EU、機械規則の「改悪からの保護」整合規格(EN 50742)の概要!推察

*EN 50742(機械の安全性 – 改悪からの保護)は新しいEU機械規則 (EU) 2023/1230 の要求事項を満たすために開発が進められています。


・EN 50742は、現在開発中の規格であり、「2026年1月20日までには」発行されると予想されています。


*以下が主な概要(推察)です。
1.適用範囲
(1) リモートデバイスや制御システムへのインターフェースを含む、信号やデータを送信できるハードウェアコンポーネント。
(2) 機械の安全性に影響を与える可能性のあるソフトウェアとデータ。
2.EU機械規則 (EU) 2023/1230 の対応箇所
(1) 附属書III(健康と安全の必須要件)の①1.1.9項「改悪からの保護 (Protection against corruption)」の要件に対応
 この1.1.9項の要求は、他のデバイスとの接続やリモートデバイスとの通信が危険な状況を引き起こさないように機械を設計・構築することを求めています。
*改悪のへの主な対応
  - 意図しない改悪(例:悪意のない従業員による変更)
  - 意図的な改悪(例:ハッキング、ソーシャルエンジニアリング)
(2)附属書III(健康と安全の必須要件)の1.2.1項「制御システムの安全性と信頼性 (Safety and reliability of control systems)」の関連する要件(a) と f))に対応
3. 主な保護措置の例
・不正アクセス防止: ハードウェアおよびソフトウェアへの不正な物理的または論理的アクセスを防ぐための措置。
・設定データの完全性: 設定データが意図せず変更されたり、破損したりしないように保護すること。
・物理的なセキュリティ: USBポートのロックなど、物理的なインターフェースの保護。
ネットワーク分離 (エアギャップ): 必要な場合に、機械を外部ネットワークから物理的に隔離すること。
・リモートアクセス制御: リモートからのアクセスを厳密に管理し、認証や認可の仕組みを導入すること。
・証拠の収集: ソフトウェアへの介入や設定変更があった場合に、その証拠を収集・記録する機能を持つこと。



 

REDサーバーセキュリティ規格(EN 10831-1)のACM(アクセス制御メカニズム)他とは!

A.アクセス制御メカニズム(ACM: Access Control Mechanism)
アクセス制御メカニズム(Access Control Mechanism)は、情報システムやリソース(ファイル、データベース、アプリケーション、ネットワークサービスなど)へのアクセスを管理・制限するためのメカニズム(仕組み)や手法の総称です。

⇒これにより、承認されたユーザーやプロセスのみが必要な情報や機能にアクセスできるようになり、ACM情報セキュリティが確保される。


A-1アクセス制御メカニズム(ACM)の「複数の要素」から構成される。
1. 識別(Identification): ユーザーやプロセスが「誰であるか」を特定するプロセスです。
 ⇒ユーザー名などがこれに該当します。
2. 認証(Authentication): 識別されたユーザーが主張する本人であることを確認するプロセスです。
 ⇒パスワード、生体認証(指紋、顔認識)、ICカード、多要素認証などが用いられます。
3. 認可(Authorization):
 認証されたユーザーが、特定のリソースに対してどのような操作(読み取り、書き込み、実行、削除など)を許可されているかを決定するプロセスです。
 ⇒これがアクセス制御の核となる部分です。
4. 監査(検証プロセス)/説明責任(Auditing/Accountability):
アクセス試行やリソースへのアクセス履歴を記録し、後で確認できるようにするプロセスです。
 不正アクセスや誤操作の追跡、セキュリティポリシーの遵守状況の評価に役立つ。


*A-2 参考:アクセス制御モデルの主な種類
アクセス制御メカニズムには、さまざまなモデルがある。
1. 任意アクセス制御 (DAC: Discretionary Access Control):
リソースの所有者が、そのリソースへのアクセス権限を他のユーザーに自由に付与したり剥奪したりできるモデルです。
* 例: ファイルシステムのパーミッション(読み取り、書き込み、実行権限を所有者、グループ、その他に設定)
2.強制アクセス制御 (MAC: Mandatory Access Control):
システム管理者やセキュリティポリシーによって、すべてのリソースとユーザーにセキュリティラベル(機密レベルなど)が割り当てられ、このラベルに基づいてアクセスが強制的に制御されるモデルです。
* ユーザーが自由にアクセス権限を変更することはできません。
* 主に高セキュリティを要求される政府機関や軍事システムなどで利用されます。
3.ロールベースアクセス制御 (RBAC: Role-Based Access Control):
ユーザーに直接権限を付与するのではなく、「ロール(役割)」に対してアクセス権限を割り当て、ユーザーをそのロールに紐付けるモデルです。
* 例: 「経理部長」「営業担当者」「一般社員」といったロールを作成し、それぞれのロールに必要な権限を付与する。ユーザーが異動などで役割が変わった場合でも、ユーザーとロールの紐付けを変更するだけで簡単に権限を管理できます。多くの企業システムで採用されている。
4.属性ベースアクセス制御 (ABAC: Attribute-Based Access Control):
* ユーザー、リソース、環境などの「属性(Attribute)」に基づいてアクセスを決定する、より柔軟なモデルです。
* 例: 「午前9時から午後5時の間に、本社オフィスから、経理部の社員のみが、高機密の財務データにアクセスできる」といった、複数の条件を組み合わせてアクセスを制御する。


