IoTラベリングのアプローチ-セキュリティ/セーフティと市場・認知バイアスそして介入のもつれ

IoTについてのラベリングアプローチというのが面白そうだなあと考えています。国連のOEWGに合わせて開催されたオンライン会議で、ちょうど話題に出て、シンガポールの制度を調べて確認したところ、わが国でも同様の議論がでていることに気がつきました。

1 わが国での議論

1.1 課題と方向性

わが国ですと、経済産業省「第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」がこのような議論を行っています。

議論の方向性についての資料としては「IoT製品に対するセキュリティ適合性評価制度の構築について」になります。

議論の課題としては(スライド19頁)

  • IoT機器メーカー視点の課題として、メーカーにおけるセキュリティ対策の取組を利用者にアピールすることができず、対策に要するコストを製品の販売価格に反映しづらい。また、既存制度の認証取得による明確なインセンティブが存在していない。
  •  IoT機器利用者視点では、適切なセキュリティ対策が施された製品がわかりづらいため、適切な対策が施されていない製品を購入してしまうことに繋がり、結果として、セキュリティ対策が担保されているかが不透明なIoT製品が国内に多く導入されてしまうおそれ。
  • 対象範囲に関する課題として、例えば総務省規則の対象外であるスマートロックにおいて十分なセキュリティ対策が施されていない場合、利用者の財産に影響を及ぼすインシデントにつながるおそれ。このような製品においては、製品安全に関する「電気用品安全法」の技術基準の解釈において、通信機能途絶時の対応や操作端末の識別管理に関する要件が含まれているものの、一般的なセキュリティ対策についてはカバーできていない。
  • 国際競争力に関する課題として、現行の取組は諸外国と相互認証を行える領域も限定的であることから、我が国のIoT製品がグローバルマーケットから弾き出されるおそれ。

があり、そこでは、

  • IoT製品のセキュリティ対策を適切に評価し、適切な対策が講じられているIoT製品が広まる仕組みの構築が必要。
  • その際には、我が国のIoT製品がグローバルマーケットから弾き出されないよう、諸外国の取組を考慮することが必要。

とされています。

1.2 具体的な課題

具体的に議論すべき論点としては、

1. どのようなIoT製品を対象とすべきか。

✓ 諸外国制度と同様の対象範囲とする
✓ 直接的/間接的にインターネットに接続するIoT製品を対象とする
✓ 消費者向けIoT/産業用IoTのいずれか/いずれも対象とする 等

2. どのような適合性評価基準を採用すべきか。

✓ ドイツ、シンガポール、フィンランドのラベリング制度と同様にETSI EN 303 645をベースとする
✓ Common Criteriaと同様にISO/IEC 15408をベースとする
✓ 新たな基準を開発する 等

3. どのようなスキームで適合性評価を行うべきか。

✓ 政府が制度のスキームオーナーとなりつつ、適合性評価は民間の適合性評価機関が実施する
✓ シンガポールのラベリング制度のように自己適合宣言(第一者評価)を認める/ドイツ・フィンランドのラベリング制度のように適合性評価機関による評価(第三者評価)を必須とする
✓ 諸外国との相互承認を認める/相互認証の形式を取らずとも、各国の制度において外国の適合性評価機関を認める 等

4. 諸外国とはどのような国々と、どのような共通認識を醸成していくべきか。

✓ 二国間対話(日米、日EU、日英、日シンガポール等)やQUAD間での議論を実施し、相互承認スキームの構築を目指す/相互承認に形式は取らずとも適合性評価基準を一致させる 等

5. その他、上記の討議事項のほか、今後制度の骨格を検討するにあたり、大きく議論すべき論点はあるか。

✓ 適合性評価にかかる費用・期間のあるべき姿、評価後にセキュリティの懸念が発覚した場合の扱い(市場監査、罰則)、制度の広報 等

があることが呈示されています(スライド19頁)。

なお、スライド24頁では、オーストラリアの行動経済学チームの報告が紹介されています。個人的には、セキュリティラベル取得のためのコストと、ラベルの効果とで、コンジョイント調査も行ってほしいというような気がします。

なお、このスライドでは、アメリカ、イギリス、欧州、ドイツ、フィンランド、オーストラリア、シンガポールの動向が紹介されています(5-10頁)。

1.3 議論されていること

ということで、ここで議論されているのは、どういうことでしょうか。

1.3.1 IoT製品に対するセキュリティ適合性評価制度構築

そもそも、ここで、議論されているIoT製品に対するセキュリティ適合性評価制度とは何なのでしょうか、という問題があります。

上のMETIの委員会は、産業サイバーセキュリティ研究会WG3 (サイバーセキュリティビジネス化)のサブワーキンググループということになります。2022年4月6日の会議でしめされた取組のひとつとなるかと思います。そのときに、事務支局の資料は、こちらです。

でもって

安心して製品・サービスを利用できる基盤を構築
    1. Proven in Japan(検証基盤)
    2. 情報セキュリティサービス審査登録制度
    3. セキュリティに関する契約の在り方の検討

隠れたニーズに対応したビジネスの創出ことにより、セキュリティ産業の発展を目指す。

    1. サイバーセキュリティお助け隊
    2. 中小企業向け製品・サービスの検証

市場への展開

6.コラボレーション・プラットフォーム

という枠組のなかで、検討されていることがわかります。このWG3資料ですと、27頁で、「適切なセキュリティ対策が施された製品の導入を促進するための製品に対するセキュリティラベリング制度が検討されている」とされています。

このような文脈でみると

「IoT製品に対するセキュリティ適合性評価制度構築」というのは、IoT機器に対するセキュリティ要件についての適合性についての検証するための仕組み、という趣旨であろうかと推測しています。

ちなみに

  • 第三者ソフトに関するベンダの情報提供責任(第48条第1項)
  •  第三者ソフトの瑕疵等に関する責任分担(第48条第4項)
  •  ソフトウェア開発期間中の第三者ソフトの保守契約をユーザが締結することとする(第48条第3項)

というモデル契約書の条項は、このプロジェクトの一環ということだそうです。勉強したいと思います(WG3資料30頁)

1.3.2 議論の対象

議論の対象として、「直接的/間接的にインターネットに接続するIoT製品を対象とする」「 消費者向けIoT/産業用IoTのいずれか/いずれも」とかの議論があるとされています。ここで、これらの用語をみていくことにしたいと思います。

上の「IoT製品に対するセキュリティ適合性評価制度の構築について」の資料においても、各国の政策が紹介されていて、たとえば、

  • アメリカ)Executive Order on Improving the Nation’s Cybersecurity(2021年5月)-NISTに対して消費者向けIoT製品のラベリング制度の検討を指示。
  •  イギリス)2018年にDCMS(デジタル・文化・メディア・スポーツ省)が、消費者向けIoT製品のセキュリティに関する13の行動規範である「Code of Practice for Consumer IoT Security」を公開
  • 同)Product Security and Telecommunications Infrastructure Bill(検討中)-インターネットに接続するスマートフォン、スマートTV、スマートスピーカー等の機器に対して、セキュリティ対策を義務化する内容が含まれている。
  • EU)EUサイバーレジリエンス法(2022年9月草案発表、2025年後半施行予定)-(機器またはネットワークへの直接的又は間接的な論理的又は物理的データ接続を含むデジタル要素を有する製品)
  • EU)無線機器指令(RED)(2014/53/EU)(2022年2月発行、2024年8月より義務化予定)-直接又は間接にインターネットに接続する無線製品
  • ドイツ)IT-Sicherheitskennzeichen (IT Security Label)(2021年12月~)
  • フィンランド)Finnish Cybersecurity Label (2020年1月~)
  • シンガポール)Cybersecurity Labelling Scheme (CLS) (2020年10月~)
  • オーストラリア) Labelling for Smart Devices (検討中)

