CRA · 第18条

EU認定代理人とCRA第18条

Q: CRAでEU認定代理人の選任は義務ですか？

いいえ。規則(EU) 2024/2847の第18条第1項は『製造業者は、書面による委任により、認定代理人を選任することができる』と規定しており、選任は任意です。MDR第11条やRED第5条のように域外製造業者に対する義務とはされていません。CRA対象製品がMDRまたはREDの対象でもある場合、それらの規制に基づく認定代理人選任義務は引き続き適用されます。

Q: それでも域外製造業者がEU認定代理人を選任する実務上のメリットは何ですか？

市場監視当局との単一の連絡窓口を設けることで対応負荷を下げる、第18条第3項(a)に定める10年間の文書保管をEU域内の主体に委ねる、既存のMDR・RED代理人の運用をCRAスコープに延長する、などが代表例です。第18条第3項(b)の合理的要請への応答は当局所在地の言語と時間帯で対応する方が円滑です。

Q: 認定代理人に委任できる業務と委任できない業務は何ですか？

第18条第2項により、第13条第1項から第11項、第13条第12項第1副段、第13条第14項に定める実体的なサイバーセキュリティ義務（必須要件、脆弱性対応、適合性評価）は認定代理人の委任対象から明示的に除外されています。第18条第3項に定める業務（DoCおよび技術文書の保管、当局からの合理的要請への応答、リスク排除措置への協力）が委任の上限です。製造業者は実体的義務の最終責任主体として残ります。

Q: 認定代理人と輸入業者は同じ役割ですか？

別の役割です。輸入業者は第3条第14号の定義により、域外製造業者の名称・商標を付した製品をEU市場に上市するEU域内の主体を指し、認定代理人の有無に関わらず第19条の義務が独立に発生します。認定代理人は製造業者からの書面委任により発生する任意の役割で、第18条第3項の業務を負います。両者を一つのEU域内法人が兼ねることは可能ですが、書面委任は別途必要です。

Q: CRAの認定代理人とMDR・REDの認定代理人は同じですか？

認定代理人という概念は共通ですが、レジームは同一ではありません。MDR第11条およびRED第5条は域外製造業者に対し認定代理人の選任を義務としています。CRA第18条第1項は任意です。CRAの第18条第3項の業務範囲は、文書保管、当局要請への応答、是正措置協力に絞られており、MDR等よりも狭い範囲です。MDR・REDで既に代理人を委嘱している場合は出発点として有効ですが、CRAスコープと第18条第2項の委任不可ルールを反映した書面委任を別途締結する必要があります。

サイバーレジリエンス法（CRA・規則(EU) 2024/2847）第18条第1項により、製造業者は書面による委任でEU認定代理人を選任することができます。MDR第11条やRED第5条と異なり、CRAでは選任は任意です。本ページでは、第18条第3項に定める認定代理人の業務、第18条第2項により委任できない義務、第19条の輸入業者との関係、そして実務上の選任判断のポイントを、日本のメーカー向けに整理します。

無料アセスメントを依頼する第18条の条文（英語原文）→

概要

CRA第18条のEU認定代理人について、判断前に押さえるべき5点を整理します。

法的根拠: 規則(EU) 2024/2847の第18条第1項は許容規定であり、「製造業者は、書面による委任により、認定代理人を選任することができる」と定めています。選任は任意です。MDR第11条やRED第5条のように、域外製造業者に対する義務とする条項はCRA本文に存在しません。
それでも選任する理由: EU域内の単一の連絡窓口を市場監視当局に提示でき、当局所在地の言語と時間帯で対応できます。第18条第3項(a)に定める10年間のDoCおよび技術文書の保管をEU域内主体に委ねることができます。MDR・REDで既に代理人を委嘱している場合、運用を一体化できます。
認定代理人の業務範囲: 第18条第3項が業務の上限を定めます：EU適合宣言書と附属書VIIの技術文書を10年間（または支援期間のいずれか長い方）市場監視当局の閲覧に供する／合理的要請への情報・文書提供／リスク排除措置への協力。
製造業者に残る義務: 第18条第2項により、第13条第1項～第11項、第13条第12項第1副段、第13条第14項に定める実体的なサイバーセキュリティ義務（必須要件、脆弱性対応、適合性評価）は委任対象から除外されています。製造業者が最終責任主体として残ります。
第19条の輸入業者との関係: EU域内の主体が域外製造業者の名称・商標を付した製品を上市する場合、その主体は第3条第14号の定義により輸入業者となり、認定代理人の有無に関わらず第19条の義務が独立に発生します。両者は代替関係ではありません。
CRA Evidenceの位置付け: CRA Evidenceは、第18条第3項の文書保管・当局対応・是正措置記録を運用するエビデンスプラットフォームです。製造業者が直接運用する場合も、認定代理人事務所に委ねる場合も、両者で分担する場合にも対応します。当社は現時点で代理人委任を保有しておらず、EU域内代理人事務所のパートナーネットワークを構築中です。

