デジタル製品の普及に伴い、ハードウェア製品やソフトウェア製品に対するサイバー攻撃は増加している。そして、サイバー攻撃は、攻撃を受けた者だけでなく、そのサプライチェーンや一般消費者などに広範に影響が及ぶ。このようなサイバー攻撃に対応するため、流通する製品は、サイバーセキュリティ性能を備えることが要求される。
そのような問題意識から、EUにおいて立法手続きが行われてきており、2024年3月12日、欧州連合(EU)のすべてのデジタル製品をサイバー脅威から保護するための新たなサイバーレジリエンス基準が欧州議会で承認された。
現在、法律として成立するためには、正式に理事会で採択される必要がある。
この規制は、EUでデジタル製品を上市する業者、とりわけ製造業者に影響を与え、かなりの多くの事業者が対象になり、そのインパクトは大きい。そのため、公開されているデジタル要素を持つ製品に対するサイバーセキュリティの水平要件に関する欧州議会及び理事会の規則(EU)2019/1020の改正に関する提案の内容を紹介する。
I.-適用対象
法第2条第1項は、本法は、意図的又は合理的に予見可能な使用が、デバイス又はネットワークへの直接的又は間接的な論理的又は物理的データ接続を含むデジタル製品に適用されると規定している。
同法第3条第1項は、「デジタル製品」とは、ソフトウェア又はハードウェア製品及びその遠隔データ処理ソリューションを意味し、個別に市場に投入されるソフトウェア又はハードウェアコンポーネントを含むと規定している。
- –セキュリティ特性要件
法10条1項は、製造者は、デジタル製品を市場に出す際、附属書Iの1「セキュリティ特性要件」を遵守して設計・開発・製造されていることを確認するとする。
附属書Iの1「セキュリティ特性要件」
(1)リスクに基づいて適切なサイバーセキュリティを確保するよう設計・開発・生産されていること。
(2) 悪用可能な脆弱性が含まれないこと。
(3)リスクベースアセスメントに基づいて、以下を満たすこと。
(a) 製品を元の状態にリセット可能である等、安全な構成となっていること。
(b) 認証、ID、アクセス管理システムを含む適切な制御メカニズムにより不正アクセスからの保護が確保されていること。
(c) 最先端のメカニズムにより、静止時又は転送時に関連データを暗号化などにより個人データ・その他のデータの機密性を保護すること。
(d) 保存され、送信され、処理された個人データ・その他のデータ、コマンド、プログラム及び設定の完全性を許可されていない操作から保護し、破損についても報告すること。
(e) 適切かつ関連性があり、製品の使用目的に関連して必要な個人データ・その他データに限定して処理を行うこと。(データの最小化)
(f) DoS攻撃からの回復・緩和などの重要な可用性の機能を保護すること。
(g) 他の機器やネットワークからのサービスの可用性について自身への悪影響を最小化すること。
(h) 外部インターフェース等の攻撃対象領域を制限して設計・開発・製造されていること。
(i) 適切な悪用緩和の仕組みと技術を用いて、インシデントの影響を軽減するように設計・開発・製造されているころ。
(j) アクセス、データ修正、サービス、機能などの内部活動を記録・監視し、セキュリティ情報を提供すること。
(k) 自動更新やユーザーへのアップデート通知などによりセキュリティアップデートによる脆弱性対応を確実に行えること。
III.-脆弱性要件
10条6項は、上市後5年間または製品寿命のうち短い期間の間、当該製品の脆弱性が附属書Ⅰのセクション2に定める必須要件に従って効果的に処理されることを保証しなければならないとする。
附属書Iの2「脆弱性処理要件」
(1)製品に含まれる脆弱性とコンポーネントを特定し、文書化すること。そのために、機械読み取り可能な形式で一般的に使用されるSBOM作成(少なくとも最上位レベルの依存関係含む)を行うこと。
(2)セキュリティアップデートの提供など、遅滞なく脆弱性に対処・緩和すること。
(3)デジタル製品のセキュリティの効果的かつ定期的なテストとレビューを行うこと。
(4)セキュリティアップデートが利用可能になったら、修正された脆弱性に関する情報を公開する。これには、脆弱性の説明、影響を受けるデジタル要素を持つ製品をユーザーが特定できる情報、脆弱性の影響、深刻度、ユーザーが脆弱性を修正するのに役立つ情報などが含まれる
(5)脆弱性開示ポリシーを導入し、実施すること。
(6)デジタル製品に発見された脆弱性を報告するための連絡先を提供することを含め、デジタル製品やサードパーティコンポーネントの潜在的な脆弱性に関する情報共有を促進するための措置を講じること。
(7)悪用可能な脆弱性が適時に修正・緩和されるように安全にアップデートを配布するメカニズムを提供すること。
(8) 特定されたセキュリティ上の問題に対処するためのセキュリティパッチ又はアップデートが入手可能な場合には、それらが、遅滞なく、かつ、無償で、利用者に潜在的な対処方法を含む関連情報を提供する勧告メッセージを伴って、普及されることを確保する。
IV.-技術文書
デジタル製品の上市前に、製造業者は技術文書を作成しなければならない(法10.7条)。
技術文書には、デジタル要素を含む製品および製造業者が実施するプロセスが附属書Iに規定された必須要件に準拠していることを製造業者が確保するために使用する手段に関するすべての関連データまたは詳細を含まれる。また、少なくとも、附属書Vに規定された要素が含まれていなければならない(法23.1条)。
技術文書は、デジタル要素を含む製品が上市される前に作成され、適切な場合には、予想される製品寿命の間、又はデジタル製品の上市後5年間のうち、いずれか短い期間、継続的に更新されなければならない(法23.2条)。
V.-適合性評価
デジタル製品については、適合性評価を受けなければならない(法24.1条)。
デジタル製品のうち、附属書に掲げられた「重要なデジタル製品」については、EUCC (European Common Criteria-based cybersecurity certification scheme)及びEN(European Norm)規格の対象外の製品は第三者認証を、「高度に重要なデジタル製品」については、第三者認証が求められる。
他方、上記に該当しないデジタル製品であれば、第三者認証のほか、より負担の少ない自己適合宣言を選択することができる。
適合性が実証された場合は、CEマーキングを添付する(法10.7条)。
この法は2024年後半に施行される予定で、製造業者は2027年までEU市場に上市する製品について適合しなければなりません。
セキュリティ特性要件や脆弱性要件は、製品の企画・設計段階から考慮しなければならないため、EU市場をターゲットとする製造業者は、できるだけ早くこの規制に準拠するための措置を講じる必要があります。
南智士 (Satoshi Minami)
ヴィラ法律事務所
より詳細な情報につきましては下記までご連絡ください。
2024年7月12日