B. EN 18031-1の6.2項 [AUM:Authentication  Mechanism] 認証メカニズム
この規格の6.2項で言及される認証メカニズムは、無線機器が正当なユーザーやデバイスからのアクセスのみを許可し、不正なアクセスを防ぐための仕組みを指す。
具体的には、以下の点が含まれると考えられる。
1.アクセス制御: 誰が、どのような権限で機器にアクセスできるかを管理する。
認証の強度: パスワード、生体認証、多要素認証など、認証に使用される方法の堅牢性。
2.ログ記録: 認証試行やアクセスに関する情報を記録し、セキュリティ監査やインシデント対応に役立てる。


B-1 認証メカニズム(AUM)の構成要素
a)主な構成要素は以下の通りです。
1. 認証主体(Supplicant / Client):
これは、無線機器へのアクセスを試みるユーザーまたはデバイス(例:スマートフォン、PC、スマート家電など)を指す。
・認証情報を提示する役割を担う(例:ユーザー名、パスワード、証明書など)。
2. 認証器(Authenticator / Network Access Device):
・ 無線LANアクセスポイントやスイッチなどのネットワーク機器がこれにあたります。
・ 認証主体からの認証要求を受け取り、認証サーバーとの間で認証情報を中継します。
・ 認証サーバーからの結果に基づいて、認証主体のネットワークアクセスを許可または拒否する役割を持つ。
3. 認証サーバー(Authentication Server):
・ ユーザー情報やデバイス情報などをデータベースとして持ち、認証の可否を判断するサーバーです。
・ 通常、RADIUS(Remote Authentication Dial-In User Service)サーバーなどが用いられる。
・ 認証器から受け取った認証情報を検証し、認証結果を認証器に返す。
これらの要素が連携して、無線機器へのアクセスが正当なものであるかを確認し、不正なアクセスを排除する。
b)また、認証メカニズムを構成する具体的な「認証要素」としては、以下のものが挙げられる。
・知識情報(Knowledge Factor): パスワード、PINコード、秘密の質問など、ユーザーが知っている情報。
・所持情報(Possession Factor): スマートフォン、セキュリティトークン、ICカード、・デジタル証明書など、ユーザーが持っているもの。
・生体情報(Inherence Factor): 指紋、顔認証、虹彩認証など、ユーザーの身体的特徴。
⇒EN 18031-1では、これらの認証要素の強度や、多要素認証(複数の異なる種類の認証要素を組み合わせる)の採用などが評価の対象となることがある。


C. EN 18031-1の6.3項 [SUM: Secure Update Mechanism] セキュアな更新メカニズム
これは、無線機器のファームウェアやソフトウェアの更新を安全に行うための仕組みに関する要件です。無線機器は一度展開されると、長期間にわたって使用されることが多いため、新たな脆弱性の発見や機能改善のために、定期的な更新が必要になる。
⇒この更新プロセスが安全でない場合、機器が不正なファームウェアに置き換えられたり、「マルウェア」に感染したりするリスクがある。


C-1 セキュアな更新メカニズム(SUM)の重要なポイント
(1)更新の認証(Authenticity):
更新ファイルが、信頼できる正規のベンダーや開発元によって提供されたものであることを確認する。通常、デジタル署名やハッシュ値の検証によって行われます。
(2)更新の完全性(Integrity):
更新ファイルが、転送中に改ざんされていないこと、または破損していないことを確認する。チェックサムやハッシュ値の検証が用いられます。
(3)更新の機密性(Confidentiality):
必要に応じて、更新ファイルの内容が不正な第三者に漏洩しないように暗号化される。
(4)ロールバック保護(Rollback Protection):
古い、脆弱性のあるバージョンへのダウングレード攻撃を防ぐための仕組み。通常、ファームウェアのバージョン管理によって行われます。
(5)更新中の保護(Protection during Update):
更新プロセス中に機器が不安定になったり、不正な状態になったりすることを防ぐためのメカニズム。
(6)回復メカニズム(Recovery Mechanism):
更新に失敗した場合に、機器が機能停止するのを防ぎ、以前の安定した状態に回復できる仕組み。


