新しいCEマーキング規制が始動　AI規則とサイバーレジリエンス法

みなさんこんにちは。久しぶりの更新です。

今日は、最近とても質問が多いAIとサイバーセキュリティについて欧州での取り組みについてまとめてみたいと思います。

朝日新聞デジタルでは以下のように報道がありました。

人工知能規制の「AI法」、EU議会で可決　日本は法制化で遅れ
人工知能規制の「AI法」、EU議会で可決　日本は法制化で遅れ [ChatGPT]：朝日新聞デジタル (asahi.com)

世界で初めて人工知能（AI）を包括的に規制する欧州連合（EU）の「AI法案」が13日、EUの欧州議会で賛成多数で可決された。今後、加盟国の閣僚らでつくるEU理事会で正式に採択された後に順次施行される見通しで、全面運用は2026年中を目指す。4・5億の域内人口を抱えるEUの先駆的なルールは、「世界標準」になる可能性がある。EUのAI法案には広範な域外適用規定があり、日本企業も対応を迫られる。
人工知能規制の「AI法」、EU議会で可決　日本は法制化で遅れ [ChatGPT]：朝日新聞デジタル (asahi.com)

デジタル製品のサイバーセキュリティを理解する

EU委員会が提案したCE規制は、デジタル製品の購入時に企業と消費者を保護することを目的としています。この規制により、製造業者はサイバーセキュリティに関する厳格な要件を満たし、サイバーリスク評価を実施する必要があります

EU委員会の動機

サイバー攻撃の頻度が増加しており、それによる経済的損失は膨大です。EU委員会はサイバーセキュリティの強化が必要であることを認識し、サプライチェーン全体にサイバーセキュリティを組み込むことを目指しています。

最近提案された「サイバー・レジリエンス法」は、デジタル製品が個人や企業にとってより安全になることを保証することを目指しています。製造業者は、ハードウェアとソフトウェアの両方において脆弱性に対処し、エンドユーザーに潜在的なサイバーセキュリティリスクを通知する義務が課されます。また、規制案はソフトウェア開発に関する要件を明確にし、「セキュリティ・バイ・デザイン」を重視しています。

法律の目的

EU委員会が提示したサイバーセキュリティ法制は、欧州市場により安全なハードウェアとソフトウェア製品をもたらすことを目指しています。この法律は以下の4つの措置を通じて具体化されます。

デジタル製品のセキュリティを設計段階から向上させることを製造業者に保証する。
ハードウェアおよびソフトウェアメーカーのコンプライアンスを促進するサイバーセキュリティの枠組みを確保する。
デジタル製品のセキュリティ機能の透明性を向上させる。
企業と消費者がデジタル製品を安全に使用できるようにする。

法律のスコープ

この規制はデバイスやネットワークへのデータ接続を含むデジタル要素を持つ製品に適用されます。その定義は広範で、純粋なソフトウェア製品だけでなく、機械やIoTデバイスなどのハードウェアも含まれます。

適合性評価手順とサイバーリスク評価

適合性評価手順の核は、サイバーリスク評価です。製造業者は製品の設計、開発、製造、引渡し、保守の各段階でサイバーセキュリティリスクを考慮し、最小化する必要があります。評価手順には自己認証とノーティファイド・ボディの関与が含まれます。詳細はサイバーセキュリティ法ファクトシートに記載されています。

Shaping Europe’s digital future

Cyber Resilience Act – Factsheet The Cyber Resilience Act introduces mandatory cybersecurity requirements for hardware and software products, throughout their whole lifecycle.

サイバー攻撃への備えが進む欧州

現在の国際情勢が緊迫する中、特にウクライナでの戦争により、欧州ではサイバー攻撃に対する防衛力強化が重要視されています。この背景から、2023年12月1日、欧州議会と欧州理事会は、欧州委員会が提案したサイバーレジリエンス法について合意に達しました。

新たな法律の概要

この新しい法律は、欧州委員会の前回提案の特徴を踏襲しつつ、いくつかの分野で調整が加えられました。規制の対象となるデジタル製品の分類や、製品寿命の定義、積極的に悪用される脆弱性やインシデントに対する報告義務などがその例です。

欧州議会による妥協案の採択

2024年3月12日、欧州議会は妥協案を採択しました。この文書は理事会の承認後、EU官報に掲載され、サイバー・レジリエンス法は官報に掲載された翌日から20日目に発効します。

AI規則について知っておくべきこと

AI規則が発効すると、デジタル製品の製造業者、輸入業者、販売業者には新しい要件への適応期間が与えられます。

適応期間の重要性

この期間中、これらの業者は製品に関するインシデントや脆弱性を報告する義務から一時的に例外とされます。また、新しい規制に従うための準備をするために36ヶ月の猶予が与えられます。

製造業者、輸入業者、販売業者の責任

この期間は、製品の安全性やセキュリティの向上を目指すEUの取り組みの一環です。製造業者、輸入業者、販売業者は、新しい規制に適合する責任があります。

AI規則　(EU) 2024/1689

AI規則 (EU) 2024/1689 「(2024年6月13日付欧州議会および欧州理事会規則（EU）2024/1689号 2024年6月13日付人工知能に関する調和された規則を定め、規則(EC) No 300/2008、(EU) No 167/2013、(EU) No 168/2013、(EU) 2018/858、(EU) 2018/1139および(EU) 2019/2144ならびに指令2014/90/EU、(EU) 2016/797および(EU) 2020/1828（人工知能法）を改正する。) 」は下記リンクからアクセスできます。

まとめ

サイバー攻撃への備えが欧州で本格化する中、CE マーキング規制の新たな展開が発表されました。この規制により、デジタル製品のセキュリティが向上し、ユーザーの安全が確保されます。今後もサイバーセキュリティの強化に向けて、欧州は一層の努力を続けることになります。

サイバーセキュリティに興味がある方は下記リンク「2024年3月12日欧州議会、デジタル要素を持つ製品に対するサイバーセキュリティの水平的要件に関する欧州議会および理事会の規則の提案と規則（EU）2019/1020の改正に関する決議（COM(2022)0454 – C9-0308/2022 – 2022/0272(COD))」から資料を入手できます。