IoTの法的位置づけについては、私のブログですと、
で触れているところですし、また、研究としては
- IPA「情報システム等の脆弱性情報の取扱いに関する研究会」2016年度報告書(「7. IoTの脆弱性を巡る法制度の整理に関する調査」)
- 「IoT の脆弱性と安全基準との法的な関係」という論文(InfoCOM Review 第69号(2017年7月31日発行) )
で触れているとこです。
しかしながら、ここ数年の動きは、めざましいところがあるので、フォローしなければならないと考えています。まずは、欧州からです。
欧州での動きに関しては、「EU -「サイバーセキュリティと無線機器指令」のお知らせ~ 2024年8月1日(現地時間)から義務化~」(2022年5月16日 一般財団法人日本品質保証機構)と「テュフズードジャパンより、IoT機器等のサイバーセキュリティに関する新たな法的要件追加のお知らせ IoT機器を含む大半の無線機器が、欧州RED委任規制の対象に」(テュフズードジャパン株式会社 2022年2月22日)などの記事が公表されています。
この二つの記事は、「RED委任規制2022/30」の重要性について触れているものです。
1 概観
IoTに関する欧州の戦略の概要は、「Secure solutions for the Internet of Things」のページになるかと思われます。
市場分析については、「Cybersecurity Market Analysis in support of Informed Cybersecurity Business Decisions」の記述が参考になります。
具体的なプロジェクトとして
1.1 セキュアIoT
SecureIoTは、次世代の分散型IoTシステムのセキュリティを確保するために、スマートオブジェクトの複数のネットワークにまたがり、さまざまなオープンセキュリティサービスを実装し、IoTサービスとサイバーセキュリティのグローバルリーダーたちが共同で取り組んでいるものです。
1.2 SEMIoTICS
SEMIoTICSは、個々のスマートオブジェクトのセキュリティ、プライバシー、依存性、相互運用性の間の依存関係をコード化するパターンをもとに、既存のIoTプラットフォームをベースにしたパターン駆動型のフレームワークであって、産業用IoTアプリケーションにおける安全かつ半自動的な動作を保証するために開発されたものです。
1.3 ENACT
ENACTは、セキュリティとレジリエンスを強化するための信頼性の高いIoTシステムの領域にDevOpsを可能にするプラットフォームイネーブラーです。また、FIWARE、SOFIA、TelluCloudなどの既存および新規のIoTプラットフォームでDevOpsを活用するために、これらのコンセプトの統合を促進しています。
1.4 IoT クローラー
IoTCrawlerは、IoTエコシステムのクローリング、ディスカバリー、インデックス作成、セマンティック統合、セキュリティにおけるオープンな課題と問題に取り組むプロジェクトです。Industry 4.0、スマートコミュニティ、スマートエネルギーに焦点を当てたデモンストレーションを行い、研究、イノベーション、技術の進歩を通じたインパクトを提供したとされています。
1.5 BRAIN-IoT。インテリジェントな分散型IoTシステムにおける信頼性の高いセンシングとアクチュエーションのためのモデルベースフレームワーク
BRAIN-IoTは、異種プラットフォームの分散型コンポーザブルフェデレーションにおける協調動作をサポートする方法論を確立するためにIoTシステムによって作動と制御がサポートされるシナリオに焦点を当てるものです。
1.6 SOFIE:どこでもインターネットを実現するセキュアオープンフェデレーション
SOFIEプロジェクトは、分散型台帳技術を使用して、アクチュエーション、監査可能性、スマートコントラクト、アイデンティティと暗号化キーの管理を可能にすることによって、ほぼ無制限のスケーラビリティを持つ分散型ソリューションが実現しセキュアでオープンなフェデレーションアーキテクチャとフレームワークを構築するプロジェクトです。
1.7 CHARIoT。産業用IoTのためのコグニティブヘテロジニアスアーキテクチャ
CHARIoTは、IoTシステムのプライバシー、セキュリティ、安全性に向けた統一的なアプローチをサポートするためのコグニティブ・コンピューティング・プラットフォームを提供するプロジェクトです。
