EU圏にデジタルが出荷できなくなる日
- 株式会社DIVERT NEWS
- 3 日前
- 読了時間: 5分
CRAを正しく理解するために。
序章
この文章は、誰のために書かれているか
この連載は、次のような立場の人を主な読者として想定している。
・EU向けに、家電・電子機器・ソフトウェア・IoT製品を出荷している、または出荷予定の企業
・CEマークやEU法規制対応を、品質部門や外部ベンダーに任せてきた経営層・事業責任者
・「ISOやIECは取っているから大丈夫だろう」と思いつつ、どこか不安を感じている技術・法務・情シス担当者
・CRAについて名前は聞いたが、何を根拠に判断すればよいのか分からない人
逆に言えば、EU市場に製品を出さない企業、デジタル要素を一切含まない製品だけを扱う企業にとっては、この連載は必要ないかもしれない。
しかし、ソフトウェア更新、ネットワーク接続、クラウド連携、あるいは「将来そうなる可能性」が一つでもあるなら、CRAは決して他人事ではない。
「EUで出荷できなくなる日」とは何か
サイバーレジリエンス法(Cyber Resilience Act:CRA)は、EUが新たに導入するデジタル製品向けの包括的なサイバーセキュリティ規制である。
この法律の本質は、罰金額の大きさでも、義務項目の多さでもない。
最大の特徴は、次の一点にある。
「要件を満たしていない製品は、EU市場に出してはいけない」
CRAは「努力を求める法律」ではない。市場への入場そのものを制限する法律である。
ある日突然、
・新製品がEUで販売できない
・既存製品の出荷が止められる
・CEマークが事実上使えなくなる
こうした事態が、制度として明確に起こり得る。
この連載で言う「EUでデジタル製品が出荷できなくなる日」とは、まさにこの状況を指している。この点については、次章(第1章)で詳しく整理する。
CRAは「制度」ではなく「附属書」を読む法律である
日本では、CRAについてまだ断片的な情報しか流通していない。
・新しいEUのセキュリティ規制
・IoT向けの法規制
・CEマークが厳しくなる
こうした説明を見かけることが多いが、これらはCRAの本質を捉えているとは言い難い。
CRAは、理念を語る法律ではない。チェックリストを埋めれば終わる制度でもない。
CRAを一言で表すなら、こうなる。
「ANNEX(附属書)を満たしていない製品は、EU市場に出してはいけない」
この一点に尽きる。
日本企業がCRAを誤解する理由
日本企業がCRAを誤解しやすい最大の理由は、本文(Articles)ばかりを読もうとすることにある。本文には、責任主体、市場監視、罰則、適合性評価の枠組みが書かれている。しかし、それらはあくまで「枠」であって、「中身」ではない。
EU当局が実際に見るのは、
・その製品が、どの要求を満たしているのか
・それを、なぜ満たしていると言えるのか
という点である。
この「中身」が、ANNEX(附属書)に集約されている。
CRAの正体は ANNEX I〜IV にある
CRAには複数の附属書が存在するが、実務上、最低限理解すべきなのは次の4つである。
① ANNEX I製品が満たすべき必須サイバーセキュリティ要件(設計・開発・製造・出荷後運用まで含む)
② ANNEX II利用者に提供すべき情報・指示(取扱説明書、UI表示、Web記載など)
③ ANNEX IIIImportant Products(重要製品)の定義(条件付きで第三者評価が必要)
④ ANNEX IVCritical Products(重大製品)の定義(無条件で第三者評価が必要)
CEマーク、適合宣言、自己評価、Notified Body。これらはすべて、ANNEX I〜IVを前提とした「手段」にすぎない。
ANNEXを理解しないまま、「自己評価でいけるのか」「第三者評価が必要か」を議論すること自体が、実は本末転倒なのである。
「ANNEXを読む」とは、どういうことか
ここで言う「読む」とは、英語を日本語に置き換えることではない。
ANNEXを理解するとは、次の問いに答えられる状態を指す。
・この製品には、どの要求が適用されるのか
・適用されない要求があるなら、なぜ適用されないのか
・適用される要求について、設計・運用として何をしているのか
・それを、第三者に説明できるか
「全部やっています」という答えは不要である。EUが求めているのは、完全性ではなく、合理性と説明責任だ。
CRAを理解するとは、どの立場に立つことか
CRA対応とは、新しい規制に振り回されることではない。
それは、EU市場に製品を出すメーカーとして、何をやり、何をやっていないかを、原文に基づいて説明できる立場に立つことである。
その入口が、ANNEX I・II・III・IV を、EUR-Lex(Official Journal準拠)で読むことなのだ。
では次章から、日本企業がこの規制とどう向き合うべきかを、順を追って整理していきたい。
※EUR-Lex(Official Journal準拠)で読むこととは
CRAやANEXの原文は、EUの公式法令データベースである EUR-Lex に公開されている。多くの人がダウンロードするPDFには、次のような注意書きが付いている。
「This text is meant purely as a documentation tool and has no legal effect.」
これは、「この内容が違う」という意味ではない。中身は同一だが、法的な原本はEU官報(Official Journal)であるという、EU法体系上の整理である。
実務上は、このPDF(consolidated text)を使って何の問題もない。しかし、自分が読んでいるのは“参照用”であり、根拠は官報に遡れるという理解を持っているかどうかで、専門性は大きく分かれることを頭の片隅には置いておいて欲しい。
📘 本連載について
本連載では、EUサイバーレジリエンス法(CRA)について、「何が変わるのか」「なぜ日本企業がつまずくのか」そして「どうすれば実務として前に進められるのか」を、法務・開発・運用を横断する実務目線で整理しています。
これまでの記事(無料公開)
第1章:EUサイバーレジリエンス法(CRA)で「EUで売れなくなる日」が来る
第2章:サイバーレジリエンス法(CRA)は、単なるEUのセキュリティ規制ではない― EU市場に入れる製品と、入れない製品を分ける基準
第3章:書類が不要なのではない―「現場と切り離された書類」が意味を持たない
第4章:日本企業がCRAでつまずく構造的な理由
第5章:IEC 62443とCRAの関係を正しく理解する― CRA対応を「分からない規制」から「判断できる課題」に変える
以下Noteでお楽しみください。
第6章 CRAが求める「セキュアな製品」とは何か
第7章 出荷後が本番 ― CRAと運用・保守の関係
第8章 サプライチェーンと責任の所在
第9章 CRA対応の現実的な進め方
第10章 技術と法律をどう橋渡しするか
第11章 ケーススタディ(想定例)
終章 「分からない規制」を「進められる課題」に変える
※第5章以降は、CRA対応を実際の設計・開発・運用に落とし込むための内容となるため、有料公開となります。
コメント