C-2 セキュアな更新メカニズム(SUM)の構成要素
1. 更新ファイルの信頼性検証(Authenticity and Integrity Verification):
デジタル署名(Digital Signature): 更新ファイルが、正当な発行元(ベンダーなど)によって署名されていることを検証する。これにより、ファイルが改ざんされていないことと、不正な第三者によって作成されたものでないことを確認できる。
ハッシュ値(Hash Value): 更新ファイルのハッシュ値(例:SHA-256)を計算し、提供された既知のハッシュ値と比較することで、ファイルが転送中に破損したり、意図的に改ざんされたりしていないことを確認する。
2. 暗号化(Encryption):
更新ファイルの内容が機密性の高い情報を含む場合や、不正な第三者による解析を防ぐために、更新ファイルを暗号化して配信することがあります。これにより、更新プロセス中の情報の漏洩を防ぐ。
3. バージョン管理とロールバック保護(Version Management and Rollback Protection):
4. ファームウェアバージョンチェック:
機器が受信した更新ファイルのバージョンが、現在インストールされているファームウェアのバージョンよりも新しいものであることを確認する。
ロールバック保護: 攻撃者が古いファームウェア(既知の脆弱性を持つ可能性のあるバージョン)に機器をダウングレードするのを防ぐメカニズム。これにより、以前に修正されたセキュリティ脆弱性が再導入されることを防ぐ。
5. 安全な転送プロトコル(Secure Transfer Protocol):
更新ファイルのダウンロードにHTTPS(TLS/SSL)やSFTPなど、暗号化された安全な通信プロトコルを使用する。これにより、転送中の盗聴や改ざんを防ぐ。
6. 更新中の堅牢性(Robustness during Update):
更新プロセス中に電源が失われたり、通信が途絶えたりした場合でも、機器が回復不能な状態に陥らないようにするメカニズム。デュアルバンクメモリ(A/Bパーティション)や、セキュアブートローダーの利用などがこれに該当する。
7. 回復メカニズム(Recovery Mechanism):
更新が失敗した場合に、機器が以前の正常な状態に自動的に復元できる仕組み。これにより、更新失敗による機器の機能停止を防ぎ、サービスの継続性を確保する。


C-3 参考:セキュアな更新メカニズム(SUM)の例
1. スマートフォンのOSアップデート (例: iOS/Android)
更新ファイルの信頼性検証: AppleやGoogleがデジタル署名を用いてファームウェアやOSの更新ファイルを署名する。デバイスは、この署名を検証して、更新が正規のものであることを確認する。
更新の完全性: ダウンロードされたファイルのハッシュ値が検証され、ファイルが破損または改ざんされていないことを確認する。
暗号化された転送: 更新ファイルは通常、HTTPSなどの暗号化されたチャネルを通じてダウンロードされます。
ロールバック保護: 古いOSバージョンへのダウングレードは通常、防止されます。
回復メカニズム: 更新中に問題が発生した場合、安全な復旧モードやリカバリパーティションからの起動が可能です。一部のデバイスでは、A/Bパーティション更新メカニズム(デュアルシステムパーティション)を採用しており、一方のパーティションで更新中に、もう一方のパーティションで元のOSを実行し続け、更新失敗時には元のパーティションに戻れるようにしている。
2. IoTデバイスのファームウェア更新 (例: スマート家電、ネットワーク機器)
OTA (Over-The-Air) アップデート: 多くのIoTデバイスは、ネットワーク経由でファームウェアを更新する。
信頼性検証: デバイスは、ベンダーが提供するデジタル署名を検証して、更新ファイルの出所と完全性を確認する。署名が無効な場合は、更新は拒否される。
セキュアブートとセキュアファームウェア: 多くのIoTデバイスは、起動時にファームウェアの署名を検証するセキュアブート機能を備えている。これにより、不正なファームウェアがロードされるのを防ぐ。
A/Bパーティション: 一部の高度なIoTデバイスや車載システムでは、上記スマートフォンと同様のA/Bパーティション更新が採用され、更新の信頼性と回復力を高めている。
差分更新(Delta Update): 全てのファームウェアをダウンロードするのではなく、変更点のみをダウンロードして適用することで、更新プロセスを効率化し、通信量を削減する。
3. 自動車のOTAソフトウェア更新 (例: Tesla)
Teslaのようなコネクテッドカーは、定期的にソフトウェアのOTA更新を受けている。
エンドツーエンドのセキュリティ: 更新ファイルは、生成元から車両まで暗号化され、デジタル署名が施されている。
厳格な検証プロセス: 車両のECU(電子制御ユニット)は、更新ファイルの信頼性と完全性を厳密に検証する。
冗長性と回復: 更新中に問題が発生しても、車両が動作不能にならないように、冗長なシステムや回復メカニズムが組み込まれている。

機械の電気装置規格(EN 60204-1:2018+A1:2025)2028年4月30日から適用!

