無線機器指令(RED)に基づく新しいEUセキュリティ法制

サイバーセキュリティー、個人情報保護、プライバシーのレベルの向上

サイバーセキュリティー、個人情報保護、プライバシーのレベルの向上

2022年1月12日、欧州委員会は、セキュリティに関連の追加法を含めた(2022/30/EU)1、無線機器を市場に出すための規制の枠組みを定めた無線機器指令(RED)を更新しました。

同委員会はサイバーセキュリティ、個人情報保護、プライバシーのレベル向上のために、特定のカテゴリの無線機器について第3条(3)(d)、(e)および(f)を発動する無線機器指令の委任規制を採択しました。

この更新では、以下のようなデバイスのサイバーセキュリティ、個人情報、プライバシー保護が義務づけられました:

  • 第3条(3)(d):直接または他の機器を経由してインターネット上で通信する
  • 第3条(3)(e):パーソナルデータ、トラフィックデータ、または位置情報の処理
  • 第3条(3)(f):ユーザーが金銭、貨幣価値、または仮想通貨を送金することが可能な場合

これらの規制は、2024年8月1日に義務化され、無線接続機器の製造業者は、その日までに準拠もしくは必要な措置をしなければなりません。

この背景には、ますます多くの製品がアプリケーションに無線技術を採用しており、これらの機器の多くがインターネットに接続することで、製品がセキュリティ上の脅威にさらされ、攻撃されたり悪用される可能性が高まっていることがあります。


無線機器指令(Radio Equipment Directive:RED)とは

radio equipment cybersecurity

無線機器指令は、無線製品を欧州市場に投入するための、整合化を促進する枠組み( the New Legislative Framework:NLF)に含まれる多くの指令や規制の1つです。安全および健康、電磁両立性(EMC)、電波スペクトルの効率的な利用に関する必須要件を設定することにより、無線機器の単一な市場を保証しています。また、今回のサイバーセキュリティのような法律を追加する委任規制によって、更なる規制の根拠を提供しています。

無線機器指令に準拠するには多くの「必須要件」を満たす必要があります。安全衛生、EMC、無線に関する既存の要件は、「オリジナルの」必須要件としてよく知られており、緊急サービスへのアクセスに関する第3(3)(g)追加必須要件が2022年3月17日に義務化されることが確認されています。しかし、この委任規制の第3条(3)(d),(e),(f)を引用した官報では、サイバーセキュリティの追加必須要件が追加されています。

製品によっては、医療機器、航空機、自動車、電子道路料金システムなど、(一部の条文で)適用範囲外のものもあることに留意すべきです。

 


無線機器指令(RED)追加必須要件

実際の指令の条文は以下のように非常に簡潔です:

  • 第3条(3) (d) ―(インターネットに接続された)無線機器はネットワークまたはその機能に損害を与えず、ネットワーク・リソースを悪用せず、許容できないサービスの劣化を引き起こさないこと
  • 第3条(3)(e) ー無線機器は、ユーザーおよび加入者の個人情報およびプライバシーが確実に保護されるよう措置を組み込んでいること
  • 第3条(3)(f) ー無線機器は、不正行為からの保護を確実にする特定の機能をサポートすること

この条文はハイレベルのものであり、実際に機器メーカーに役立つような詳細な情報は含まれていませんが、欧州委員会は欧州標準化機構(ESO)に「規格要求」を送付し、準拠を支援するための規格を作成するよう求めています。また、欧州委員会からもさらなるガイダンスが期待されています。規格要求には最低限の要求事項が定められていますが、最終的な規格には必要に応じてさらなる評価基準が含まれる可能性があり、欧州委員会からも更なるガイダンスが待たれています。


「必須要件」の実際の意味とは

第3条(3) (d) サイバーセキュリティ

インターネットを介して通信できる無線機器と、他の接続された機器を経由してインターネット上で通信できる無線機器を対象としています。簡単に言えば、ネットワークに損害を与えるような危険にさらしてはいけない、ということです。 

第3条(3)(e) プライバシー

無線機器に個人情報とプライバシーを確実に保護するための措置を組み込むことを要求しています。これには、個人情報、トラフィックデータ、および位置情報の処理ができる無線機器が含まれますが、これらに限定はされません。

第3条(3)(f)

無線製品を使用して金融取引を処理したいユーザーを保護し、損害や不正から保護するものです。


いつまでに対応すればいいのか

委任法令は、2022年1月12日付の欧州連合官報(OJEU、Official Journal of the European Union)に掲載されました。この法令は現在施行されており、2024年8月1日から必須要件への準拠が義務化されます。

2024年8月までに製品を規格に適合させるには、製造業者はできるだけ早く製品の技術仕様に新たな要件を考慮するべきです。

 

テュフズードを選ぶ理由

当社は、ETSI EN 303 645などの既存の規格に基づく試験や評価および指令の必須要件に必要な追加検討事項を提供し、企業の無線機器指令への遵守を支援しています。また、世界各地にサイバーセキュリティの専門家を擁し、規格の開発にも専門知識を提供しています。

ETSI EN 303 645試験

 

サイバーセキュリティに関する新しいRED第3条3項(d)(e)(f)規制の詳細について

製造業者は、2024年8月1日までに、インターネットに接続された無線機器が新しい規格を確実に準拠するようにしなければなりません。移行期間は非常に短いため、製造業者は今すぐ行動を起こす必要があります。

無線機器指令(RED)準拠に関する詳しい情報は、当社の専門家にお問い合わせください。

お問い合わせはこちら


https://eur-lex.europa.eu/eli/reg_del/2022/30/oj

Explore

Internet of Things
ホワイトペーパー

IoTサイバーセキュリティの脅威と規制

CIoT(Consumer IoT)製品のサイバーセキュリティリスクを理解し、CIoT製品に関する新たな規格や規制を学びましょう。

詳細を知る

インフォグラフィック

TÜV SÜD CyberSecurity Certified (CSC) Certification for Consumer IoT

Helps IoT device manufacturers develop products based on international cybersecurity standards

Learn More

テュフズードジャパン
ストーリー

ETSI EN 303 645 Cybersecurity for Consumer IoT

Find out what the ETSI EN 303 645 standard is and why it’s important for consumer IoT products and devices.

Learn More

irobot
ストーリー

Helping iRobot Achieve Internet of Things Cybersecurity

Learn about how TÜV SÜD ensure that iRobot’s product complied with the IoT cybersecurity standard ETSI EN 303 645

Learn More

次のステップ

Site Selector