がメーカーに製品へのセキュリティ対策を求め、欠陥があれば弁済処理するというアプローチを採るのに対し、CRAはセキュリティ対策の欠陥を認めないというアプローチを採り、メーカーにセキュアな製品を作り出せるプロアクティブな仕組みの構築を求めている。これは品質マネジメントにおける国際標準「ISO9001」のアプローチと全く同様だ。本連載では、品質マネジメントの考え方を念頭に、CRAを解釈する際に誤認しやすいポイントと正しい解釈に基づく対応策について解説する。