欧州サイバーレジリエンス法概説

2024年12月、「欧州サイバーレジリエンス法（以下、CRA）」が発効しました。CRAは欧州で販売するすべてのコネクテッド製品に対して「セキュリティ・バイ・デザイン」を義務付け、製品ライフサイクル全体にわたる一貫したセキュリティ対応を求める包括的な法規制です。CRAはAI法（EU AI Act）やNIS2指令※、GDPR（General Data Protection Regulation：欧州データ保護規則）など、欧州の他の法制度と重層的に関係することから、その対応はグローバル市場を見据える日本企業にとって喫緊の課題です。本稿ではCRA制定の背景やその要件、スケジュール、罰則などを整理し、経営層も巻き込んだ実効的な対応のポイントを解説します。

※ NIS2指令（Network and Information Systems Directive 2）：EU全域の重要インフラやデジタルサービスのサイバーセキュリティを強化・統一する法的枠組み

登壇者

PwCコンサルティング合同会社
シニアマネージャー
エレドン・ビリゲ

グローバルデジタル分野の法規制動向

まず、欧州を起点に広がるグローバルなデジタル分野の法規制動向を説明します。

近年は欧州の規制動向を背景に、世界各国でデジタル分野の法規制が急速に拡大しています。PwC独自のモニタリングによると、海外で事業を展開する日本企業が対応すべき法令やガイドラインは、2020年時点では約30件だったのに対し、2024年には300件を超えました。さらに罰則の厳格化も進んでいます。日本企業はこうした動向をタイムリーに把握し、対応しなければなりません。

グローバルなデジタル関連法令は、主に以下の4分野に分類されます。

1. AI（人工知能）
2. サイバーセキュリティ
3. IoT・製品セキュリティ
4. プライバシー

AI分野では、世界初の包括的なAI規制として2024年に成立したAI法が注目されています。同法はリスクベースの管理や透明性の義務などを定めています。

サイバーセキュリティ分野では、重要インフラに対するセキュリティ対策の義務化や、インシデント報告の義務が主な論点となっています。欧州では「NIS2指令」の制定が進んでおり、企業には法的対応力の強化が求められています。

IoT・製品セキュリティ分野では、サイバーレジリエンス法をはじめとするコネクテッド製品向けの規制が整備されつつあります。現時点で関連法令の数は限定的ですが、CRAは内容が包括的かつ厳格であり、オーストラリアでも同様の製品セキュリティ法が導入されるなど、主要5カ国以上で法整備が進められています。

プライバシー分野は、現在存在するデジタル関連法令の中で最も多くを占めています。EUのGDPR（General Data Protection Regulation：欧州データ保護規則）を筆頭に、アジア、南米、アフリカ各国でも個人情報保護法の施行が相次いでいます。

今後はAI、サイバーセキュリティ、製品セキュリティの分野でも規制強化が加速すると見込まれており、グローバルに事業展開する企業は早急に対応する必要があります。

こうした法規制の目的は、製品やサービスの安全性と信頼性の確保です。そのため企業に対しては、以下の3分野でコンプライアンス対応を義務付けています。

1. セキュリティ対策
2. サプライチェーン管理
3. インシデント報告

とりわけ製品セキュリティ分野では、これらの義務を怠った場合、製品販売の停止や、グループ売上に連動した高額な罰金など、厳しい処分を受ける可能性があります。

こうした規制対応は、PSIRT（Product Security Incident Response Team：製品セキュリティインシデント対応チーム）やCSIRT（Computer Security Incident Response Team：コンピュータセキュリティインシデント対応チーム）といった専門部門に限らず、調達・営業などの業務部門にまで影響が及びます。さらに、企業の製造、投資など戦略的方針にも影響を与えるため、CEO（Chief Executive Officer：最高経営責任者）、CFO（Chief Financial Officer：最高財務責任者）、取締役会、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）など、経営層の関与も不可欠です。

欧州デジタル戦略におけるCRAの位置付け

次にCRAがなぜ制定されたのか、その背景と狙いについて整理していきましょう。

EUは「経済的安定」「基本的人権の尊重」「消費者保護」といった基本的価値の確保を前提に、デジタル戦略を体系的に構築してきました。その一環としてサイバーセキュリティ全体の水準を底上げするため、分野横断的な法制度の整備を進めています。CRAはこうした流れの中で策定されたもので、製品セキュリティを対象とする包括的な法令として位置付けられています。

CRA制定の最大の背景には、サイバー攻撃の脅威の深刻化があります。欧州委員会の調査によれば、サイバー攻撃による経済的損失は重大な水準に達しており、その抑制には製品レベルでのセキュリティ強化が不可欠とされました。経済の安定、市民の権利、そして消費者の安全を守るには、製造者に対してセキュリティ対策を法的に義務付ける必要があると判断されたのです。

