{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。実際、航空機の安全運航に直結するシステムやデータ、航空サプライチェーンを標的としたサイバー攻撃は増加傾向にあり、航空業界全体で航空安全におけるサイバーリスクの対策が求められています。
こうした背景から欧州航空安全機関(EASA)は2023年10月に、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU)2023/203および委員会委任規則2022/1645)※1を制定しました。
Part-ISの概要
Part-ISは、航空機メーカーや整備業者に留まらず、部品サプライヤーやサービスプロバイダーといった航空サプライチェーン全体に適用される要求事項であり、業界に関わるあらゆる企業に対する新たな規制となっているため、欧州航空業界と取引を行う日本企業も例外ではありません。特に注目すべきは、Part-ISが求めるのは技術的なセキュリティ対策だけではなく、組織全体でサイバーリスクを管理するための包括的な体制の構築と運用である点ということです。
そのためPart-ISでは、航空安全に潜在的な影響を及ぼす情報セキュリティリスクを特定および管理するための情報セキュリティマネジメントシステム(ISMS)を構築し、運用することを求めており、以下のような要件が含まれています。
- ISMSの構築と運用
- リスク評価とリスク対応
- インシデント対応と復旧計画
- 適切な人員の確保とトレーニング
Part-ISは、図表1のとおり委員会実施規則(EU)2023/203の情報セキュリティ要件であるPart-IS.AR(Authority Requirements)およびPart-IS.I.OR(Implementing. Organisation Requirements)と委員会委任規則(EU)2022/1645の情報セキュリティ要件であるPart-IS.D.OR(Delegated. Organisation Requirements)のサブパートから構成されています。なお、Part-IS.ARおよびPart-IS.I.ORは2026年2月22日から、Part-IS.D.ORは2025年10月16日から適用開始となっており、組織はライセンスを取得した規則に基づいて上記いずれかの要件を適用開始日までに遵守の上EASAまたは管轄当局から承認を得る必要があります。
図表1:Part-ISの適用範囲
Part-ISの要求事項
Part-ISのサブパートI/D.ORの要求事項は13項目あり、各項目はさらにいくつかの細分化された要求事項から構成されています。また、基本的にはISO/IEC27001※2をベースとしたISMSを採用していますが、単なる情報セキュリティリスクだけでなく、航空安全に潜在的な影響を与える可能性のあるリスクを考慮しなければならない点に留意が必要です。
各要求事項の概要は以下のとおりです。
- OR.200 情報セキュリティ管理システム(ISMS)
航空安全における情報セキュリティリスクを管理するためのISMS構築・実装・維持 - OR.205 情報セキュリティリスク評価
情報資産および外部インターフェースの特定と情報セキュリティリスク評価 - OR.210 情報セキュリティリスク処理
許容できないリスクへの情報セキュリティ対策の計画と実行 - OR.215 情報セキュリティ内部報告制度
情報セキュリティイベントの収集と評価のための内部報告制度の整備 - OR.220 情報セキュリティインシデント - 検出、対応、回復
航空安全に潜在的な影響を及ぼす可能性のあるインシデントと脆弱性の検出および対応、回復プロセスの整備 - OR.225 管轄当局から通知された調査結果への対応
管轄当局から通知された調査結果に対する是正措置プロセスの整備 - OR.230 情報セキュリティ外部報告制度
管轄当局への航空安全に重大なリスクをもたらす可能性のある情報セキュリティインシデントまたは脆弱性の報告 - OR.235 情報セキュリティ管理活動の契約
委託先のセキュリティ管理(事前評価、監督、監査、証拠の収集など) - OR.240 人員要件
ISMS体制の確立および適切な人員の確保とトレーニング - OR.245 記録の保存
情報セキュリティ管理活動に関する記録(証跡)の保持と保管:3年または5年間 - OR.250 情報セキュリティ管理マニュアル(ISMM)
情報セキュリティ管理マニュアルの策定(文書化)と改訂 - OR.255 情報セキュリティ管理システムの変更
ISMSの変更と承認 - OR.260 継続的改善
定期的なISMSの有効性・成熟度の評価およびマネジメントレビュー
Part-ISの免除申請
Part-ISのI/D.OR.200(e)要求事項には、Part-ISの免除に関する記載があり、自社または他の組織に対して航空安全に潜在的な影響を及ぼす情報セキュリティリスクをもたらさないと考える組織は、手順に従ってEASAまたは管轄当局へPart-ISの免除申請を検討することができます。ただし、免除に関わらず遵守が必要な要求事項も存在するため、申請にあたっては、自社が免除申請できる組織であるかどうかについての事前検討や免除申請手続きのための準備が必要です。
図表2:免除申請の対象となる組織例
Part-IS認証支援
PwCでは、Part-IS要求事項を基にしたリスク評価や不足するセキュリティ対策の計画策定や推進支援、認証取得を想定した問答集作成など、認証取得までの一連の活動のサポートが可能です。
まとめ
Part-ISは法的拘束力をもつ規制のため、準拠しなければライセンスの取り消しや取引停止といった機会損失だけでなく、重大な違反を犯した場合は高額な罰金や罰則が科される可能性があり、ビジネスに大きな影響を及ぼします。そのためPart-IS対応は義務としてだけでなく、企業の競争力を高める重要な戦略として捉えるべきです。また、EASAまたは管轄当局からPart-IS適用開始日である2025年10月16日または2026年2月22日までに承認を受けるためには、Part-IS対応として、航空安全を考慮した情報セキュリティリスク評価の実施や、情報セキュリティ管理マニュアルなどの文書化といった時間を要する準備も必要です。したがって、まだ対応に乗り出していない組織は、Part-ISが自社に及ぼす影響を確認し、迅速に行動に移す必要があります。
※1. Easy Access Rules for Information Security (Regulations (EU) 2023/203 and 2022/1645)
https://www.easa.europa.eu/en/document-library/easy-access-rules/easy-access-rules-information-security-regulations-eu-2023203
※2. https://www.jqa.jp/service_list/management/service/iso27001/
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