などがあがっています。

ということで、上で上がっている規定等のうち、アメリカ・イギリス・EUの概念に関連する部分と議論されている基本的な概念を見ていきたいと考えています。

2 具体的な米・英・EUの規定

2.1 アメリカ

2.1.1 大統領14028

Executive Order on Improving the Nation’s Cybersecurity(2021年5月)-NISTに対して消費者向けIoT製品のラベリング制度の検討を指示。

これについては、大統領令14028になります。 、これのまるちゃんのところの紹介は、こちらです。関連する部分を訳します。

4条 ソフトウエア・サプライチェーンセキュリティの拡張

(略)

(s) 商務長官は、NIST長官を通じて、NIST長官が適切と考える他の機関の代表者と連携して、モノのインターネット(IoT)機器のセキュリティ機能及びソフトウェア開発の実践について公衆を教育するために、既存の消費者製品ラベリングプログラムに留意したパイロットプログラムを開始し、メーカー及び開発者にこれらのプログラムに参加するインセンティブを与える方法を検討するものとする。
(t) この命令の日から270日以内に、商務長官は、NIST長官を通じて、連邦取引委員会(FTC)の委員長およびNIST長官が適切と考える他の機関の代表者と連携して、消費者表示プログラムのためのIoTサイバーセキュリティ基準を特定し、当該消費者表示プログラムが適用法に合致する既存の同様の政府プログラムと連携して、またはこれをモデルとして運用されるかどうかを検討するものとする。 基準は、製品が受ける可能性のあるテストと評価のますます包括的なレベルを反映するものとし、製造業者が自社製品のセキュリティについて消費者に知らせるために使用している既存のラベリングスキームを使用するか、それと互換性のあるものとする。 NIST長官は、すべての関連情報、ラベリング、およびインセンティブ・プログラムを検証し、ベスト・プラクティスを採用するものとする。 この検討は、消費者にとっての使いやすさと、製造業者の参加を最大化するためにどのような手段を講じることができるかということに焦点を当てるものとする。
(u) 本命令の日付から270日以内に、商務長官はNIST長官を通じて、FTC議長およびNIST長官が適切と考える他の機関の代表者と協力して、消費者ソフトウェア表示プログラムのための安全なソフトウェア開発の実践または基準を特定し、当該消費者ソフトウェア表示プログラムが、適用法に合致した既存の同様の政府プログラムと共に、またはそれをモデルとして運営できるかどうかを検討するものとします。 基準は、安全な実践の基本水準を反映するものとし、実行可能であれば、製品が受ける可能性のある試験および評価の包括的な水準をさらに反映するものとする。 NIST 長官は、すべての関連情報、ラベリング、インセンティブプログラムを調査し、ベストプラクティスを採用し、推奨ラベルまたは可能であれば段階的なソフトウェアセキュリティ評価システムを特定、修正、または開発するものとする。 この検討は、消費者にとっての使いやすさと、参加者を最大化するためにどのような手段を講じることができるかということに焦点を当てるものとする。

消費者IoT製品等の概念とかは具体的にないみたいです。

2.1.2 NISTホワイトペーパー

これに基づいてなされたのが、NISTの「NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準」になります。 まるちゃんの紹介は、こちらです

1.3 文書の範囲と目標

本書は、消費者向け IoT 製品ラベリングプログラムの開発に関する考慮事項と推奨事項について説明する。

以下の主要な推奨事項を取り上げている。

– 消費者向け IoT 製品のベースライン製品基準は、どのように達成されるかについての具体的な記述とし てではなく、成果として表現される。

– それらのベースライン基準が広範な製品に適用され得る多様な方法を考慮すると、単一の適合性評価アプローチは適切ではない。

– 単一の二値ラベル(製品が基準値を満たしていることを示す「承認シール」タイプのラベル)と、関心のある消費者をオンラインで追加の詳細に導く階層的アプローチとが最も適切であると思われる。

この文書の目的は、コンシューマ向け IoT 製品のラベリングプログラムを作成するスキームオーナーが使用するために、これらの責任に関連する推奨事項、追加情報、およびコンテキストを提供することである。

というのが、このペーパーの対象になります。

また、同ペーパーの2 は、製品クライテリアのベースラインになります。特に2.1は、IoT製品のスコープになります。

消費者IoT製品は、多くの場合、製品のエンドポイントまたは「デバイス」コンポーネントで実現される機能を提供するために協働するシステムコンポーネントのセットを構成しています。NISTは、IoTデバイスを、少なくとも1つのトランスデューサ(すなわち、センサまたはアクチュエータ)と少なくとも1つのネットワークインターフェースを備えたコンピューティング機器と説明しています[IR8259]。すべてのIoT製品には少なくとも1つのIoTデバイスが含まれており、この製品コンポーネントのみを含む場合もあります。

とされています。ここで、消費者IoT製品は、脚注2で

個人、家族、家庭用のものである

と説明されています。そして

本ラベル推奨事項において、IoT製品とは、IoTデバイスと、基本的な動作機能を超えてIoTデバイスを使用するために必要な追加の製品コンポーネントと定義されます。

ちなみに2.2は、推奨される製品クライテリアのベースライン、2.3は、推奨されるクライテリアの関するIoT製品の脆弱性、2.4は、リスク、テーラリング、および階層化の考慮となっています。内容については、また別の機会に検討したいと思います。

2.2 英国

Code of Practice for Consumer IoT SecurityとProduct Security and Telecommunications Infrastructure Bill(検討中)があげられているのは見ました。

2.2.1 消費者向IoTセキュリティの行動規範

“Code of Practice for Consumer IoT Security”ですが、これには、日本語訳がでています。日本語訳は、こちら

ここで、消費者とは

ここで「消費者」とは、IoT 製品やサービスのエンドユーザー一般を指しています。

とされています。

適用範囲においては、

インターネットやホームネットワーク(両方またはその一方)と関連サービスに接続する消費者向け IoT 製品に適用されます。以下がその例です(これらに限定されるものではありません)。
– インターネット接続型の玩具やベビーモニター
– 煙感知器やドアロックなど、インターネット接続型の防犯/防災関連製品
– スマートカメラ、スマートテレビ、スマートスピーカー
– ウェアラブル健康管理製品
– インターネット接続型のホームオートメーションシステムや警報システム
– インターネット接続型の家電(洗濯機や冷蔵庫など)
– スマートホームアシスタント

