国土交通省から「自動車の特定改造等の許可制度を本年11月より開始します ―適切なソフトウェアップデートを確保するための環境整備について―」というアナウンスがでていました。(8月5日)

なぜか、9月14日の記事(「自動運転でサイバー防御　ソフト配信、国の許可制に」)です(日本経済新聞)

概要のスライドは、これです。

OTAアップデートといわれる行為になりますが、「特定改造等」と定義されることになります。

対象行為としては、

• ①保安基準適合性に影響を及ぼすソフトウェアアップデートを電気通信回線の使用によりする行為 （Over The Air）
•  ①のアップデートを目的として、当該アップデートのためのソフトウェアを整備事業者等に提供する行為

となり、協力・体制・保安基準適合性が審査されて許可されることになるとのことです。

型式認定を経ている場合に、OTAは、許容されるのか、という論点があったわけですが、それに対して、許可制として整理したということになります。

でもって、許可をうけた業者が、OTAで アップデートする場合は、改造になるわけですが、あと、使用者のところに、アップデートが降ってきて、使用者その他のものがそれを適用というような場合については、プログラムの提供行為が、改造等の行為とされるということになります。

具体的な許可の要件としては、

プログラム等の適切な管理及び確実な改変並びにサイバーセキュリティを確保するための業務管理システムであって、下記（ⅰ）及び（ⅱ）に掲げる要件に適合するものを有すること

として

（ⅰ）プログラム等の適切な管理及び確実な改変を確保するための業務管理システムの要件
 業務管理システムは以下のプロセスを有すること。
・ プログラム等の改変による改造の対象となる車両を特定するためのプロセス・ プログラム等及びハードウェアの構成の互換性を検証するためのプロセス
・ プログラム等の改変による改造が他のシステムに及ぼす影響を評価及び記録するためのプロセス
・ プログラム等の改変による改造に関する情報を使用者等に通知するためのプロセス
・ 上記検証及び評価の結果、プログラム等の改変による改造の内容、当該改造の実施状況等の当該改造に関する情報を記録し、保管するためのプロセス
・ プログラム等の改変による改造の開始前において、改竄を合理的に防止するために当該改造が保護されることを確保するためのプロセス
・ プログラム等の改変による改造が運転中に行われる場合において、当該改造が車両の安全性に影響を及ぼさないことを評価するためのプロセス（１号申請者に限る。）
（ⅱ）サイバーセキュリティを確保するための業務管理システムの要件
 業務管理システムは、開発・生産・生産後の各段階が考慮されたものであること。
 業務管理システムにおいて使用される以下のプロセスにより、サイバーセキュリティが十分に考慮されることが確保されていること。
・ サイバーセキュリティを管理するためのプロセス
・ 車両に対するリスクを特定するためのプロセス
・ 特定されたリスクを評価、分類及び処理するためのプロセス
・ 特定されたリスクが適切に管理されていることを検証するためのプロセス
・ 車両のシステムのサイバーセキュリティをテストするためのプロセス
・ リスクアセスメントが最新に保たれていることを確保するためのプロセス
・ 車両へのサイバー攻撃、サイバーセキュリティに対する脅威及び脆弱性の監視、検出及び対応のためのプロセス並びに実施されたサイバーセキュリティを確保するための対策が依然として有効であるかどうかを評価するためのプロセス

となっています。