また、製品のセキュリティ性能に関する情報が消費者にとって不透明で、選択時の判断材料としにくいという課題もありました。CRAではセキュリティ要件の明確化と情報開示を義務化することで、セキュリティが製品選定の基準として機能することを目指しています。

さらに、CRAは既存の分野別規制を補完する役割も担っています。従来、サイバーセキュリティに関する法制度は医療、航空など分野ごとに個別に存在していました。これに対してCRAは、あらゆるコネクテッド製品を対象とする分野横断的な規制として、それらを包括します。また、情報システムを対象とするNIS2指令と連携し、製品とシステムの両面からセキュリティ体制を強化する枠組みも整えられています。

重層的に適用される製品関連法規制の全体像

では製品に適用される法制度の関係性を、以下の図を使って見ていきましょう。中央の円はコネクテッド製品を示しており、それを取り巻く複数の法制度が重層的に関わっていることがわかります。

例えば、コネクテッド製品が個人情報を取り扱うIoT機器であれば、個人情報の取り扱いについて適用されるのはGDPRです。また、利用者が機器を利用することでデータが生成・蓄積する機能がある場合には、データ法が関係します。対象が産業機械であれば機械規則、AIが組み込まれている場合にはAI法の適用も必要になります。

さらに、製品自体のサイバーセキュリティを担保するためには、CRAへの対応が求められます。つまり、1つの製品に対して複数の法制度が重層的に適用される構造となっており、製品の機能や使用環境に応じて関係する法令は多岐にわたるのです。

加えて、製品に組み込まれたAIやソフトウェアの欠陥が原因で事故や損害が発生した場合には、欧州改正製造物責任指令に基づき、消費者から損害賠償請求を受ける可能性もあります。

こうした背景からも、CRA単体ではなく、周辺の関連法制度も含めて総合的に理解し、対応していくことが不可欠です。

製品ライフサイクル全体を貫くセキュリティ対策の義務化

次に、CRAの概要について解説します。今回は特に企業にとって対応が求められる「製造者の義務」に焦点を当てます。

CRAは、デジタル製品の設計・開発から販売、使用、運用など、製品ライフサイクル全体で一貫したセキュリティ対策の実装を求める法令です。「セキュリティ・バイ・デザイン」および「セキュリティ・バイ・デフォルト」の原則を義務化することで、製品レベルでのサイバーリスクの低減を目指しています。対象となる製品は広範囲にわたり、以下のようなものが含まれます。

• ソフトウェア製品
• ハードウェア製品
• それらに付随する遠隔データ処理ソリューション
• 単体で市場に流通する構成部品（コンポーネント）

つまり、ネットワークに接続されるすべてのコネクテッド製品は、CRAの規制対象です。評価は基本的に製品単位で行われ、それぞれの製品が個別にCRAへの準拠を求められるのが特徴です。

一方、既に他の欧州法令で厳格に規制されている分野の製品は、CRAの適用対象外とされています。例えば以下のような製品が該当します。

• 医療機器（Medical Devices Regulationに準拠）
• 航空機および航空機部品（航空機規則）
• 自動車（自動車安全規則など）

セキュリティ必須要件と脆弱性対応―製造者の二大義務

CRAでは製造者が満たすべき主な義務を2つに大別しています。

1つ目は「セキュリティ必須要件」です。アクセス制御、暗号化、更新管理など、基本的なセキュリティ機能の実装を求めています。2つ目は「脆弱性対応要件」です。これは脆弱性の発見から報告・修正に至るまでの一連のプロセスを整備し、製品ライフサイクル全体を通じてセキュリティを維持する体制の構築を求めるものです。ここには実際に悪用された脆弱性や重大なインシデントが発生した場合に、当局へ報告する義務も含まれています。

これらの義務を実効的に履行するためCRAでは製造者に対し、「プロダクト要件」と「コーポレート要件」の両面からの対応を義務付けています。

プロダクト要件の核心は「セキュア開発」の実践です。これは製品ライフサイクル全体を通じ、一貫したセキュリティ管理を行うことを意味します。例えば、開発段階では脆弱性を未然に防ぐための設計原則の採用や厳格なコーディング規律が必要です。また運用段階では、新たに発見された脆弱性に対して素早く対応し、適切なセキュリティアップデートの提供が求められます。

一方、コーポレート要件では「組織全体で脆弱性を管理する体制構築」が求められます。これにはPSIRTなどのセキュリティ専門部署の設置、開発部門におけるセキュリティ統制の実施、そして法令改正や規制動向に関する情報を継続的に収集し、社内施策へ反映する仕組みづくりが包含されます。これらは持続的なコンプライアンスの実現に直結する重要な要素です。

