第1回：なぜ日本の製造業に欧州CRAとAI法が関係するのか ― EU域外企業にも求められる「製品の信頼性」対応 ―

欧州では、デジタル製品やAIシステムに関する規制が大きく変化しています。特に日本の製造業が注視すべきなのが、『サイバーレジリエンス法（Cyber Resilience Act：CRA）』と、『EU AI法（Artificial Intelligence Act）』です。

『CRA』は、EU市場で提供される「デジタル要素を含む製品（Products with Digital Elements）」に対し、サイバーセキュリティ要求を課す横断的な規則です。 欧州委員会は、CRAがEU市場で利用可能にされるハードウェアおよびソフトウェア製品に適用され得ることを示しており、最終製品に限らず、単独で市場に提供される部品・コンポーネントも含み得る旨を説明しています（出典：European Commission “Cyber Resilience Act”）。 また、CRAは2024年12月10日に発効し、主要な義務は2027年12月11日から適用、報告義務は2026年9月11日から適用と整理されています（出典：European Commission “Cyber Resilience Act”／“The Cyber Resilience Act – Summary of the legislative text”）。

一方、『EU AI法』は、AIシステムの開発・提供・利用に関するEU共通の規則です。法令（Regulation (EU) 2024/1689）の前文では、AIシステムが国境を越えて展開・流通し得ることを踏まえ、信頼できるAIを確保するための枠組みとして位置づけています（出典：EUR-Lex “Regulation (EU) 2024/1689 (AI Act)”）。 EUの一次情報に基づけば、『EU AI法』は2024年8月1日に発効した旨が示されています（出典：EUR-Lex文書）。

ここで重要なのは、これらが「欧州企業だけの規制」ではない点です。日本で設計・製造された製品であっても、EU市場に投入される、またはEU域内の顧客・輸入者等を通じて提供される場合、CRAやEU AI法の影響を受ける可能性があります。 実際の該当性は、製品の形態、流通形態、ならびに事業者の役割（製造者／輸入者／販売者等）によって変わるため、個別に整理することが重要です。

1．「EUに拠点がないから関係ない」は通用しにくい

日本の製造業では、「当社は日本法人であり、EUに工場も開発拠点もないため、欧州規制の対象外ではないか」と考えられることがあります。 しかし『CRA』や『EU AI法』では、企業の所在地のみで判断できないケースがあります。

実務上のポイントは、製品やAIシステムが「EU市場で利用可能にされるかどうか」です（出典：European Commission “Cyber Resilience Act”）。 例えば、日本企業が製造した産業用IoT機器をEUの販売代理店がドイツやフランスの工場へ販売する場合、その製品はEU市場で提供されることになります。 また、日本企業がEUの完成品メーカーに組込みソフトウェアや制御部品を供給し、その完成品がEU市場に投入される場合も、サプライチェーン上の役割と責任分担の確認が重要になります。

『CRA』では、デジタル要素を含む製品の市場提供に関する枠組み、必須のサイバーセキュリティ要求、脆弱性の取扱い、ならびに市場監視・執行に関する考え方が示されています（出典：European Commission “The Cyber Resilience Act – Summary of the legislative text”）。 すなわち、単に「製品を製造して販売する」だけではなく、出荷後の脆弱性対応やセキュリティアップデート、技術文書の整備を含め、製品ライフサイクル全体での対応が求められる点に留意が必要です。

2．CRAが対象とする「デジタル要素を含む製品」とは

『CRA』でいう「デジタル要素を含む製品」は、一般的なIT機器に限られません。 欧州委員会の説明では、EU市場で提供されるハードウェアおよびソフトウェア製品を対象としており、最終製品のみならず、単独で市場に提供される部品・コンポーネントも含み得るとされています（出典：European Commission “Cyber Resilience Act”）。

日本の製造業で対象になり得るものとして、例えば次のような製品が考えられます。

• ネットワーク接続機能を持つ産業機械
• 工場向けIoTセンサー
• 遠隔監視機能付き制御装置
• スマート家電
• 組込みソフトウェアを含む制御基板
• クラウドと連携する測定機器
• セキュリティアップデートが必要なアプリケーション
• 通信モジュールやゲートウェイ機器

特に留意すべきなのは、「完成品メーカーではないため無関係」とは必ずしも言い切れない点です。 部品やソフトウェアであっても、単独で市場に提供される場合や、完成品のサイバーセキュリティに重要な影響を及ぼす場合には、取引先（完成品メーカー、輸入者等）から『CRA』対応に関する説明や根拠提示を求められる可能性があります。

第三者認証機関の観点では、まず自社製品が『CRA』の対象に該当するか、該当する場合にどの区分に整理されるかの確認が重要です。区分整理を誤ると、必要となる適合性評価、技術文書、試験、サプライヤー管理の範囲を見誤るおそれがあります。

3．EU AI法が対象とするAIシステムとは

『EU AI法』は、AI利用を一律に同じ強度で規制するのではなく、リスクに応じて要求水準を変える考え方を採用しています（出典：EUR-Lex “Regulation (EU) 2024/1689 (AI Act)”）。 ただし、実務では個別の類型・用途・役割に基づく判断が必要です。