*機械の電気装置に適用される規格 EN 60204-1:2018/A1:2025 が、2025年4月4日に発行されました。
ただし、適用は2028年4月30日の見込み。


主な変更点は以下のとおりです。
1. 可変速駆動システム(PDS)に関する要件の強化:
安全トルクオフ(STO)や制御回路保護などの安全側面に関する規定を追加

2. 電磁両立性(EMC):
改訂されたEMC要件の改定

3. 短絡電流定格(SCCR):
SCCR値の決定と文書化に関するガイドラインを明確化

4. 保護ボンディング:
ボンディング要件と用語を更新し明確化

5. 制御回路の改訂:
緊急停止機能を含む制御回路の要件を再編成し、更新

6. 文書化:
技術文書の要件を合理化


EUの新機械規則への対応セミナーを「9月26日(金)」に開催します!
「メニュー」から、お申し込みください!

EU、包装廃棄物規則(PPWR)の適用!2026年8月12日から

*EU 包装および包装廃棄物規制 (PPWR) が発効しました。

EU包装材と包装廃棄物規則(EUサイトから引用)


2025 年 1 月 22 日に欧州連合官報に掲載され、2025 年 2 月 11 日に正式に発効しました。
*包装を使用しているEU輸出製品に、関わる規制です。
*適用PPWR によって導入された主な義務は、「2026 年 8 月 12 日」から適用されます。
・現在の包装および包装廃棄物指令94/62 / EEC(PPWD)を2026年8月12日に破棄


*重要な要求項目


1.梱包の設計・製造
A.懸念物質の制限
B.リサイクル性
C.プラスチック包装のリサイクル含有量
D. 包装の最小化
E.種類の使い捨て包装を禁止
F.再利用と再充填の目標PPWR
G.「包装の製造業者」の義務
第15条 製造業者の義務
・適合性評価手順:モジュールA(内部生産管理)
・「EU適合宣言書および技術文書」要他

2.堆肥化可能にする要求
a)
非透過性のティーバッグとコーヒーバッグ、金属以外の素材で構成されたシングルサーブユニット、非常に軽量なプラスチック製キャリーバッグ、軽量なプラスチック製キャリーバッグ
b)2026年8月12日までに堆肥化可能であることを要求する、その他のパッケージ
3.環境ラベリング要件
4.生産者登録
・付属書IX(第44条の登録及び登録簿への報告に関する情報)
5.拡大生産者の責任EPR制度の加入と費用支払
・生産者が支払う金銭的拠出金 


*適用の包装(例):附属書Ⅰ
A. 第3条第1項第1号(a)の定義によるもの

1. 包装に該当するもの:
 - お菓子の箱
 - CD ケースを包むフィルム
 - カタログや雑誌の郵送用ポーチ (雑誌が中に入っているもの)
 - ケーキと一緒に販売されるケーキ用ドイリー
 - ロール、チューブ、シリンダーに巻きつけられた柔軟な素材 (プラスチックフィルム、 – アルミニウム、紙など)。ただし、製造機械の一部として使用され、製品を販売単位として提示するために使用されていないロール、チューブ、シリンダーは除く
 - 販売と輸送のみに使用される花や植木鉢 (種まきトレイを含む)
 - 注射液用ガラス瓶
 - CD スピンドル (CD と一緒に販売され、保管用として使用されることは意図されていない)
 - 洋服ハンガー (衣類と一緒に販売されるもの)
 - マッチ箱
 - 滅菌バリアシステム (製品の滅菌状態を保つために必要なポーチ、トレイ、および素材)
 - 消火器を除く、各種ガス用の詰め替え可能なスチールシリンダー
 - 紅茶やコーヒーのホイルポーチ
 - 歯磨き粉のチューブに使用される箱
 2. 包装に該当しないもの:
 -生産のさまざまな段階で企業間取引で使用される、または植物と一緒に販売されることを意図した花や植物の鉢(種まきトレイを含む)
 -工具箱
 -チーズの周りのワックス層
 - ソーセージの皮
 -洋服ハンガー(別売り)
 -プリンターのカートリッジ
 -CD、DVD、ビデオケース(CD、DVD、またはビデオが入った状態で販売)
 -CDスピンドル(空の状態で販売され、保管用として使用されることを意図している)
 -洗剤用の可溶性バッグ
 -墓石のそばのライト(キャンドル用の容器)
 -機械式石臼(詰め替え可能な容器に組み込まれているもの、例えば詰め替え可能なペッパーミル)

B. 第3条(1)、(1)(b)および(c)
1.包装品
 -果物や野菜に貼られた粘着ラベルを含む、製品に直接掛けられたり製品に貼り付けられたりしたラベル
 -容器の蓋の一部であるマスカラブラシ
 -ホッチキス
 -プラスチックスリーブ
 -洗剤の容器の蓋の一部である、用量測定装置
 -機械式粉砕機(詰め替え不可の容器に内蔵され、製品が充填されているもの、例えばコショウが充填されたペッパーミル)
2.包装品ではないもの:
 -無線周波数識別(RFID)タグ
 -欧州議会および理事会の規則(EU) 2020/740(1)に従ったステッカー形式のタイヤラベル

