鈴木明美 Akemi Suzuki
パートナー
東京
NO&T Technology Law Update テクノロジー法ニュースレター
NO&T Europe Legal Update 欧州最新法律情報
ニュースレター
英国PSTI法に基づくサイバーセキュリティ規制について
欧州では、近年、データ法(Data Act)やAI法(AI Act)等、新しいテクノロジー分野に関する規制が次々と定められていますが、サイバーセキュリティに関する規制も様々存在します。本ニュースレターにおいては、それらのサイバーセキュリティに関する規制のうち、本年成立が見込まれるサイバーレジリエンス法案(Cyber Resilience Act)(以下「サイバーレジリエンス法」)について、概要を説明します。
サイバーレジリエンス法は、分野や業種に関わらず、広くデジタル製品一般について、設計・開発・上市・販売後までのライフサイクルを通じたサイバーセキュリティ要件を定めています。成立後は、一定の猶予期間を経て、法に定めるセキュリティ要件が事業者に課され、違反した企業には高額の制裁金が科される可能性があります。また、欧州域内にIoT製品等のデジタル製品を流通させる事業者であれば、欧州域内に拠点を持たない事業者であっても適用の可能性があります。
したがって、欧州市場に向けてデジタル製品を販売する可能性のある日本企業におかれましては、猶予期間が経過するまでに必要な体制整備を完了できるよう、十分な事前検討・準備を行う必要があります。
欧州におけるサイバーセキュリティに関する規制としては、2016年に発効したNIS指令(Directive on Security of Network and Information Systems)が一定の基幹サービス及びオンラインサービスを対象としたサイバーセキュリティ対策について定めており、その改訂版であるNIS2指令(2023年1月発効)はさらに対象範囲を拡大し、一定の重要分野におけるリスク対策やインシデントの報告義務等を定めています。
さらに、特にリスクの高い分野に関しては、クリティカルインフラに関するCER(Directive on the Resilience of Critical Entities)や、2025年1月から適用が開始される金融システムに関するDORA(Regulation on Digital Operational Resilience of the Financial Sector)、さらに、特定の製品群に関する規制として、医療機器、自動車や航空機に関する個別の規制も存在します。
しかし、これら個別規制の対象とならないデジタル製品は多く存在し、一般に流通するデジタル製品の多くがサイバーセキュリティに関する最低限の要素も備えておらず、深刻化するハッキング等のサイバー攻撃に対して脆弱であることが問題視されていました。また、一旦市場に出たデジタル製品について継続的なサイバーセキュリティ対策が提供されることは少なく、新しいサイバー攻撃への対応が期待できないことも問題とされました。
そのため、2022年9月に、欧州委員会がサイバーレジリエンス法案を上程し、2023年11月に欧州議会と欧州閣僚理事会との政治的合意を経て、2024年3月12日に欧州議会において修正後のサイバーレジリエンス法案が承認されました。今後、同法案は、欧州閣僚理事会によって承認され、所定の手続を経てEU法として成立する見通しです。
成立後は、対象となる事業者が必要な対応を進める期間を確保するため、所定の猶予期間が設けられており、適用開始時期は、全体については同法の成立後36ヶ月後からとされていますが、インシデント発生や脆弱性に関する報告義務(第14条)については同法の成立後21ヶ月後から、適合性評価機関に関する規定(第4章)については同法の成立後18ヶ月後からとされています。
サイバーレジリエンス法は、欧州市場において流通するデジタル要素を有するあらゆる製品に対して、一定の必須セキュリティ要件を課すことを目的としています。
「デジタル要素を有するあらゆる製品(products with digital elements)」とは、ソフトウェア又はハードウェア製品及びその遠隔データ処理ソリューションを意味します(以下「デジタル製品」)(第3条第1項)。IoT製品やネットワーク機器からデジタル通信機能を持った玩具まで、さまざまな製品がこれに含まれます。
