日本の産業用ロボット・FAメーカーのためのCRA実戦ガイド:ファナック、安川、三菱電機が直面する「デジタル要素」義務と5年サポート問題
日本のFA・産業用ロボット製造業者がEUサイバーレジリエンス法(CRA)で直面する課題。PLC・HMI・産業ゲートウェイのAnnex III分類、IEC 62443との差分、15-20年製品寿命と5年更新義務の矛盾、ENISA通報体制の構築方法を解説。
この記事の内容
FA設備は15〜20年動きます。CRAが求める安全更新は最低5年です。この差分こそ、日本の産業用ロボット・FAメーカーが最初に直面する構造的な課題です。
ファナックのCNC、安川電機のサーボドライバ、三菱電機のMELSEC PLC、キーエンスのスマートセンサ、オムロンのSysmac、パナソニックの溶接ロボット。これらはEUの工場フロアに深く組み込まれ、数十年にわたり稼働し続けます。しかしサイバーレジリエンス法(CRA、EU規則2024/2847)は、製品が市場に投入されてから最低5年間、無償の安全更新を義務付けています。15年前に納入した装置に対して、あと何年更新を継続できるのか。この問いに答えられない日本メーカーは、2027年12月以降のEU市場で販売継続が困難になります。
本稿では、CRA附属書IIIで「重要製品クラスI」に指定されるPLC・産業用ゲートウェイ・産業用IoT機器の分類を整理し、IEC 62443認証が既にカバーしている範囲とCRA必須要件の差分、そして日本のFAメーカーが2026年9月から2027年12月までに整備すべき体制を扱います。
要約
- FA設備の製品寿命15〜20年 vs CRA最低5年サポート義務:ライフサイクル定義が契約・出荷仕様書レベルで必要
- PLC・HMI・産業用ルータは附属書III「重要製品クラスI」に該当:ファナック、安川電機、三菱電機、オムロンの主力製品線が対象
- IEC 62443-4-1/4-2はCRA附属書Iの約60〜70%を充足:SBOM、EU適合宣言書、ENISA通報、CEマーキングは別途整備が必要
- 2026年9月11日:ENISA脆弱性通報義務が発効。既存のEU市場製品にも遡及適用
- 2027年12月11日:CRA全面適用。CEマーキングとEU適合宣言書が必須
- JC-STARは産業用B2B機器を対象外:JC-STARは民生IoT向け。FA機器の合規経路としては機能しない
- ODM供給の日本部品メーカー:CRA義務はEUブランド側に落ちるが、SBOMとCVD要件は契約を通じて還流する
なぜ日本のFAメーカーがCRAを知らなければならないのか
EUの製造業は、日本のFA機器なしでは成立しません。ドイツ自動車産業のボディショップには安川電機とファナックのロボットが並び、イタリアの包装機械にはオムロンとキーエンスのセンサが組み込まれています。フランスの食品工場の制御盤には三菱電機のMELSECが収まっています。
「B2Bの産業用機器は一般消費者向け規制の対象外」という誤解は根強く残っています。しかしCRA第2条第1項は、デジタル要素を含む製品(products with digital elements、PDE)を広く対象とし、B2B向け産業機器を除外していません。第2条第4項はソフトウェアが遠隔で更新可能な製品を明示的に含めます。PLCも、HMIも、産業用ゲートウェイも、CNCコントローラも、EU市場で販売される限りCRAの義務が課されます。
リコールや販売停止のコストは、FA機器の単価と総出荷額を踏まえれば一台数万ユーロでは済みません。CRA第64条の制裁金上限は1,500万ユーロまたは世界売上高の2.5%です。日本の主要FAメーカーの連結売上高規模を考えると、制裁金額は現実的な事業リスクです。
誤解されやすい適用範囲の論点
「インターネットに直接接続しない機器はCRAの対象外ではないか」という問いは、日本のFAメーカーから頻繁に寄せられます。CRA第2条およびRecital 12の読み方として、直接的なインターネット接続の有無は判定基準ではありません。データ処理機能を持つ、あるいはソフトウェアの更新を受ける仕組みを備える製品は、上位ネットワークから物理的に隔離されていてもCRAの対象となり得ます。
具体例として、工場内クローズドネットワークで稼働するPLCでも、USBやSDカードを介したファームウェア更新経路を持つ限り、CRAの「デジタル要素を含む製品」に該当します。同様に、IO-Link対応のスマートセンサがマスタ経由でのみ通信する構成でも、CRA対象です。
製品分類:PLC・HMI・ロボットはどのクラスに該当するか
