欧州無線機器指令 I サイバーセキュリティの制限付き整合規格

本記事は欧州における無線機器指令 RED (2014/53/EU、Radio Equipment Directive)におけるサイバーセキュリティの整合規格の概要について解説します。

またサイバーセキュリティ要件は2025年8月1日から義務化されます。

※本記事に記載の情報は内容を保証するものではありませんので詳細は規格原文をご確認ください。

無線機器指令サイバーセキュリティ概要
サイバーセキュリティの整合規格
その他

無線機器指令サイバーセキュリティ概要

無線機器指令は、無線機器を市場に出すための規制の枠組みを確立する中で、いくつかの追加の側面を管理する規制として、サイバーセキュリティにおける規制の基礎を提供しています。これには、プライバシー、個人データの保護、および詐欺に対する技術的機能が含まれています。

サイバーセキュリティに関する要件は無線機器指令における以下Article 3 (3) (d), (e), (f) が関連要求となります。

Article 3 (3) (d) (ネットワークまたはその機能の危害からの保護):
無線機器は、ネットワークまたはその機能に害を及ぼしたり、ネットワークリソースを誤用したりせず、それによってサービスの許容できない低下を引き起こさないこと。
Article 3 (3) (e) (個人データとプライバシーの保護)
無線機器には、ユーザーおよび加入者の個人データとプライバシーが保護されることを保証するための保護手段が組み込まれていること。
Article 3 (3) (f) (詐欺からの保護)
無線機器は、詐欺からの保護を保証する特定の機能をサポートしていること。

サイバーセキュリティの整合規格

欧州委員会は、委員会実施決定（EU）2025/138の公表により、3つのサイバーセキュリティに関する整合規格を、制限付き(下表内の通知) 公開されています。

制限付きとは当該規格の特定の部分は欧州委員会によって受け入れられず、それらが特定の製品に適用される場合、当該規格だけでは製品を市場に出すために必要な適合性の推定を提供するのに十分ではなく、Notified Bodyの関与が必要になります。

EN 18031-3:2024に関してはセキュアアップデートの項目に適合性の推定を与えることができないため、Notified Bodyの関与が実質的に全製品必須となっているようです。

表1: 無線機器指令サイバーセキュリティの制限付き整合規格

RED Articles	整合規格	備考
3 (3) (d)	EN 18031-1:2024: 無線機器の共通セキュリティ要件 – パート1：インターネット接続無線機器通知1：この整合規格の「rationale」および「guidance」というセクションは、指令2014/53/EUのArticle 3 (3) 第1段落 (d)に規定されている必須要件への適合の推定を与えるものではありません。※1 通知2：この整合規格は、6.2.5.1および6.2.5.2を適用する際に、ユーザーがパスワードを設定および使用できないことが許可されている場合、指令2014/53/EUのArticle 3 (3) 第1項 (d)に規定された必須要件への適合の推定を与えるものではありません。※2	対象範囲: 直接通信するか他の機器を介して通信(間接)するかを問わず、インターネットを介して通信できるあらゆる無線機器（「インターネット接続無線機器」）に適用されます。 ※1の制限事項について: この制限は、該当のセクションが情報提供の性質を有するものであり、適合性の推定とは関連がないことを明確にすることを目的としています。 ※2の制限事項について: 製品がパスワード認証なしで操作できる場合Notified Bodyの関与が必要となります。
3 (3) (e)	EN 18031-2:2024: 無線機器の共通セキュリティ要件 – パート2：データを処理する無線機器、すなわち、インターネット接続無線機器、育児用無線機器、玩具用無線機器、ウェアラブル無線機器通知1：この整合規格の「rationale」および「guidance」というセクションは、指令2014/53/EUのArticle 3 (3) 第1段落 (e)に規定されている必須要件への適合の推定を与えるものではありません。※1 通知2：この整合規格は、6.2.5.1および6.2.5.2を適用してユーザーがパスワードを設定および使用できないことが許可されている場合、指令2014/53/EU Article 3 (3) 第1段落 (e)に適合していると推定するものではありません。※2 通知 3: この整合規格の6.1.3、6.1.4、6.1.5 または6.1.6でカバーされている無線機器のクラスまたはカテゴリについては、6.1.3.4.2、6.1.4.4.2、6.1.5.4.2および6.1.6.4.2を適用しても親または保護者のアクセス制御が確保されない場合、この整合規格は指令 2014/53/EU Article 3 (3) 第1段落 (e)に規定されている必須要件への適合の推定を与えません。※3	対象範囲: 次のいずれかの無線機器に適用され、その無線機器が個人データ、通信データ、位置データを処理できる場合: a) 下記b)、c)、d)以外のインターネット接続された無線 b) 育児専用に設計または意図された無線機器 c) おもちゃ指令(2009/48/EC)に該当する無線機器 d) 次のいずれかに装着したり、ストラップで固定したり、吊り下げたりすることを目的として設計または意図されている無線機器（専用か否かを問わない）： (i) 頭、首、胴体、腕、手、脚、足を含む人体のあらゆる部分。 (ii) 帽子、手袋、履物など人間が着用するあらゆる衣類。 ※1の制限事項について: 上記と同様 ※2の制限事項について: 上記と同様パスワード認証なしで操作できる場合Notified Bodyの関与が必要。 ※3の制限事項について: 育児用機器および玩具にペアレンタルコントロール(保護者によるアクセス制御)が実装されていない場合認証機関の関与が必要。
3 (3) (f)	EN 18031-3:2024 無線機器の共通セキュリティ要件 – パート3：仮想通貨または金銭的価値を処理するインターネット接続無線機器通知1：この整合規格の「rationale」および「guidance」というセクションは、指令2014/53/EUのArticle 3 (3) 第1段落 (f)に規定されている必須要件への適合の推定を与えるものではありません。※1 通知2：この整合規格は、6.2.5.1および6.2.5.2を適用する際に、ユーザーがパスワードを設定および使用できないことが許可されている場合、指令2014/53/EU Article 3 (3) 第1段落 (f)に規定された必須要件への適合の推定を与えるものではありません。※2 通知3：この整合規格の6.3.2.4に規定されている評価基準に関しては、この整合規格は、指令2014/53/EU Article 3 (3) 第1段落 (f)に規定されている必須要件への適合の推定を与えるものではありません　※4	対象範囲: インターネットに接続された無線機器が、保有者または使用者に対して金銭、金銭的価値、または仮想通貨の送金を可能にする場合に適用される。 ※1の制限事項について: 上記と同様 ※2の制限事項について: 上記と同様パスワード認証なしで操作できる場合Notified Bodyの関与が必要。 ※4の制限事項について: この整合規格の6.3.2.4には安全なアップデートのための評価基準が含まれており、デジタル署名、セキュア通信機構、アクセス制御機構、その他の4つの異なる実装カテゴリーが規定されています。しかし、これらの方法はいずれも単独では金融資産の取り扱いに十分ではないため、当該箇所に該当する製品の製造者は、製品設計にかかわらず適合性の推定を受けることができません。したがってNotified Bodyの関与が必須となります。