EU認定代理人を選任すべきか判断する

CRA第18条第1項により認定代理人の選任は任意です。判断は法的必要性の有無ではなく、EU域内の連絡窓口を持つ運用上のメリットが委任契約のコストを上回るかという運用判断になります。日本の域外製造業者のための判断順序を以下に整理します。

①御社（製造業者）はEU域内に法人を有していますか？ はい：EU域内法人が製造業者として直接対応するため、認定代理人は不要です。本体義務（第13条等）はそのEU法人が負います。 いいえ：②へ進みます。
②EU域内の輸入業者または流通業者がCRA対応を主導していますか？ はい：輸入業者は第19条に基づく義務を独立に負担します。第18条の認定代理人選任は任意であり、当局窓口の単一化やMDR・REDとの運用一体化のメリットがあるかで判断します。 いいえ：EU市場への上市に際し、第18条の認定代理人または第19条の輸入業者のいずれかをEU域内に確保する実務的必要性が高くなります。
③MDR・RED・RoHS等の他EU規制で既に代理人を委嘱していますか？ はい：同一事務所をCRAスコープに延長することが運用上簡便です。ただし第18条第2項の委任不可ルールを反映した書面委任を別途締結する必要があります。 いいえ：EU認定代理人の新規選任が必要かは、製品分類（附属書III）、当局対応の頻度想定、文書保管体制で判断します。
④製品はMDRまたはREDの対象でもありますか？ はい：MDR第11条およびRED第5条は域外製造業者に対し代理人選任を義務付けています。当該義務はCRAの任意性とは独立に適用されます。 いいえ：CRA単独であれば選任は完全に任意です。

上記のいずれの段階でも、認定代理人を選任しないこと自体がCRA違反となるわけではありません。CRAは認定代理人不在に対する制裁を設けていません。これらは実務判断のための要素であり、規制対象セクターの域外製造業者の多くは、運用上の利点が委任費用を上回るとして選任に至っています。

第18条第3項に定める認定代理人の業務

委任の範囲は製造業者が書面で定めますが、第18条第3項は委任に含めるべき最小限の業務として以下の3点を定めています。市場監視当局が最初に確認するのもこの3点です。

第18条第3項(a)

EU適合宣言書および附属書VIIの技術文書を10年間保管する

認定代理人は、第28条のEU適合宣言書および第31条の技術文書を、製品が市場に上市された後10年間（または支援期間のいずれか長い方）にわたり、市場監視当局の閲覧に供する義務を負います。

CRA Evidenceでの裏付け：文書ボルトに10年保持ポリシー（プラン変更時も削除されない）、Sigstore鍵レス署名による非否認、Annex VIIのZIPバンドルエクスポートをサポートしています。

第18条第3項(b)

当局からの合理的要請への情報・文書提供

市場監視当局からの合理的要請（reasoned request）に対し、製品の適合を実証するために必要な情報および文書を提供します。応答期限と応答方法は当局の指定に従います。

CRA Evidenceでの裏付け：当局リクエストサービス（AUTH-YYYY-NNNN形式の番号管理、期限管理、超過検知）と応答パッケージ自動生成（マニフェスト、製品情報、SBOM・HBOM・VEX・証明書を1クリックでZIP化）。

第18条第3項(c)

リスク排除措置への協力

認定代理人の権限内において、当局および製造業者と協力し、製品が示すリスクを排除するために講じられる措置に協力します。脆弱性対応、是正措置、市場からの撤去・回収などが対象です。

