[本文]

国・地域名:
EU
元記事の言語:
英語
公開機関:
欧州委員会(EC)
元記事公開日:
2022/09/15
抄訳記事公開日:
2022/10/13

新サイバーセキュリティ規則によるデジタル製品のセキュリティ強化

State of the Union: New EU cybersecurity rules ensure more secure hardware and software products

本文:

(2022年9月15日付、欧州委員会の標記発表の概要は以下のとおり)

本日、欧州委員会は、セキュリティ機能が不十分な製品から消費者と企業を保護するための新サイバーレジリエンス法案を提出した。この種のものでは史上初となるEU全域の法律であり、デジタル要素を含む製品に対して、そのライフサイクル全体を通じて、サイバーセキュリティに関する義務的要件を導入するものである。

2021年9月にフォン・ デア・ライエン委員長が一般教書演説で発表したこの法律は、「2020 年EUサイバーセキュリティ戦略」と「2020年EU安全保障連合戦略」に基づいており、無線・有線の製品やソフトウェアなどのデジタル製品が、EU全域の消費者にとってより安全であることを保証するものである。製造者に対して、特定された脆弱性に対処するためのセキュリティ支援とソフトウェア更新を義務付けることに加えて、消費者が購入・使用する製品のサイバーセキュリティに関して十分な情報が入手できるようになる。

世界中で 11 秒ごとに組織に対するランサムウェア攻撃が行われており、サイバー犯罪に関する世界の推定年間コストは2021年に5兆5,000億ユーロに達する。高レベルのサイバーセキュリティを確保することと、デジタル製品の脆弱性を改善することが、これまで以上に重要になっている。ネット接続型スマート製品の増加に伴い、1つの製品でのサイバーセキュリティ事故が、サプライチェーン全体に影響を与え、域内全体の経済・社会活動の深刻な混乱につながる可能性があり、さらには安全保障や人々の生命を脅かす危険さえある。

本日提案された措置は、EU 製品法に関する新たな法的枠組みに基づき、以下を規定するものである。

■サイバーセキュリティ確保のためのデジタル要素を含む製品の市場投入に関する規則
■デジタル要素を含む製品の設計、開発、製造に関する必須要件、およびこれらの製品に関連する事業者の義務
■デジタル要素を含む製品のライフサイクル全体でのサイバーセキュリティ確保のためにメーカーが実施する脆弱性対応プロセスの必須要件、これらのプロセスに関連する事業者の義務、および悪用された脆弱性やインシデントについてのメーカーの率先報告義務
■市場の監視と執行に関する規則

新規則では、EU市場で入手可能なデジタル要素を含む製品のセキュリティ要件への適合を保証しなければならないメーカーに対する責任のバランスが再調整される。その結果、セキュリティ特性の透明性を高め、デジタル要素を含む製品への信頼を高め、プライバシーとデータ保護などの基本的権利の保護を強化することにより、消費者、市民およびデジタル製品を使用する企業に利益をもたらす。

世界中の各地域がこれらの問題への対処を検討する中、サイバーレジリエンス法は、EUの域内市場を超えて、国際的な基準になる可能性がある。本法に基づくEU標準は、その実施を促進し、グローバル市場における EU サイバーセキュリティ業界の資産となる。

提案された規制は、他のデバイスやネットワークに直接または間接的に接続されるすべての製品に適用される。ただし、医療機器、航空、自動車など、既にEU規則でサイバーセキュリティ要件が設定されている製品には、いくつかの例外がある。

[DW編集局]