1.8 SERIoT
SerIoTは、安全なルーター、高度な分析、ユーザーフレンドリーなビジュアル分析を備えた適応性の高いスマートなソフトウェア定義ネットワークに基づくIoTフレームワークを開発するプロジェクトです。
2 無線機器指令(RED指令 2014/53/EU)
まずは、無線機器指令(RED指令 2014/53/EU)についてみていきます。正式名称は、「無線機器の市場での提供に関する加盟国の法律の調和に関するもので、指令1999/5/ECを廃止する2014年4月16日付欧州議会および欧州理事会の指令 2014/53/eu」というところでしょうか。
これのEU法上の改正履歴については、「REDの適用と現在提起されている疑問について」(REDCA Chairman : ピーター デ ベアー Pieter de Beer)で触れられています(3ページ)。
その指令の目的は、
1. 本指令は,無線機器の市販及び連合国内での使用開始に関する規制の枠組みを確立するものである。
となっています。
第1章は、一般規定として、対象事項および範囲(1条)、定義(2条)、必須要件(3条)、無線機器およびソフトウエアの組み合わせによる適合性についての情報の規定(4条)、カテゴリにおける無線機気のタイプの登録(5条)、市販(6条)、提供と利用(7条)、無線機器クラスのインターフェース仕様と割当の通知(8条)、無線機器の自由な移転(9条)からなりたっています。
第2章「事業者(economic operators)の義務」です。この章は、製造者の義務(10条)、認定代理人(11条)、輸入者の義務(12条)、販売店(distributors) の義務(13条)、製造者の義務が輸入車、販売者に適用される場合(14条)、事業者の識別確認(15条)からなりたっています。
第3章は、「無線設備の適合性」です。適合性の推定(16条)、適合性評価手続(17条)、EU適合性宣言(18条)、CEマーキングの一般原則(19条)、CEマーキング・通知団体のID番号の付与のルールと条件(20条)、技術文書(21条)、からなりたっています。
第4章は、「評価機関の通知」です。通知(22条)、通知組織(23条)、通知組織に関する要件(24条)、通知組織についての情報の義務(25条)、通知組織に関する要件26条)、通知組織の適合性の推定(27条)、通知組織の子会社および下請け業者(28条)、通知の申請(29条)、通知の手続き(30条)、通知組織のID番号とリスト(31条)、通知の変更(32条)、通知組織の能力への異議(33条)、通知組織の運営上の義務(34条)、通知組織の決定への異議(35条)、通知組織の義務情報(36条)、経験の交換(37条)、通知組織の調整(38条)から成り立っています。
第5章は、「統一市場監視、統一市場参入無線機器のコントロールおよび安全策手続き」です。適合評価機関の認証および市場監視の要件に関する欧州理事会・理事会規則(EC) No 765/2008の適用の規定(39条)、国レベルでのリスクのある無線機器についての手続き(40条)、連合安全策(41条)、リスクある適合無線機器(42条)、不適合の場合の規定(43条)から成り立っています。
第6章は、委任立法、実施法と委員会の規定です。第7章は、最終および移行規定です。
これらの規定の中から、必須要件(3条)を見ます。同条は、
必須条件
1. 無線設備は、以下を確保するように構築されていなければならない。
(a)指令2014/35/EUに規定された安全要求事項に関する目的を含む、人および家畜の健康および安全の保護、ならびに財産の保護、ただし電圧制限は適用しない。
(b)指令2014/30/EUに規定されている適切なレベルの電磁両立性
2. 無線機器は、有害な干渉を回避するために、無線周波数の効率的な使用を支援するように構築されなけれ ばならない。
3. 特定カテゴリまたはクラス内の無線機器は、以下の基本要件に適合するように構築されなければならない。
(a)無線機器は付属品、特に共通の充電器と相互接続する。
(b)無線機器は,他の無線機器とネットワークを介して相互接続する。
(c)無線機器は、連合全体を通して適切なタイプのインターフェースに接続できること。
