テュフズードジャパン Blog

無線機器指令(RED)に基づく新しいEUセキュリティ法制

サイバーセキュリティー、個人情報保護、プライバシーのレベルの向上

サイバーセキュリティー、個人情報保護、プライバシーのレベルの向上

2022年1月12日、欧州委員会は、セキュリティに関連の追加法を含めた(2022/30/EU)1、無線機器を市場に出すための規制の枠組みを定めた無線機器指令(RED)を更新しました。

同委員会はサイバーセキュリティ、個人情報保護、プライバシーのレベル向上のために、特定のカテゴリの無線機器について第3条(3)(d)、(e)および(f)を発動する無線機器指令の委任規制を採択しました。

この更新により、以下の製品にサイバーセキュリティ、個人情報、プライバシー保護が義務づけられました:

  • 第3条(3)(d):直接または間接的にインターネットに接続する製品
  • 第3条(3)(e):個人情報、トラフィックデータ、または位置情報を処理する製品
  • 第3条(3)(f):ユーザーが金銭、貨幣価値、または仮想通貨を送金することが可能な製品

これらの規制は、2025年8月1日(*従来の予定から一年延期されました)に義務化され、無線接続機器の製造業者は、その日までに準拠もしくは必要な措置をしなければなりません。

これら規制の整合規格は、EN 18031シリーズが有力候補とされており、テュフズードでは試験サービスを提供しています。

この背景には、ますます多くの製品がアプリケーションに無線技術を採用しており、これらの機器の多くがインターネットに接続することで、製品がセキュリティ上の脅威にさらされ、攻撃されたり悪用される可能性が高まっていることがあります。


無線機器指令(Radio Equipment Directive:RED)とは

radio equipment cybersecurity

無線機器指令は、無線製品を欧州市場に投入するための、整合化を促進する枠組み( the New Legislative Framework:NLF)に含まれる多くの指令や規制の1つです。安全および健康、電磁両立性(EMC)、電波スペクトルの効率的な利用に関する必須要件を設定することにより、無線機器の単一な市場を保証しています。また、今回のサイバーセキュリティのような法律を追加する委任規制によって、更なる規制の根拠を提供しています。

無線機器指令に準拠するには多くの「必須要件」を満たす必要があります。安全衛生、EMC、無線に関する既存の要件は、「オリジナルの」必須要件としてよく知られており、緊急サービスへのアクセスに関する第3(3)(g)追加必須要件が2022年3月17日に義務化されることが確認されています。しかし、この委任規制の第3条(3)(d),(e),(f)を引用した官報では、サイバーセキュリティの追加必須要件が追加されています。

製品によっては、医療機器、航空機、自動車、電子道路料金システムなど、(一部の条文で)適用範囲外のものもあることに留意すべきです。

 

関連リンク
RE指令とは?ー欧州に製品を輸出するためにクリアすべき課題ー


無線機器指令(RED)追加必須要件

実際の指令の条文は以下のように非常に簡潔です:

  • 第3条(3) (d) ―(インターネットに接続された)無線機器はネットワークまたはその機能に損害を与えず、ネットワーク・リソースを悪用せず、許容できないサービスの劣化を引き起こさないこと
  • 第3条(3)(e) ー無線機器は、ユーザーおよび加入者の個人情報およびプライバシーが確実に保護されるよう措置を組み込んでいること
  • 第3条(3)(f) ー無線機器は、不正行為からの保護を確実にする特定の機能をサポートすること

この条文はハイレベルのものであり、実際に機器メーカーに役立つような詳細な情報は含まれていませんが、欧州委員会は欧州標準化機構(ESO)に「規格要求」を送付し、準拠を支援するための規格を作成するよう求めています。また、欧州委員会からもさらなるガイダンスが期待されています。規格要求には最低限の要求事項が定められていますが、最終的な規格には必要に応じてさらなる評価基準が含まれる可能性があり、欧州委員会からも更なるガイダンスが待たれています。


「必須要件」の実際の意味とは

第3条(3) (d) サイバーセキュリティ

インターネットを介して通信できる無線機器と、他の接続された機器を経由してインターネット上で通信できる無線機器を対象としています。簡単に言えば、ネットワークに損害を与えるような危険にさらしてはいけない、ということです。 

第3条(3)(e) プライバシー

無線機器に個人情報とプライバシーを確実に保護するための措置を組み込むことを要求しています。これには、個人情報、トラフィックデータ、および位置情報の処理ができる無線機器が含まれますが、これらに限定はされません。

第3条(3)(f)

無線製品を使用して金融取引を処理したいユーザーを保護し、損害や不正から保護するものです。


いつまでに対応すればいいのか

委任法令は、2022年1月12日付の欧州連合官報(OJEU、Official Journal of the European Union)に掲載されました。この法令は現在施行されており、2025年8月1日から必須要件への準拠が義務化されます。

2025年8月までに製品を規格に適合させるには、製造業者はできるだけ早く製品の技術仕様に新たな要件を考慮するべきです。

 

テュフズードを選ぶ理由

国内でサイバーセキュリティのEN18031評価サービスをいち早く開始。

EN18031は、2025年にRED-DA(無線機器指令委託法令)の整合規格になることが見込まれており、IoT製品のセキュリティリスクを包括的に評価するための規格として策定されています。

当社は、IoT製品のセキュリティ評価において、新たな規格であるEN18031に対応し、国内の試験所で本規格に基づいた評価サービスを開始しています。2024年12月現在、既に 2社の製品に対して評価を実施し、その結果を提供しています。

EN18031の評価では、グレーボックステストが必須となります。 当社は、2022年よりIoT製品向けサイバーセキュリティ欧州規格であるEN303 645/TS103 701に基づいたグレーボックステストを提供しており、これまでに培ったノウハウをEN18031の評価にも活かしています。

EN 18031試験サービス

 

サイバーセキュリティに関する新しいRED第3条3項(d)(e)(f)規制の詳細について

製造業者は、2025年7月31日までに、インターネットに接続された無線機器が新しい規格を確実に準拠するようにしなければなりません。移行期間は非常に短いため、製造業者は今すぐ行動を起こす必要があります。

無線機器指令(RED)準拠に関する詳しい情報は、当社の専門家にお問い合わせください。

お問い合わせはこちら


https://eur-lex.europa.eu/eli/reg_del/2022/30/oj

もっと知る

EU Cyber Resilience Act
ブログ

欧州サイバーレジリエンス法(CRA)とは?企業への影響と対応方法 を解説

サイバーレジリエンス法(CRA)に備えるために知っておくべきことを解説します。

詳細はこちら

テュフズードジャパン
ブログ

ETSI EN 303 645規格:コンシューマーIoT機器セキュリティとは?

コネクテッドデバイスのサイバー耐性を試験し、認証を取得することの重要性

詳細はこちら

irobot
ブログ

ロボット掃除機「ルンバ」のIoTサイバーセキュリティを実現

テュフズードが「ルンバ」のIoTサイバーセキュリティ規格ETSI EN 303 645適合をサポート

詳細はこちら

Internet of Things
ホワイトペーパー

IoTサイバーセキュリティの脅威と規制

CIoT(Consumer IoT)製品のサイバーセキュリティリスクを理解し、CIoT製品に関する新たな規格や規制を学びましょう。

詳細を知る

リソースセンターへ

次のステップ

Site Selector