日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的：ソフトウェアサプライチェーンの守り方（2）（1/3 ページ）

米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。

[松岡 正人，MONOist]

　連載第1回の記事では、世界でソフトウェアサプライチェーンセキュリティにおける「規制」が生まれてきた背景となる事象を列挙しつつ、かつての排ガス規制と重ねて書いてみた。今回は視点を移し、日本での状況について振り返ってみたい。

⇒連載「ソフトウェアサプライチェーンの守り方」バックナンバー

サイバーセキュリティ関連規制の国際的な動き

　まずはサイバーセキュリティ関連の規制に関連する国際的な動きをおさらいしてみようと思う。

　米国大統領令の「EO14028」とEUのCRA（Cyber Resilience Act）法案があることは第1回の記事で触れたが、それぞれ対象の広さが大きく異なっており、関連する「規則」^※1）などの法令も多岐にわたっている（図1）。

※1）EUで法令となった規制にはRegulationやDirectionなどがあり、それぞれ「規則」「指令」と訳される。なお、Regulation（規則）はEU加盟国は法制化することが必須で、Direction（指令）は必須ではなく加盟国の判断に委ねられている、という違いがある。

図1　CRAにおける対象となる製品の区分［クリックで拡大］ 出所：Cyber Resilience Act Fact sheetのp.3

　例えば、CRAの対象となる製品区分のCritical Class I/IIは全体の10％、残る90％は「それ以外」の製品だとしている。しかし、既に存在している一部の分野の製品については以下に列挙する別の規則などで扱われる。

• 医療機器規則（EU）2017/745
• 体外診断用医療機器規則（EU）2017/746
• 自動車の型式承認規則（EU）2019/2144
• 民間航空規則（EU）2018/1139
• GDPR（EU）2016/679

　さらに、並行して新たな技術であるAI（人工知能）の規則や、既存の規則の更新が提案されており、全体が調和して機能するように作られようとしている。

• AI規則 プロポーザル
  新たな規則としてAI技術の安全性と信頼性を高めるために策定中、日本からも提案を行っている
• 機械規則 プロポーザル
  既存のDirective 2006/42/EC を更新し、指令（Directive）から規則（Regulation）に変更
• NIS2
  既存の（EU）2016/1148を更新

　CRAはEU域内でのルールを定めるものなので、上述のようなEUの規則との関係が明確にうたわれている。ちなみに、医療関係の規格や規制を監督する組織として、欧州医薬品庁（EMA）が知られていると思うが、これらの組織が扱う法令や標準、規格は分野ごとに細分化されている。

　例えば、上記の例外となる規則の一覧を見ると、「医療機器」と「体外診断用医療機器」は異なる規則で扱われている。また、EUではMDCG（Medical Device Coordination Group）という組織があり、医療機器の市場監視、新技術、国際問題、臨床調査などの問題を扱っており（関連資料）、（EU）2017/745などの規則について承認を行っている（関連資料）。また、後述する医療機器のサイバーセキュリティガイダンスであるIMDRF（International Medical Device Regulators Forum／国際医療機器規制当局フォーラム）の「Principles and Practices for Medical Device Cybersecurity」（IMDRF/CYBER WG/N60）は、MDCGが承認し（EU）2017/745および（EU）2017/746のAnnex（附録）として採用している（関連資料）。