CRA附属書IIIは「重要製品(Important products)」をクラスIとクラスIIに分けます。附属書IVは「クリティカル製品」。日本のFAメーカーが販売する多くの製品は、附属書III・クラスIに該当します。
flowchart TD
FA["日本のFAメーカー製品"] --> PLC["PLC・PAC\nMELSEC、Sysmac"]
FA --> ROBOT["産業用ロボット\nファナック、安川、オムロン"]
FA --> SERVO["サーボドライバ\n安川Σ、三菱MR-J5"]
FA --> GW["産業用ゲートウェイ\n産業用ルータ"]
FA --> SENSOR["スマートセンサ\nキーエンス、オムロン"]
FA --> HMI["HMI・GOT\n三菱GOT、Sysmac HMI"]
PLC --> C1["附属書III\n重要製品クラスI"]
ROBOT --> C1
SERVO --> C1
GW --> C1
HMI --> C1
SENSOR --> DEF["接続機能により\nクラスI または 一般製品"]
以下は日本の主要FAメーカーの代表製品とCRA分類の対応表です。最終判定は製品個別の機能と接続仕様に依存しますが、クラスI該当性の一次評価の目安として提示します。
| 製造業者 | 代表製品 | CRA分類(一次評価) | 適合性評価 |
|---|---|---|---|
| ファナック | CNCコントローラ、産業用ロボット(R-30iB)、PMC | 重要製品クラスI | 調和規格整備後は自己評価可。整備前は認証機関による第三者評価 |
| 安川電機 | サーボドライバΣシリーズ、インバータ、産業用ロボット(MOTOMAN) | 重要製品クラスI | 同上 |
| 三菱電機 | MELSEC PLC(iQ-R、iQ-F)、SCADA、HMI(GOT2000) | 重要製品クラスI | 同上。ネットワーク機能付きはほぼ全数該当 |
| キーエンス | IO-Link対応スマートセンサ、ビジョンシステム、KVシリーズPLC | 接続仕様によりクラスI または一般製品 | 自己評価 |
| オムロン | Sysmac NX/NJ PLC、協働ロボットTM、安全コントローラ | 重要製品クラスI | 同上 |
| パナソニック | TAWERS溶接ロボット、画像センサ、PLC FP7 | 接続仕様によりクラスI または一般製品 | 自己評価 |
重要: 「重要製品クラスIは自己評価で済む」という理解には前提条件があります。EU調和規格(harmonised standards)が発行済みであること、そして製品が調和規格に完全適合していることです。2026年4月時点でCRAの調和規格はCEN/CENELEC・ETSIで策定中であり、多くは2026年内〜2027年中の発行見込みです。調和規格不在のまま2027年12月を迎える製品カテゴリについては、認証機関(Notified Body)による第三者評価または欧州サイバーセキュリティ認証(EUCC)スキームの適用が必要になります。
「一般製品」と「重要製品」の分かれ目は、ネットワーク接続機能とセキュリティ影響度です。産業用イーサネット(PROFINET、EtherCAT、CC-Link IE)対応のセンサやゲートウェイは重要製品クラスIに傾きます。スタンドアロンの光電センサや近接センサで通信機能を持たないものは一般製品に分類される可能性が高くなります。
クラスIとクラスIIの実務的な差分
クラスIの製品は、EU調和規格が発行されその規格に完全適合していれば、製造業者による自己適合性評価(self-assessment)が可能です。調和規格不在または非適合の場合、認証機関(Notified Body)による第三者評価かEUCCスキーム認証が必要になります。クラスII(産業用ファイアウォール、IDS/IPS、信頼実行環境、産業用オペレーティングシステムなど)は、調和規格の有無にかかわらず第三者評価が必須です。日本のFAメーカーの主力は、現時点ではクラスIの範囲に収まりますが、将来的にクラスII該当の周辺製品(産業用セキュリティゲートウェイ、ネットワークアクセス制御装置)への進出を計画する企業は、第三者評価コストを織り込む必要があります。
IEC 62443認証の優位性と限界
日本のFAメーカーは、OT(Operational Technology)セキュリティの国際標準としてIEC 62443に取り組んできました。ファナックは制御システムのサイバーセキュリティ強化を公表しており、安川電機は社内セキュアソフトウェア開発プロセスの整備を進めています。三菱電機のMELSEC iQ-RはIEC 62443-4-2準拠を明示する製品ラインを持ちます。
