SH4246 サイバーセキュリティ対策への企業間協⼒とEU競争法の留意点　亀岡悦子（2022/12/21）

　2022年9⽉15⽇、欧州委員会は、EU（欧州連合）のサイバーレジリエンス法（Cyber Resilience Act）案を公表した。EUサイバーレジリエンス法は、ICT製品に対するサイバー攻撃による被害からの復元⼒強化を主要な⽬的とする。具体的には、ICT製品についてのEUレベルのサイバーセキュリティ認証制度ネットワークの創設、ICT製品製造者の製品セキュリティ改善、製造業者、輸⼊業者、販売業者への⼀定の義務の明確化、違反した場合の制裁⾦を含む制裁措置の創設である。

EUでのサイバーセキュリティ関連⽴法

　EUサイバーレジリエンス法案は、EUのサイバーセキュリティについての最初のEU⽴法ではない。2019年6⽉27⽇に施⾏されたサイバーセキュリティ規則（Regulation (EU) 2019/881）は、欧州初の統合されたサイバーセキュリティ認証の枠組みで、EUのICT製品の新たなサイバーセキュリティ認証規格を制定しており、海外企業を含めEU内でネットワークに接続する製品などを輸⼊・販売する際に、セキュリティ証明書の取得を促す。規則に基づく罰則などの規定は2021年6⽉28⽇から既に適⽤されている。しかし、サイバーレジリエンス法草案の幅広い対象製品・業者と厳格な義務・制裁の観点から、採択されると「ブラッセル効果」を⽣じる⽴法の1つとなる可能性がある。

EUサイバーレジリエンス法案施⾏のタイミング

　欧州議会は、現在の任期である2024年前にこの⽴法案を採択する予定で、⽴法作業は続いており、現在のところ、2023年に発効し、2025年に施⾏されることが想定されている。2年間の猶予期間中に企業は法遵守の準備を求められる。2023年前半はスウェーデンがEU議⻑国となるが、ロシア・ウクライナ危機の影響によりサイバーセキュリティは重要な議題となり、EUサイバーレジリエンス法案の採択準備が優先課題の1つとなろう。

執⾏機関

　⽴法案によれば、EUの加盟国によって指定され、あるいは創設された市場監視当局（market surveillance authorities）が主要執⾏機関となり、欧州ネットワーク情報セキュリティ庁（European Union Agency for Cybersecurity）や欧州情報保護評議会（European Data Protection Board)と協⼒する。欧州ネットワーク情報セキュリティ庁は、欧州委員会の採択に向けてサイバーセキュリティ認証スキームの準備に関わる。

義務

　法案は、ハードウェアとソフトウェアの双⽅を含むデジタル製品製造者にさまざまな義務を課し、リスクに基づくサイバーセキュリティ確保および脆弱性開⽰・セキュリティ更新プログラムの提供等の製品の脆弱性対策への適合性評価を求める。重要なデジタル製品かそうでないか、あるいは製造者、輸⼊業者、販売業者かなどの製品との関わり合いによって、課される義務は異なる。重要なデジタル製品については、第三者認証機関での認証取得も義務付けられる。他の義務に先駆け最初に適⽤される規定は、報告義務となる予定である。現在の法案では、サイバーインシデントや脆弱性の悪⽤などの問題が探知された場合、24時間以内に市場監視当局への報告が義務付けられている。

制裁