製造者とサプライヤーの間で問われる責任分界・情報連携・証跡整備

CRA対応が本格化する中、制度理解や社内態勢整備を進める中で顕在化してきたのが、サプライチェーンをまたぐ責任・情報・証跡の扱いです。法的な責任は製造者に集中する一方で、対応に必要な情報や能力は外部に分散しており、その「つなぎ目」が実務上の難所になりつつあります。本稿では、CRA対応がサプライチェーン課題へ発展する構造を整理し、今後の対応の方向性を考えます。

CRA対応は「制度理解」から「運用設計」の段階へ

EU Cyber Resilience Act（CRA）への対応は、制度理解や社内態勢整備の段階から、実装・運用の段階へ移りつつあります。多くの企業では、規程整備、体制構築、PSIRTやセキュア開発プロセスの見直しといった、自社内で完結しやすい論点から対応を進めてきました。一方で、対応を具体化するほど、自社内の取り組みだけでは完結しない論点が顕在化し始めています。その構造を整理したものが図表1です。

図表1：CRA対応がサプライチェーン課題に発展する構造

その背景にあるのは、CRAの責任構造と、実際の製品構成との間にあるギャップです（図表1）。CRAは、製品全体に対する責任を製造者に求めます。しかし実際の製品は、第三者コンポーネント、OSS、外部委託、流通事業者など、多くの外部要素の上に成り立っています。結果として、法的な責任は製造者に集中する一方で、製品ライフサイクルの各工程で必要となる構成情報、脆弱性情報、修正能力、証跡は、部品供給元、ソフトウェアベンダー、委託先、保守主体などに分散します。CRA対応を実効性のあるものにする上で問われるのは、この分散した情報と責任をどのようにつなぐかです。

CRAが求めるのは上市時点の適合だけではありません。サポート期間を通じた脆弱性管理、必要な更新、一定期間内での報告など、出荷後を含めた継続対応が前提となります。さらに2026年9月には、脆弱性・インシデント報告義務が先行適用されます。これらの継続対応が前提となることで、責任は製造者に集中する一方、必要な情報や対応能力は外部に分散するという構造が、サプライチェーン課題として顕在化しやすくなります。

本稿でいうサプライチェーンとは、単なる部品調達や物流の連なりではありません。製品ライフサイクルの各工程において製品の企画・設計・開発・製造・流通・保守に関与し、CRA対応上必要となる構成情報、脆弱性情報、証跡、更新、説明責任に影響を与える外部主体の連なりを指します。部品供給元、ソフトウェアベンダー、OSS、委託先、流通事業者、保守関係者、さらにはグループ内の別法人も、その対象に含まれます。

CRA対応で顕在化しやすい4つの典型課題

こうした構造を踏まえると、CRA対応においては次のような典型課題が顕在化しやすくなります。CRA対応におけるサプライチェーン課題とは、調達管理の延長ではなく、製造者責任を前提に、責任・情報・証跡・出荷後対応をどのように接続するかという問題です（図表2）。

図表2：CRA対応で顕在化しやすい4つの典型課題

1. 責任分界が曖昧になりやすい

CRAでは最終責任は製造者に集中します。しかし、問題の原因が第三者コンポーネントや外部委託にあったとしても、説明責任や是正対応の起点は製造者側に残ります。一方で、必要な情報や修正能力は部品供給元やソフトウェアベンダー、委託先などの外部主体にあることが多く、責任の所在と、実際に動ける主体が一致しないことが、こうした対応を難しくします。

2. 構成情報や証跡が分散し、継続活用しにくい

CRA対応では、製品の構成や適合性、脆弱性対応に関する情報や証跡を把握し、必要に応じて説明できることが求められます。しかし実務では、こうした情報や証跡が複数部門や複数の外部主体に散在しやすく、SBOMや技術文書も提出物として作成されるにとどまりがちです。その結果、証跡が継続運用や出荷後対応に結びつかず、顧客や下流事業者から説明や提出を求められるたびに資料を集め直すような個別対応が発生します。

3. 顧客要求や下流からの確認が上流へ波及する

CRAでは輸入業者や販売業者にも確認義務や通知義務が課される以上、製造者は下流の経済事業者や顧客から、適合性や脆弱性対応に関する説明を求められやすくなります。その要求はさらに部品供給元やソフトウェアベンダー、委託先などへ波及します。要求の粒度やフォーマットが標準化されていない場合、部品供給元やソフトウェアベンダー、委託先などでは顧客ごとに異なる質問票や証跡要求への対応が必要となり、運用負荷が増大します。

4. 出荷後対応を迅速に回す運用が難しい

脆弱性やインシデントが発生した際には、認識、影響判断、対応方針の決定、関係者連携、報告を一定の時間内で進める必要があります。とりわけ外部コンポーネント起因の事象では、必要な情報や修正が部品供給元やソフトウェアベンダー、委託先などに依存するため、初動の遅れが全体に波及しやすくなります。さらに、サポート期間やサポート終了、グループ内分業、社内横断の意思決定といった論点が加わることで、対応の複雑性は一段と高まります。

求められるのは「継続的に回る仕組み」の設計

重要なのは、個別の要求に都度対応することではなく、サプライチェーンを含めて継続的に回る仕組みとして設計することです。具体的には、調達・委託の入り口に後工程で必要となる要求事項を織り込むこと、証跡を提出物ではなく継続運用資産として扱うこと、出荷後対応を前提に社内外の情報連携と判断フローを整えることの3点が重要になります（図表3）。

図表3：求められる対応の方向性

まず、調達・委託の入り口では、必要な情報提供、証跡、更新対応、脆弱性連携、説明責任への協力を、契約条件や受け入れ条件にどう反映するかが重要になります。後から都度取りに行く構造のままでは、CRA対応は運用負荷の高いものになりやすくなります。

また、SBOM、リスク評価、技術文書、脆弱性対応記録などは、提出のためだけでなく、出荷後対応や顧客説明にも再利用できる形で更新・管理していくことが求められます。証跡管理を静的な成果物管理から運用資産管理へ転換することが、今後の対応力を踏まえると重要になります。

さらに、脆弱性やインシデント発生時に、誰が情報を集め、誰が判断し、誰が顧客や当局に向き合うのかを、平時から明確にしておく必要があります。部品供給元、ソフトウェアベンダー、委託先、グループ内別法人を含めた連携ルートが不明確なままでは、期限内の対応は難しくなります。これらを個別対応ではなく、継続的に回る仕組みとして一体で設計できるかが、CRA対応の実効性を左右します。

CRA対応の本当の難しさは「つなぎ目」にある

CRA対応の本当の難しさは、要件そのものを理解することよりも、製造者責任を支えるために必要な情報、証跡、修正能力がサプライチェーン上に分散している点にあります。したがって、CRA対応を単なる規制対応や文書整備で終わらせるのではなく、責任分界・情報連携・証跡整備・出荷後運用を接続する仕組みとして見直すことが重要です。

今後のCRA対応で問われるのは、自社内の整備に加え、サプライチェーン全体でその運用をどう成立させるかにあります。製造者とサプライヤーの間にある「つなぎ目」をどのように埋めるかが、今後の対応力を左右する論点になるでしょう。その第一歩として、製造者とサプライヤーの間で、どの工程・情報・対応能力に相互依存があるのかを可視化し、役割分担と連携方法を擦り合わせることが重要です。