とされています。

ガイドラインにおいては

    1. 初期パスワードを設定しない
    2.  脆弱性に関する情報の公開方針を導入する
    3. ソフトウェアを定期的に更新する
    4. 認証情報とセキュリティ上重要なデータを安全に保存する
    5. 安全に通信する
    6. 攻撃対象になる場所を最小限に抑える
    7. ソフトウェアの整合性を確認する
    8. 個人データの保護を徹底する
    9. 機能停止時のシステムの復旧性を確保する
    10. システムの遠隔データを監視する
    11. 消費者が個人データを容易に削除できるように配慮する
    12. デバイスを容易に設置してメンテナンスできるように配慮する
    13. 入力データを検証する

があげられています。また、補足事項もあります。

2.2.2 製品セキュリティ・通信インフラ法(Product Security and Telecommunications Infrastructure Act 2022)

2022年製品セキュリティ・通信インフラ法です。12月6日に法となっています。条文はこちらです。

構成は、

1部 製品セキュリティ

1章 セキュリティ要件

2章 関連当事者の義務等

3章 執行

4章 補足規定

2部 電気通信インフラ

3部 最終規定

別表

となっています。

細かい規定も興味深そうですが、とりあえずは、別の機会ということにします。わが国での議論にもっとも関連しているのは、54条あたりでしょうか。

54「英国の消費者向コネクト可能製品」の意味
(1)本編において、「英国消費者コネクト可能製品」とは、条件AまたはBを満たすコネクト可能製品を意味します。
(2)条件Aは、その製品が以下の通りであること。

(a)英国内の消費者が入手可能であること、または入手可能であったこと、および
(b)利用可能になる前のいかなる時点でも、関連する者が(英国内か否かを問わず)いかなる顧客にも供給していないこと。

(3)条件Bは以下の通りです。

(a)製品が消費者でない英国内の顧客に提供されている、または提供されていたこと。
(b)当該製品が、入手可能になる前のいかなる時点でも、関連する人物によって(英国内か否かを問わず)顧客に供給されておらず、かつ
(c)本製品と同一の製品が条件Aを満たすこと。

(4)(5)から(9)は、(2)(b)および(3)(b)の目的に沿って適用されます。
(5)以下の場合

(a)顧客(「元の顧客」)に供給された製品が、不要な製品を返却する権利(法定か否かを問わず)の行使により、関連者に返却され、かつ
(b)当該製品がその後英国内の顧客に提供される場合、当該製品は元の顧客に提供されたものとして扱われません。

(6)以下の場合

(a)顧客(「元の顧客」)に供給された製品が、関連する者に返却される場合

(i)本編の目的のために、または本編に関連して行われる取り決めに従って、または
(ii)本パートに基づいて、又は本パートの目的のために取られた他の行為の結果として、及び

(b)当該製品がその後英国内の顧客に提供される場合、

当該製品は元の顧客に供給されたものとして扱われない。

(7) 顧客に供給された製品が、英国内の顧客に提供される前に、当該製品の製造業者により又はそのために再調整された場合、当該製品は当該顧客に供給されたものとして取り扱われません。

(8)第(7)項における製品の再調整とは、顧客に提供するために製品を準備するために、製品またはその包装に何かをすることをいいます。

(9)製品が、第7条(6)がなければ製品の販売業者である顧客(「C」)に供給された場合、以下の通りです。

(a)その製品はCに供給されたものとして扱われず、かつ
(b) (5)から(7)のいずれかが適用される場合、

当該製品はCまたはCの顧客に対して供給されたものとして扱われない。

(10) 国務長官は、規則により、以下を行うことができる。

(a)第(2)(b)項または第(3)(b)項を廃止する。
(b)当該廃止の結果、国務長官が必要または適切と考える本編の改正を行う。

(11)第(10)項に基づき作成された規則は、賛成決議手続きに従う。

あと、説明メモとしては、こちらかと思います。

製品セキュリティ

6 コンシューマー向け接続可能製品とは、インターネットなどのネットワークに接続し、デジタルデータの送受信が可能なコンシューマー向け製品のことです。スマートフォン、スマートテレビ、スマートスピーカー、コネクテッドベビーモニター、コネクテッドアラームシステムなどがその例です。これらは、消費者向け「Internet of Thingsデバイス」(「消費者向けIoT」)または消費者向け「スマート」デバイスとも呼ばれています。2020年には、消費者向け接続可能製品の数は世界で129億個と推定されている

7 電気製品として、それらは1987年消費者保護法および2005年一般製品安全規則[SI 2005/1803]を含む製品安全規制の対象となる。これらの製品が電波障害を起こさないようにするため、その多くは無線設備規則2017[SI 2017/1206]の対象にもなっています。しかし、既存の制度では、製品に関する最低限のセキュリティ要件を満たさなければならないという規定は設けられていない。

8 安全でない製品は、シンガポールでセキュリティカメラが侵害された事例 のように、消費者が意図しない方法で使用されることがあります。さらに、安全でない製品はネットワーク上の「侵入口」として機能し、攻撃者が貴重な情報にアクセスできるようになることがあります。例えば、2016年、サイバー犯罪者は、マルウェア「Mirai」によって30万台の製品を危険にさらしました。攻撃者は集合的なコンピューティングパワーを活用し、BBCやNetflixを含む多くのニュースやメディアウェブサイトのサービスを中断させることに成功しました。マルウェア「Mirai」がこれほど多くのデバイスに侵入できたのは、(デフォルトパスワードなどの)脆弱なセキュリティ機能が広く存在していたためです。

10 2017年から2018年にかけて、子供向けに販売されているスマートウォッチブランドに接続するウェブサービスに様々な脆弱性が確認されました。この脆弱性により、攻撃者は各時計のリンク先の携帯電話番号やGPS座標などの個人を特定できる情報にアクセスすることが可能になりました。この脆弱性を発見した侵入テスト担当者は、メーカーに報告することができず、子どもを含む時計ユーザーが被害に遭う可能性があることが判明しました。このスマートウォッチの利用者は、全世界で約100万人と推定されています。

11 英国の消費者は、情報不足により、購入時にセキュリティを意識した選択ができることが少なく、サイバー脅威から容易に身を守ることができません。2020年のUCLの調査では、一般的な消費者向け接続型製品270点を調査した結果、消費者は、接続型製品がいつまでセキュリティソフトウェアの更新をサポートしてくれるのか、明確な情報を与えられていないことが判明しています。明確な情報がない場合、消費者は製品が販売されているから安全であると考えることが圧倒的に多く、脆弱な機器は、消費者がその製品が危険であることを知らない家庭で使用され続けている。

12 ベビーモニターや家庭用CCTVカメラのハッキングに対する脆弱性に関する懸念の高まりを受けて、全米サイバーセキュリティセンター(以下、NCSC)は、消費者が購入した製品のセキュリティ設定を調整するよう警告とガイダンスを発表しました。

13 さらに、政府は2016年の国家サイバーセキュリティ戦略において、「2021年までに利用開始されるオンライン製品およびサービスの大多数を『デフォルトで安全』にする」ことを約束しました7 。2018年3月、政府は「セキュア・バイ・デザイン報告書」8を諮問し、これに続いて2018年10月、消費者向け接続可能製品の数と種類が増え続けていることを認識した「消費者向けIoTセキュリティのための自主規範」9を発表しました。このコードは、消費者から負担を遠ざけ、代わりに設計段階で製品にセキュリティ機能を組み込むことを奨励する政策を用いることで、デバイスのセキュリティ確保へのアプローチを転換させました。

