EU、デジタル製品にサイバーセキュリティー対応を義務付ける法案に政治合意

EU理事会（閣僚理事会）と欧州議会は11月30日、デジタル製品のサイバーセキュリティー対応を義務付けるサイバーレジリエンス法案に関して、暫定的な政治合意に達したと発表した（プレスリリース）。同法（規則）案は、デジタル製品の製造事業者に対するサイバーセキュリティー対応義務をEU域内で一律に導入するものだ。欧州委員会はこうした法律は世界初だとしている。同法案は、欧州委が2022年9月に提案（2022年9月28日記事参照）したもので、EU理事会と欧州議会の正式な採択を経て、施行される見込み。なお、今回合意された法文案は公開されていない。

同法案の対象製品は、医療機器や航空、自動車など既存のEU法で定められている一部製品を除く、他の製品やネットワークにデータ接続するあらゆる製品。接続することが意図されているだけでなく、合理的に想定される場合も適用対象としており、一般的なデジタル機器だけでなく、IoT（モノのインターネット）製品などを含む幅広い製品が対象となる。また、ハードウエアだけでなく、ソフトウエアも対象となる。同法案の適用開始後は、脆弱（ぜいじゃく）性対応の必須要求事項を満たした製造事業者が対象製品の必須要求事項を満たした場合にのみ、同製品のEU域内での販売が認められることになる。製造事業者の認定代理人、輸入事業者、販売事業者にも、脆弱性対応に係る特定の義務が課される。

今回の合意では、欧州委員会案の大枠をおおむね維持している。対象製品の販売に関するルール、製造事業者が満たすべきリスク評価の実施や適合宣言書の作成などのサイバーセキュリティーに関する対象製品の必須要求事項、製造事業者に課される脆弱性対応の必須要求事項、これらの要求事項への順守を担保するための市場監督ルールなど、同法案の基本的な枠組みは修正されていない。

一方で、両機関は詳細において欧州委案を一部修正している。まず、最大の焦点となっていたのは、製品の脆弱性が積極的に悪用された場合の製造事業者の報告義務だ。欧州委案は、EU機関の欧州サイバーセキュリティー庁（ENISA）を報告先に指定していたが、EU理事会の反発により加盟国当局に変更された。一方で、欧州議会の要望により、ENISAの権限も一部強化された。

また、適用開始時期については、製造事業者などの同法案への適合にはより多くの時間が必要として、欧州委案の「施行後24カ月」から「施行後36カ月」に修正した。このことから、同法案の適用開始時期は、2027年中旬以降になるとみられる。ただし、製造事業者の報告義務に関しては、同法案の施行から21カ月後に適用される。

製造事業者がセキュリティーアップデートなどを提供するサポート期間に関しては、最終的には欧州委案の最低5年間とすることで決着した。ただし、製造事業者はあくまでも製品の予想寿命と同等の期間にサポートを提供するのが原則となる。また、想定する使用期間が5年以下の製品については、最低サポート期間は適用されない。このほか、中小企業向けの追加的な支援策も盛り込まれた。

（吉沼啓介）