CRAでは報告を「初期報告（24時間以内）」「中間報告（72時間以内）」「最終報告（是正措置後14日以内、インシデントは1カ月以内）」の三段階で定義しています。これらの報告は、欧州委員会またはENISA（European Union Agency for Cybersecurity：欧州連合サイバーセキュリティ庁）が提供する共通プラットフォームを通じて行われ、報告義務を負う製造者や流通事業者が各国のCSIRTまたはENISAに提出しなければなりません。

報告の主体は、脆弱性とインシデントとで異なります。脆弱性は企業の意思決定拠点がある国、もしくは従業員数が最も多い国の当局に報告する必要があります。欧州域外の製造者は、自ら直接報告する義務が課されています。一方、インシデントの報告主体は、欧州における代理店、輸入業者、販売業者とされており、流通チャネルごとに責任が明確化されています。

さらに、CRAへの準拠を証明するには、製品ごとに適合性評価（コンフォーマンス評価）を実施する必要があります。一般的なコネクテッド製品は自己評価に基づく「モジュールA」による適合性評価が基本となりますが、「重要製品」にはより厳格な審査が課されます。

例えば「付属書III」に分類される「クラスⅠ」や「クラスⅡ」製品には、CRAに整合した調和規格に基づく評価、または第三者による「モジュールB＋C」「H」のいずれかの審査が求められます。さらに、クリティカル製品は、EUCC（European Union Cybersecurity Certification：欧州サイバーセキュリティ認証制度）による第三者認証の取得が義務付けられる見込みです。ただし、現時点ではEUCCの制度整備が完了していないため、当面は重要製品と同様の評価方法が暫定的に適用されることになっています。

2027年完全施行へのロードマップ

2025年1月時点でCRAは既に成立しており、施行に向けた準備が進められています。2026年には製造者に対する一部の報告義務が適用され、2027年末には全ての要件が本格的に適用開始となる予定です。

適用の基準となる整合規格（ハーモナイズドスタンダード）も、段階的に策定が進められています。まず、共通セキュリティ要件に対応する初期の整合規格が2026年に発行され、その後、残る主要な規格が2027年10月に公開される見通しです。併せて製品カテゴリごとの具体的な整合規格も、2026年10月30日までに出揃う計画となっています。

整合規格の整備スケジュールは非常にタイトであり、2027年末の全面適用まで残された準備期間は実質的に2年弱しかありません。そのため、CRAへの対応は企業にとって喫緊の経営課題と言えるでしょう。

違反に対する罰則も厳格です。制裁の上限は、最大1,500万ユーロまたは前年度の全世界売上高の2.5％のいずれか高い方とされており、GDPRと同様の重い制裁枠組みです。対応の遅れは欧州市場における販売機会の喪失につながるだけでなく、セキュリティ対応の不備によって取引先や市場からの信頼が低下し、ブランド価値を毀損するおそれもあります。

さらに、セキュリティ対応の不備が製品の欠陥と見なされた場合には、改正製造物責任指令に基づく損害賠償請求のリスクがあります。加えて、個人情報の漏えいを伴うインシデントが発生した場合には、GDPRによる制裁措置が連動して発動される可能性があります。これら複数の影響が重なれば、企業全体の業績にまで深刻な影響を及ぼしてしまうのです。

リスクと責任を見極めた現実的対応策の構築を

ここまで、CRAの概要と、それに対する企業の対応ポイントを解説してきました。

最後に、企業が実効的な対応を進める上で特に重要となる3つの軸を整理します。

1つ目は、技術的なセキュリティ対策の実装です。製品に対する技術的な保護だけでなく、それを継続的にマネジメントするセキュリティマネジメント体制の確立と運用が不可欠です。

2つ目は、サプライチェーンの管理です。CRAでは、製品の製造元に限らず、部品供給元や委託先を含めたサプライチェーン全体がCRAに準拠していることを確認する「デューデリジェンスの実施」が義務付けられています。とりわけ、ソフトウェアの構成が複雑で調達ライフサイクルが長い製品を扱う企業にとっては、信頼性の高い国際規格に準拠した製品設計を早期に進めておくことが、後の対応を円滑に進める上で有効な手段となります。

3つ目は、インシデント報告体制の整備です。既に多くの企業ではセキュリティインシデントへの対応体制を構築しているでしょう。CRAでは加えて、極めて短時間での当局への報告を義務付けています。報告期限の厳格さを踏まえると、迅速な社内判断、正確な情報整理、そして報告体制の円滑な運用と訓練が、これまで以上に求められるのです。

施行までの限られた期間の中で、各社が自社のリスクと責任を的確に見極め、現実的かつ持続可能な対応策を講じていくことが強く期待されます。