日本メーカーのCRA役割ガイド：EUブランド・OEM・輸入者の分担

日本メーカーのサイバーレジリエンス法（CRA）対応で最初に固めるべき問いは、「誰がメーカーか」です。

ファナック、安川電機、三菱電機、キーエンス、オムロン、東京エレクトロン、SCREEN、アドバンテストのような企業は、自社ブランドでEUに出す製品もあれば、EUブランドやシステムインテグレータ向けに部品・装置・ファームウェアを供給する案件もあります。同じ技術でも、販売名義が変わるとCRA上の役割が変わります。

このガイドは製品分類ではなく、役割分担だけを扱います。産業用ロボット・FA機器の製品分類とIEC 62443との差分は日本の産業用ロボット・FAメーカー向けCRA実戦ガイド、半導体製造装置とリモート保守は日本の半導体製造装置向けCRA実務ガイドを参照してください。

まず販売名義を見る

CRAのメーカーは、実際に工場で組み立てた会社だけでは決まりません。重要なのは、誰の名前または商標でEU市場に出るかです。

部品やファームウェアが単独で対象になる場合

日本メーカーがロボットコントローラ、産業用ゲートウェイ、通信モジュール、保守用ソフトウェア、ファームウェアパッケージを自社名義でEU市場に出す場合、その部品やソフトウェア自体が別のデジタル要素を含む製品として扱われることがあります。

判断は三つに分けます。

EUブランド完成品の内部部品としてだけ供給する場合、対外的な責任は完成品ブランド側に残ることが多いです。ただし、そのブランドはSBOM、脆弱性判定、更新、サポート期間の証拠を契約で求めます。

OEM供給で日本側が「関係ない」と言えない理由

EUブランドが対外的なメーカーになる場合でも、日本側の証拠がなければEUブランドは義務を満たせません。

たとえば日本のFAメーカーがEUの機械メーカーへロボットコントローラを供給する場合、完成機械はEUブランド名で販売されるかもしれません。それでも、コントローラのファームウェアSBOM、更新署名、脆弱性判定、サポート期間、CVD窓口、リリース履歴は日本側にあります。

契約で求められる典型項目は次の通りです。

• 製品または部品ごとのSBOM
• 脆弱性を受けたときの一次判定と短時間通知
• 修補版ファームウェアとリリースノート
• サポート終了年月と長期供給品の例外
• 技術文書に入る設計・試験・リスク資料
• EUブランドが当局に説明できる証拠リンク

ここで重要なのは、法的な対外責任と契約上の証拠責任を分けることです。OEMだから直接通報しない、という場面はあります。しかしOEMだからSBOMも脆弱性情報も出さない、という選択肢は実務上ありません。

契約では、項目名だけでなく具体的な値を固定してください。「協力する」とだけ書くと、脆弱性が出た日に誰が何分以内に何を出すかが決まりません。

輸入者と販売者が見るチェック項目

EUの輸入者は、メーカーが必要な評価を行い、技術文書を作り、CE表示、適合宣言、ユーザー向け情報、メーカー情報、サポート期間を用意しているかを確認します。販売者も、製品をEU市場で提供する前に、見える範囲でCE表示、書類、メーカー・輸入者情報、ユーザー向け情報を確認します。

日本メーカーがEU輸入者に渡すべき実務パックは、次のようなものです。

輸入者や販売者は、日本メーカーの技術文書を代わりに作る役割ではありません。ただし明らかに不備がある製品をそのままEU市場に出すこともできません。したがって、日本側の証拠パックが薄いと、通関・販売・契約更新の段階で止まります。

認定代理人は「代理メーカー」ではない

EUに拠点のない日本メーカーは、EU規則2024/2847のもとでEU内の認定代理人を委任できます。これは実務上便利です。市場監視当局との連絡、適合宣言や技術文書の保管、当局への協力といった窓口機能を持たせられます。

ただし、認定代理人は設計、開発、リスク評価、サポート期間、脆弱性対応、製品の適合性そのものを引き受ける存在ではありません。委任状で何を任せるかを明確にし、メーカー側の責任を外部委託したように書かないでください。認定代理人に委任できる範囲と委任状の書き方は、EU認定代理人の役割と委任範囲で詳しく扱っています。