IEC 62443はCRA附属書I(必須サイバーセキュリティ要件)と大きく重複します。ただし完全一致ではありません。
flowchart LR
subgraph IEC["IEC 62443 既にカバー"]
A1["セキュア開発\nライフサイクル\n(62443-4-1)"]
A2["コンポーネント\nセキュリティ要件\n(62443-4-2)"]
A3["認証・認可\nアクセス制御"]
A4["暗号通信\nデータ保護"]
A5["監査ログ\nイベント検知"]
end
subgraph GAP["CRA 追加要件\n(IEC 62443 未カバー)"]
B1["SBOM\n機械可読形式"]
B2["EU適合宣言書\n附属書VII技術文書"]
B3["ENISA 24時間\n早期警告"]
B4["CEマーキング"]
B5["5年サポート期間\n明示"]
B6["協調的脆弱性\n開示(CVD)ポリシー"]
end
IEC --> PARTIAL["IEC 62443で\n附属書Iの約60〜70%\nをカバー"]
GAP --> MUST["別途整備が必要"]
IEC 62443-4-1(セキュア製品開発ライフサイクル)保有メーカーは、プロセス文書と試験記録をCRA適合性評価に活用できます。IEC 62443-4-2(コンポーネントのセキュリティ要件)はCRA附属書I第1部の技術要件と強く対応します。この重複は、既取得の企業にとって実務的なコスト削減になります。
一方で、IEC 62443に含まれない要件は独立して整備する必要があります。SBOM(ソフトウェア部品表)は機械可読形式での生成と更新が求められ、CycloneDXまたはSPDXが実務上の標準です。EU適合宣言書(DoC)と附属書VIIの技術文書はEU固有のフォーマットで、IEC 62443認証書では代替できません。ENISA単一通報プラットフォーム(SRP)への24時間以内の早期警告は、IEC 62443のインシデント対応要件とは別次元の法定義務です。CEマーキングの貼付と市場監視当局への対応窓口の整備も、EU独自の仕組みです。
実務的な含意: IEC 62443既取得の場合、ゼロからの整備に比べて約6〜9カ月の工数削減が見込めます。未取得の場合、CRA単独でのゼロベース整備は12〜18カ月規模の投資を要します。
IEC 62443-4-1と-4-2の使い分け
IEC 62443の規格体系は広く、CRA対応に直接関連するのは主に-4-1(製品開発プロセス)と-4-2(コンポーネントのセキュリティ技術要件)です。製造業者単位の認証は-4-1で、製品単位の認証は-4-2です。両方を取得することで、プロセスと製品の両面でCRA附属書Iへの整合性を主張できます。
-4-1の認証はセキュア開発ライフサイクル(SDL)全体の監査で、取得には通常12〜18カ月を要します。-4-2は製品単位の技術評価で、対象製品ごとに3〜6カ月。日本のFAメーカーで既に-4-1取得済みの場合、新製品ラインへの-4-2適用が相対的に容易です。
CRA附属書I第1部(製品の技術要件)は-4-2と強く対応します。CRA附属書I第2部(脆弱性処理プロセス要件)は-4-1と対応します。既取得範囲の棚卸しは、この二部構成に沿って行うことが実務的です。
認証機関の選定
CRA対応では、IEC 62443認証を発行した認証機関とCRA適合性評価のための認証機関(Notified Body)が別組織である可能性があります。CRAの認証機関は欧州委員会によりEU域内で認定された機関に限られ、日本国内のIEC 62443認証機関(JQA、TÜV Rheinland Japan等)はCRAのNotified Bodyとは通常一致しません。
TÜV Rheinland、TÜV SÜD、DEKRA、BSIなどのEU本体の認証機関グループがCRAのNotified Body候補です。既存のIEC 62443認証評価記録を、これら機関がCRA評価で再利用可能かは、機関ごとのポリシー次第です。2026年Q2〜Q3には主要認証機関がCRA評価プロセスを公表する見込みで、日本のFAメーカーは既存認証の発行機関のEU部門との接点を早期に確保することが望ましい対応です。
15〜20年の製品寿命と5年サポート義務の矛盾
ここが日本のFAメーカーにとって最も構造的な課題です。
三菱電機のMELSEC-Qシリーズは1999年発売、約25年にわたり現役で稼働しています。ファナックのCNCは工作機械の寿命と同期し、15〜20年の運用は普通です。安川電機のモータコントローラも同様の長寿命製品です。EU工場の設備投資サイクルを考えても、FA機器は「買って忘れる」資産ではなく、長期にわたる稼働を前提にした基幹設備です。