製造業では、AIは既に多様な場面で利用されています。 例えば、外観検査、異常検知、予知保全、ロボット制御、需要予測、作業者の安全監視、品質判定、エネルギー最適化などです。 これらが直ちに高リスクAIに該当するとは限りません。

一方で、AIが製品安全、人の健康・安全、労働者の権利、重要インフラ、雇用・人事評価等に関係する場合には、『EU AI法』上の整理（役割、用途、リスク分類等）を慎重に確認する必要があります。 また、製品に組み込まれたAIの誤作動が人身事故や重大な品質問題につながり得る場合には、『EU AI法』に限らず、関連する製品規制との整合も含めて確認が求められます（該当規制は製品カテゴリにより異なります。詳細は専門家に確認してください）。

4．CRAとEU AI法は別々ではなく、重なって問題になり得る

日本の製造業にとって実務上重要なのは、『CRA』と『EU AI法』を別々の規制として捉えるだけでは不十分になり得る点です。

例えば、AIを搭載した産業用カメラを想定します。 ネットワーク接続機能を持ち、ソフトウェアアップデートを受ける製品であれば、『CRA』上の「デジタル要素を含む製品」に該当する可能性があります（出典：European Commission “Cyber Resilience Act”）。 同時に、そのAIが品質判定や安全確認に関与する場合には、『EU AI法』上の整理（用途・リスク分類等）も論点になります。

また、AIの判断はサイバーセキュリティの影響を受けます。 学習データの改ざん、センサー入力の操作、アップデート経路の侵害、ログ改ざん等が発生すれば、AIの精度や安全性は損なわれ得ます。 したがって、AI搭載製品では、AIの評価とサイバーセキュリティ評価を切り離して検討できない場合があります。

第三者認証機関として確認する場合も、AIモデルの性能のみならず、データ管理、変更管理、アクセス制御、脆弱性管理、アップデート手順、ログ管理、異常時における人の介入方法等を総合的に確認することが重要です。

5．日本企業が最初に行うべきこと

『CRA』および『EU AI法』への対応で、最初から認証取得や規格適合試験に進めばよいとは限りません。 まず必要なのは、自社の製品・サービス・ソフトウェア・AI機能の棚卸しです。

具体的には、次の観点で整理します。

• EU市場に出ている、または今後出る予定の製品は何か
• 通信機能、遠隔操作機能、アップデート機能の有無
• ソフトウェアやOSSを含むかどうか
• AI機能を搭載しているかどうか
• AIが安全、品質、人の判断、労務管理に関係しているかどうか
• EUの輸入者、販売者、完成品メーカーとの責任分担が明確かどうか
• 脆弱性対応やインシデント報告の体制の有無
• 技術文書、設計記録、試験記録、変更管理記録を提示可能かどうか

特にEU向けビジネスでは、規制当局から直接問われる前に、顧客や輸入者から対応状況の説明を求められる場合があります。 完成品メーカーがEU規制対応を進める中で、サプライヤーに対してSBOM、脆弱性管理体制、セキュリティアップデート方針、AIリスク評価、データ管理方針等の提示を求めるケースが増加することが想定されます。

なお、SBOM（Software Bill of Materials）は、ソフトウェアを構成する部品とサプライチェーン上の関係を含む「正式な記録」として整理されており、使用コンポーネントの把握に資するものと説明されています（出典：米国商務省NTIA “The Minimum Elements for a Software Bill of Materials (SBOM)”, 2021／同 “SBOM overview”, 2020）。

まとめ：対応の出発点は「自社製品の分類」

『CRA』と『EU AI法』は、いずれも日本の製造業にとって無視できない欧州規制です。 『CRA』は、デジタル要素を含む製品について、サイバーセキュリティを製品ライフサイクル全体で確保することを狙いとしています（出典：EUR-Lex “Regulation (EU) 2024/2847 (Cyber Resilience Act)”）。 『EU AI法』は、AIシステムのリスクに応じて、提供者や利用者等に管理体制、文書化、透明性、人の監督等を求める枠組みです（出典：EUR-Lex “Regulation (EU) 2024/1689 (AI Act)”）。

最初の一歩は、自社製品がどの規制の対象になり得るのかを分類することです。

『CRA』の対象となり得るのか。『EU AI法』の対象となり得るのか。あるいは両方に関係するのか。

この整理を踏まえて初めて、技術文書、リスクアセスメント、適合性評価、認証、サプライヤー管理に向けた具体的な準備へ進むことが可能になります。

次回は、「サイバーレジリエンス法への対応 ― 製品ライフサイクル全体で求められること」として、『CRA』で製造者に求められる実務対応を、設計・開発・製造・上市・保守の流れに沿って解説します。

『CRA』や『EU AI法』への対応に関するお問い合わせは、Nemko Japan製品認証部 (japan@nemko.com)までお気軽にお問合せください。