CRAに違反した際には、主に2つの罰則が課される可能性がある。第一に製品の販売禁止だ。CRAは製品を欧州市場で販売するために必要な「CEマーキング」の要件となる予定で、CRAの要求事項を満たさないということは、製品にCEマークを貼付できないということになるうえ、場合によっては製品回収命令が出ることも想定される。
販売機会の喪失だけでなく、ユーザーに対しての補償にかかる費用も莫大になることが予想され、製品の回収にかかる送料、製品の保管費用、不具合製品の改修、廃棄費用、消費者からの問い合わせに対応するコールセンターの運用費用、フリーダイヤルの電話代、購入金額の払い戻しなど、ありとあらゆる想定外のコストがかかる可能性がある。
第二に監督機関からの罰金である。CRAに違反した場合、最大1500万ユーロ(約26億円、1ユーロ173円換算)もしくは前年度全世界売上高の2.5%、どちらか高いほうが課される可能性がある。
ポイントは、罰金の計算根拠にあり、近年制定された欧州のデジタル・サイバーセキュリティ法は、いずれも全世界の売り上げを基準に罰金額を算定している。EU一般データ保護規則(GDPR)、欧州データ法、欧州AI規制法などは算出割合こそ違うが、全て全世界の売り上げをベースに罰金を算出することになっているため、欧州での売上高が大きくない会社も、思わぬ高額な罰金を課されかねない点に注意が必要だ。
CRA違反を起こすと、多大なキャッシュアウトを余儀なくされる可能性が高い。製品のサイバーセキュリティ対応は、今や製品開発現場だけの問題ではなく、経営課題として取り組むべき内容だと言える。
CRAが適用される機器は非常に幅広く「デジタル要素を含む」製品に広く適用されることになる。CEマーキング取得の基準には、製品のリスクに応じて差が生じる見通しで、ハイリスクな製品は第三者認証機関による認証(CoC, Certificate of Conformity)が必須となり、比較的リスクの低い製品は自己宣言(DoC, Declaration of Conformity)でのCEマーキング取得が可能になる。
市場に出回る大半の製品は、自発的な宣言でCEマーキングを取得できる見込みだが、まれに低リスク製品の場合であっても、製品をOEM(相手先ブランドによる生産)供給する場合や、輸入販売業者からの要求でCoCが要求される場合もあるので、事前に確認することを推奨する。
なお、デジタル要素を含む製品であっても、以下の法規による認証対象製品は、CRAの対象外となる。
認証対象製品 | 法規 |
---|---|
医療機器 | Regulation(EU) 2017/745-欧州医療機器規則(MDR) |
体外診断機器 | Regulation (EU) 2017/746-欧州体外診断用医療機器規則(IVDR) |
自動車 | Regulation (EU) 2019/2144-自動車の型式承認規則 |
航空・宇宙 | Regulation(EU) 2018/1139-民間航空機規則 |
これらの機器にトラブルが起きると、人間の生命と安全に直接的な影響を与えるため、既に個別のサイバーセキュリティ要求が実施されており、CRAの対象からは外されている。
一方、これらの機器を「制御する製品」はCRAの対象となる場合があるので注意が必要だ。例えば、医療機器と医療機器を制御するデバイスがあり、医療機器としての認証を取るデバイスは、欧州医療機器規則(MDR)に準拠しての対応が当然必要になる。
医療機器を制御するデバイスは「医療機器ではない」ためMDRに対応する必要はなくなるが、CRAとしての対応は必要になるというケースが考えられる。自社が開発する製品が準拠すべき法令については、なるべく早く専門家に相談し、確認することが望ましい。
次回は、CRAで要求されるサイバーセキュリティの技術的要求事項(整合規格)について、現時点でわかっていること、および推測されること、開発にあたり組織的に対応すべき事項について解説する。
ドイツ出身。ドイツ弁護士資格を持つ。大学卒業後、日本の法律に関する修士と博士を取得し、17年以上の職務経験を持つ。グローバルに活動するITとソフトウエアの日系企業おいて欧州事業法務部・コンプライアンスを担当。2017年にKPMGドイツ法律事務所に入社し、日系企業向けに欧州規則に関するコンプライアンス、欧州の紛争に特化した支援業務に従事。2022年にKPMGジャパンに出向。欧州規則に関する日系企業の法務部の支援強化、ビジネスソリューションも含めた法的手段以外の紛争戦略の提言及び支援業務に従事。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR