EN 18031を網羅的に把握する！製造メーカがEUの新しいサイバーセキュリティ規制RED-DAにどう立ち向かうべきか

EUが2025年1月28日にRED-DA（Radio Equipment Directive Delegated Act：無線機器指令委託法令）の整合規格としてEN 18031の発表を正式に承認したことにより、EU市場に参入するすべての無線機器は、2025年8月1日以降、より厳格なサイバーセキュリティ要件に準拠することが必須となります。これは単なる規制の調整だけではなく、グローバル製品における「セキュリティ、プライバシー、コンプライアンス」という3大側面の再構築でもあります。製造メーカがEU市場での立ち位置を強固なものにする場合、EN 18031のコア精神を把握し、サイバーセキュリティの設計と法令遵守の計画をできるだけ早く開始することが急務となります。
 

RED第3.3条(d)(e)(f)：機能に基づく機器のサイバーセキュリティ能力の強化

RED-DAの実行により、EU無線機器指令 (RED) 第3.3条の(d)、(e)、(f) 3項のサイバーセキュリティ要件が正式に義務化されます。実際、これら3項はかなり前からREDの基本要件でしたが、RED-DAではこれらの規定を実行段階へと持ち込み、製品を市場に出す前に満たさなければならない規制要件の1つとしてサイバーセキュリティを挙げています。これら3つの条項では、機器の備える機能と性能に対するサイバーセキュリティの要件を定めています。

• 第3.3条(d)：製品にインターネット接続機能が備わっている場合、不正アクセスやデータの不正使用を確実に防止できること。
• 第3.3条(e)：製品に個人情報またはプライバシー情報の処理を伴う場合、設計を強化しそれらのデータとプライバシーが確実に保護されるように処置をくみこんでいること。
• 第3.3条(f)：製品が金融取引または支払い機能(カード決済、モバイル決済、POSデバイスなど)をサポートする場合、高度に安全な暗号化および認証メカニズムが実装されていること。

これら3つの条項のポイントは、製品の種類や業種ではなく、「機器にこれらの機能を備えている場合、それ相応のサイバーセキュリティの責任を負う必要がある」という点にあります。RED-DAにより、サイバーセキュリティは単なる追加オプションではなく、製品設計の一部とされます。つまり、製造メーカが、ますます厳しくなる市場や規制の要件に効果的に対応するためには、製品開発の初期段階から規制要件を考慮し、デバイスアーキテクチャにセキュリティを組み込む必要があります。
 

コンプライアンスへの2大主要ルート：自己評価と第三者検証

EN 18031がRED-DAの整合規格として正式に発表されて以来、既に多くの製品ではこの規格に従ってテストが可能となっており、自己申告（Declaration of Conformity）という形でコンプライアンスプロセスが出来上がっています。これにより、製造メーカのテストと市場投入の柔軟性と効率が大幅に向上しています。ただし、注意すべき点として、すべての製品が自己申告に適しているわけではありません。機器が、パスワードやユーザー認証メカニズムに対応していない場合、お子様のご利用時に必要なペアレンタルコントロール機能がない場合、または金融や取り引きの処理機能（支払い端末、POSなど）を伴う場合、このような製品は、たとえEN 18031を参照し設計されていたとしても、自己申告だけではコンプライアンスプロセスが完了しません。REDの要件では、このような条件の製品の場合、認証資格を持つ組織（認証機関）によるテストと評価を受け、EU型式試験証明書（EU-Type Examination Certificate, EU-TEC）を取得しなければ、合法的に製品を市場に投入できないとされています。
 

サイバーセキュリティ設計は追加機能ではなく、基本機能と見なされる

RED-DAのサイバーセキュリティ要件に対応するため、多くの国際ブランドでは早い段階から準備が進められています。それらの企業はRED-DAなどのサイバーセキュリティ規制が製品の発売に与える影響を早くに認識しており、製品開発段階でサイバーセキュリティの設計と法令に遵守したメカニズムを積極的に導入していました。Googleを例に挙げると、同社の製品は基本的に全て、市場に投入される前に産業スタンダードに基づいた第三者によるセキュリティ評価を受け、そのテスト結果を公開することで、ブランドの信頼性と市場の透明度を高めています。このような「規制要件に先立って準備を完了する」という戦略は、規制遵守に役立つだけでなく、製品のサイバーセキュリティのレジリエンスと競争力の強化にも繋がります。
 

早い段階から準備を進め、レジリエンス性のあるサイバーセキュリティ製品を作る

製造メーカは、製品開発の初期段階から「設計によるセキュリティ（Security by Design）」のコンセプトを取り入れ、異部門交流により部門間のサイバーセキュリティ戦略を統合し、既に認証を取得している認定モジュール（Wi-Fi、Bluetooth など）を活用する必要があります。そうすることで、テストコスト大幅に削減し、製品における規制遵守の一貫性と柔軟性を向上させることができます。さらに、サイバーセキュリティ関連のドキュメントには、アーキテクチャ図、通信プロトコル、暗号化プロセス、ユーザー認証メカニズムなどのを規制遵守の審査のために詳細に記録する必要があります。
 

RED-DAは単なる規制ではなく、製品競争力のターニングポイントとなる

RED-DAは、サイバーセキュリティと製品に対する責任に関するEUの新たないハイスタンダードです。これにより、輸入のハードルが上がるだけでなく、サイバーセキュリティ規制の競争と整合が世界的に加速します。製造メーカが早期に計画を立て準備を進め、標準規格や外部リソースを有効活用できれば、サプライチェーンが止まってしまうことはなく、ブランド価値やユーザーからの信頼を高めることができます。今後、「コンプライアンス」は単なる合格点ではなく、世界市場に参入するための入場券であり、製品品質の後ろ盾となるでしょう。