14 政府は、国内での取り組みに基づき、消費者向け接続製品のセキュリティを向上させる方法について、国際的なコンセンサスを得ようと努めました。両国とのパートナーシップを経て、オーストラリアの内務省(2020年)10とインドの電気通信省(2021年)11が、英国が2018年に初めて発表した13の原則と一致する実践規範を発表しています。

15 政府はまた、欧州電気通信標準化機構(以下、ETSI)と協力して、世界的に適用可能な新しい規格EN 303 645: Cyber Security for Consumer Internet of Thingsを作成しました。これは、英国の実践規範の 13 の原則と整合している。ETSIは、65カ国から900人以上のメンバーが参加しています。2020年6月に採択されたEN 303 645は、消費者向け接続可能製品のサイバーセキュリティに関する世界初の技術標準である。

16 政府は、英国の「消費者向けIoTセキュリティのための実践規範」のガイドラインを採用するよう業界に奨励しましたが、自主的なコンプライアンスは遅く、不十分なセキュリティ慣行は依然として一般的なものとなっています。2018年の出版当時、Internet of Things Security Foundationは、9%のメーカーが適切な脆弱性開示プログラムを維持していると推定していました。2019 年になっても、この数字は 13%に過ぎません

17 2019 年 5 月、政府は消費者向け接続可能製品のサイバーセキュリティに関する立法案について協議を開始しました。コンサルテーションへの回答は、実施基準に示される優先的なセキュリティ要件に沿った強制的なサイバーセキュリティの基準値の導入に対する幅広い支持を示しました。

18 政府は、2020年7月に意見募集の一環として、消費者向け接続可能製品のサイバーセキュリティを規制するための詳細な提案を公表した。この意見募集に対する回答は、EN 303 645 の優先的なセキュリティ要件への準拠を広めることが、接続可能な製品を購入する英国の消費者を保護する上で最大の効果をもたらすという政府の立場をさらに支持するものでした

19 本法案は、大臣に対して消費者接続可能製品に関するセキュリティ要件を指定する権限を付与しています。英国でこれらの製品の販売に携わる企業は、これらの要件に準拠する必要があります。政府は、この権限を用いて、2018年版の実施基準およびEN 303 645にある当初のセキュリティ要件のうち3つを法定化する意向です。これらの新しい法定セキュリティ義務には、デフォルトパスワードの使用禁止、メーカーによるセキュリティ脆弱性の報告管理要件、消費者が販売時に製品のセキュリティ更新を受ける最低期間を知らされる要件が含まれる予定です。

となっています。あと、法的な背景については、

26 本法案には、関連する接続可能な製品に関するセキュリティ要件を規定する権限が含まれており、これらのセキュリティ要件の遵守に関して、製造業者、輸入業者、販売業者などの経済主体に義務を発生させる。これらの義務の執行には、第3章で規定される権限と、2015年消費者権利法(「2015年法」)の既存の権限が使用されることになる。2015年法は、消費者法違反の可能性を調査するために、別表5に記載された執行者の権限を統合したものです

となっています。上以外は、省略します。

2.2.3 認証スキーム(Grant Programme for Consumer IoT Assurance Schemes 2020/2)について

Grant Programme for Consumer IoT Assurance Schemes 2020/2というのがあります。こちらのページから。あと、リリース文は、こちらです。

この認証プログラムは、サイバーセキュリティの優れた実践方法(実施基準またはETSI規格に規定されているもの)の産業界への普及と実施を促進することを目的として、製品が独立した試験または堅牢で認定された自己評価プロセスを経たことを証明する保証ラベルまたはキットマークを消費者に提供するものです。「スマート」デバイスの優れたサイバーセキュリティを実現する上で重要な役割を果たす製品保証スキームを通じて実施することを目的としています。

一般的に、このような制度は、消費者がセキュリティを意識した購買決定を行えるようにするために不可欠なものであり、また、保証制度の基礎となるテストプロセスからのフィードバックは、メーカーに非公開で伝達され、製品の改善に役立てることができるとされます。

しかし、コンシューマ向けIoTセキュリティの保証制度の運用については、以下の課題があるとされています。

  • コンシューマー向けIoT製品は多種多様であり、何をもって適切なセキュリティとみなすかは、製品やユースケースによって異なること。CoPとETSIの規格は、必然的にアウトカムに焦点を当てた規定を含んでおり、メーカーが自社製品に適したセキュリティソリューションを実装するための柔軟性を提供していること。
  • ソフトウェアアップデートにより、製品に関連するセキュリティリスクが評価を受けた後に劇的に変化することがあります。もちろん、セキュリティ修正プログラムは機器のセキュリティを向上させる上で重要であり、推奨されるべきものではありません。
  • 技術や脅威の進化に伴い、何が適切なセキュリティとみなされるかは、時間の経過とともに変化する可能性があります。

本認証プログラムの目的は、消費者向けモノのインターネット(IoT)製品のための業界主導の保証制度の開発と普及を促進することであるとして、以下のような様々な方法で達成することを目指しています。

  1.  正式なセキュリティ評価を受ける消費者向けIoT製品の数を増やす。
  2.  利用可能な保証スキームが高い品質であることを保証する。
  3.  新興企業や中小企業を含むすべてのメーカーがアクセス可能で、手頃な価格の保証制度であることを保証すること。製造業者にとって、外部保証だけでなく、自己評価も選択肢のひとつであること。

2.3 EU

EU)EUサイバーレジリエンス法(2022年9月草案発表、2025年後半施行予定)-(機器またはネットワークへの直接的又は間接的な論理的又は物理的データ接続を含むデジタル要素を有する製品)
EU)無線機器指令(RED)(2014/53/EU)(2022年2月発行、2024年8月より義務化予定)-直接又は間接にインターネットに接続する無線製品

があげられています。

2.3.1 無線機器指令(RED)(2014/53/EU)

このうち、無線機器指令(RED)(2014/53/EU)については、 欧州におけるIoTのサイバーセキュリティに関する戦略と法-「RED委任規制2022/30」 でみたとたろです。

2.3.2 サイバーレジリエンス法

日本語資料

サイバーレジリエンス法については、日本語での資料がいくつかでています。

などが代表的なところでしょうか。

制定までのプロセス

この様な規制ができるまでのプロセスは、欧州においては、「よりよき規制」ガイドライン(Better Regulation Guideline)でプロセスが定まっています。その点については、EU「よりよき規制」ガイドライン(Better Regulation Guideline)をよんでみた というエントリでまとめています。実際のプロセスは、

  • 利害関係者の諮問
  • 評価(健全性チェックを含む)
  • インパクト評価
  •  実装、移行、Eu法の適用

を経てなされます。もっとも、サイバーレジリエンス法の場合は、重要な立法手段のプロセスとして提案されている「新たな立法枠組み」(New legislative framework)に準拠してなされています。(このNLFの内容については、別の機会にみたいと思います)

サイバーレジリエンス法における公表されているスタディレポート(Study on the need of cybersecurity requirements for ICT products)で分析することができます。

