第6回：他のEUサイバー規制との関係に係る考察

第2回（ポイント①：広範な適用スコープ） でも述べた通り、既存のEU規制のうち医療機器規則、体外診断⽤医療機器規則、⺠間航空機規則、⾃動⾞の型式承認規則の適用対象であるデジタル製品・サービスは、CRAの適用対象外であると定義されています。

一方で、その他のEU規制の対象となるデジタル製品・サービスに対するCRAの適用判断は「当該規制の要件」に基づくとされており、CRAを含む複数の規制への対応が必要となるケースも想定されます。

本ブログでは、「AI法案」、「一般製品安全規則案」、「機会規則案」とCRAとの関係性をCRAの条文より考察します。

【CRAとAI法案との関係性に係る考察】

AI法案では、対象となるAIシステムをリスクに応じて4つに分類しており、最もリスクが高いAIシステムを「高リスクAIシステム」とし、各分類に該当するAIシステムに求める要件（セキュリティ要件を含む）を定義しています。

CRAの適用対象に係る定義より、AIシステムはCRAの対象となるデジタル製品・サービスに該当しますので、CRAの対象となるデジタル製品・サービスにAIシステムが組み込まれ市場に提供されるというケースも想定されます。どのような場合に何をどこまで対応する必要があるのかを適切に見定めることが重要です。

CRA第8条により、「高リスクAIシステム」は、CRAのセキュリティ要件に準拠する必要があると考察できます（CRAのセキュリティ要件を満たした「高リスクAIシステム」は、AI法案のセキュリティ要件を満たすものとされる）。

また、CRAの定義により「重要なデジタル製品」とみなされる「高リスクAIシステム」は、AI法案で要求される適合性評価とCRAで要求される適合性評価のそれぞれへの対応が求められる可能性があります。

【CRAと一般製品安全規則案との関係性に係る考察】

一般製品安全規則案 (GPSR: General Product Safety Regulations)とは、食品や医療関連など “特定のEU法により安全規制の対象となっている製品を除く” 消費者向け製品を対象に、生産者および流通者に対する安全義務を定めた規則案です。消費者向け製品はデジタル製品/非デジタル製品の双方が存在するため、デジタル製品に該当する消費者向け製品はCRAの適用対象でもあり、一般製品安全規則案の適用対象でもあると言えます。

CRA第7条により、デジタル製品に該当する消費者向け製品については、サイバーセキュリティリスクへの対応としてCRAのセキュリティ要件に準拠する必要があり、その他リスクへの対応としては一般製品安全規則案の要件（セキュリティ要件を除く）に準拠する必要があると考察できます。

【CRAと機械規則案との関係性に係る考察】

機械規則案とは、特定のEU法の対象となっている例外的な製品（医療機器等）を除いた機械製品を対象に、機械の設計・製造に関する要件を定めた規則案です。ここでもやはり、CRAの適用対象かつ機械規則案の適用対象という製品が存在します。

機械規則案では、Annexにて適用対象となる製品に要求する必須要件が規定されており、セキュリティ観点での要件も存在します。ただし、セキュリティ要件自体はCRAで定義されている要件の方がより具体的であるため、CRAのセキュリティ要件を満たした製品は機械規則案のセキュリティ要件を満たしているとされることが考察できます。

一方で、CRAではカバーされない機械規則案の必須要件への準拠性を証明するためには、機械規則案にて規定された適合性評価への対応が必要になる可能性があります。

本シリーズのブログ

• 第1回：欧州サイバーレジリエンス法案（Cyber Resilience Act）の概要
• 第2回：欧州サイバーレジリエンス法案（Cyber Resilience Act）の適用スコープ
• 第3回：欧州サイバーレジリエンス法案（Cyber Resilience Act）の適合性評価
• 第4回：欧州サイバーレジリエンス法案（Cyber Resilience Act）のセキュリティ要件
• 第5回：当局への報告の義務化

執筆者

北町 任／Takashi Kitamachi
デロイト トーマツ サイバー合同会社

デロイト トーマツ サイバー合同会社所属。会計系の大手コンサルティング会社を経て現職。製造業を中心に、取引先を含めたサプライチェーン全体のサイバーセキュリティー戦略や製品セキュリティー戦略の策定などに従事。
 

※所属などの情報は執筆当時のものです。