CRA Evidenceでの裏付け：当局リクエストのライフサイクル管理（受領→確認→対応中→応答済→終結）、VEX自動化（CycloneDX／CSAF／OpenVEX）、是正措置の監査証跡。第14条のENISA通報ワークフロー（24時間／72時間／14日）は現在開発中です。

第18条第2項により、第13条第1項～第11項、第13条第12項第1副段、第13条第14項の実体的なサイバーセキュリティ義務（必須要件、脆弱性対応プロセス、適合性評価）は委任対象から明示的に除外されています。認定代理人を選任しても、これらの本体義務は製造業者に残ります。

輸入業者（第19条）との関係：独立した役割

第18条の認定代理人と第19条の輸入業者は別個の役割であり、発生根拠も義務範囲も独立しています。一方が他方を代替するものではありません。一つのEU域内法人が両方を担うことは可能ですが、書面委任は別途必要です。

認定代理人（第18条）

輸入業者（第19条）

役割の発生根拠

任意。製造業者からの書面委任により発生します（第18条第1項）。

定義により自動発生。EU域内の主体が域外製造業者の名称・商標を付した製品を上市すれば、その主体が輸入業者です（第3条第14号）。

義務の根拠

第18条第3項(a)(b)(c)に定める業務範囲。

第19条第1項～第8項全体。適合性評価の確認、CE適合の確認、技術文書の確認、文書保持、当局対応、脆弱性把握時の通報など。

委任不可の義務

第18条第2項により、第13条の実体的サイバーセキュリティ義務は委任対象外。

該当なし。輸入業者の義務は商業上の役割により直接発生します。

他方を代替するか

いいえ。認定代理人の選任は、上市した主体に発生する第19条の輸入業者義務を取り除きません。

いいえ。第19条の義務は認定代理人の有無と独立に発生し、第18条の選任を不要にも必要にもしません。

同一法人で兼務できるか

はい。一つのEU域内法人が認定代理人と輸入業者の両方を担うことは可能ですが、書面委任は商業契約とは別途締結し、両役割をカバーする賠償責任保険を確保する必要があります。

実務上の含意：認定代理人の選任は、誰が製品をEU市場に上市するかとは独立の判断です。EU輸入業者がいることが製造業者のサイバーセキュリティ義務を免除することはなく、認定代理人の存在が輸入業者の第19条義務を免除することもありません。一つのEU域内主体に両方の役割を委ねる場合、認定代理人としての書面委任を商業契約と区別して締結し、両機能をカバーする保険を確保してください。

EU認定代理人の選任時に確認すべきポイント

MDR・RED・RoHS等で既に代理人事務所と関係がある場合、それを起点とすることは合理的です。それ以上に、CRA特有の確認事項として以下を押さえる必要があります。

EU域内法人格・拠点

EU加盟27カ国いずれかに登記された法人格と、所在地・連絡担当者を有していること。書面委任の相手方として明確であること。

賠償責任保険

CRAスコープおよび附属書III分類に明示的に対応した職業賠償責任保険（PI）の確保。文書管理リスクをカバーする条項。

セクター実績

MDR・REDサイバーセキュリティ委任行為・RoHS等の実績。CRA運用に必要な当局対応の経験を実証できること。

文書保管体制

10年保管義務に対応する文書管理基盤（改ざん検知付きの監査証跡、当局対応エクスポート、書類引継ぎ手順）を保持していること。

当局対応責任者

当局に対する責任を負う個人名（自然人）が明示されていること。法務部の総合連絡先のみではないこと。

言語・所在国対応能力

第18条第3項(c)の是正措置協力を、関係加盟国当局の使用言語で実施できる体制。

CRA Evidenceによる第18条運用の支援

製造業者が文書保管を社内で行う場合、外部の認定代理人に委ねる場合、EU輸入業者と分担する場合のいずれであっても、運用すべきタスクは同一です。すなわち、技術文書を完全な状態で保持する、当局からの合理的要請に対し提出する、是正措置を記録するという3点です。CRA Evidenceは、認定代理人の有無を問わず、これらの運用を担うプラットフォームです。

第18条第3項(a)