(d)無線装置がネットワーク又はその機能に害を与えず、ネットワーク資源を誤用せず、それによって許容できないサービスの劣化を引き起こさないこと。
(e)無線装置が、利用者及び加入者の個人データ及びプライバシーが確実に保護されるようにするための保護手段を組み込んでいること。
(f)無線設備が、不正行為からの保護を保証する一定の機能をサポートしていること。
(g)無線設備が、緊急サービスへのアクセスを保証する一定の機能をサポートすること。
(h)無線設備が、障害を持つ利用者の使用を容易にするための一定の機能をサポートしていること。
(i)無線機器は、無線機器とソフトウェアの組み合わせの適合性が実証された場合にのみ、ソフトウェアを無線機器にロードできるようにするための一定の機能をサポートすること。
欧州委員会は、第44条に従い、本項第1号(a)から(i)に定める各要件がどのカテゴリー又はクラスの無線機器に関係するかを特定する委任行為を採択する権限を有する。
となっています。
1項の「指令2014/35/EU」というのは、「低電圧指令(LVD)2014/35/EU」です。「指令2014/30/EU」は、EMC指令です。ガイドは、こちら。
ここで、確認する「サイバーセキュリティと無線機器指令」については、第3条3項(d)(e)(f)が関連します。
3 委任規則(EU)2022/30
でもって、委任規則(EU)2022/30を見ていきます。本文は、こちらです。
欧州議会及び理事会の指令2014/53/EUの第3条(3)、(d)、(e)及び(f)に言及する必須要件の適用に関して補足する2021年10月29日の委員会委任規則(EU)2022/30(EEA関連文言)
となります。
また、総務省が、今年の3月に開催したワークショップの資料があります。
あまり、長いものでもないので、全文、翻訳してみましょう。。
欧州委員会
欧州連合の機能に関する条約に留意し
無線機器の市販に関する加盟国の法律の調和に関する2014年4月16日の欧州議会及び理事会の指令2014/53/EU、特に第3条(3)第2項、第3条(3)第1項、ポイント(d)、(e)及び(f)と併せて廃止する指令1999/5/EC(1)、に留意して、次のとおりとする。
ここで
(1)ネットワーク又はその機能の危害からの保護、利用者及び加入者の個人データ及びプライバシーの保護並びに詐欺からの保護は、サイバーセキュリティリスクに対する保護を支持する要素である。
(2)指令2014/53/EUの説明13に記載されているように、無線機器のユーザ及び加入者の個人データ及びプライバシーの保護、並びに不正行為からの保護は、無線機器の特定の機能によって強化される可能性がある。その説明文によれば、したがって、適切な場合には、無線機器は、それらの機能をサポートするように設計されるべきである。
(3)5Gは、今後数年間、連合のデジタル経済および社会の発展において重要な役割を果たし、連合の市民生活のほぼすべての側面に影響を与える可能性がある。Cybersecurity of 5G networks EU Toolbox of risk mitigating measures“というタイトルの文書では、5Gネットワークの主なサイバーセキュリティリスクを軽減できる共通の対策を特定し、国およびEUレベルでの軽減計画で優先されるべき対策を選択するためのガイダンスを提供している。これらの対策に加え、5G無線機器がEU市場に投入される際に適用されるサイバーセキュリティ保護の要素に関連する必須要件に対する調和されたアプローチに従うことが非常に重要である。
(4)ネットワーク保護、個人データ及びプライバシー保護のためのセーフガード、及び不正行為からの保護を確保するために第3条(3)(d)、(e)、(f)に定める連合必須要件に基づいて適用されるセキュリティレベルは、これらの要件に従うスマートメータが使用されるエネルギー分野における分散型スマートグリッド、及び欧州議会及び理事会の指令(EU)2018/1972に(注 欧州電子通信法典をさす)おける意味での公共電子通信ネットワーク及び公に利用できる電子通信サービスのプロバイダによって用いられる5Gネットワーク設備に対して国家レベルで要請される高いレベルのセキュリティが損なわれないものとする 。