CRA第13条第8項は、製品の予想利用期間(expected product lifetime)に応じた安全更新の提供を求めます。下限は5年ですが、製品寿命がそれより長い場合は寿命に合わせた期間の提供が義務となります。FA機器を5年で打ち切ることは、顧客の設備投資の前提を崩します。しかし15〜20年間、無償の安全更新を継続するコスト構造も現実的ではありません。
サポート期間の定義をどう整えるか
第一の実務対応は、サポート期間を明示することです。CRA第13条第8項は期間の明示を求めますが、具体的な長さの決定はメーカーの判断です。以下が日本のFAメーカーに現実的な選択肢です。
- 製品カテゴリ単位での期間設定:例として「PLC本体は販売開始から10年、周辺モジュールは7年、HMIファームウェアは8年」のように定める
- 販売終了後の追加期間:販売終了(EOS、End of Sales)から5年を追加サポート期間とし、合計寿命を10〜15年に収める
- 有償延長サポート契約:法定の最低5年を無償とし、それを超える期間は保守契約の対象とする。ただし「被積極的に悪用されている脆弱性」への対応は、有償契約の有無にかかわらず5年を超えても継続する法的義務があるか否か、EU当局のガイダンス動向を追跡する必要があります
契約・出荷仕様書への反映
顧客との契約書、製品カタログ、出荷仕様書、取扱説明書に、以下を明示します。
- セキュリティ更新の提供期間(例:販売開始から10年、またはEOSから5年)
- EOS(End of Sales、販売終了)予定日
- EOSL(End of Service Life、サポート終了)予定日
- EOSL以降の顧客への通知期限と代替製品への移行手順
これは附属書II「利用者への情報提供」の要件(第f号)にも直接連動します。
既設設備への遡及適用の考え方
2027年12月以前にEU市場に投入済みの製品は、CRA第69条第2項により多くの要件から除外されます。ただし、第69条第3項は脆弱性・インシデント通報義務(第14条)を除外対象から明示的に外しています。つまり、2020年に納入したPLCが2026年10月に積極的に悪用される脆弱性を持つと判明した場合、日本本社は24時間以内の通報義務を負います。
さらに、既存EU市場製品に対して「大規模な変更(substantial modification)」を行った場合、CRA全体の義務が再び発効します。大規模な変更の典型例は、セキュリティ設計を変える機能追加、通信プロトコルの新規実装、既存のファームウェアアーキテクチャの刷新です。バグ修正やマイナーな機能調整は通常該当しません。日本のFAメーカーが既存製品ラインに対して大型のファームウェア改訂を計画する場合、大規模変更該当性の事前判断が不可欠です。
サポート期間の公示方法
公示の媒体は三層に分けます。第一層はカタログと技術仕様書で、販売時点で顧客が把握できる形式。第二層は製品パッケージと製品内蔵のドキュメント(取扱説明書、ファームウェア起動時画面)。第三層はメーカーサイトの製品ページで、EOS・EOSLの正式な告知と製品寿命の継続的な更新を行います。
三層のいずれかに矛盾があると、市場監視当局からの照会時に対応が複雑になります。統合管理のためには、製品マスターデータベースにサポート期間のフィールドを追加し、カタログ生成、Web掲載、契約書の各媒体へ単一の情報源から配信する仕組みが現実的です。
ENISA 24時間通報:FA設備への適用方法
CRA第14条は、積極的に悪用されている脆弱性を認識してから24時間以内に、ENISAの単一通報プラットフォーム(SRP)と国家CSIRTへ早期警告を提出することを義務付けています。72時間以内の詳細通知、14日以内の最終報告(脆弱性)、30日以内の最終報告(重大インシデント)と段階的に報告を重ねます。
2026年9月11日から発効。既存のEU市場製品にも遡及適用されます。
誰が通報するのか
FA機器の流通形態は次の三通りに大別されます。
| 流通形態 | CRA上の「製造業者」 | 通報責任者 |
|---|---|---|
| 日本メーカーが自社ブランドでEU子会社を通じ販売 | 日本メーカー | 日本メーカー本社 |
| EU現地法人(例:ファナックヨーロッパ)が販売 | EU現地法人 | EU現地法人。本社は情報提供で支援 |
| EUのシステムインテグレータにOEM供給 | EUのシステムインテグレータ(ブランド側) | EUブランド。日本メーカーは契約上の通知義務を負う |