DoC・附属書VII技術文書の10年保管

EU適合宣言書、附属書VIIバンドル、SBOM・VEX・リスク評価を10年保持ポリシーのもとで管理し、改ざん検知付きの監査証跡を維持します。

技術ファイルエクスポート：附属書VIIをマニフェスト付きの機械可読ZIPでバンドル。
適合証明書：多言語のEU DoC PDF（モジュールA／B+C／H／EUCC）を発行、発行後は不変。
成果物署名：Sigstore（鍵レスまたは鍵管理）で透明性ログに記録、非否認を担保。
10年保持：SBOM、文書、監査イベント、脆弱性記録の全体に適用。プラン変更時の早期削除なし。

第18条第3項(b)

当局からの合理的要請への応答

当局からの照会には、番号管理された案件、明確な期限、ワンクリックの応答パッケージで応じます。複数のドライブを横断して書類を探す事態を避けます。

当局リクエストサービス：市場監視当局（MSA）からの照会を AUTH-YYYY-NNNN 形式で番号管理し、期限・超過を検知。
応答パッケージ自動生成：マニフェスト、製品情報、サプライチェーン検証、監査証跡、READMEをZIPにまとめ送付可能な形に。
統合エビデンスビュー：SBOM、HBOM、VEX、文書、証明書、附属書II UIIを単一インデックスで横断検索。
サプライヤーポータル：当局やサプライチェーン関係者に対し、トークンスコープ付きの監査追跡可能な外部アクセスを発行。

第18条第3項(c)

是正措置とリスク排除措置への協力

脆弱性対応、VEX、是正措置の記録は同一の監査追跡基盤に書き込まれるため、誰が何をいつ実施したかを当局に提示できます。

当局リクエストのライフサイクル：受領 → 確認 → 対応中 → 応答済 → 終結を、応答方法・参照番号・添付文書一覧とともに記録。
VEX自動化：CycloneDX、CSAF、OpenVEXでのexploitability決定をfindingごとに記録。
ENISA通報ワークフロー：第14条の24時間／72時間／14日通報フロー（現在開発中）。
監査証跡：バージョン更新、文書変更、承認のすべてを記録、是正措置の連鎖を完全に追跡。

認定代理人を選任する場合、委任は代理人事務所に向かいます。いずれの形態であっても、エビデンスはCRA Evidence上で動きます。第18条の運用を実機で確認したい場合は、無料アセスメントをご依頼ください。

第18条の条文（EUR-Lex 英語版）

CRA本文の一次資料を確認する場合のリンクと、第18条第1項の英語原文を以下に掲げます。

条文の正式言語について：規則(EU) 2024/2847のEUR-Lex（欧州連合官報）における正式公表は、EU加盟国の24公用語に限定されており、日本語の正式版は存在しません。条文の解釈については、EUR-Lexの英語版を一次資料としてご参照ください。本ページの日本語による解説は法的助言ではなく、条文の理解のための参考資料です。

第18条第1項（英語原文）：

A manufacturer may, by a written mandate, appoint an authorised representative.

出典：EUR-Lex CELEX 32024R2847、第18条第1項（英語版）

参考訳（CRA Evidence による日本語要旨。法的拘束力のある公式の日本語版は存在しません）：

製造業者は、書面による委任により、認定代理人を選任することができる。

第18条全文を読む（EUR-Lex 英語版） →

参考：第19条（輸入業者の義務）も同じEUR-Lexページで参照できます。第18条第3項(a)(b)(c)の業務、および第18条第2項の委任不可義務（第13条第1項～第11項、第13条第12項第1副段、第13条第14項）の本文は、上記英語版でご確認ください。

よくあるご質問

CRAでEU認定代理人の選任は義務ですか？

いいえ。規則(EU) 2024/2847の第18条第1項は「製造業者は、書面による委任により、認定代理人を選任することができる」と規定しており、選任は任意です。MDR第11条やRED第5条のように域外製造業者に対する義務とはされていません。CRA対象製品がMDRまたはREDの対象でもある場合、それらの規制に基づく代理人選任義務は引き続き適用されます。