(5) また、専門家や子供を含む消費者による以下のような無線機器の使用が増加した結果、サイバーセキュリティリスクが増加することに関して、多数の懸念が表明されている。(i) 当該インターネット接続機器が、直接または中間装置を介してインターネットとデータを交換するために必要なプロトコルを動作させるものであるか否かを問わず、それ自体がインターネット上で通信可能な無線機器(「インターネット接続型無線機器」)、(ii) 欧州議会及び理事会指令 2009/48/EC (4)(注 改正玩具指令ともいわれる)の範囲にも含まれる無線機能付き玩具であるか、児童モニタのように育児専用に設計又は意図されたもの。または (iii) 腕時計、指輪、リストバンド、ヘッドセット、イヤホンまたは眼鏡の形をした無線機器(「装着型無線機器」)など、排他的か否かを問わず、人体のあらゆる部分(頭部、首、体幹、腕、手、脚および足を含む)または人が着用する衣服(ヘッドウェア、ハンドウェアおよび履物を含む)に装着、ストラップアップまたは吊るすために設計または意図されているもの。
(6)この点、育児用無線機器、指令2009/48/ECの対象となる無線機器、装着型無線機器は、直接通信するか他の機器を経由するかを問わず、それ自体がインターネット上で通信可能であれば、インターネット接続型無線機器と見なすべきである。例えばインプラントは、人体や衣服に装着したり、紐で縛ったり、ぶら下げたりしないので、ウェアラブル無線機器とみなされるべきではない。しかし、インプラントは、直接通信するか他の機器を経由するかは問わず、それ自体がインターネット上で通信できるのであれば、インターネット接続型無線機器とみなされるべきである。
(7)無線機器がサイバーセキュリティリスクの要素に対する保護を保証していないという事実から生じる懸念を考慮し、特定のカテゴリまたはクラス内の無線機器に、ネットワークへの危害からの保護、ユーザーおよび加入者の個人データおよびプライバシーの保護、詐欺からの保護に関連する指令2014/53/EUの必須要件を適用させることが必要である。
(8)指令2014/53/EUは、当該指令の第2条にある「無線機器」の定義を満たす製品に適用されるが、当該指令の第1条(2)および第1条(3)に明記されている特定の除外事項に従うものとされる。指令 2014/53/EU の第 2 条における無線機器の定義は、電波で通信できる機器を指すが、指令 2014/53/EU のどの要件も無線機器の無線機能と非無線機能を区別していないため、機器のすべての側面と部品はこの委任規則に規定されている必須要件に準拠する必要がある。
(9)ネットワーク又はその機能に対する危害又はネットワーク資源の不正使用に関しては、ネットワークが危害を受けないこと又は不正使用されないことを保証しないインターネット接続型無線機器によって、許容できないサービスの劣化が引き起こされる可能性がある。例えば、攻撃者が悪意を持ってインターネット網を氾濫させて正当なネットワークトラフィックを妨げたり、2つの無線製品間の接続を妨害してサービスへのアクセスを妨げたり、特定の人がサービスにアクセスするのを妨げたり、特定のシステムまたは人へのサービスを妨害したり、情報を破壊したりすることがある。このようにオンラインサービスの低下は、悪意のあるサイバー攻撃となり、事業者、サービスプロバイダ、利用者のコスト、不便さ、リスクの増加につながる。無線機器がネットワークまたはその機能に害を与えず、またネットワーク資源を悪用せず、それによって許容できないサービスの低下を引き起こさないことを要求する指令2014/53/EUの第3条(3)項、(d)は、したがってインターネット接続無線機器に適用されるべきものである。
(10)また、スピーカー、マイク、その他のセンサーが無線機器に組み込まれている場合、無線機器が情報を記録、保存、共有し、子供を含むユーザーと対話することができるため、インターネット接続された無線機器のユーザーおよび加入者の個人データおよびプライバシー保護に関して、懸念が提起されている。これらの懸念は、特に、写真、ビデオ、位置情報データ、プレイ体験に関連するデータ、心拍数、睡眠習慣、その他の個人データを記録する無線機器の能力に関するものである。例えば、接続やデータが暗号化されていない場合、あるいは強力な認証メカニズムが導入されていない場合、無線機器の高度な設定にデフォルトのパスワードでアクセスすることが可能である。
