2024年1月30日追記
サイバーレジリエンス法の修正案では、『第9条 機械製品』が削除されています。
しかしながら前文(30)には、欧州議会および理事会規則(EU)2023/1230の適用範囲19 に含まれる製品で、本規則の意味におけるデジタル要素を有する製品の製造者は、本規則が定める必須要件と、規則(EU)2023/1230に定める安全衛生必須要件の両方を遵守する必要がある。
との記載がありますので、PLCなどのコントローラを用いて制御する機械製品は、サイバーレジリエンス法を避けては通れません。
法案が制定されましたら、詳細記事を掲載する予定です。
2022年10月18日のブログ
2022年9月15日にEU サイバーレジリエンス法の草案が提案されました。
内容の全体感は、経産省作成のEUサイバーレジリエンス法(草案概要)で確認いただけますが、
ここでは、サイバーセキュリティも求めている機械規則とサイバーレジリエンス法の関係について紹介していきます。
機械規則とサイバーレジリエンス法の接点
サイバーレジリエンス法の中で、
第 9 条 機械製品
規則[機械類規則案]の適用範囲にある機械類製品で、本規則の意味におけるデジタル要素を持つ製品であり、本規則に基づきEU適合宣言が発行されたものは、
不正行為に対する保護、制御システムの安全性と信頼性に関して、これらの要求事項が要求する保護レベルの達成を、この規則に基づいて発行されるEU適合宣言で証明する限りにおいて、
規則[機械類規則案]の付属書[付属書Ⅲ、セクション 1.1.9 および 1.2.1] に規定する本質安全衛生要件に適合しているとみなされるものとします。
との記載があり、この部分が現在策定中の機械規則との接点になります。
規則[機械類規則案]の適用範囲にある機械類製品で、本規則の意味におけるデジタル要素を持つ製品 とは
では、この接点の対象となる機械はどういったものが該当するのかについて見ていきます。
第2条 対象範囲
1.本規定は、意図的または合理的に予見可能な使用方法として、機器またはネットワークへの直接的または間接的な論理的または物理的データ接続を含むデジタル要素を有する製品に適用されます。
すなわち、デバイスやネットワークに直接的/間接的に接続されるものも含む、
デジタル要素を備えた全ての製品が対象となります。(例外規定あり)
この定義でいくと、PCでロジックを書き換える安全コントローラなどを含む機械製品(制御盤)なども対象となると想定されます。
リレー、スイッチ、コンタクタなどのハード製品のみで構成される制御システム以外は、IoTなどでネットワークにつないでデータ採取をするシステムは当然のことながら、すべて対象になるとみておいた方がよさそうです。
機械規則案の付属書Ⅲ、セクション 1.1.9 および 1.2.1に適合しているとみなされるものとする とあるが
機械規則案の付属書Ⅲ 1.1.9、1.2.1 をそれぞれ見てみると
1.1.9. 不正行為からの保護
機械製品は,接続された装置自体の機能又は機械製品と通信する遠隔装置を介して他の装置を接続しても,危険な状況に至らないように設計及び構築されていなければならない。
機械製品が関連する安全衛生要件に適合するために重要な接続用のハードウェアコンポーネントは,偶発的又は故意の破損から適切に保護されるように設計しなければならない。機械製品は,ハードウェアコンポーネントへの合法的又は非合法的な介入の証拠を収集しなければならない。
機械製品が関連する健康及び安全要求事項に適合するために重要なソフトウェア及びデータは、そのように識別され、偶発的又は故意の破損から適切に保護されなければならない。
機械製品は、安全に動作するために必要な搭載されたソフトウェアを特定し、その情報を容易にアクセスできる形で常時提供できること。
機械製品は,ソフトウェアへの正当な又は違法な介入,又は機械製品にインストールされたソフトウェア若しくはその構成の改変の証拠を収集しなければならない。
こちらは、製品に対するサイバーセキュリティの要求事項です。
一方、1.2.1は、
1.2.1. 制御システムの安全性と信頼性
制御システムは、危険な状況が発生しないように設計・構築されていなければならない。
制御システムは、以下のように設計・構築されていること。
a. 状況やリスクに応じて、意図された動作ストレスや、危険な状況を作り出す第三者からの悪意ある試みを含む意図された、あるいは意図されない外部からの影響に耐えることができること。
