水越政輝 Masaki Mizukoshi
パートナー
東京
NO&T Technology Law Update テクノロジー法ニュースレター
NO&T Europe Legal Update 欧州最新法律情報
英国において2022年12月に成立したProduct Security and Telecommunications Infrastructure Act 2022(以下「PSTI法」又は単に「法」といいます。)及び同法に基づいて2023年9月に制定されたThe Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023(以下「PSTI規則」又は単に「規則」といいます。)が、2024年4月29日に施行されました※1。これらの法規制は、英国内で利用されている消費者向けIoT機器等の多くが基本的なサイバーセキュリティ対策を欠いており、そのことが個人のプライバシーや安全、ひいては経済全体に対する脅威になっていることを背景として制定されたものであり※2、インターネットやローカルネットワークへの接続機能を有する製品の製造者等に対して、サイバーセキュリティ確保のための一定の義務を課すものとなっています。
年々高まるサイバーリスクに対し、世界各国でサイバーセキュリティに関する規制の強化やサイバー犯罪防止の取組が進展しているところ、英国でのPSTI法の施行もそうした世界的潮流の一つといえます。PSTI法及びPSTI規則は、英国にビジネスを展開する日本企業も適用を受けることとなります。また、今後、日本を含め各国で同種のサイバーセキュリティ規制が整備されることも予想されます。なお、欧州連合(以下「EU」といいます。)においては、同種のサイバーセキュリティ規制であるサイバーレジリエンス法の制定に向けた動きが進んでいます※3。
そこで本稿では、PSTI法及びPSTI規則に基づくサイバーセキュリティ規制の内容について概説します。PSTI法は第1部において対象製品に関するセキュリティ上の規制を、第2部において英国内の電気通信インフラストラクチャーに関する規制をそれぞれ定めているところ、本稿では日本企業にとって関連性の高い第1部について解説を行います。
PSTI法及びPSTI規則は、規制の対象となる製品の製造者等に対して、消費者向けIoT機器等の規制対象製品がPSTI規則に定めるセキュリティ要件を満たすこと、及び当該要件を充足していることを表明する適合表明書等を供給する製品に添付することを求める内容となっており、併せてこれらに違反した場合の罰則や、執行を担保するための当局の権限等を規定しています。このうち、製品のセキュリティ要件としては、①脆弱な初期パスワードを使用することの禁止、②セキュリティ上の問題の報告窓口等の公表、及び③製品サポート期間の公表の3点が要求事項となっています。こうしたセキュリティ要件の遵守や適合表明書の添付といった手続が必要となる場合、現在の製品の製造・供給プロセス等に大きな影響を及ぼす可能性があります。
以下では、PSTI法及びPSTI規則に基づく規制に関し、その対象製品、対象者、義務の内容、並びに当局の執行権限及び罰則の内容のそれぞれについて、解説します。
規制の対象となる製品は、「関連接続可能製品」(“relevant connectable product”)であり、法第4条は、「関連接続可能製品」を、「インターネット接続可能製品」又は「ネットワーク接続可能製品」に該当する製品のうち、以下の対象外製品※4に該当しないもの(以下「対象製品」といいます。)と定義しています。
このうち、「インターネット接続可能製品」とは、インターネットに接続できる性能を有する製品を指します(法第5条第1項)。また、「ネットワーク接続可能製品」とは、①電気又は電磁エネルギーを含む伝送によりデータの送受信ができる性能を有する製品のうち、②インターネット接続可能製品以外のもので、③(a)インターネット・プロトコル群の一部を構成する通信プロトコルによってインターネット接続可能製品と直接接続できる性能を有するもの、又は(b)(i)インターネット・プロトコル群に含まれない通信プロトコルによって、同時に2つ以上の製品に直接接続でき、かつ(ii)当該通信プロトコルによって、インターネット接続可能製品と直接接続できる性能を有する製品を指します(法第5条第3項乃至第5項)。
対象外製品(法第6条第1項、規則第6条、同別表3)
具体的には、スマートフォン、ルーター、スマート家電を含むいわゆるIoT機器等の幅広い製品が、対象製品に含まれることになります。また、上記のとおり、対象製品は、直接インターネットに接続する製品以外にも、Bluetooth等を介してインターネット接続可能製品と接続できる製品を含むため、各企業は、自社の扱う製品が規制対象に含まれないか、注意して検討する必要があります。
PSTI法は製造地や製造業者の所在地等によって対象製品に限定を加えていないため、例えば日本企業が日本やその他の国で製造した製品であっても、英国の消費者が入手できる対象製品であれば、規制対象に当たる可能性があることに注意が必要です。また、製造時期による限定も存在しないため、PSTI法及びPSTI規則の施行前に設計されたり、製造されたりした対象製品も規制対象に当たり得ることも、企業にとっては重要な点となります。