一方、型式認証規則(医療機器規則、対外診断用医療機器規則、民間航空機規則及び自動車)の対象製品、国家安全保障に関するデジタル製品や軍事目的・機密処理目的のもの、SaaS等のソフトウェアサービス、並びに、研究開発目的のオープンソースソフトウェアは、それぞれ個別の法令によってセキュリティ要件が課されていることから、サイバーレジリエンス法との関係では適用除外とされています。
サイバーレジリエンス法に基づいて義務を負う主体は以下の通りであり、それぞれについて異なる内容の義務が定められています。
なお、輸入者又は販売者が、自らの名称や商標を付してデジタル製品を販売したり(例:OEM)、市販されているデジタル製品に自ら重要な改変を加えて販売したりする場合、あるいは製造者、輸入者及び販売者以外の者がデジタル製品に自ら重要な改変を加えて販売する場合には、製造者と見做されます(第21条、第22条)。
対象となるデジタル製品は、以下の通り分類されます。
重要な製品とは、サイバーレジリエンス法の附属書III(Annex III)に定めるカテゴリに分類される中核機能を有するデジタル製品であって、以下のいずれかの基準を満たすものを言います(第7条)。
a | 当該デジタル製品が、主に他の製品・ネットワーク又はサービスのサイバーセキュリティにとって重要な役割(例えば、認証及びアクセスの確保、侵入防止及び侵入検知、エンドポイントセキュリティ又はネットワーク保護等)を果たすデジタル要素を備えること |
---|---|
b | 当該デジタル製品が、ネットワーク管理、構成制御、仮想化又は個人データの処理を含む中央システム機能などの直接的な操作により、他の大量の製品又はそのユーザーの健康、セキュリティ又は安全性に関する断絶を生じさせ、支配し又は損害を与える可能性があるような強度及び悪影響を生じさせる重大なリスクを有する機能を実行すること |
附属書IIIに記載されている製品カテゴリは以下の通りです。
クリティカルな製品とは、サイバーレジリエンス法の附属書IV(Annex IV)に列挙する各カテゴリに分類される製品を言います(第8条)。具体的には以下の通りです。
通常の製品は、重要な製品及びクリティカルな製品以外の全てのデジタル製品を指します。
デジタル製品をEU市場に流通させるためには、当該製品が一定の必須セキュリティ要件を満たし、それが証明されている必要があります。必須セキュリティ要件の詳細は附属書I(Annex I)に定められており、サイバーセキュリティ要件(パートI)と製造者が遵守すべき脆弱性対応に関する要件(パートII)に分かれます。サイバーセキュリティ要件には、主に以下の内容が含まれます。
デジタル製品の製造者は、デジタル製品をEU市場に流通させる前に、一定の適合性評価を行うことにより、当該製品がセキュリティ要件を満たすことを証明しなければなりません(第32条)。適合性評価の手法は、上述したデジタル製品の分類によって異なります。
すなわち、重要な製品のうちClass II(高リスク)製品及びクリティカルな製品については、型式認証または全数検査による第三者認証※4を受けなければならないこととされています。
一方、重要な製品のうちClass I(低リスク)製品については、既存の規格の対象製品については当該規格の「Substantial」レベルの適合性を以て要件をクリアするものとし、これらの規格の対象外の製品については、型式認証または全数検査による第三者認証を受けることとされています。
通常の製品については、欧州委員会が定める規格(当てはまるものがある場合)への適合性の証明、型式認証または全数検査による第三者認証に加えて、一定の手続きに則った自己適合宣言に拠ることも認められています。
デジタル製品の製造者に課される主な義務の内容は、以下の通りです。
製造者は、デジタル製品を上市するにあたっては、当該デジタル製品が、附属書IパートIに定めるサイバーセキュリティ要件を満たすよう設計、開発及び製造しなければなりません(第13条第1項)。
さらに、当該義務の遵守のために、製造者は、サイバーセキュリティのリスク評価を行い、その結果を、企画、設計、開発、製造、販売及びメンテナンスの過程を通して考慮する必要があります(第13条第2項)。このように、製品のライフサイクル全体を通じてサイバーセキュリティに配慮するという考え方を、「サイバーセキュリティ・バイ・デザイン」といいます。
また、当該デジタル製品に第三者の製品(フリーソフト及びオープンソースソフトウェアを含む。)を組み込む場合は、当該第三者製品にかかるデュー・ディリジェンスを行い、当該第三者製品がデジタル製品のセキュリティリスクを高めるものでないことを確認しなければなりません(第13条第5項)。