個人的に興味深いのは、どのような政策の選択肢があって、以下でふれるような仕組みが選択されたのは、なぜかというところだろうと思います。

報告書159ページ以降 5 政策選択肢の識別( Identification of policy options)をみます。

この図は、

  1. 自主的措置、
  2. 規制的措置。

とを組み合わせて考察することができることを示しています。規制的措置と自主的措置を組み合わせた混合的アプローチという政策オプションも考慮されています。

規制的措置は、基本的要求事項、適合性評価、ライフサイクル全体アプローチ、市場サーベイランスなどの具体的な政策行動を常に伴うものですが、

  • 水平的法規制(すべての製品/セクターとリスクプロイルに適用できる)
  • セクター特化(一部の製品/セクターカテゴリーとリスクプロファイルにのみ可能)

に分けられています。

政策オプション0(ベースライン) 政策オプション1(自主的手法) 政策オプション2(水平的法制) 政策オプション3(セクター特定法制) 政策オプション4(ミックス・アプローチ)
現状どおり(business “as usual” ) 現状の自主的実務と透明性・・適合性評価促進の仕組み ICT製品の全てのカテゴリーとリスクプロファイルに適用される共通の規制手法の実施 特定のICT製品/リスクレベル・セクタへの共通の規制アプローチの導入 規制および自主的手法の混合

これらの具体的な選択肢についての評価がなされています。なお、176ページ以下では、日本も紹介されています。

詳細は、省略しますが、

政策オプション「自主的措置」を提示する際、多くの政府がICT製品の安全保障について、規制の介入は技術革新と競争を阻害する恐れがあるとし、自主的なアプローチを好んできたことが言及された。また、これらの市場の技術的状況は急速に変化しており、実施された対策がすぐに陳腐化するため、事前規制を避けることを示唆する役割も果たしている。しかし、脅威の量と規模の増大、およびその多面的な性質が、ICT製品市場の特徴である多数の非対称性と市場の失敗と相まって、最近では政府によるより積極的な役割が示唆されています。

とされています。

水平的規制の選択肢

となって、政策選択肢2の「水平的規制」が必要ではないか、という議論になっていきます。この定義は、報告書の194ページ

水平規制とは、製品を市場に出す前(事前)と製品のライフサイクル全体(事後)を通して、生産者と販売者が遵守しなければならない、すべての分野と製品のカテゴリーに適用される一連の要求事項

をいうとされています。

歴史的には、欧州連合理事会は、接続機器のサイバーセキュリティに関する結論(2020 年 12 月 2 日)の中で、

接続機器のサイ バーセキュリティのすべての関連側面(可用性、完全性、機密性など)に対処するために、長期的に、市場投入に必要 な条件も明記した水平法の必要性を評価することの重要性

を強調していたり、また、欧州委員会は「デジタル10年に向けたEUのサイバーセキュリティ戦略」に関するコミュニケーション(2020年12月16日)の「安全なモノのインターネット」のセクションで、

域内市場に置かれるすべての接続製品と関連サービスのサイバーセキュリティを改善するための新たな水平ルールの可能性も含め、包括的アプローチを検討する

ことに言及したことがあります。

この仕組みは、上でみた「新たな立法枠組み」(New legislative framework) に準拠していて、特に

  • 基本的必須条件
  • 適合性評価
  • 市場監視

を重要な要素としています。このような考え方については

ポジティブな効果に関する限り、協議したほとんどの利害関係者は、水平法の確立がより大きな規制の確実性を生み出し、同じ現象を管理する複数の規制(RED委任法、機械指令、GDPRなど)を持つよりも、ICT製品のサイバーセキュリティを規制する単一の法律を持つことを支持するという考えで一致しました。また、水平法の潜在的なポジティブな効果として、欧州市場の調和とともに、市場全体のセキュリティの向上が挙げられ、EU市場への参入を目指す事業者にとっても有益であることが複数の関係者から示された。

とされています。

セクター特定の選択肢

ちなみに選択肢3であるセクター特定の規制である選択肢3については、同報告では、

  • タイプ1(すべてのセクターに関して特定のICTカテゴリに対する共通の規制スキームを導入する-例 エンドデバイス)
  • タイプ2(特定のリスクレベルのICT製品のカテゴリに対して共通の規制アプローチを導入する-例 基本 /高い)
  • タイプ3(特定の意図された利用・セクタに適用されるような共通の規制アプローチの導入- 例 消費者製品・スマートホーム)

があるとあげられていて、英国の消費者IoT製品についてのアメローチをタイプ3の例として取り上げています。

ミックスアプローチ

このアプローチについても

  • タイプ1(ICT製品のリスクプロファイルのすべてのカテゴリーに共通の規制枠組みと自主的手段のコンビネーション)
  • タイプ2(特定の意図された利用・セクタに適用される規制枠組みと自主的手段のコンビネーション)

にわけて論じられています。シンガポールの場合がこのタイプ2として例にあげられています。

また、それぞれの選択肢のインパクト分析もなされています。

これらをもとに結論が論じられています。これらの選択肢の比較については、

結論 #5 – NLFの主要な措置である必須要件、適合性評価メカニズム、規格への参照、市場サーベイランス規定を考慮して5つの政策オプションが定義された

(略)

結論6 -6 水平規制(政策オプション2)は最も好ましく、インパクトのある政策オプションである

水平規制(政策オプション2)は最も好ましい政策オプションである。検討された他の政策オプションと比較すると、政策オプション2は全体的なコストが大きくなる可能性があるが、その費用対効果は最も高い可能性もある。効果に関しては、水平法は、ICT製品のサイバーセキュリティのレベル、物質的・非物質的安全性、信頼性が高く安全なICT製品の選択、ICT製品およびデジタル単一市場に対する信頼に最も良い影響を与える可能性がある。効率性に関しては、水平規制は、ICT産業の競争力、ICT産業のイノベーション、域内市場の機能と調和、公平な競争条件、デジタル単一市場の発展に最も良い影響を与える可能性がある。最後に、他の法律との一貫性(第2章で議論)、基本的権利、EUの付加価値、環境への影響にプラスの影響を与えることが期待される。

水平規制は、EUの規制状況を調和させ、異なる法律から生じる要件の重複を回避することができる。さらに、水平規制は、市場全体の安全性を高め、欧州単一市場の調和を図り、EU市場への参入を目指す事業者にとってより実行可能な条件を作り出すと考えられている。さらに、水平規制は、他の政策オプションと比較して、問題のドライバー(政策課題)によりよく取り組むことを可能にする。例えば、水平規制は、サイバーセキュリティに関して、義務的要件の不在(例えば、製造者の明確な義務がない)、または、市販後の監視のための規則の不在に対処することができる。さらに、製品のサイバーセキュリティに関して、ユーザーの理解が不十分な現状に関連する問題2も軽減されるでしょう。実際、水平型の法律は、デフォルトで安全な製品のみが市場に出されるため、買い手とメーカーの間の非対称性を減らすのに役立つだろう。また、特定された措置(表示、認証)のいくつかは、ユーザーが製品のセキュリティレベルを理解するのに役立つ可能性がある。

二番目に良い選択肢は、セクター固有の法律(政策オプション3)と混合型アプローチ(政策オプション4)であることがわかった。これらは、すべての評価項目で水平法制より低いスコアであったが、それでも回答者からほとんど肯定的なフィードバックを得た。この2つの選択肢に関する主な懸念は、製品別立法の場合の断片化の可能性と、最終的な立法ミックスの結果に関する不確実性に関連するものであった。