それでも域外製造業者がEU認定代理人を選任する実務上のメリットは何ですか？

第一に、市場監視当局との単一の連絡窓口を当局所在地の言語と時間帯で設けられることです。第二に、第18条第3項(a)に定める10年間のDoCおよび技術文書の保管をEU域内主体に委ねられることです。第三に、MDR・REDで既に代理人を委嘱している場合に運用を一体化できることです。第四に、第18条第3項(b)の合理的要請への対応サイクルを短縮できることです。

認定代理人に委任できる業務と委任できない業務は何ですか？

第18条第2項により、第13条第1項～第11項、第13条第12項第1副段、第13条第14項に定める実体的なサイバーセキュリティ義務（必須要件、脆弱性対応、適合性評価）は委任対象から明示的に除外されています。第18条第3項に定める業務（DoCおよび技術文書の保管、当局からの合理的要請への応答、リスク排除措置への協力）が委任の上限です。製造業者は実体的義務の最終責任主体として残ります。

認定代理人と輸入業者は同じ役割ですか？

別の役割です。輸入業者は第3条第14号の定義により、域外製造業者の名称・商標を付した製品をEU市場に上市するEU域内の主体を指し、認定代理人の有無に関わらず第19条の義務が独立に発生します。認定代理人は製造業者からの書面委任により発生する任意の役割で、第18条第3項の業務を負います。両者を一つのEU域内法人が兼ねることは可能ですが、書面委任は別途必要です。

EU輸入業者または流通業者が認定代理人を兼ねることは可能ですか？

はい。CRAは、EU域内の同一法人が商業上の輸入業者・流通業者の役割と認定代理人の委任を同時に担うことを禁じていません。両者は法的に区別されたままです（輸入業者は商業ルートから第19条義務を負い、認定代理人は書面委任から第18条第3項の業務を負う）。両者を兼ねる場合、第18条第3項を明示的にカバーする独立の書面委任と、両機能をカバーする職業賠償責任保険、および両機能の契約上の明確な切り分けが必要です。

認定代理人は製品の瑕疵に対し責任を負いますか？

認定代理人の責任は書面委任に列挙された業務に限定され、CRAでは第18条第3項に定める範囲（文書保管、当局対応、是正措置協力）に限られます。第18条第2項により第13条の実体的義務は明示的に委任対象から除外されており、製品瑕疵責任および本体のサイバーセキュリティ義務は製造業者に残ります。一部の加盟国国内法は認定代理人の責任範囲を拡張する場合があるため、書面委任の起案には注意が必要です。

CRA認定代理人とMDR・REDの認定代理人は同じですか？

認定代理人という概念は共通ですが、レジームは同一ではありません。MDR第11条およびRED第5条は域外製造業者に対し代理人選任を義務付けています。CRA第18条第1項は任意です。CRAの第18条第3項の業務範囲は文書保管・当局要請への応答・是正措置協力に絞られており、MDR等よりも狭い範囲です。MDR・REDで既に代理人を委嘱している場合は出発点として有効ですが、CRAスコープと第18条第2項の委任不可ルールを反映した書面委任を別途締結する必要があります。

認定代理人はEU適合宣言書（DoC）に署名しますか？

いいえ。EU適合宣言書は第28条により製造業者が作成・署名します。認定代理人は、第18条第3項(a)に基づき署名済みのDoCと技術文書を市場監視当局の閲覧に供する役割を担いますが、適合の宣言という行為自体は製造業者の責任であり、第18条第2項により認定代理人の委任対象から除外されています。

選任後に認定代理人を変更することはできますか？

はい。委任は製造業者と認定代理人の契約であり、契約条件に従い終了できます。変更時には新しい認定代理人が技術文書とDoCの保管を引き継ぎ、製造業者は市場監視当局に通知している連絡先情報を更新します。委任契約のひな形には、明示的な引継ぎ手順を含めておくことを推奨します。

第18条の運用をCRA Evidenceで確認する

第18条第3項(a)(b)(c)の業務（DoC・技術文書の10年保管、当局リクエスト対応、是正措置記録）を実機でご覧いただけます。代理人を選任する場合も、自社で運用する場合も、輸入業者と分担する場合も、エビデンスはCRA Evidence上で動きます。日本のメーカー向けの無料アセスメントを承っております。

無料アセスメントを依頼する代理人事務所の紹介を希望する