欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構
こんにちは、丸山満彦です。
欧州消費者機構 (BEUC: Bureau Européen des Unions de Consommateurs, The European Consumer Organisation) [wikipedia] がサイバーレジリエンス法案 (Proposal for a Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) に対するポジションペーパーを公表していますね。消費者団体の親玉のようなところですから基本的に賛成で、なんなら生ぬるいところもあるから、ちゃんとせいや。。。くらいの勢いですかね。。。
次の6つが書かれていますね。。。
- あらゆる種類のデジタル製品および関連サービスを対象としてより広い範囲をカバーすべきである。
- 製造者は、製品の期待寿命の全期間を通じて、セキュリティの脆弱性を監視し、対処する義務を負うべきである。
- 適合性評価手続きを強化すべきである。
- 「重要製品」には消費者向け製品を含め、サイバーセキュリティ認証の義務付けを行うべきである。
- 市場監視と執行の枠組みを明確化し、改善すべきである。
- 義務が尊重されない場合の消費者に対する効果的な救済措置と救済手段
● BEUC: Bureau Européen des Unions de Consommateurs
・2023.01.24 Cyber Resilience Act proposal
・[PDF]
Why it matters to consumers | 消費者にとって重要な理由 |
The number of digital services and connected devices in consumers’ lives is skyrocketing. Consumers expect the products they purchase to be safe and secure. Cyberattacks on connected devices put consumers at risk and endanger their privacy and security, even their physical safety. They can also lead to identity theft and cause economic damage. It is fundamental that the EU develops a strong legal framework to ensure that consumers are adequately protected and that connected devices are cybersecure. | 消費者の生活におけるデジタルサービスやコネクテッドデバイスの数は急増しています。消費者は、購入する製品が安全でセキュアであることを期待しています。コネクテッドデバイスへのサイバー攻撃は、消費者を危険にさらし、プライバシーやセキュリティ、さらには身体的な安全まで脅かします。また、個人情報の盗難につながり、経済的な損害を与える可能性もあります。消費者が適切に保護され、接続機器がサイバーセキュアであることを保証するために、EUが強力な法的枠組みを構築することが肝要である。 |
Summary | まとめ |
BEUC – The European Consumer Organisation welcomes the European Commission proposal on the Cyber Resilience Act (CRA). This proposal answers a longstanding need that BEUC and its members have identified and warned about repeatedly. Over the past years, BEUC members have demonstrated that too many connected products sold on the European market lack even the most basic security features. Too many products are putting consumers at risk on a daily basis. | BEUC ・欧州消費者機構は、サイバーレジリエンス法(CRA)に関する欧州委員会の提案に歓迎の意を表する。この提案は、BEUCとその会員が繰り返し指摘し、警告してきた長年のニーズに応えるものである。過去数年にわたり、BEUCの会員は、欧州市場で販売されているコネクテッド製品のあまりの多さが、最も基本的なセキュリティ機能さえ欠いていることを実証してきた。あまりにも多くの製品が、日常的に消費者を危険にさらしている。 |
BEUC fully supports the proposed introduction of mandatory, essential cybersecurity requirements for manufacturers, distributors and importers of digital products and their ancillary services, to ensure that these products are secure by design and by default. | BEUCは、デジタル製品およびその付属サービスの製造業者、販売業者、輸入業者に対して、設計上およびデフォルトで安全であることを保証するために、必須のサイバーセキュリティ要件の導入を提案していることを全面的に支持する。 |
However, substantial improvements are still needed regarding several aspects of the proposal, to ensure that it is fit for purpose and can fully deliver a high level of protection to consumers. | しかし、本提案が目的に適っており、消費者に高いレベルの保護を完全に提供できるようにするためには、本提案のいくつかの側面について大幅な改善が必要である。 |
In particular, BEUC makes the following key recommendations: | 特に、BEUCは以下の主要な提言を行う。 |
1) A broader scope covering all types of digital products and associated services. | 1) あらゆる種類のデジタル製品および関連サービスを対象としてより広い範囲をカバーすべきである。 |
• The new rules must be applicable to all connected products, and their associated services, marketed to/intended for consumers. | ・新ルールは、消費者向けに販売される、あるいは消費者向けとされる、すべての接続型製品とその関連サービスに適用されなければならない。 |
• The scope should be expanded to cover all web-based services (e.g. Software-asa-Service, websites) available to consumers. | ・また、消費者が利用できるすべてのウェブサービス(SaaS、ウェブサイトなど)にも適用範囲を拡大すべきである。 |
2) Manufacturers should be obliged to monitor and address security vulnerabilities during a product’s entire expected lifespan. | 2) 製造者は、製品の期待寿命の全期間を通じて、セキュリティの脆弱性を監視し、対処する義務を負うべきである。 |