上述した適合性評価を行った上で、適合性が確認されたデジタル製品は、EU適合宣言書(「CEマーク」)をつけなければなりません(第13条第12項、第28条、第30条)。
製造者は、デジタル製品の上市後も、開発及び製造プロセスやデザインの変更、サイバーセキュリティに関する基準の変更等への対応を継続し、本法に定めるセキュリティ要件への適合性を維持するための手続を継続しなければなりません(第13条第14項)。
製造者は、その製造するデジタル製品を市場に投入する前に行ったリスクアセスメントの結果を文書化し、当該製品の「サポート期間」中、当該文書を必要に応じてアップデートしなければなりません(第13条第3項)。「サポート期間」とは、製造者が附属書IパートIIに定める脆弱性対応を行うべき期間であり、当該デジタル製品に関するユーザーの合理的な期待や製品の性質等を踏まえた製品寿命その他の諸要素をベースに定められますが、最低でも上市後5年間(想定使用期間がそれより短い場合はその期間)とされています。
また、製造者は、当該製品と共に提供する技術文書中に、当該アセスメント関連文書を含める必要があります(第13条第4項)。
さらに、その製造するデジタル製品のリスクの程度に応じて適切な方法で、当該製品に関するサイバーセキュリティ関連事項、すなわち、製造者が認識する脆弱性の内容、第三者から提供を受けた関連情報等を文書にまとめた上、必要に応じて当該文書を適時にアップデートしなければなりません(第13条第7項)。
製造者は、その製造するデジタル製品を構成する部品に含まれる脆弱性(当該製品に組み込まれるオープンソースソフトウェアの脆弱性を含む。)を発見した場合、当該部品またはソフトウェアの製造又は維持を行う主体に当該脆弱性について報告し、附属書IパートIIに定める要求事項に沿って当該脆弱性に対応しなければなりません(第13条第6項)。
さらに、デジタル製品のサポート期間中、附属書IパートIIに従って当該製品またはその部品の脆弱性への効果的な対応を継続する必要があり、脆弱性への対応に係るポリシー及び手続を定めておく必要があります(第13条第8項)。
また、サポート期間中、製造者は、自社製品が附属書Iに定める必須セキュリティ要件に適合していないと判断した場合、直ちに、不適合を是正し、必要に応じて製品回収やリコールを行う等の是正措置を行う必要があります(第13条第21項)。
当該製品の上市後10年間又は当該製品のサポート期間のいずれか長い方の期間、附属書IパートIIに定めるセキュリティアップデートがユーザーによって利用可能な状態におく必要があります(第13条第9項)。
また、同期間中、当該デジタル製品に関する技術文書及び当該デジタル製品のEU適合宣言書を、市場監督当局が閲覧できるよう保持しなければなりません(第13条第13項)。
製造者があるソフトウェア製品の新バージョンを上市した場合、製造者は、過去製品のユーザーが当該最新版に無料でアクセスできるようになっており、最新版を利用することに追加のコストがかからない場合に限り、セキュリティアップデートの提供を通じて脆弱性対応を行う対象を新バージョンのみとすることができます(第13条第10項)。
製造者は、デジタル製品の型番号、バッチまたはシリアルナンバー等、当該デジタル製品を特定する情報を製品自体(それができない場合にはパッケージ又は付属文書)に記載し、製造者の名称その他コンタクト情報等を、製品自体、パッケージ又は付属文書に記載しなければなりません(第13条第15項、第16項)。製造者は、ユーザーから製造者へのコンタクトのための単一の問い合わせ窓口を設定しなければなりません(自動案内のみは不可)(第13条第17項)。
また、当該製品に関する一定の情報及び指示説明(製造者の特定に関する情報、当該製品の脆弱性に関する報告先、当該製品の使用環境に関する指示説明、誤った使用方法の例等)をユーザー及び市場監督当局にわかりやすい形でまとめ、紙又は電子的いずれかの方法で当該デジタル製品に添付してユーザーに提供し、上市後10年間または当該製品のサポート期間のいずれか長い方の期間を通じて、ユーザー及び当局が閲覧できる状態に置かなければなりません(第13条第18項、附属書II)。
さらに、当該製品のサポート期間の終期について、ユーザーが当該デジタル製品を購入する際に明確に認識できるように明示しなければならず、さらに、当該デジタル製品の性質上可能な場合は、サポート期間が終了したことをデジタル製品に表示することによりユーザーに通知しなければなりません(第13条第19項)。