PSTI法及びPSTI規則に基づく規制の対象者は、対象製品の関係者(“relevant person”)であり、法第7条は、対象製品の製造者、輸入者、及び販売業者を、「関係者」として定義しています(以下「規制対象者」といいます。)。関係者が英国で設立されているかは要件とされていませんので、日本企業も適用対象となり得ます。
下記3.のとおり、規制対象者はPSTI法に基づいて様々な義務を負うものとされています。各義務の適用条件は規制対象者の種別や義務の内容に応じて細かく定められており、いかなる義務が適用され得るかについては、具体的な状況に応じた検討が必要となります。
PSTI法に基づく規制対象者の義務のうち、最も中心的なものは、英国の消費者が入手可能な対象製品について、PSTI規則が定めるセキュリティ要件を遵守する義務です(法第8条、第14条、第21条)※10。
規制対象者は、以下の①~③のいずれかに該当する場合、対象製品についてのセキュリティ要件を遵守する義務を負います。
具体的なセキュリティ要件は、PSTI規則の別表1に記述されており、現状は以下の3つの要件が定められています。
別表1第1項は、普遍的なパスワードや容易に推測可能なパスワードを製品のハードウェアやプリインストールされた(又は製品の使用のために事後的にインストールされなければならない)ソフトウェア等の初期パスワードとして使用することを禁止しています。具体的には、パスワードは製品毎に固有のもの、又はユーザーによって設定されるものでなければならず(同項(2))、複数の製品について同じパスワードを使用することは禁止されています。
また、製品毎に固有のパスワードを設定する場合でも、連番や公開情報、製品のシリアル番号等を用いて作成されたもの等※12、容易に推測可能なパスワードは、使用できないものとされています(同項(3))。
別表1第2項は、製品のハードウェアやソフトウェアに関してセキュリティ上の問題を発見した場合に、ユーザーが製造者に報告できるようにするための窓口(少なくとも1つ以上)の情報、並びにセキュリティ問題の報告を受領した旨の通知及び問題が解決されるまでの最新情報をユーザーが受け取る時期に関する情報を公表するよう求めています(同項(2))。
また、これらの情報は、事前の要請がなくても、英語かつ無料で、ユーザーの個人情報を要求することなく利用可能なものでなければならないものとされています(同項(3))。
別表1第3項は、製品のサポート期間を事前に公表する必要があることを定めています(同項(2))。サポート期間が延長された場合にも、速やかに公表する必要があります(同項(3))。
また、これらの情報は、事前の要請がなくても、英語かつ無料で、ユーザーの個人情報を要求することなく利用可能なものでなければならず、専門的な予備知識のない読者でも理解できるような方法で、公表しなければならないものとされています(同項(4))。
この要件において重要な点は、このサポート期間の公表後に当該期間を短縮した場合には、セキュリティ要件を満たさないものとされていることです(同項(6))。この条項によって、適合表明書(下記(2)参照)においてサポート期間を公表した後にサポート期間を短縮することは認められないことに注意が必要です。
規制対象者は、以下の①又は②のいずれかに該当する場合、製品についての適合表明書又はその要約を添付しなければ、英国の消費者が入手できる対象製品を新たに供給することができないものとされています(法第9条、第15条、第22条)※13。
適合表明書とは、その製品の製造者によって、又は製造者を代理して、PSTI規則の定めに従って作成される、適用されるセキュリティ要件に適合している旨の製造者の見解が記載された書面(法第9条(3))であり、具体的には、以下の情報を記載しなければならないものとされています(規則第7条、同規則別表4)。
製造者及び輸入者は、英国の消費者が入手できる対象製品について、セキュリティ要件への違反の疑いを認識した場合等には、セキュリティ要件の遵守状況について調査する義務があり(法第10条、第17条)、この場合、調査に関する記録を作成し、作成日から10年間、保存しなければならないものとされています(法第12条(4)、第20条(4))。
また、販売業者を含む規制対象者が、セキュリティ要件への違反を認識した場合には、それに対する措置(供給の停止、違反の是正、関連する製造者・輸入者・販売業者、顧客、及び当局等への通知等)を講じる義務があります(法第11条、第18条、第19条、第24条、第25条)※15。
加えて、輸入者と販売業者については、製造者によるセキュリティ要件違反があった場合に、製品を供給しないようにする義務も定められています(法第16条、第23条)。
これらの義務の内容について、各規制対象者が負う義務及び適用条文を整理すると、以下のとおりとなります。