日本本社が製造業者として通報主体となる場合、CRA第18条第1項により認定代理人を書面委任で選任することができます(任意)。選任した場合、第18条第3項に基づき市場監視当局との窓口業務と附属書VII技術文書の10年間保管を担います。選任しない場合は、これらの業務を本社直轄、または第19条の輸入業者経由で運用します。詳細はEU認定代理人とCRA第18条を参照してください。
24時間の壁をどう越えるか
日本企業の稟議・根回しの文化と24時間期限の相性の悪さは、既存の日本向けCRA解説でも論点になっています。FA機器の場合、現場の異常検知から製品設計部門への情報伝達、海外拠点を含む影響範囲の特定までに時間がかかる構造があります。
実務的な設計方針は次のとおりです。
- 24時間以内の早期警告は「事実の判明」を通報するもので、根本原因の分析や修正パッチを要件としません。必要情報は、製品の特定、深刻度の初期評価、悪用が確認された事実の有無です
- 権限を事前に委譲し、役員決裁を通さずに通報できる担当者を指名します。日本本社、EU現地法人、選任している場合は認定代理人を含めた関係者間で通報ルートを文書化します
- 72時間以内の詳細通知、14日以内の最終報告は、社内調査の進展に応じて段階的に情報を追加する設計です。最初の24時間で全てを解明する必要はありません
FA機器特有の脆弱性認識経路
FA機器の脆弱性は、次のいずれかの経路で認識されます。顧客(エンドユーザーの工場)からの不具合報告、セキュリティ研究者からの開示、JPCERT/CCやICS-CERTなどの調整機関経由の通知、公開CVEのウォッチング、そして実際に悪用が観測された場合のインシデント通報です。「積極的に悪用されている」の判定は、単に脆弱性が存在するだけでは不十分で、実際の攻撃が観測または強く示唆された段階で24時間計時が開始します。
日本のFAメーカーはJPCERT/CCを通じた協調的脆弱性開示(CVD)の運用経験を持つ企業が多く、社内の脆弱性受付窓口とトリアージプロセスは一定程度整備されています。CRA対応ではこの既存プロセスを活用しつつ、EU通報ルートを追加で接続する設計が現実的です。
ODM・OEM向けFA部品メーカーの立場
日本のFA業界には、完成品ブランドではなくEU機械メーカーにモジュール供給する部品メーカーが多数存在します。例として、組込みコントローラ、モータドライバ、通信モジュール、産業用ファームウェアのティア2サプライヤです。
このケースで法律上の「製造業者(manufacturer)」は、完成品を自社ブランドでEU市場に投入する企業です。日本の部品メーカーがティア2でCRA義務を直接負わない構図になります。
しかし義務は契約を通じて還流します。Siemens、Schneider Electric、Boschなどの大手EU機械メーカーは、2026年以降の調達契約で次の条項を追加しています。
- 納入ファームウェアのSBOMをCycloneDXまたはSPDX形式で提供する義務
- 協調的脆弱性開示(CVD)ポリシーの公開とsecurity.txt(RFC 9116)の整備
- 積極的に悪用されている脆弱性を認識した場合、EUブランド側が24時間以内にENISAへ通報できるよう、日本の部品メーカー側は12時間以内にEUブランドへ連絡する契約義務
- セキュリティ更新を契約期間中提供する保証
事業上の含意: SBOMと脆弱性管理の体制を持たないティア2サプライヤは、2027年以降EU向け受注を段階的に失います。EU機械メーカー数社は既に調達方針の変更を公表しています。
供給契約書に織り込むべき条項
ティア2サプライヤとしての日本のFA部品メーカーが、EUブランドとの供給契約書に自ら提案または受容すべき条項の要点は以下のとおりです。
- SBOM提供の義務範囲(新規出荷ファームウェア、既存ファームウェアの更新、第三者ライブラリの更新追随)
- 脆弱性通知の期限(EUブランドの24時間通報義務から逆算し、日本側は12時間以内が実務目安)
- セキュリティパッチの提供期間と、EUブランドが指定する製品寿命との整合
- 認定代理人(選任している場合)またはEU現地法人を介した情報共有ルートの明示
- 契約終了時の脆弱性情報継続開示の扱い(製品のEOL後の扱いを含む)
これらは既に交渉のテーブルに載っている論点であり、契約交渉で主導権を握る側がライフサイクルコストの設計を決めます。
タイムライン
flowchart LR