b. 制御システムのハードウェアまたはロジックに障害が発生しても、危険な状況に陥ってはならない。
c. 制御システムのロジックにエラーが発生しても、危険な状況に陥ってはならない。
d. 安全機能は,機械製品のリスクアセスメントで製造者が定義した限界を超えて変更することはできない。安全機能の限界の確立は、機械製品またはオペレーターによって生成される設定または規則の変更を含め、メーカーが実施するリスクアセスメントの一部でなければならず、学習段階も対象となり、リスクアセスメントで扱う限界値を超えることはできません。
e. 運用中の合理的に予見可能なヒューマンエラーが、危険な状況につながらないこと。
f. 機械製品が上市又は使用開始された後にアップロードされた介入に関連して生成されたデータ及び 安全ソフトウェアのバージョンの追跡記録は,そのアップロード後 5 年間,管轄国家当局からの合理的 な要請があれば,機械製品の本附属書への適合性を実証するためだけに有効であること。
g. 機械製品が上市又は使用開始された後の安全に関する意思決定過程のデータの記録は可能であり,当該データ は,管轄国家当局からの合理的な要請があれば,機械製品の本附属書への適合性を実証するためにのみ,収 集後 1 年間保持されること。
様々なレベルの自律性を持って動作するように設計された,完全に又は部分的に進化する動作又は論理を持つ機械製品の制御システムは,次のように設計及び構築されなければならない。
a. 機械製品に,その定義されたタスク及び動作空間を超える動作を行わせてはならない。
b. 機械製品の固有の安全性を維持するために,常に機械製品を修正することが可能でなければならない。
特に、次の点に注意しなければならない。
a. 機械製品は,不意に始動してはならない。
b. 機械製品のパラメータは,その変更が危険な状況につながる可能性がある場合,制御不能な方法で変更し てはならない。
c. 機械製品又は学習段階を含むオペレータによって生成される設定又は規則の変更は,その変更が危険な状況につながる可能性がある場合には,防止しなければならない。
d. 機械製品は,停止指令が既に出されている場合には,停止を妨げてはならない。
e. 機械製品の可動部分又は機械製品に保持されている部品が落下し又は放出されないようにしなければならない。
f. 可動部の自動停止又は手動停止は、それがどのようなものであっても妨げられてはならない。
g. 保護装置は完全に有効であり続けるか、または停止命令を出すこと。
h. 制御システムの安全関連部分は、機械製品のアセンブリ全体に首尾一貫して適用されなければならない。
無線制御の場合、通信・接続の障害や接続不良により、危険な状況に陥らないこと。
自律移動機械製品については、遠隔監視機能を用いて動作を指示した場合でも、制御システムが本項に定める安全機能を自ら実行するように設計されていること。
となっています。
前半の
a. 状況やリスクに応じて、意図された動作ストレスや、危険な状況を作り出す第三者からの悪意ある試みを含む意図された、あるいは意図されない外部からの影響に耐えることができること。
f. 機械製品が上市又は使用開始された後にアップロードされた介入に関連して生成されたデータ及び 安全ソフトウェアのバージョンの追跡記録は,そのアップロード後 5 年間,管轄国家当局からの合理的 な要請があれば,機械製品の本附属書への適合性を実証するためだけに有効であること。
g. 機械製品が上市又は使用開始された後の安全に関する意思決定過程のデータの記録は可能であり,当該データ は,管轄国家
は、セキュリティマネジメントの要求事項だと読めますが、
後半の
a. 機械製品に,その定義されたタスク及び動作空間を超える動作を行わせてはならない。
a. 機械製品は,不意に始動してはならない。
d. 機械製品は,停止指令が既に出されている場合には,停止を妨げてはならない。
e. 機械製品の可動部分又は機械製品に保持されている部品が落下し又は放出されないようにしなければならない。
f. 可動部の自動停止又は手動停止は、それがどのようなものであっても妨げられてはならない。
g. 保護装置は完全に有効であり続けるか、または停止命令を出すこと。
の部分は、従来の機械指令にも含まれる内容ですので、サイバーレジリエンス法の要求事項に適合するだけで、これらに適合していると言えるのかは、疑問があります。
サイバーレジリエンス法にも、ISO12100 や ISO13849 が整合規格として含まれてくるのか、これからの動きにも着目していきたいと思います。