C. 第 3 条 (1)、(1)(d) および (e) 項
1.販売時点で充填されることを意図して設計され、意図されている包装品:
 -紙製またはプラスチック製の買い物袋
 -使い捨ての皿とカップ
 -ラップフィルム
 -サンドイッチ用袋
 -アルミホイル
 -洗濯場で洗濯した衣類用のプラスチックホイル
2.包装品ではない品:
 -マドラー
 -使い捨てのカトラリー
 -ラッピングペーパー (消費者および事業者向けに別売り)
 -紙製のベーキングケース (空のまま販売)
 -ケーキなしで販売されるケーキ用ドイリー
 -販売時点で充填されることを意図していない使い捨ての皿とカップ


*包装および包装廃棄物規制(EU)2025/40:

URL: Regulation – EU – 2025/40 – EN – EUR-Lex

REDサイバーセキュリティ要件「EN 18031-1」適合の判定方法!

*EN 18031シリーズにおける各メカニズム要求の合否判定は下のような手順です。


下の「3つの評価タイプ」と、規格内に記載されている「決定木(Decision Tree)」で行われる。
A.評価タイプ:3つの評価
1.概念評価 (Conceptual Assessment)
2.機能完全性評価 (Functional Completeness Assessment)
3.機能十分性評価 (Functional Sufficiency Assessment)


1.概念評価 (Conceptual Assessment
(1)焦点: 「文書」の審査
(2)方法: 製造業者がセキュリティ要件をどのように解釈し、それらを実施する計画を立てているかを自社内、またはNBが審査することにある。
 即ち、製造業者がセキュリティ要件を包括的に理解しているかを確認すること。

(3)合否判定: 提出されたドキュメントが規格の意図するセキュリティ要件を十分に理解し、計画されていることを示しているかどうかに基づいて判断される


2.機能完全性評価 (Functional Completeness Assessment):
(1)焦点: デバイスおよびそのセキュリティ機能に関するすべての側面が適切に文書化され、内容に反映されているかどうかを確認する。
(2)方法: 例えば、ネットワークスキャナーを用いて、すべての外部インターフェースが正しく識別されているかを検証するなど。
(3)合否判定: 関連するセキュリティ機能やインターフェースが適切に特定され、文書化されているかどうかに基づいて判断されます。欠落や不備があれば不合格となる。


3.機能十分性評価 (Functional Sufficiency Assessment):
(1)焦点: 一歩進んで、セキュリティ対策が実際に実施され、その結果が調査される。
(2)方法: この評価では、実践的な試験がよく行わる。例えば、ネットワークインターフェースの堅牢性をチェックするためにファジングテストなどが実施される。
(3)合否判定: 実際に製品をテストし、実装されたセキュリティメカニズムが期待される機能と耐性を持っているかどうかを確認する。テスト結果が規格の要件を満たさない場合、不合格となる。


B. 決定木(Decision Tree)
EN 18031シリーズでは、意思決定および評価において明確な指針を与えるべく、決定木による方式を採用している。
(1)ほとんどの決定木は、対象機器を起点とし、その後に要素(「資産」など)が続き、順番に決定されていく。
(2)各要素において、機器の特性や関連する環境要因に関する質問が提示され、それに回答することで分岐より、決定が進む。
(3)各決定木は、少なくとも1つ以上の「合格(PASS)」および「不合格(FAIL)」の経路になっている。また、必要に応じて、1つ以上の「該当なし(NOT APPLICABLE)」の経路を設けることができる。


*合否を判断の例
例えば、「アクセス制御メカニズム(ACM)」の評価では、①まず「概念評価」でアクセス制御の設計思想が適切か、次に②「機能完全性評価」で必要なアクセス制御機能が「すべて文書化」されているか、最後に③「機能十分性評価」で実際にアクセス制御が正しく機能するか(不正アクセスが防止されるかなど)が確認される。これらの評価段階で決定木に従って質問に回答し、最終的な合否を判断する。

RED、「サイバーセキュリティ要件」の整合規格(EN 18031-1,-2,-3)を適用!2025月8月1日から

EU、RED(無線機器指令)、「サイバーセキュリティ要件」の整合規格として、「EN 18031シリーズ」が「2025年1月30日」に発効になった。
尚、この整合規格の要求に適合すれば、「モジュールAの適合評価手順」(自己認証)を選択できます。
⇒2025年8月1日から、REDのサイバーセキュリティ要件が義務化になります。
(不適合の場合、製品の押収、罰金、市場からの製品の撤回、およびブランドの評判の低下などの措置が取られる可能性があります 。)
EU公式、サイバーセキュリティ要求EU公式サイトから引用


