無線機器指令 (RE指令) サイバーセキュリティ要件と EN 18031
代表コンサルタント 大向勇太無線機器指令 サイバーセキュリティ要件の概要
RE指令 サイバーセキュリティ要件の適用時期
2025年8月1日以降、該当の無線機器については、無線機器指令 (RE指令) 2014/53/EU の第3条(3) point (d), (e) および (f) に規定されるサイバーセキュリティに関する必須要件が適用されます。根拠条文である委任規則 (EU) 2022/30 の原文はこちら(外部リンク)をご確認ください。
留意事項
当ウェブサイトに記載の内容は、当方の法令解釈に基づくものであり、内容についての責任は一切負いません。また、簡略化のために詳細な条件については記載していない場合があります。実際の適用にあたっては、必ず原文を確認の上で適用してください。
RE指令 サイバーセキュリティ要件の適用対象
RE指令の第3条(必須要求事項)には、サイバーセキュリティ要件として以下の3つが規定されています。
| 第3条(3) (d) | 無線機器は、ネットワークまたはその機能に害を与えず、ネットワークリソースを不正に使用しないこと。また、これにより、許容できないサービス低下を引き起こさないこと; |
| 第3条(3) (e) | 無線機器には、ユーザ及び加入者の個人情報及びプライバシーが確実に保護されるためのセーフガードが組み込まれていること; |
| 第3条(3) (f) | 無線機器は、詐欺行為からの保護を確かとするための特定機能を備えること; |
これらの要件の具体的な適用性については、委任規則 (EU) 2022/30 で以下のように補足されています。
- 第3条(3) (d) の要件は、直接通信するか、他の機器を介して通信するかに関わらず、インターネットを介して通信可能な無線機器(インターネット接続型無線機器)に適用される。
- 第3条(3) (e) の要件は、以下のいずれかの、個人データ、トラフィックデータ、または、位置データを処理する能力を有する無線機器に適用される。
- (a) インターネット接続型無線機器(ただし、(b), (c) または(d) に該当するものを除く);
- (b) チャイルドケア専用に設計または意図された無線機器;
- (c) 玩具安全指令 2009/48/EC の適用を受ける無線機器;
- (d) 以下のいずれかに装着、固定、または吊り下げるように設計または意図された無線機器(専らその目的のためであるか否かを問わない):
- 人間の身体のあらゆる部分(頭部、首、胴体、腕、手、脚、足を含む);
- 人間が着用する衣服(頭部、手、足用の衣服を含む)
- 第3条(3) (f) の要件は、その機器の保有者または使用者が、金銭、金銭的価値、または、仮想通貨の移転を可能にする、インターネット接続型無線機器に適用される。
用語の定義
第3条(3) (e) の要件に関連する各用語の定義は、以下の通りです。
| 個人データ | 特定された、または、特定可能な自然人(データ主体)に関するあらゆる情報をいう。特定可能な自然人とは、氏名、識別番号、位置情報、オンライン識別子、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、または社会的特性に関する1つ以上の要素を参照することにより、直接的または間接的に特定できる者をいう。 |
| 処理 | 自動化された手段の有無を問わず、個人データまたは個人データの集合に対する、あらゆる操作または操作の集合をいう。操作には、収集、記録、整理、構造化、保存、適応または変更、検索、照会、利用、伝送による開示、拡散またはその他の方法による提供、照合または結合、制限、消去または破壊が含まれる。 |
| トラフィックデータ | 電子通信ネットワーク上の通信の伝達またはその課金を目的として処理されるデータをいう。 |
| 位置データ | 電子通信ネットワークにおいて、または、電子通信サービスによって処理されるデータで、公衆が利用可能な電子通信サービスのユーザの端末装置の地理的位置を示すものをいう。 |
サイバーセキュリティ要件 適用の例外
以下の指令・規則の対象となる無線機器には、サイバーセキュリティ要件が適用されません。
- 第3条(3) (d),(e) および (f)
- 規則 (EU) 2017/745(医療機器)
- 規則 (EU) 2017/746(体外診断用医療機器)
- 第3条(3) (e) および (f)
- 規則 (EU) 2018/1139(民間航空)
- 規則 (EU) 2019/2144(自動車の型式承認)
- 指令 (EU) 2019/520(道路通行料自動徴収システム)
サイバーセキュリティ要件の整合規格 EN 18031
整合規格 EN 18031 シリーズの制限条件
下表の通り、RE指令の各サイバーセキュリティ要件には、それぞれ整合規格(EN 18031シリーズ)が発行されています。ただし、いずれも条件付きとなっているため、適合推定の効力を得るには、各規格に定められた制限条件を満足しなければならない点に注意が必要です。