製造者は、当該製品にかかる適合宣言書のコピーを当該デジタル製品と共に提供しなければなりません(第13条第20項)。
市場監督当局による要請を受けた場合に必要な資料を提供する等、その調査に協力し、デジタル製品に関するサイバーセキュリティリスクの低減に向けて協力しなければなりません(第13条第22項)。
デジタル製品の製造者がその事業を終了する場合等、サイバーレジリエンス法に基づく義務を履行することができなくなる場合は、事前に、市場監督当局及びユーザー(可能な限り)に対して報告を行わなければなりません(第13条第23項)。
自らが製造するデジタル製品について積極的に悪用される可能性のある脆弱性が発見された場合、又は重大なインシデントが発生した場合には、コーディネーターとして指定されたCSIRT(Computer Security Incident Response Team)及びENISA(European Network and Information Security Agency)に同時に通知しなければなりません(第14条第1項、第3項)。当該通知は、①対象となる脆弱性を認識してから24時間以内に行う速報と、②72時間以内に行う第2報、③当該脆弱性への対策を行ってから14日(インシデント発生の場合は第2報から1ヶ月)以内に行う最終報告からなるものとされています(第14条第2項、第4項)。
さらに、当該脆弱性又はインシデントによる影響を受けるユーザー(適切な場合は、全てのユーザー)に対して、当該脆弱性又はインシデントの情報、及び、必要な場合は、インシデントの影響を軽減するためにユーザーが取れる対応等について通知しなければなりません(第14条第8項)。
輸入者は、附属書IパートIに定めるサイバーセキュリティ要件を満たすデジタル製品であって、製造プロセスが附属書IパートIIに定める脆弱性対応に関する要件を満たすもののみを市場に投入しなければならず、当該デジタル製品を市場に投入する前に、製造者が当該デジタル製品について適切な適合性評価を実施し、技術文書を作成し、CEマークが付されており、製造者による必要な情報提供が行われていること等を確認しなければなりません(第19条第1項、第2項)。
輸入者は、自らが取り扱うデジタル製品又はその製品の製造者による製造プロセスが本法に適合していない場合、不適合が解消されるまではこれを市場に提供せず、その取扱を停止する等の措置を講じなければなりません。また、当該デジタル製品に係るセキュリティリスクが重大なサイバーセキュリティリスクにつながる場合、市場監督当局に通知を行う必要があります(第19条第3項)。
輸入者は、自らに関する一定の情報(輸入者の特定に関する情報、連絡先等)をユーザーにわかりやすく提供しなければなりません(第19条第4項)。
輸入者は、自らがEU市場に流通させたデジタル製品が本法に適合していない場合、直ちに、不適合を是正し、(適切な場合には)製品回収やリコールを行う等の是正措置を行う必要があります。また、自らが取り扱うデジタル製品に関する脆弱性を発見した場合、当該デジタル製品の製造者に対して遅滞なく報告を行い、さらに当該デジタル製品が重大なセキュリティリスクを伴う場合には市場監督当局にも直ちに情報提供を行う必要があります(第19条第5項)。
輸入者は、その取り扱う製品の上市後10年間またはサポート期間のうちいずれか長い方の期間、当該デジタル製品にかかる適合宣言書及び技術文書を、市場監督当局が閲覧できるよう保持しなければなりません(第19条第6項)。
輸入者は、市場監督当局による要請を受けた場合に必要な資料を提供する等、その調査に協力し、自らが取り扱うデジタル製品に関するサイバーセキュリティリスクの低減に向けて協力しなければなりません(第19条7項)。
輸入者は、自らが取り扱うデジタル製品の製造者がその事業を終了し、サイバーレジリエンス法に基づく義務を履行することができなくなっていることを認識した場合は、市場監督当局及びユーザー(可能な限り)に対して報告を行わなければなりません(第19条第8項)。
販売者は、デジタル製品を市場に投入する前に、サイバーレジリエンス法に定める要求事項に留意の上、当該デジタル製品にCEマークが付されており、製造者及び輸入者がサイバーレジリエンス法上の一定の義務を履行し、必要な情報提供を行っていることを確認しなければなりません(第20条第1項、第2項)。