重点をおいて諮問においては、 水平法(政策オプション1)と混合アプローチ(政策オプション4)は、非常に近い評価となった。このうちICT製品に対するサイバーセキュリティ要件の必要性に、よりよく対処できる政策オプションとして、混合アプローチが若干好まれた。この2つの選択肢に関する主な懸念は、製品ごとに法律を制定する場合の断片化の可能性と、最終的な法制化の結果に関する不確実性に関連するものであった。この結果は、ICT製品のサイバーセキュリティの必要性に対処するために最も適切であると考えられる混合型アプローチは、ICT製品のすべてのカテゴリーとリスクプロファイルに適用される規制と自主的措置を組み合わせたものであることを念頭に置いて分析されるべきである。いずれの場合も、最低限の対策を水平レベルで行う必要があることを意味する(すなわち、水平法制の政策オプション1を確認する)おそらく混合アプローチ(政策オプション4)の追加対策で補完されるであろう。

とされています。

このような考察のもとに具体的な提案がなされています。

提案の内容

概略

欧州委員会のページは、こちらです。

サイバー・レジリエンス法というのは、より安全なハードウェアおよびソフトウェア製品を確保するためにサイバーセキュリティの規則を強化することを目的とするデジタル要素を含む製品のサイバーセキュリティ要件に関する規制の提案となります。法案の正式名称は、「デジタル要素を有する製品の水平方向のサイバーセキュリティ要件に関する 規則(EU) 2019/1020の改正 欧州議会及び欧州理事会の規則 」となります。

ハードウェアおよびソフトウェア製品は、ユーザーと社会にコストをもたらす課題として

  • サイバーセキュリティのレベルが低く、脆弱性が蔓延し、それに対応するためのセキュリティアップデートが不十分で一貫性がないこと。
  • ユーザーによる理解と情報へのアクセスが不十分で、適切なサイバーセキュリティ特性を持つ製品を選択したり、安全な方法で製品を使用したりすることを妨げていること。

という2つの大きな問題に悩まされているとされています。

既存の域内市場法は、デジタル要素を持つ一部の製品に適用されますが、ハードウェアおよびソフトウェア製品のほとんどは、現在、そのサイバーセキュリティに取り組むEU法の対象にはなっていません。特に、非組込み型ソフトウェアのサイバーセキュリティについては、サイバーセキュリティ攻撃がこれらの製品の脆弱性を狙うようになってきており、社会的・経済的に大きな損失をもたらしているにもかかわらず、現在のEUの法的枠組みでは対処されていない。

という基本的な認識に基づいて、

EU域内市場の適切な機能を確保するために、

  • ハードウェアおよびソフトウェア製品がより脆弱性の少ない状態で市場に投入され、製造者が製品のライフサイクルを通じてセキュリティに真剣に取り組むことを保証することにより、デジタル要素を含む安全な製品を開発するための条件を整備すること。
  • ユーザーがデジタル製品を選択・使用する際に、サイバーセキュリティを考慮できるような環境を整える。

という2つの主要な目的が確認されました。

そして、具体的な目標としては、

  • 製造者が、設計・開発段階からライフサイクル全体を通じて、デジタル要素を含む製品のセキュリティを向上させるようにする。
  • 一貫したサイバーセキュリティの枠組みを確保し、ハードウェアとソフトウェアの製造者のコンプライアンスを促進する。
  • デジタル要素を含む製品のセキュリティ特性の透明性を向上させる。
  • 企業や消費者がデジタル要素を含む製品を安全に使用できるようにする。

があげられています。

説明用覚書

説明用覚書は、1 提案の文脈(提案の理由と目的、既存のポリシ領域のポリシ規定との関係、他の共同体ポリシとの関係)、2 法的根拠、代替性、比例性、3 評価・利害関係者の諮問およびインパクト評価 、4予算の示唆、その余の要素からなりたっています。

興味深いのは、他の介入方法との比較をなしたインパクト評価の部分です。

前文

全部で71項からなる前文が記載されています。個々の条項の解釈の指針等になるわけですが、とりあえずは、省略します。

個人的に興味深いのは、(16)で、Directive 85/374/EECの製造物責任指令が、この規則と補完的になることを指摘している部分になるかと思っています。結果責任のルールを定める製造物責任指令と、利害関係者の対応責任を定めるサイバーレジリエンス法とは、製品の責任を考える上で、二つの側面をそれぞれ、司っているということになるのだろうと思います。

第1章 一般規定

  • 当該規則の目的(1条)
  • (a)デジタル要素を含む製品のサイバーセキュリティを確保するための製品の上市に関する規則、
  • (b)デジタル要素を含む製品の設計、開発、製造に関する必須要件、これらの製品に関する経済事業者のサイバーセキュリティに関する義務、
  • (c)デジタル要素を含む製品のサイバーセキュリティをライフサイクル全体で確保するために製造者が実施する脆弱性対応プロセスに関する必須要件、これらのプロセスに関する経済事業者の義務、
  • (d) 上記の規則と要件の市場監視および執行に関する規則。
  • 範囲(2条)
  • 定義(3条)

ここで、興味を引く定義をあげることにします。

「デジタル要素を含む製品(product with digital elements)」とは、ソフトウェアまたはハードウェア製品およびその遠隔データ処理ソリューションを意味し、個別に市場に投入されるソフトウェアまたはハードウェアコンポーネントを含む。

「デジタル要素を有する重要製品(critical product with digital element)」とは、第6条(2)に定める基準に従ってサイバーセキュリティ上のリスクを呈するデジタル要素を有する製品であって、その中核機能が付属書IIIに定められているものをいう。

「デジタル要素を有する高度重要製品(highly critical product with digital elements)」とは、第6条(5)に定める基準に従ってサイバーセキュリティ上のリスクを呈するデジタル要素を有する製品をいう。

  • 自由な移動(4条)
  • デジタル要素を有する製品の要件(5条)
  • デジタル要素をもった重要な(Critical)製品(6条)、
  • 一般製品の安全性(Safety) (7条)-(製造者の義務などはこの規制ではカバーされていない安全上のリスクに関して、この規制の対象製品にも適⽤される)
  • ハイリスクなAIシステム(8条)(︓「AI規則(法案策定中)」におけるサイバーセキュリティ要件について、この規則で遵守していることをもって、AI規則上の要件も満たしているものとする。)
  • 機械(Machinery)製品(9条)

からなりたっています。

第2章 事業者(OBLIGATIONS OF ECONOMIC OPERATORS )の義務

第2章は、以下の条文から成り立っています。

  • 製造者の義務(10条)(証明書、技術⽂書の取得と保管)(なお、METIのスライド 6ページ)