*EN 18031シリーズの適用範囲
・EN 18031シリーズは、家電製品、スマートホーム製品、コネクテッド家電、ウェアラブルヘルスモニター、IoT 対応産業機器、デジタルおよびコネクテッド消防機器、決済および金融機器、エンターテインメントおよび教育製品など、広範なインターネット接続無線機器のカテゴリに適用されます 。具体的な例としては、スマートフォン、タブレット、スマート TV、スマートカメラ、ウェアラブルデバイス、スマートホームデバイス、スマート冷蔵庫、ワイヤレス決済端末、コネクテッドトイ、ベビーモニター、電子ペット追跡装置などが挙げられます 。
・ただし、軍事用途専用のデバイス、特定の分野の枠組み(民間航空や自動車システムなど)で規制されている機器、および他の EU 規制の対象となる医療機器など、RED のサイバーセキュリティ要件から除外される製品カテゴリもあります 。


*EN 18031シリーズの要求事項
・この整合規格の要求事項
は、「メカニズム」であり、ソリューションではない。
以下の3規格です。
1. EN 18031-1:2024 ( パート 1: インターネット接続無線機器)
   、RED の第 3 条第 3 項 (d) に対応します
RED-サイバーセキュリティ規格

この規格では、インターネットに接続された無線機器の「一般的なセキュリティ要件」を規定しています。
尚、この規格では、製品が「直接通信するか他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品」に関する無線機器のセキュリティ要件を規定している。
以下のような要求事項(6章)がある。:

(1)アクセス制御メカニズム:デバイスへの不正アクセスを制限するメカニズムである。
(2)認証メカニズム:ユーザーの身元を確認するための堅牢なシステムであること。
(3)機密な更新メカニズム:ファームウェアとソフトウェアを安全にアップデートできるメカニズムにする。
(4)安全なストレージメカニズム:改ざんや侵害からデータを保護する。
(5)安全な通信メカニズム:データ転送プロセスを保護する。
(6)復元メカニズム:システム障害やサイバー攻撃に対する耐性を備える。
(7)ネットワーク監視メカニズム:異常を検出するための継続的な分析を行う。
(8)トラフィック制御メカニズム:データフローを効果的に管理する。
(9)機密暗号キー:暗号資産を安全に保管する。
(10)一般的な機器の機能:さまざまな機能にわたる機能セキュリティを確保する。
2.EN 18031-2:2024 (パート2:無線機器のデータ処理データ、-インターネット接続無線機器、育児無線機器、玩具無線機器、ウェアラブル無線機器等)尚、RED の第 3 条第 3 項 (e) に対応します 。
REDサイバーセキュリティ規格
「個人データ、トラフィック データ、または位置データ」を処理する無線機器の共通セキュリティ要件です。
そして、インターネットに接続された無線機器、育児専用に設計または意図された無線機器、玩具、ウェアラブル無線機器のいずれかです。
この規格は、個人データ、トラフィック データ、または位置データを処理する無線機器の技術仕様を提供します。
これは、インターネット経由で通信できる電気電子製品に関するもので、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、育児、玩具、またはウェアラブル無線機器に関するものです。
この範囲は、欧州議会および理事会の指令 (EU) 2018/1972 で定義される公共電子通信ネットワークおよび公的に利用可能な電子通信サービスのプロバイダーが使用する 5G ネットワーク機器には適用されない。
この規格には、以下のような要求事項(6章)がある。
(1)アクセス制御メカニズム:通常はアクセスレベルと権限設定を通じて、許可された担当者のみが無線機器のコンポーネントを操作したり、データを管理したりできるようにする。 
(2)認証メカニズム:整合性とセキュリティを維持するために、ユーザーIDまたはデバイスの検証を行う
(3)安全な更新メカニズム:改ざんや悪意のあるソフトウェアによるアクセスを防止するため、暗号化され認証されたアップデートを行う。 
(4)安全なストレージメカニズム:データストレージを不正アクセスや潜在的な脆弱性から保護する。
(5)安全な通信メカニズム:デバイス間のデータ転送における暗号化とセキュアプロトコルを使用する。
(6)ログ記録メカニズム:監査と監視のために、ユーザーによる操作やシステム変更の記録する。
(7)削除メカニズム:データが完全に削除または消去され、機密情報の痕跡が残らないようにする。
(8)ユーザー通知メカニズム:セキュリティまたは機能に関する懸念事項についてユーザーに通知する。
(9)機密暗号キー:データセキュリティに不可欠な暗号鍵の安全な取り扱いと保管を規定する。
(10)一般的な機器の機能:セキュリティおよび安全性の基準を遵守しながら、基本的な機能を確保する機能を持つ。
3.EN 18031-3:2024 (パート 3: インターネット接続無線機器が仮想通貨または貨幣価値を処理する機器)
尚、 RED の第 3 条第 3 項 (f) に対応します。
REDサイバーセキュリティ規格
この規格対応機器により、所有者またはユーザーは、「お金、金銭的価値、または仮想通貨を転送」できます。
この規格では、仮想マネーまたは金銭的価値を処理する無線機器のセキュリティ仕様を示します。
この仕様は、これらの製品が直接通信するか、他の機器を介して通信するかに関係なく、インターネット経由で通信できる電気電子製品に適用されます。
この規格には、以下のような要求事項(6章)がある
(1)アクセス制御メカニズム:厳格な制御手段を導入し、許可されたユーザーのみが機器の重要なシステムまたは機能にアクセスできるようにする。
(2)認証メカニズム:不正使用を防止するため、ユーザーとデバイスの安全な認証を実施する。
(3)安全な更新メカニズム:ファームウェアまたはソフトウェアの更新が検証、暗号化、および認証され、脆弱性の導入を防止する。
(4)安全なストレージメカニズム:個人情報や動作パラメータなどの機密データを不正アクセスや改ざんから保護する。
(5)安全な通信メカニズム:通信の傍受や改ざんを防ぐために、暗号化されたデータ転送プロトコルを使用する。
(6)ログ記録メカニズム:監査証跡とセキュリティ監視を容易にするため、システムアクティビティとアクセス試行の詳細なログ記録を行う。
(7)機密暗号鍵:暗号鍵の安全な取り扱いと保管に焦点を当て、漏洩や不正使用を防止する。
(8)
一般的な機器の機能:基本的な安全性と運用機能を網羅し、機器の本来の用途に加えて、セキュリティ要件への準拠を確保する。
(9)
暗号化:堅牢な暗号化方式を適用することで、保存時および転送中のデータを保護し、データ漏洩や不正開示のリスクを最小限に抑える。