• Mandatory cybersecurity requirements for manufacturers on vulnerability handling should apply throughout the product’s entire expected lifespan, and not be limited to a maximum period of five years. | ・製造業者に対する脆弱性対応に関するサイバーセキュリティの義務付けは、製品の期待寿命全体を通じて適用されるべきであり、最長5年の期間に限定されるべきではない。 |
• A threshold of five years to address vulnerabilities could eventually be a minimum limit, but not a maximum threshold. | ・脆弱性対応のための5年という閾値は、最終的には最小限の制限となり得るが、最大限の閾値とはならない。 |
3) The conformity assessment procedure must be strengthened. | 3) 適合性評価手続きを強化すべきである。 |
• Third party assessment should be the rule to assess the conformity of ‘critical products with digital elements’ under Annex III. | ・附属書IIIの「デジタル要素を持つ重要製品」の適合性評価には、第三者評価をルールとすべきである。 |
• Self-assessment should only be allowed for those products which are not considered to be ’critical products with digital elements’ under Annex III. | ・自己評価は、附属書IIIの「デジタル要素を持つ重要な製品」とみなされない製品にのみ許可されるべきである。 |
• Harmonised standards should only be used to define technical requirements, not to replace legal obligations and requirements. | ・整合規格は、技術的要求事項を定義するためにのみ使用されるべきであり、法的義務や要求事項に取って代わるものではない。 |
• Reliance on harmonised technical standards should not open the door to selfassessment in the case of ‘critical products with digital elements’, even those belonging to Class I. | ・整合技術規格への依存は、たとえクラス I に属するものであっても、「デジタル要素を持つ重要製品」の場合に自己評価の門戸を開くものであってはならない。 |
4) ‘Critical products’ must include consumer products and be subjected to mandatory cybersecurity certification | 4) 「重要製品」には消費者向け製品を含め、サイバーセキュリティ認証の義務付けを行うべきである。 |
• The legislation should mandate cybersecurity certification level “high” for ‘critical products with digital elements’ listed in Annex III while discarding other options, especially those relying on self-assessment. | ・法律は、附属書 III に記載された「デジタル要素を持つ重要製品」に対してサイバーセキュリティ認証レベル「高」を義務付ける一方、他の選択肢、特に自己評価に依存する選択肢は排除すべきである。 |
• The list of critical products (Classes I and II) must have a broader scope, going beyond its current focus solely on products intended for industrial use. | ・重要製品のリスト(クラスIとII)は、産業用途の製品にのみ焦点を当てた現在のものを超えて、より広い範囲を持つ必要がある。 |
• In particular, the list of ‘critical products with digital elements’ of higher risk (Annex III, Class II) must also be extended to include consumer products. | ・特に、よりリスクの高い「デジタル要素を持つ重要製品」(附属書 III、クラス II)のリストは、消費者向け製品も含むように拡張されなければならない。 |
5) The market surveillance and enforcement framework must be clarified and improved. | 5) 市場監視と執行の枠組みを明確化し、改善すべきである。 |
• Effectiveness and consistency of market surveillance and enforcement must be strengthened, by providing for cooperation mechanisms between all market actors. | ・すべての市場関係者間の協力体制を整備し、市場監視・取締りの実効性と一貫性を強化する。 |
• There must be clear cross-sector cooperation mechanisms for relevant supervisory authorities. | ・関連する監督当局のための明確なセクター横断的な協力メカニズムが必要である。 |
• A ‘virtuous cycle’ of cooperation between consumers and national authorities should be encouraged. | ・消費者と国家当局の間の協力の「好循環」が奨励されるべきである。 |
• Enforcement at the national level should be reinforced at a technical level. Beyond a supporting role to the investigation procedures of the European Commission, the CRA proposal should also establish an explicit role for ENISA to assist national authorities in their investigations, at their own request. An alternative would be to create a technical body for this role. | ・国家レベルでのエンフォースメントは、技術的なレベルでも強化されるべきである。CRAの提案は、欧州委員会の調査手続を支援する役割を超えて、各国当局の要請に基づき、各国当局の調査を支援するENISAの明確な役割も確立すべきである。代替案としては、この役割のための技術的な組織を設立することが考えられる。 |
