欧州委、デジタル製品のサイバーセキュリティー対応を義務付ける法案発表

欧州委員会は9月15日、デジタル製品のサイバーセキュリティー対応を義務付けるサイバー・レジリエンス法案を発表した（プレスリリース）。インターネットに接続された製品の使用が増加する中で、1つのデジタル製品へのサイバー攻撃が、サプライチェーン全体に影響を及ぼす危険性が指摘される。一方で欧州委は、デジタル製品の多くはサイバーセキュリティーに十分に対応しておらず、製造事業者もソフトウェアのアップデートなどによる脆弱（ぜいじゃく）性への対応を十分に行っていないのが現状だとしている。そこで法案は、EU域内で流通するデジタル製品の安全性を確保し、製品のライフサイクルを通じたサイバーセキュリティーへの対応に関する製造事業者の責任を明確にするために、デジタル製品を上市する際のルール、サイバーセキュリティーに関する製品の必須要求事項、製造事業者に課される脆弱性対応の必須要求事項、これらの要求事項への順守を担保するための市場監督ルールを規定している。

法案の対象製品は、ソフトウエアを含む、他の製品やネットワークへのデータ接続が想定されるあらゆるデジタル製品だ。ただし、医療機器、航空、自動車などの既存のEU法により、サイバーセキュリティーに関する要求事項が課されている製品は除かれる。対象製品に関しては、脆弱性対応の必須要求事項を満たした製造事業者が、製品の必須要求事項を満たした場合にのみ、EU市場への上市（市場投入）が認められる。

製造事業者には、デジタル製品の上市に際して、設計、開発、製造、販売後のサービスの各段階において、デジタル製品のサイバーセキュリティーに関するリスク評価、部品の調達先に対するデュー・ディリジェンス、デジタル製品の必須要求事項および製造業者の脆弱性対応の必須要求事項に関する適合性評価手続き、「EU適合性宣言書」の作成、デジタル製品へのCEマークの表示、脆弱性が発見された場合や製品の安全性に影響を与えるインシデントが発生した場合の24時間以内の欧州サイバーセキュリティー庁（ENISA）への報告、予想される製品寿命あるいは上市から5年間のいずれか短いほうの期間における脆弱性への効果的な対応などの実施が求められる。また、認定代理人、輸入事業者、販売事業者にも、特定の義務が課される。適合性評価手続きに関しては、製造事業者は、デジタル製品の機能に応じて、内部管理手続き、EU型式審査、あるいは完全な品質保証に基づく適合性評価のいずれを実施する必要がある。

法案の実施は、加盟国が指定した市場監督当局が原則として行う。市場監督当局は、製造事業者の脆弱性対応を含めデジタル製品に、重大なサイバーセキュリティーリスクがあると考える場合に、当該デジタル製品の適合性評価を実施する。これにより、市場監督当局が、当該デジタル製品が法案の要求事項を満たしていないと判断した場合、製造事業者は、適合に向けた是正措置、市場からの回収、あるいはリコールを実施しなければならない。なお、必須要求事項への不適合など、法案上の義務が果たされなかった場合、製造事業者には、加盟国法に基づき、最大で1,500万ユーロ、あるいは前会計年度の世界全体の総売上高の最大2.5％のいずれか高い方が制裁金として科される。

法案は今後、EU理事会（閣僚理事会）と欧州議会で審議される。

（吉沼啓介）