デジタル製品を市場に出す際、附属書Iの1「セキュリティ特性要件」を遵守して設計・開発・製造されていることを確認する。
② サイバーセキュリティ上のリスクアセスメントを実施し、その結果を設計・開発・製造・配送・メンテナンスの際の考慮に⼊れる。
③ デジタル製品を市場に出する際、上記のリスクアセスメントの結果を技術⽂書に含める。
④ 第三者から提供された部品を使⽤する際には、その部品により製品のセキュリティリスクを⾼めないことを保証する。
⑤ リスクに⽐例した⽅法でデジタル製品に関するサイバーセキュリティ側⾯を体系的に⽂書化する。
⑥ 上市後5年間または製品寿命のうち短い期間の間、脆弱性に効果的に対処する。製造業者は脆弱性開⽰ポリシー等、適切なポリシーや⼿続きを有する。
⑦ 上市前に製造業者は技術⽂書を作成する。対応する適合性評価⼿続きを⾏い、適合性が実証された場合はCEマーキングを貼付する。
⑧ 上市後10年間、技術⽂書と(該当する場合は)EU適合性証明書を市場監視当局が⾃由に使えるように保管する。
⑨ ⼀連の製造の中で、適合性を維持するための⼿順が整備されていることを確認する。
⑩ 附属書IIに規定される情報が製品に付属されていることを確認する。
⑪ EU適合性証明書を提供するか、その情報を記載したURLを提供する。
⑫ 上市後5年間または製品寿命のうち短い期間の間、附属書Iの1「セキュリティ特性要件」を遵守しない場合、直ちに必要な是正措置を講じ、製品の撤回またはリコールを⾏う。
⑬ 市場監視当局からの要求に応じて製品の適合性を証明する情報・⽂書を提出する。
⑭ 操業を停⽌し義務を遵守できなくなる場合、操業停⽌前に市場監視当局やユーザに通知する。
⑮(欧州委員会は実施法の中で、SBOMの形式と要素を指定することができる。)

  • 製造者の報告義務(11条)(なお、METIのスライド 7ページ)

① デジタル製品の中に積極的に悪⽤された脆弱性を発⾒してから24時間以内にENISAに通知する。通知には、その脆弱性の情報、講じられた是正措置・緩和措置を含む。
(ENISAは正当なサイバーセキュリティリスク等の事由が無い限り、NIS2指令に基づいて遅滞なく脆弱性開⽰⽬的で指定されているCSIRTに転送し、市場監視当局にも通知する。)
② 製品のセキュリティに影響を与えるインシデントを認識してから24時間以内にENISAに通知する。インシデント通知には、インシデントの深刻度・影響、国境を越える影響があるか等を含む。
(ENISAは、 正当なサイバーセキュリティリスク等の事由が無い限り、NIS2指令に基づいて指定されたコンタクト先に通知を転送し、市場監視当局にも通知する。 )
③(運⽤レベルでの⼤規模なインシデントや危機管理に関する場合、ENISAはその情報をNIS2指令に基づいて設⽴されたEU CyCLONe(欧州サイバー危機連絡組織ネットワーク)に提出する。)
④ 製造業者は、必要に応じてインシデントの影響を緩和するための是正措置について遅滞なくユーザーに通知する。
⑤(欧州委員会は、通知された情報をの種類、形式、⼿順を更に指定することができる。)
⑥(ENISAはNIS2指令の協⼒グループに対して、サイバーセキュリティに関する最新の傾向を技術レポートとして2年に1度提出する。)
⑦ 製造業者が製品に統合されているOSSコンポーネントの脆弱性を特定した場合、その脆弱性をコンポーネントを維持する個⼈/団体に報告する。

  • 権限ある代表者(12条)
  • 輸入者の義務(13条)
  • 販売店(distributors)の義務(14条)
  • 輸入者・販売店に製造者の義務の適用される場合(15条)
  • 製造業者の義務が適用されるその他の場合(16条)
  • 事業者の識別(17条)

第3章 デジタル要素をもつ製品の適合性

第3章は、以下の条文から成り立っています。

  • 適合性の推定(EUCCの利⽤)(18条)
  • 共通仕様(19条)
  • EU適合宣⾔(20条、附属書IV, CEマーク)
  • CEマークの一般原則(21条)
  • CEマーク添付のルールと条件(22条)
  • 技術文書(23条)
  • デジタル要素を有する商品の適合性評価手続(24条)

第4章 適合性評価機関の通知

第4章は、以下の条文から成り立っています。

  • 通知(25条)
  • 通知機関(26条)
  • 通知機関の要求事項(27条)
  • 通知機関の情報義務(28条)
  • 被通知機関に関する要求事項(29条)
  • 被通知機関の適合性の推定(30条)
  • 被通知機関の請負等(31条)
  • 通知の申請(32条)
  • 通知手続き(33条)
  • 被通知機関の識別番号およびリスト(34条)
  • 通知の変更(35条)
  • 通知機関の能力(competence )に対する異議(36条)
  • 被通知機関の運営義務(37条)
  • 被通知機関の情報義務(38条)
  • 経験の交換(39条)
  • 通知機関の調整(40条)

第5章 市場調査(Market Surveillance)および執行

第5章は、以下の条文から成り立っています。

  • 共同体市場におけるデジタル要素製品の市場調査およびコントロール(41条)
  • データとドキュメントに対するアクセス(42条)
  • 重要なサイバーセキュリティリスクのあるデジタル要素製品についての国家レベルでの手続き(43条)
  • 共同体安全手続き(44条)
  • 重要なサイバーセキュリティリスクのあるデジタル要素製品についてのEUレベルでの手続き(45条)
  • 重要なサイバーセキュリティリスクのあるデジタル要素適合製品(46条)
  • 様式不適合(47条)
  • 市場調査当局の共同行為(48条)
  • 調整制御行為(スイープ)(49条)

第6章 権限委譲および委員会手続

第6章は、以下の条文から成り立っています。

  • 委譲の実施(50条)
  • 委員会手続き(51条)

第7章 秘密保持および罰則(Confidentiality and Penalties)

  • 秘密保持(52条)
  • 罰則(53条)

ちなみに罰則は、以下のような感じです

  1. 構成国は、経済的運営者による本規則の違反に適用される罰則に関する規則を定め、その執行を確保するために必要なすべての措置を講じなければならない。規定された罰則は、効果的で、適切で、かつ、抑制的でなければならない。
  2.  構成国は、遅滞なく、これらの規則および措置について欧州委員会に通知し、それらに影響を及ぼすその後の改正について遅滞なく通知しなければならない。
  3.  付属書Iに規定されたサイバーセキュリティの必須要件および第10条と第11条に定められた義務を遵守しない場合、最高1,500万ユーロ、または違反者が事業者の場合は、前会計年度の全世界の年間総売上高の2.5%のいずれか高い方の行政罰の対象となるものとする。
  4.  本規則に基づくその他の義務に違反した場合、10,000,000EURまたは違反者が事業者の場合は前会計年度の全世界の年間総売上高の2%以下のいずれか高い方の行政罰が課されるものとします。
  5.  不正確な、不完全な、または誤解を招くような情報を、要求に応じて通知機関および市場監視当局に提供した場合、5,000,000ユーロまたは違反者が事業者の場合は前会計年度の全世界の年間売上高の1%以下のうち、より高い方の行政罰の対象となるものとします。
  6.  個別の事例において行政罰の額を決定する際には、特定の状況におけるすべての関連する状況を考慮し、以下の事項を十分に考慮しなければならないものとします。(a) 違反の性質、重大性及び期間並びにその結果 (b) 類似の違反に対して他の市場監視当局が同一の事業者に対して既に行政罰金を適用しているかどうか (c) 違反を犯した事業者の規模及び市場占有率。7. 行政上の罰金を適用する市場監視当局は、以下の方法で他の構成国の市場監視当局とこの情報を共有するものとします。
  7.  行政罰を適用する市場監視当局は、規則(EU)2019/1020の第34条で言及された情報通信システムを通じて、他の加盟国の市場監視当局とこの情報を共有するものとする。
  8.  各加盟国は、当該加盟国に設立された公的機関及び団体に行政罰が課されるか否か、及びその程度に関する規則を定めるものとする。
  9.  加盟国の法制度に応じて、行政罰に関する規則は、加盟国の国内レベルで確立された権限に従って、管轄の国内裁判所またはその他の機関によって罰金を課す方法で適用され場合がある。これらの加盟国における当該規則の適用は、同等の効果を有するものとします。
  10.  行政罰は、個々の事例の状況に応じて、同一の違反行為に対して市場監視当局が適用する他の是正措置または制限措置に加えて課されることがあります。