違反の疑いがある場合の調査義務 | 自らの違反に対する措置義務 | 製造者の違反に対する措置義務 | 製造者の違反時の供給停止義務 | 調査記録の作成・保存義務 | |
---|---|---|---|---|---|
製造者 | あり(§10) | あり(§11) | N/A | N/A | あり(§12) |
輸入者 | あり(§17) | あり(§18) | あり(§19) | あり(§16) | あり(§20) |
販売業者 | なし | あり(§24) | あり(§25) | あり(§23) | なし |
規制対象者による義務違反があったと認めるに足りる合理的な理由がある場合、一定の要件及び手続の下、担当国務大臣(“Secretary of State”)は規制対象者に対する「遵守通知」(“compliance notice”)を発することによって、指定された期間内に義務の遵守のための一定の措置を講じること等を求めることができるものとされています(法第28条)。
また、規制対象者による義務違反が行われ、又は行われる可能性を認めるに足りる合理的な理由がある場合、一定の要件及び手続の下、担当国務大臣は規制対象者に対する「停止通知」(“stop notice”)を発することによって、規制対象者による当該行為の停止等を求めることができるものとされています(法第29条)。
さらに、英国消費者向け対象製品にセキュリティ要件違反があると認めるに足りる合理的な理由がある場合、担当国務大臣は、「リコール通知」(“recall notice”)を発することによって、規制対象者に当該製品の市場からの回収(リコール)等を求めることができる(法第30条)ほか、回収が行われない場合には国務大臣の権限により自ら回収等を行うことができるものとされています(法第47条)。
これら3種類の通知は執行通知(“enforcement notice”)と呼ばれており、執行通知に従わないことはPSTI法上の犯罪行為に該当するものとされ(法第32条(1))、一定の罰金刑の対象となります(法第32条(9))。
これら各通知に対しては、裁判所に対する異議申立が可能ですが、当該申立は、通知日等の一定の起算日から28日以内に行う必要があるものとされています(法第33条)。
規制対象者による義務違反があった場合、一定の要件及び手続の下、担当国務大臣は、「違反通知」(“penalty notice”)を発することによって、違反した規制対象者に対する制裁金を課すことができることとされています(法第36条)。当該制裁金の上限は、1,000万ポンド(法第38条(1)(a))又は「直近の完全な会計期間における適格な全世界収入の4%」(同条(1)(b))とされており、特に後者の基準によって算定された場合、非常に巨額なものとなる可能性がある点に注意が必要です※16,※17。
違反通知に対しても、執行通知同様に、通知日等の一定の起算日から28日以内であれば、裁判所に対する異議申立が可能とされています(法第41条)。
PSTI法は、日本企業も対象になり得るもので、かつ幅広い製品に関して適用可能性がある規制であり、違反した場合の罰則も厳格なものとなっていることから、英国向けビジネスを行う日本企業にとって、EUのサイバーレジリエンス法と同様に注意すべき法規制の一つであるといえます。
PSTI規則には施行後に定期的に条項のレビューを行う旨の規定が含まれており、担当国務大臣は、2029年4月29日までに、PSTI規制の有効性を評価する報告書を公表し、その後も5年を超えない間隔で報告書を公表することになっています(規則第10条)。また、2026年10月29日までに、中間レビューが行われることになっています(規則注釈メモ第14.3項)。したがって、今後も実際の執行状況等を見ながらセキュリティ要件を含むPSTI規則の変更が行われる可能性があり、規制の動向について引き続き注視していく必要があると考えます。
※1
なお、2024年4月29日に施行されたのは、本稿において解説するPSTI法の第1部(第1条から第56条)であり、他の条項については異なる施行日が設定されている場合があります。
※2
Explanatory notes relating to the Product Security and Telecommunications Infrastructure Act 2022(以下「法注釈文書」といいます。)第3項及び第4項参照
※3
サイバーレジリエンス法に関しては、「欧州サイバーレジリエンス法案(Cyber Resilience Act)の概要」(NO&T Technology Law Update No.52/NO&T Europe Legal Update No.32、2024年7月)をご参照ください。
※4
自動車については、現状は対象外製品として列挙されていませんが、英国政府は、自動車業界に固有のサイバーセキュリティ要件による規律に委ねるため、型式認証等に関するEU規則の適用を受ける製品をPSTI法の規制対象外とすることを検討しています。
※5
