ネット接続機器にサイバー攻撃対策　EUが義務化検討

【ブリュッセル=竹内康雄】欧州連合（EU）はインターネットにつながる機器を対象に、サイバーセキュリティー上の対策を求める方針だ。企業に安全性が確保されているかどうか、専門機関などによる評価を受けることを義務付け、規則を守っていない場合は多額の罰金を科す。ネット接続機器は急増しており、サイバー攻撃への備えを手厚くする。

EUの欧州委員会が15日にサイバー・レジリエンス法案を公表した。メーカーやソフトウエアの開発事業者は、EUの規則を守れなければ、最大で1500万ユーロか、世界の総売上高の2.5%の高い方を制裁金として科される可能性がある。

法案はEU加盟国からなる閣僚理事会と、欧州議会の合意を得て成立する。成立から2年後に具体的なルールの適用が始まる。EUで販売される製品が対象で、EUで事業活動をする日本企業などにも影響が出そうだ。

あらゆるモノがネットにつながるIoT時代に入り、従来の通信機器だけでなく、冷蔵庫から電子レンジ、ケトルなどの家電から工場のロボットまでインターネットにつながる機器は増えている。総務省の情報通信白書によると、世界の2020年の接続機器数は253億台で16年から5割弱増えた。

欧州委は製造業者に対して、対象機器にEUの基準に沿ったサイバー対策を施したという第三者などの評価を受けるよう義務付ける。適合が証明されれば、EU安全規格の表示「CEマーク」をつけて販売できる。

個別の規制がある医療機器や航空分野などは同法案の対象外だが、データ接続のあるほぼすべての製品に適用されるという。製造業者はサイバー関連の安全上のリスクを文書化し、新たに脆弱性が見つかれば直ちに加盟国の当局に報告する。

製品が市場に出回った後もメーカーや業者は少なくとも5年間は安全性に関する監視を続ける必要がある。証明書を取得していなかったり、製品に問題があると分かったりした場合は、欧州委や加盟国当局が製品の回収を含めて対応する。

欧州委はこの規則を守るためのコストが290億ユーロなのに対して、サイバー犯罪がもたらすコストは最大で2900億ユーロになると見積もる。

家電や工場のロボットがインターネットとつながることで、重要なデータを効率よく集めたり、遠隔で操作するなど利便性は格段に向上した。一方で接続機器が増えれば、サイバー攻撃になりうる対象が増えることを意味する。

消費者やユーザー企業は必ずしもサイバー攻撃のリスクに詳しいわけではない。1つの機器がサイバー攻撃を受ければ、被害が他の機器やネットワークに及ぶ可能性があることを踏まえ、欧州委は、製品を市場に送り出す企業に責任を負わせることにした。