| 箇条 | 整合規格 | 制限条件 |
| 第3条(3) (d) | EN 18031-1:2024 | ・「根拠 (rationale)」および「ガイダンス (guidance)」という名称のセクションは、適合を推定しない。(これらのセクションは、情報提供を目的とするものであり、適合推定には関連しない。) ・6.2.5.1 および 6.2.5.2 項を適用する際に、ユーザがパスワードを設定および使用しないことを認めている場合、適合を推定しない。(ユーザにパスワード設定・使用させなければならない。そうでなければ、Notified Bodyの関与が必須となる。) |
| 第3条(3) (e) | EN 18031-2:2024 | EN 18031-1:2024 と同様の制限条件に加えて、 ・6.1.3、 6.1.4、6.1.5 または 6.1.6 項に該当する無線機器については、6.1.3.4.2、 6.1.4.4.2、6.1.5.4.2 および 6.1.6.4.2 項を適用した場合に、親または保護者のアクセス制御が確保されていない場合、適合を推定しない。(親または保護者によるアクセス制御を実装しなければならない。そうでなければ、Notified Bodyの関与が必須となる。) |
| 第3条(3) (f) | EN 18031-3:2024 | EN 18031-1:2024 と同様の制限条件に加えて、 ・6.3.2.4 項に規定される評価基準については、適合を推定しない。(セキュアなアップデートについて規定する6.3.2.4項が適用される無線機器については、適合推定が得られないため、Notified Bodyの関与が必須となる。署名、セキュアな通信メカニズム、アクセス制御メカニズム、その他、の4つの実装カテゴリがあるが、1つだけでは金融資産を取り扱う上で不十分であるため。) |
EN 18031 シリーズの概要
EN 18031 シリーズの各規格は、無線機器が講じるべきセキュリティ要求事項について規定しています。
それぞれのセキュリティ要求事項が適用されるかどうかを判断するにあたっては、まず、保護すべきアセット(資産)が存在しているかどうか、アセットに該当する情報は何なのか、を明確にすることが重要です。
各規格が保護対象としているアセットは、下表の通りです。
| EN 18031-1 | EN 18031-2 | EN 18031-3 | |
| セキュリティアセット | ✓ | ✓ | ✓ |
| ネットワークアセット | ✓ | ||
| プライバシーアセット | ✓ | ||
| フィナンシャルアセット | ✓ |
EN 18031-1 はネットワークアセット、EN 18031-2 はプライバシーアセット、EN 18031-3 はフィナンシャルアセットを保護対象としており、セキュリティアセットは、3つの規格のすべてで保護対象となっています。
各セキュリティ要求事項は、主にメカニズムと呼ばれる概念で表され、それぞれにアルファベット3文字のIDが付けられています。要求事項は規格ごとに異なり、おおまかには下表の通りとなっています。
| EN 18031-1 | EN 18031-2 | EN 18031-3 | |
| [ACM] アクセス制御メカニズム | ✓ | ✓ | ✓ |
| [AUM] 認証メカニズム | ✓ | ✓ | ✓ |
| [SUM] セキュアアップデートメカニズム | ✓ | ✓ | ✓ |
| [SSM] セキュアストレージメカニズム | ✓ | ✓ | ✓ |
| [SCM] セキュア通信メカニズム | ✓ | ✓ | ✓ |
| [RLM] レジリエンスメカニズム | ✓ | ||
| [NMM] ネットワーク監視メカニズム | ✓ | ||
| [TCM] トラフィック制御メカニズム | ✓ | ||
| [LGM] ログ記録メカニズム | ✓ | ✓ | |
| [DLM] 削除メカニズム | ✓ | ||
| [UNM] ユーザー通知メカニズム | ✓ | ||
| [CCK] 秘密暗号鍵 | ✓ | ✓ | ✓ |
| [GEC] 一般的な機器の能力 | ✓ | ✓ | ✓ |
| [CRY] 暗号技術 | ✓ | ✓ | ✓ |
適合性の評価にあたっては、まず、各要求事項が適用されるかどうかを判定し、適用される場合は合否を判定することになります。
無線機器指令 (RE指令) に関する参考情報
外部リンク
| 無線機器指令 (RED) 2014/53/EU | 無線機器指令 (RED) 2014/53/EU の原文を確認できます。 |
| 欧州委員会委任規則 (EU) 2022/30 | 無線機器指令 (RED) の第3条(3), point (d), (e), (f) の必須要件を補足する規則です。 |
| Radio Equipment Directive (RED) | EU総局のウェブサイトです。 無線機器指令のガイダンスなど、関連情報がまとまっています。 |