(11)したがって、欧州議会および理事会の規則(EU)2016/679(注 GDPR)の第4条(1)に定義される個人データ(5)または欧州議会および理事会の指令2002/58/ECの第2条、ポイント(b)および(c)に定義されるデータを処理できる場合、EU市場に投入されるインターネット接続無線機器は、個人データおよびプライバシーが確実に保護されるようにセーフガードを組み込むことが重要である(6). したがって、指令2014/53/EUの第3条(3)項、(e)点は、インターネットに接続された無線機器に適用されるべきである。
(12)さらに、個人データとプライバシーの保護に関して、育児用無線機器、指令2009/48/ECの対象となる無線機器、ウェアラブル無線機器は、インターネット接続がない場合でもセキュリティリスクをもたらす。その無線機器が電波を発信または受信し、個人情報およびプライバシー保護を保証する安全装置がない場合、個人情報が傍受される可能性があります。保育用無線機器、指令2009/48/ECの対象となる無線機器、ウェアラブル無線機器は、ユーザーの多くの機密(個人)データを長期にわたって監視・登録し、安全でない可能性のある通信技術を通じてそれらを再送信することができます。育児用無線機器、指令2009/48/ECの対象となる無線機器、およびウェアラブル無線機器は、規則(EU)2016/679の第4条(2)の意味における個人データ、または指令2002/58/ECの第2条、ポイント(b)および(c)に定義される交通データおよび位置データを処理できる場合、個人データおよびプライバシーの保護も保証されるべきである。したがって、指令2014/53/EUの第3条(3)項、ポイント(e)は、その無線機器に適用されるべきです。
(13)不正行為に関しては、個人データを含む情報がインターネットに接続された無線機器から盗まれる可能性があり、不正行為からの保護は保証されない。インターネット接続された無線機器がインターネット上での支払いに使用される場合、特定の種類の不正行為が懸念される。そのコストは高く、不正行為の被害に遭った人だけでなく、社会全体に関わるものです(例えば、警察の捜査費用、被害者へのサービス費用、責任追及のための裁判費用など)。したがって、インターネットに接続された無線機器の利用者が、その無線機器を介して支払いを実行する際に、信頼できる取引を確保し、金銭的損失を被るリスクを最小限に抑えることが必要である。
(14)連合市場に投入されるインターネット接続無線機器は、保有者または利用者が欧州議会および理事会の指令(EU)2019/713 (非金銭的支払い手段の第2条、ポイント(d)に定義される金銭、貨幣価値または仮想通貨を送金できるようにする場合、不正行為からの保護を確保するための機能をサポートすべきである(7)。したがって、指令2014/53/EUの第3条(3)、ポイント(f)は、その無線機器に適用されるべきです。
(15)欧州議会及び理事会の規則(EU)2017/745は医療機器に関する規則を定め、欧州議会及び理事会の規則(EU)2017/746は体外診断用医療機器に関する規則を定めている。規則(EU)2017/745および(EU)2017/746はいずれも、指令2014/53/EUの第3条(3)、ポイント(d)、(e)、(f)が扱うリスクに関連するサイバーセキュリティリスクの特定の要素を扱っている。したがって、これらの規則のいずれかが適用される無線機器は、指令2014/53/EUの第3条(3)、ポイント(d)、(e)、(f)に定める必須要件に適合すべき無線機器のカテゴリまたはクラスに該当しないものとする。
(16)欧州議会および理事会の規則(EU)2019/2144(10)は、車両、およびそのシステムおよびコンポーネントの型式承認のための要件を定めています。また、欧州議会及び理事会規則(EU)2018/1139(11)の主要目的は、EUにおける民間航空の安全性の高い均一なレベルを確立し維持することである。さらに、欧州議会と理事会の指令(EU)2019/520(12)は、電子道路料金システムの相互運用性と、EU内の道路料金未払いに関する情報の国境を越えた交換を促進するための条件を定めている。規則(EU)2019/2144および(EU)2018/1139と指令(EU)2019/520は、指令2014/53/EUの第3条(3)、ポイント(e)および(f)に規定されるリスクに関連するサイバーセキュリティリスクの要素に対処するものである。したがって、規則(EU)2019/2144および(EU)2018/1139または指令(EU)2019/520が適用される無線機器は、指令2014/53/EUの第3条(3)、ポイント(e)および(f)に定める必須要件に適合すべき無線機器のカテゴリーまたはクラスに該当しないものとする。
(17)指令 2014/53/EU の第 3 条は、経済事業者が遵守すべき必須要件を規定している。これらの要求事項への適合性評価を容易にするため、それらの要求事項の詳細な技術仕様を表現する目的で、欧州議会と理事会の規則(EU)No 1025/2012 (13) に従って採択された任意の整合規格に適合する無線機器の適合性の推定を規定しています。その仕様は、本規則が関係する無線機器の各カテゴリー又はクラスの意図された使用に対応するリスクのレベルを考慮し、対処するものである。
(18)事業者は、本規則の要件に適応するために十分な時間が提供されるべきである。したがって、本規則の適用は延期されるべきである。本規則は、経済事業者がその発効日から本規則に従うことを妨げない。
(19)欧州委員会は、本規則に定める措置の準備作業中に適切な協議を行い、無線設備に関する専門家グループと協議を行った。
本規則を採択した。
第1条
1. 指令2014/53/EUの第3条(3)項(d)に定める必須要件は、直接通信するか他の機器を経由するかを問わず、インターネット上で自己通信できるあらゆる無線機器(「インターネット接続型無線機器」)に適用されるものとする。
2. 指令2014/53/EUの第3条(3)項(e)に定める必須要件は、当該無線機器が、規則(EU)2016/679の第4条(2)の意味において、規則(EU)2016/679(注 GDPR)の第4条(1)に定義する個人データ、または指令2002/58/EC(注 eプライバシー指令)の第2条(b)および(c)に定義するトラフィックデータおよび位置データを処理できる場合に、以下のいずれの無線機器に対して適用される。
(a)インターネット接続された無線機器であって、ポイント(b)、(c)又は(d)に言及される機器以外のもの。
(b)育児専用に設計または意図された無線機器。
(c)指令2009/48/ECの対象となる無線機器。
(d)専らであるか否かを問わず、以下のいずれかに装着、ストラップアップ、または吊り下げられるように設計または意図された無線機器。
(i)頭、首、体幹、腕、手、脚、足など、人体のあらゆる部分。
(ii) 頭部、手部、足部を含む、人間が着用する衣服。
3. 指令2014/53/EUの第3条(3)項(f)に定める必須要件は、当該機器が、金銭、貨幣価値又は指令(EU)2019/713の第2条(d)に定義する仮想通貨を保有者又は使用者が移転できるようにする場合、すへてのインターネット接続型無線機器に適用される。
第2条
1. 第1条からの委任により、指令2014/53/EUの第3条(3)、点(d)、(e)及び(f)に定める必須要件は、以下のいずれかの連合法も適用される無線機器に適用されない。
(a)規則(EU)2017/745。(注 EU 医療機器規則- なお、概要は、こちら)
(b)規則(EU)2017/746。(注 EU体外診断用医療機器規則-なお、概要はこちら)
2. 第1条(2)及び第1条(3)からの委任により、指令2014/53/EUの第3条(3)、ポイント(e)及び(f)に定める必須要件は、以下のいずれかの連合法も適用される無線機器に適用されない。
(a)規則(EU)2018/1139。(注 民間航空分野における共通規則及び欧州連合航空安全庁の設置に関する 2018 年7 月 4 日の欧州議会及び理事会の規則(EU) )
(b)規則(EU)2019/2144。(注 一般安全ならびに車両乗員および交通弱者の保護に関する型式認可要件)
(c)指令(EU) 2019/520。(注 解説「EU が 15 年ぶりに電子道路課金の相互運用性に関する指令を大幅改正 」 )
第3条
この規則は、欧州連合官報に公示された日の翌日から20日目に発効するものとする。
2024年8月1日から適用されるものとする。
本規則は、その全体が拘束力を持ち、すべての加盟国において直接適用されるものとする。
2021年10月29日、ブリュッセルにて制定。
欧州委員会の場合
委員長
ウルスラ・ヴォン・ダー・ライエン(Ursula VON DER LEYEN