実務上は、認定代理人の有無よりも、次の資料が先に必要です。

• EUに出る製品一覧
• 技術文書の保管場所
• どの会社がEU適合宣言に署名するか
• 脆弱性通報時の社内意思決定者
• 輸入者・販売者・主要顧客の分布

役割が変わる危険な変更

輸入者、販売者、インテグレータ、OEM先が次のような変更を行うと、単なる販売ではなく、新しいメーカー責任に近づきます。

• 自社ブランドまたは自社商標で販売する
• ファームウェアを差し替える
• 更新サーバーや署名鍵を変える
• クラウド管理サービスを別のものに置き換える
• ロボットやFA装置の用途を安全・サイバー面で大きく変える
• セキュリティ機能を無効化または追加する
• 製品のサポート期間や更新方針を変更する

変更が製品のサイバーセキュリティに影響する場合、責任は変更した部分に限られることもあれば、製品全体に及ぶこともあります。ここは契約で曖昧にせず、変更前の証拠、変更後の証拠、どちらの会社が顧客通知と修補を行うかを決めておく必要があります。

逆に、次のような変更だけであれば、通常はメーカー責任を生じさせません。

• メーカーが出したセキュリティ更新をそのまま配信または適用する
• 用途を変えず、リスクを上げない軽微なUI変更（表示言語の追加など）
• 開封や改造を伴わない再梱包・ラベル変更、または用途を変えない保守・修理
• 接続機能を加えない、同一仕様部品の交換

判断の基準は二つだけです。製品のサイバーセキュリティ適合性に影響するか、想定された用途を変えるか。どちらにも当たらない変更は、販売や設置の範囲にとどまり、メーカー責任は元のメーカーに残ります。

脆弱性・重大インシデント発生時の役割分担

積極的に悪用されている脆弱性や、重大な製品セキュリティ事故が出た場合、CRAは短い時限を課します。対外的なメーカーが、ENISAの単一報告プラットフォーム（SRP）経由で調整役CSIRT 1か所へ通報します。流れは次の通りです。

• 24時間以内：早期警告
• 72時間以内：脆弱性・インシデントの詳細通知
• 最終報告：脆弱性は修補の提供後14日以内、重大インシデントは72時間通知の後1か月以内
• 並行して、影響を受ける利用者への情報提供

この報告義務は2026年9月11日から適用されます。製品の主要な義務全体は2027年12月11日からです。

問題は、対外的にEUブランドが通報する場合でも、24時間の早期警告に必要な情報の多くが日本側にしかない点です。どのファームウェア版が影響を受けるか、悪用の性質、暫定的な緩和策、修補版の見込みは、設計と更新を持つ日本メーカーが最初に判定します。

OEMでは、「通報するのはどの会社か」と「24時間以内に判定材料を出すのはどの会社か」を契約で分けておく必要があります。EUブランドが通報主体でも、日本側の初動が遅れれば早期警告の時限は守れません。通報先CSIRTの決め方はCRAの脆弱性通報先CSIRTガイド、報告義務そのものの詳細はCRAの脆弱性報告義務ガイドを参照してください。

次にやること

1. 販売名義を製品ごとに分ける。 自社ブランド、EUブランドOEM、部品供給、インテグレータ向けを混ぜない。製品がそもそもCRA対象かに不安がある場合はCRA適用判定ツールで確認できます。
2. EU側の役割を一覧化する。 輸入者、販売者、認定代理人、主要EU顧客を製品ファイルに入れる。
3. OEM契約に証拠条項を入れる。 SBOM、脆弱性判定、修補、サポート期間、技術文書協力を明記する。
4. 変更トリガーを定義する。 ファームウェア、クラウド、更新経路、用途変更で誰が再評価するか決める。
5. 通報ルートを事前に決める。 2026年9月11日から、積極的に悪用された脆弱性と重大な製品セキュリティ事故は短時間で動く必要があります。EU拠点がない場合の通報先はCSIRT決定ガイドで事前に確認してください。

CRA対応は、誰か一社が全部を背負う話ではありません。日本メーカー、EUブランド、輸入者、販売者、認定代理人が、それぞれ何を確認し、どの証拠を持ち、脆弱性時に誰が動くかを先に決めることが、2026年以降のEU取引を止めないための前提です。CRA Evidence は、販売名義、OEM契約、輸入者・販売者の役割分担を製品ファイルに落とし込み、SBOM・脆弱性判定・サポート期間・通報ルートをどの会社が持つべきかを整理する支援を行います。整理が必要な場合は無料アセスメントをご予約ください。

本記事は一般的な情報提供であり、法的助言ではありません。個別の製品・契約・販売経路については、EU製品規制に詳しい専門家に確認してください。