図解

では、2章の事業者の義務部分を図解してみます。

この図は、基本的な概念としてデジタル製品という概念を準備して、それに対して製造者に報告義務を含む種々の義務を課すことが考えられています。そして、そのリスクに応じて、商品についての認証制度を導入しようという制度設計になっていることを意味しています。

3 考え方

 

では、この問題について、どのように考えるべきかというのをまとめてみます。

個人としては、この問題は、以下のように考えています。

 

3.1 安全・セキュアなIoT製品のための市場の役割

IoT製品が安全・セキュアでないことから生じる問題があるとしても、基本的には、市場によって、その問題が解決されるのが、第一義であると考えます。

私は、2003年からIPAの脆弱性問題研究委員会おお手伝いをさせていただいていますが、脆弱性の問題は、ソフトウエアの提供者の脆弱性に対する真摯な取組によって、解決されるのが第一義であって、早期警戒パートナーシップは、そのためのお手伝いでしかないということをいっています。

これについては、 情報処理推進機構「情報システム等の脆弱性情報の取扱における法律面の調査 報告書 改訂版」(平成31年度)をご参照ください。その3頁で

現在においては、脆弱性のもたらすセキュリティ上の脅威が社会においても許容しうるものではないという認識が一般化しつつある。開発者が、積極的に、脆弱性の届出受け付けの窓口をもうけるようになってきている制度が構築された時期と比較して、セキュリティの重要性の認識/脆弱性解消の努力の正当な評価という観点からするとき、非常に良い方向に進展していると評価することができる。そもそも、開発者の提供するソフトウエアが脆弱性なく安心して使えることは、現代社会においては、本来であれば、他の性能などと総合的に正当に評価されるべきひとつの要素である。ソフトウエアの利用者が、その開発者のセキュリティに対する積極的な対応姿勢などをも踏まえた総合的な判断をベースにソフトウエアを選択し、すぐれたものが社会に受け入れられるようになり、その一方で、脆弱性対応などに劣ったソフトウエアは、利用者の評価で劣ったものとして支持をうしなうものとなって、社会で利用されなくなり淘汰されるというのが望ましい姿である。

と記載しています。

3.2 市場の失敗とその原因

安全・セキュアではないIoT製品から生じる利用者に生じる不利益(この場合、この事業者が、周囲の人の厚生に影響を与え、その影響に対する補償を支払うことも受け取ることもないときに生じる周囲に人に対する悪影響は、負の外部性ということになります)に対しては、政府の介入が正当化されることになります。

ところで、このような外部性は何によって生じるのでしょうか。個人的には、二つの要因が影響していると考えます。

3.2.1 サイバーセキュリティ自体の問題

これは、サイバーセキュリティの問題が、

  • 人間の心理的バイアス
  • 技術自体の理解困難さ

によってそれ自体、市場での取引に対して、取引条件として厚生に評価されないという問題です。

人間の心理的バイアスというのは、サイバーセキュリティの問題によって生じるような情報漏えい、管理権限の奪取などという問題は、「自分の身には」起きないだろうというバイアスがあり、それによって市場での取引がなされる場合に、取引に影響を与える条件として正確に認知されないということです。

技術自体の理解困難さというのは、サイバーセキュリティにおいて発生する問題が、非常に技術的な背景をもつものであって、当事者にとって、それ自体、正確な理解・対応が困難であるということです。このことも市場において、サイバーセキュリティが正当に評価されて、取引がなされることを妨げうる要因であるということができます。

3.2.2 消費者問題

これは、1.2.1であげたようなきわめて困難なサイバーセキュリティの問題が、消費者にとって、さらに

  • 隠された情報
  • 隠された行動

という二つの要因(情報の非対称性)によって、きわめて正確な評価が困難であるという事情がさらに増大するということを意味します。

隠された情報というのは、商品の売り主のみが、専門知識と情報を有しており、買い主は、それらの情報を欠いている状況をいいます。

隠された行動というのは、商品のクオリティが、売り主の将来に渡る行為に依存する場合において、商品を売ってしまった売り主にとっては、将来にわたって売却時のクリオティの約束を怠る誘因がある(モラルハザード)ということです。ソフトウエア商品に脆弱性が発見されたときに、それに対して誠意をもって対応する誘因がなかなか存在しないという意味で、IoT商品は、「隠された行動」を招きやすい性質を有しているということができます。

3.3 ボトムライン

このように考えれば、サイバーレジリエンス法のようにデジタル要素製品ということでもって、父権的な介入を図ることが、リスクの種類・それらの要因に対応しない固すぎる父権主義的な考え方であるように思われます。

重要インフラのIoT商品のセキュリティ・セーフティを考えるのであれば、それらを担う組織について考えればいいのですし、利用者企業について考えれば、専門的な知識をもった者をシステム運営や情報セキュリティ評価のために雇用している場合も多いことでしょう。この場合には、市場とその競争が、サイバーセキュリティを合理的に保護しており、社会としての厚生(Public Welfare)は、実現されていると考えられます。それらの要素を考えないで、一緒くたに介入を図るのは、合理的には思えません。

その一方で、消費者の製品については、ベースラインのセキュリティ要件を定めて、その自主的な遵守を求めるというのは、合理的でしょう。

METIの会議では、どうも、サイバーレジリエンス法のようなアプローチが、何か一生懸命やっています感を出すために望ましいという方向が示されているように思えます。

また、このような問題については、メディアも、

海外が「進歩的であるいに日本は遅れている」

といいやすいので、適切な介入という考え方がないように思います。

このままいくと、

自分の組み立てのパソコンが、認証を受けていないとして

闇パソコン

といわれる日が来るのではないかと心配しています。

関連記事

  1. トラストの定義

  2. LINE Transparency Report(2016年下半…

  3. 宇宙ドメインと国際法-McGillマニュアル(ルール編)翻訳

  4. 対ボットネットの法律問題の総合的考察 その7-ドイツにおけるハニ…

  5. サプライチェーン大統領令・2021年戦略的競争法案-第8回 産業…

  6. CyConX travel report Day One  Se…

  7. ボットネット・テイクダウンの法律問題(初期) 後

  8. 組織が発行するデータの信頼性を確保する制度に関する検討会取りまと…
PAGE TOP