販売者は、自らが保有する情報に基づいて、自らが取り扱うデジタル製品が附属書Iに定めるサイバーセキュリティ要件に適合しないと判断した場合、不適合が解消されるまではこれを市場に提供せず、その取扱を停止する等の措置を講じなければなりません。また、当該デジタル製品に係るセキュリティリスクが重大なサイバーセキュリティリスクにつながる場合、遅滞なく市場監督当局に通知を行う必要があります(第20条第3項)。
販売者は、自らが保有する情報に基づいて、自らがEU市場に流通させたデジタル製品又はその製品の製造者による製造プロセスが本法に適合していないと判断した場合、適合性を確保するための是正措置、又は(適切な場合には)製品回収やリコールが行われるようにしなければなりません。また、自らが取り扱うデジタル製品に関する脆弱性を発見した場合、当該デジタル製品の製造者に対して遅滞なく通知し、さらに当該デジタル製品が重大なセキュリティリスクを伴う場合には市場監督当局にも直ちに情報提供を行う必要があります(第20条第4項)。
販売者は、市場監督当局による要請を受けた場合に必要な資料を提供する等、その調査に協力し、自らが取り扱うデジタル製品に関するサイバーセキュリティリスクの低減に向けて協力しなければなりません(第20条第5項)。
販売者は、自らが保有する情報に基づいて、自らが取り扱うデジタル製品の製造者がその事業を終了し、サイバーレジリエンス法に基づく義務を履行することができなくなっていることを認識した場合は、市場監督当局及びユーザー(可能な限り)に対して遅滞なく報告を行わなければなりません(第20条第6項)。
附属書Iに定める必須サイバーセキュリティ要件又は本法第13条若しくは第14条に定める義務(製造者の義務)の違反に関しては、最大で1,500万ユーロまたは当該事業者の前年度の全世界の年間売上高の2.5%のうちいずれか高い金額の制裁金を科せられる可能性があります。また、その他同法が定める特定の義務(輸入者及び販売者の義務を含みます。)に違反した場合、最大で1,000万ユーロまたは当該事業者の全世界の年間売上高の2%のうちいずれか高い金額の制裁金を科せられる可能性があります(第64条)。
サイバーレジリエンス法はEU市場にデジタル製品を販売する事業者であればEUに拠点を持たない企業であっても適用の可能性があります。デジタル製品の定義は非常に広範であるため、多くの日本企業において検討の必要のある法令であると言えます。
サイバーレジリエンス法には、適合性評価のプロセスやセキュリティ文書の作成と具備、上市した後の継続的なモニタリングやアップデート等、一朝一夕には対応が難しい規定が含まれています。適用の可能性のある日本企業においては、施行の時期や対応期限を含め、今後の動向に注目する必要があります。
※1
Directive 2009/48/EC
※2
Regulation (EU) 2017/745又はRegulation (EU) 2017/746
※3
送電網に供給される電力または送電網から消費される電力を測定することができ、従来のメーターよりも多くの情報を提供し、電子通信の形式を使用して、情報、監視、制御の目的でデータを送受信することができる電子システム。(Directive (EU) 2019/944、第2条第23項)
※4
そのほか、サイバーセキュリティ法(Regulation (EU) 2019/881)に基づく「Substantial」レベルの認証の適用を受ける場合、同認証でも足りる。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
(2024年8月)
殿村桂司、カオ小池ミンティ、灘本宥也、山本安珠(共著)
水越政輝、小松諒、渡辺翼(共著)
Wolters Kluwer (2024年8月)
糸川貴視(共著)
(2024年7月)
中所昌司
水越政輝、小松諒、渡辺翼(共著)
鈴木明美、松宮優貴(共著)
(2024年7月)
工藤靖、渡辺翼、丸田颯人(共著)
工藤靖、早川健、郡司幸祐、河原健二郎(共著)
長谷川良和
(2024年9月)
箕輪俊介、中翔平(共著)
箕輪俊介、中翔平(共著)
(2024年8月)
殿村桂司、カオ小池ミンティ、灘本宥也、山本安珠(共著)
松﨑景子
塚本宏達、佐藤恭平、本田圭(共著)
長谷川良和
(2024年9月)
大久保涼、逵本麻佑子、伊佐次亮介(共著)
水越政輝、小松諒、渡辺翼(共著)
鈴木明美、松宮優貴(共著)
殿村桂司、今野由紀子、丸田颯人(共著)
福原あゆみ