6) Effective remedies and means of redress for consumers when obligations are not respected. | 6) 義務が尊重されない場合の消費者に対する効果的な救済措置と救済手段 |
• Consumers have a right to cybersecure products and services, and should have a clear right to complain to a national authority and access judicial remedies when they are affected by non-compliance with the CRA obligations. | ・消費者は、サイバーセキュアな製品とサービスを受ける権利を有し、CRAの義務の不履行によって影響を受けた場合、国家機関に苦情を申し立て、司法救済にアクセスする明確な権利を有するべきである。 |
• Manufacturers should be required to make a complaint mechanism available and be obliged to react to consumer complaints within a short period of time, with a maximum of five working days. | ・製造業者は、苦情処理機構を利用できるようにし、消費者の苦情に短時間(最大5営業日)以内に対応する義務を負うべきである。 |
• Affected users should have the right to remedies/compensation in case they suffer damages caused by non-compliance with the CRA. | ・CRA の不遵守により損害を被った場合、影響を受けたユーザーは救済・補償を受ける権利を有するべきであ る。 |
• Consumer organisations/civil society organisations should be able to represent individual consumers in the exercise of their rights. | ・消費者団体/市民社会組織は、消費者個人の権利行使を代理することができるべきである。 |
• The CRA must be added to the Annex of the Representative Actions Directive (RAD) to enable collective redress actions and injunctions in case of mass harm. | ・集団的被害に対する救済措置や差止命令を可能にするため、CRAをRepresentative Actions Directive (RAD)の附属書に追加しなければならない。 |
目次...
1. Introduction | 1. 序文 |
2. A broader scope with very limited exclusions (Article 2) | 2. より広い範囲と非常に限定された除外事項(第2条) |
3. Mandatory and effective application of cybersecurity requirements | 3. サイバーセキュリティ要求事項の義務的かつ効果的な適用 |
3.1. Products should remain secure throughout their entire expected lifespan | 3.1. 製品は、期待される寿命全体を通じて安全であり続けるべきである。 |
3.2. Risks of premature obsolescence and sustainability concerns on electronic waste | 3.2. 早すぎる陳腐化のリスクと電子廃棄物に関する持続可能性の懸念 |
3.3. Software updates: unbundling security and functionality updates | 3.3. ソフトウェアの更新:セキュリティと機能の更新のアンバンドリング |
4. Strengthening the conformity assessment procedure | 4. 適合性評価手続の強化 |
4.1. Self-assessment by default means cybersecurity at risk by design | 4.1. デフォルトでの自己評価とは、設計上リスクのあるサイバーセキュリティを意味する |
4.2. Presumption of conformity, self-assessment through the ‘backdoor’? | 4.2. 適合性の推定、"裏口 "からの自己評価? |
4.3. The Role of Standards in ensuring cybersecurity for consumers* | 4.3. 消費者*のためのサイバーセキュリティを確保するための規格の役割 |
5. Mandatory third-party assessment for critical products, including consumer products (Annex III) | 5. 消費者向け製品を含む重要製品に対する第三者評価の義務化 (附属書 III) |
5.1. The absence of a risk assessment methodology | 5.1. リスクアセスメントの方法論がないこと |
5.2. The necessity of mandatory certification for all ‘critical products’ | 5.2. すべての「重要製品」に対する強制認証の必要性 |
5.3. List of ‘critical products’ must be extended beyond mere industrial use | 5.3. 重要製品」のリストは、単なる産業用途にとどまらず、拡大すべきである。 |
5.4. Consumer products must be added to the list of ‘critical products’ | 5.4. 消費者向け製品を「重要製品」のリストに追加しなければならない。 |
5.4.1. Private security devices | 5.4.1. 民間のセキュリティ機器 |
5.4.2. Smart home devices | 5.4.2. スマートホームデバイス |
5.4.3. Connected toys and other devices intended to interact with children | 5.4.3. 子供とのインタラクションを意図したコネクテッド・トイやその他のデバイス |
5.4.4. Health appliances and wearables | 5.4.4. 健康器具・ウェアラブル |
6. Stronger market surveillance and enforcement framework (Chapter V) | 6. 市場監視と執行の枠組みの強化(第V章) |
7. Effective remedies and means of redress for consumers | 7. 消費者に対する効果的な救済措置と救済手段 |
8. Final provisions | 8. 最終規定 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...
« 米国 FBI DHS 戦略的インテリジェンス評価と国内テロに関するデータについての報告 (2023.01.05) | Main | 経済産業省 「システム監査基準(案)」及び「システム管理基準(案)」に対する意見募集について »
Comments