NOW["📅 現在\n2026年4月"] --> M1["2026年5-7月\n製品分類完了\nIEC 62443差分整理\nSBOMパイプライン着手"]
M1 --> M2["2026年8月\nENISA SRP登録\n認定代理人選任の判断\n24h通報SOP演習"]
M2 --> SEP["⚠️ 2026年9月11日\nENISA通報義務発効\n既存EU市場製品も対象"]
SEP --> M3["2026年Q4\n附属書VII技術文書\nEU DoC草案\nCVDポリシー公開"]
M3 --> M4["2027年上半期\n調和規格の発行確認\n第三者評価/自己評価の選択"]
M4 --> DEC["🔴 2027年12月11日\nCRA全面適用\nCEマーキング貼付\nEU DoC発行"]
実務的注意: 認証機関による第三者評価を選択する場合、評価工程は通常6〜12カ月を要します。2027年6月までに着手していない製品は、2027年12月の期限に間に合わない可能性が高くなります。調和規格の発行が遅れるリスクに備え、第三者評価を予備経路として2026年Q4までに認証機関との契約準備を進めることを推奨します。
JC-STARとの関係:混同を避ける
JC-STAR(セキュリティ要件適合評価及びラベリング制度)は、経済産業省とIPAが民生IoT製品を対象に2025年3月から運用する制度です。B2Bの産業用機器は対象外であり、FA機器の合規経路としては機能しません。
英国PSTI法との相互承認は実現していますが、CRAとの相互承認は交渉中で未合意です。仮に合意に至ってもJC-STARが対象とする製品カテゴリ(民生IoT)と、産業用機器のCRA義務はほとんど重複しません。
FAメーカーはIEC 62443を土台にCRAへ直接整備することが実務的な選択肢です。JC-STARを産業用機器に適用しようとすると、対象範囲の不整合に起因する作業の無駄が発生します。
詳細はJC-STARとEU CRAの差分分析を参照してください。こちらは民生IoT向けの論点を扱っています。
投資判断と社内体制
CRA対応にかかる投資規模は、製品ラインの数、既存のIEC 62443取得範囲、EU売上比率、SBOMや脆弱性管理の既存整備状況に左右されます。大手FAメーカーの場合、既存のセキュア開発プロセスを土台にできるため、ゼロベースの整備より工数は圧縮されます。中堅・ODMティア2の場合、EUブランドからの契約要求を満たす範囲で段階的に整備する選択肢があります。
ROIの視点では、CRA対応の回避はEU市場からの撤退と実質的に同義です。EU売上が連結売上の10%未満の企業でも、独仏伊の機械メーカー経由の間接売上を含めると、実際の影響範囲は直接輸出額より大きくなります。日本貿易振興機構(JETRO)のCRA関連情報と、自社のEU向け出荷データを突き合わせて、影響額の正確な把握が投資判断の出発点です。
社内体制の設計
CRA対応を恒久的な社内機能として定着させるには、以下の役割分担が実務的です。
- 製品セキュリティ責任者(PSO):製品単位のCRA適合責任。既存の品質保証部門の延長が一般的
- セキュリティインシデント対応責任者:24時間通報の意思決定権限を持つ。情シス部門ではなく、製品部門に置くことが重要
- EU認定代理人(社外、選任する場合):CRA第18条第1項により任意。選任時はEU域内の単一連絡窓口として機能。EU子会社がある場合は子会社内に置く運用が一般的
- 規制渉外担当:CEN/CENELEC調和規格の動向追跡、ENISA・JETROを通じた情報収集
- SBOM運用担当:ビルドシステムとの連携、継続更新
この5機能のうち、既存組織に明確な担当が不在の領域が、優先的に補強すべき対象です。
METI産業サイバーセキュリティ研究会との整合
経済産業省の産業サイバーセキュリティ研究会は、OTセキュリティに関する国内ガイドラインを公表しており、IEC 62443と部分的に整合する内容です。日本のFAメーカーにとってこのガイドラインは、社内プロセス設計の出発点として有用です。
CRA対応との関係では、METIガイドラインは国内向けの推奨事項であり、EU市場での法的義務を満たすものではありません。METIガイドラインとIEC 62443で整備した体制を土台に、CRA固有の要件(SBOM、EU DoC、ENISA通報、CEマーキング)を追加で整備する構成が現実的です。
半導体製造装置メーカーの場合、SEMI E187が参照規格として関連します。対象が半導体装置に限定される規格であり、FA機器一般への適用範囲は限定的です。
よくある質問
IEC 62443-4-1認証があればCRA適合性評価は不要になりますか?