*各整合規格の各メカニズム要求の実装可否について


・対象製品の目的・機能状況により、要求のメカニズム実装(適用の適切性や強度)が異なる。本規格の規定(適用や各メカニズムのリスクアセスメント)により、実装可否を判定をする。判定は主にメーカになる。
この判定は、製品の意図する用途とメーカが各メカニズムのおける「リスクアセスメント」に基づいて決定するため、対象の製品が下のような場合は異なることになります。
・高リスク機器:緊急サービスで使用される無線通信機器
・低リスク機器:温室の単純な温度センサーのような機器


*関連URL
Decision (EU) 2025/138:RED(2014/53/EU)のサイバーセキュリティに関連する整合規格実施決定法.

MDR規制(医療機器)の整合規格リストが更新されています!2024年10月9日付


*2024年9月10日版が最新です。
MDR整合規格リスト


*関連URL


医療機器に関する規制 (EU) 2017/745 – 整合規格リスト (PDF 文書) (271 KB) .


「お問合せ」
・CEマーキングをサポートしております。
お気軽に「お問合せ」ページから、ご連絡下さい


 

 

「持続可能な製品のエコデザイン枠組み規則(ESPR)を発効!2024年7月18日発効

エコデザイン指令(ErP)からエコデサイン枠組み規則(ESPR)へ置き換わった。「2024年7月18日」に発効。
⇒この新規則の発効に伴い、「エネルギー関連製品」だけでなく、各種「消費者用物理的製品」にまで拡大されている。
・また、「デジタル製品パスポート」という情報登録・提供の新要求がある。(但し、今後、委任法令で指定される製品のみ)
・尚、このESPRは「枠組み法」であり、今後、新規追加の各製品等における具体的な要求は、「新規委任法令の発効」で規制される予定です。


本規則目的:旧エコデザイン指令より適用される製品が拡大
・ESPRは、エコデザイン指令に代わるもので、食品や医薬品などの限られた例外を除いて、市場に出される、またはスペア部品や中間製品を含む各種「消費者用物理的商品(尚、EU以外の販売運営者が販売する商品にも適用)」に適用範囲を拡大している。(尚、エコデザイン指令は消費者向けエネルギー関連製品が対象)
・エコデザイン指令は、エネルギーや温室効果ガスを大量に消費する製品(約30の製品グループで構成)に焦点を当てていたが、ESPRは、各種製品の循環性、耐久性、修理性、リサイクル性に関する新しい一般要件を導入している。)
・26年頃?から、「個別製品ごとの規制要求」は個別委任法が発効される予定。


*「持続可能な製品」とは、次の特性を1つ以上を保持すること。
・エネルギー使用量が少ない
・長持ちする
・簡単に修理できる
・部品は簡単に分解してさらに再使用できる
・懸念物質が少ない
・簡単にリサイクルできる
・多くのリサイクル素材が含まれている
・製品ライフサイクル全体にわたる炭素排出量と環境フットプリント指標の低減