英国は2020年にEUを離脱しましたが、EU離脱協定に基づき一部のEU法は英国のEU離脱後も北アイルランドでは適用があるものとされており、北アイルランドとEUの間での製品の自由な移動を保証する観点から、PSTI法の適用対象外となっています(Explanatory memorandum to the Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023(以下「規則注釈メモ」といいます。)第7.16項及び第7.17項参照)。
※6
電気自動車用充電ポイントについては、既に既存法において別途サイバーセキュリティ要件が定められていることから、PSTI法の適用対象外となっています。医療機器及びスマートメーター製品についても同様です(規則注釈メモ第7.18項)。
※7
通信機能を持つ電力やガス等の使用量計測器のことを意味します。
※8
いわゆるIoT機器ではないパーソナルコンピューター等については、サプライチェーンが複雑であることや、サイバー脅威の状況が一般的なIoT機器とは異なることから、産業界と更なる検討を行うため、現状はPSTI法の適用対象外とされています(規則注釈メモ第7.19項)。
※9
対象製品や規制対象者が、サイバーセキュリティに関する国際的な規格のうちPSTI規制に基づくセキュリティ要件と同様の基準を定めるものに準拠している場合には、セキュリティ要件に従っているものとみなされることとされています(法第3条、規則第4条)。具体的には、規則別表2において、ETSI EN 303 645やISO/IEC 29147の関連規定への準拠が、みなし適合要件として規定されています。
※10
対象製品や規制対象者が、サイバーセキュリティに関する国際的な規格のうちPSTI規制に基づくセキュリティ要件と同様の基準を定めるものに準拠している場合には、セキュリティ要件に従っているものとみなされることとされています(法第3条、規則第4条)。具体的には、規則別表2において、ETSI EN 303 645やISO/IEC 29147の関連規定への準拠が、みなし適合要件として規定されています。
※11
「英国の消費者が入手できる」とは、現に英国の消費者が製品を入手できる場合だけでなく、過去に入手可能であった場合も当たるものとされており、また、中古品は含まないものとされています。その他の細かな定義については法第54条に定められています。
※12
ただし、シリアル番号等の製品識別子又はそこから派生するものを用いたパスワードであっても、実務慣行上認められた暗号化方法又は鍵付きハッシュアルゴリズムを使用して生成されたものは禁止されていません(規則別表1第1項(3)(c))。
※13
なお、製造者及び輸入者は、発行日から10年間又は適合宣言書に規定された製品のサポート期間のいずれか長い期間、適合表明書の写しを保管しなければならないものとされています(規則第8条、第9条)。
※14
製造者の代理人(英国に設立されていない製造者の代理人として、PSTI法に基づく製造者の義務を履行する権限を付与された英国内の者(法第51条)。)が存在する場合には、当該代理人の名称及び住所も記載する必要があります。
※15
また、製造者の代理人が、製造者によるセキュリティ要件違反を認識した場合、当該代理人は、製造者や当局への通知義務を負うものとされています(法第13条)。
※16
違反が企業グループ(親会社及び子会社の集合体)によって行われた場合には、違反に関与したグループ会社の収入を合算した金額の4%が上限となります(法第38条(6)、法注釈文書第116項、第173項参照)。
※17
さらに、取締役等の同意、共謀、又は怠慢によって法人や団体によるPSTI法違反が生じた場合、それら取締役等も処罰の対象となり得る旨が規定されています(法第52条)。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
(2024年8月)
殿村桂司、カオ小池ミンティ、灘本宥也、山本安珠(共著)
水越政輝、小松諒、渡辺翼(共著)
Wolters Kluwer (2024年8月)
糸川貴視(共著)
(2024年7月)
中所昌司
水越政輝、小松諒、渡辺翼(共著)
鈴木明美、松宮優貴(共著)
(2024年7月)
工藤靖、渡辺翼、丸田颯人(共著)
工藤靖、早川健、郡司幸祐、河原健二郎(共著)
鳥巣正憲、布山雄大(共著)
水越政輝、小松諒、渡辺翼(共著)
(2024年7月)
森大樹、緒方絵里子、倉地咲希、伊藤菜月(共著)
(2024年6月)
池田順一、藤井孝之、中所昌司、中野学行(共著)
水越政輝、小松諒、渡辺翼(共著)
(2024年6月)
池田順一、藤井孝之、中所昌司、中野学行(共著)
(2024年6月)
森大樹、井上皓子(共著)
(2024年6月)
丸田颯人
長谷川良和
(2024年9月)
箕輪俊介、中翔平(共著)
箕輪俊介、中翔平(共著)
(2024年8月)
殿村桂司、カオ小池ミンティ、灘本宥也、山本安珠(共著)
松﨑景子
塚本宏達、佐藤恭平、本田圭(共著)
長谷川良和
(2024年9月)
大久保涼、逵本麻佑子、伊佐次亮介(共著)
水越政輝、小松諒、渡辺翼(共著)
鈴木明美、松宮優貴(共著)
殿村桂司、今野由紀子、丸田颯人(共著)
福原あゆみ