いいえ、不要にはなりません。IEC 62443-4-1はセキュア開発ライフサイクルのプロセス要件をカバーしますが、CRAはこれに加えて製品単位のSBOM、附属書VII技術文書、EU適合宣言書、ENISA脆弱性通報体制、CEマーキングを求めます。既存の62443審査記録は附属書VIIの一部として再利用できますが、CRA適合性評価そのものを代替するものではありません。製品分類によっては認証機関による第三者評価が必要な場合もあるため、CRA製品分類ガイドで該当区分を確認してください。
15年前に納入したPLCに対して、あと何年セキュリティ更新を提供すべきですか?
CRA第13条第8項は、製品の想定利用期間または最低5年間(いずれか短い方)の無償セキュリティ更新を求めます。15年前に納入した装置でも、2027年12月以降もEU市場で同型機を販売・サポートする場合は、現行のサポート期間ポリシーをライフサイクル定義として明文化する必要があります。ライフサイクル終了(EOSL)を出荷仕様書と契約に反映し、購入者へ事前通知する仕組みが実務上の最低ラインです。サポート期間設計の論点はCRA製品分類ガイドにも整理しています。
ENISAへの24時間通報は、日本本社とEU現地法人・認定代理人のどちらが行うべきですか?
CRA第14条は製造業者の義務として通報を定めており、法的責任は製造業者本体にあります。実務上の通報窓口はEU認定代理人またはEU子会社が担うのが一般的ですが、技術判断と意思決定権限は日本本社の製品セキュリティ責任者に置く構成が機能します。権限委譲文書と時差を考慮した24時間以内の意思決定フローを事前に整備しておく必要があります。詳細な体制設計はCRA第14条 ENISA通報の解説を参照してください。
JC-STARラベルを取得していればCRAは自動的に満たされますか?
いいえ、満たされません。JC-STARは経済産業省とIPAが民生IoT製品を対象に運用する制度であり、B2Bの産業用機器は対象外です。仮に対象機器であっても、CRAとの相互承認は未合意のため、JC-STARラベル単独でCRAの法的義務を充足することはできません。両制度の対象範囲と要件差分はJC-STARとEU CRAの差分分析に整理しています。
Tier 2の部品メーカー(PLCモジュール単体を販売)にもCRAは適用されますか?
はい、適用されます。CRA第2条は「デジタル要素を含む製品」を広く対象とし、最終製品か部品かを区別しません。ただしODM供給でEU市場に投入する主体がEUブランド側である場合、CRAの第一義的義務はEUブランド側に課され、Tier 2部品メーカーには契約を通じてSBOM提供と協調的脆弱性開示(CVD)の要求が還流します。自社の供給形態がCRAの直接適用か契約由来かを確認するには、CRA適用判定ツールをご利用ください。
次のステップ
以下は日本のFAメーカーに適した8ステップの準備手順です。IEC 62443既取得か否かで重点は変わりますが、全ての項目は2027年12月までに完了させる必要があります。
本記事は情報提供のみを目的としており、法的助言を構成するものではありません。EU製品規則の具体的な適用については、EU規制に精通した法律専門家にご相談ください。
関連記事
CRAはあなたの製品に適用されますか?
6つの質問に答えるだけで、あなたの製品がEUサイバーレジリエンス法の適用範囲に該当するかどうかがわかります。2分以内で結果を確認できます。