*適用範囲の拡大と免除機器
 ・旧エコデザイン指令では、エネルギー関連製品にのみ適用されていたが、本規則では「エネルギー以外も含めた消費者用物理製品」に拡大している。
 ・但し、食品や飼料、医薬品など、限られた製品は免除されている
⇒但し、「消費者向け製品」が適用範囲で、「商業・事業・職人用製品」は範囲に入らない。(ESPRのFQAによる)


*備考:
 ・本ESPR規則(EU)2024/1799は枠組み規則です。
・各消費者用製品の具体的な規制内容は、今後、製品グループ毎の法令で、規定される。
   


*今後、特定法令が発効される「消費者用製品カテゴリ」の製品:
 (「下の製品をEUに輸出している企業」は、今後、発効される各規制要件を把握する必要があります。)
(a) 鉄および鋼
(b) アルミニウム
(c) 繊維製品、特に衣類および履物
(d) 家具、マットレスを含む
(e) タイヤ
(f) 洗剤
(g) 塗料
(h) 潤滑剤
(i) 化学製品
(j) 初めてエコデザイン要件が設定されるエネルギー関連製品、またはこの規則に基づいて既存の措置が見直される製品
(k) 情報および通信技術製品およびその他の電子機器


 エコデザイン指令の廃止
 ・エコデザイン指令2009/125/ECは、2024年7月18日に廃止された。

*関連URL:
持続可能な製品のエコデザイン規則(EU)2024/1781.

AI 規制 (EU) 2024/1689 施行! 2024 年 8 月1 日

EUの「AI 規制 (EU) 2024/1689」 は、「2026年8月1 日」に完全適用される
AI法は2024年8月1日に施行され、「禁止事項」は6か月後に発効し、「汎用AIモデルのガバナンスルールと義務」は12か月後に適用され、「規制対象製品に組み込まれたAIシステム」のルールは36か月後に適用されるという例外を除き、「2年後(2026年8月1日)」に完全に適用される。


AI 規制 (EU) 2024/1689 は、EU 内の人工知能システムの開発、展開、使用に適用される
・この規制は、AI システムが安全で透明性があり、基本的権利を尊重することを保証する共通の規制枠組みを確立する。
・この規制は、AI システムの「リスク レベル」に基づいて、「最小限のリスクから許容できないリスクまでを分類」して、各カテゴリに特定の要件を定めている。


*関連URL:
AI Act enters into force.
AI規則 (EU) 2024/1689.

一般製品安全規則 (GPSR)強制!2024年12月13日から

*2023年6月12日一般製品安全規則 (GPSR)が、発効(有効)になっていた。
 (以降期間終了)
「2024年12月13日」には、移行期間が終了し、一般製品安全規則(GPSR)が強制化
 (一般製品安全指令(GPSD
)は2024年12月13日に、破棄され、この規則に置換わった。)

一般製品安全規則の発効


・a) 新規にEU市場に販売する製品は即適用される。
・b) 既に、EUに販売している製品も「2024年12月13日からは適用」される。

 図. GPSDからGPSR「移行期間」


*目的
・EU の製品安全法の枠組みの法律です
・EU 市場の全ての製品の安全性を確保するために、企業にこれを保証するための特定の義務を定めている。


*適用範囲
・EU法に当該製品の安全性を規制する同様の目的を持つ特定の規定(EU法)がない限り、上市または入手可能となった製品に適用される。
・製品がEU法で定められた特定の安全要求事項の対象である場合、本規則は、それらの要求事項の対象外である側面およびリスクまたはリスクのカテゴリーにのみ適用
・新品、中古品、修理品、再調整品のいずれであっても、市場に出回る製品に適用される。但し、使用される前に修理または再調整される製品であって、その旨が明確に表示されているものには適用されない。
(尚、次の適用除外品(a)~(i)を除いて、各種製品に適用される)


*適用除外品:
(a)ヒト用又は動物用の医薬品;
(b)食品
(c)飼料
(d)生きた動植物、遺伝子組換え生物および遺伝子組換え微生物、ならびにそれらの将来の繁殖に直接関係する動植物の産物;
(e)動物の副産物および派生製品
(f)植物保護製品
(g)消費者に提供される輸送サービスの中で、サービス提供者によって直接運営され、消費者自身によって運営されない、消費者が乗車または移動する機器;車
(h)規則(EU)2018/1139の航空機;
(i)骨董品


*GPSDとSPSRの大きな違い
一般製品安全指令(GPSD)では、製造者等の義務が抽象的な記述であったが、一般製品安全規則(GPSR)では、具体的な記述になっている。


*関連URL
一般製品規則(GPSR): (EU) 2023/988条文.


*関連ページ
一般製品安全規則 (GPSR) 案を承認、発効へ!.


「お問合せ」
・CEマーキングをサポートしております。
お気軽に「お問合せ」ページから、ご連絡下さい