サイバーレジリエンス法(CRA)とスイスの動向:デジタル製品の安全性義務

サイバーレジリエンス法(CRA)とスイスの動向:デジタル製品の安全性義務

IoT技術の普及に伴いあらゆる製品がネットワークに接続される現在、デジタル製品のサイバーセキュリティ確保は国際的な急務となっています。欧州連合(EU)で採択されたサイバーレジリエンス法(CRA)は、ハードウェアおよびソフトウェアを対象に設計段階からのセキュリティ確保を義務付ける画期的な規制です。この法規制の影響は欧州経済圏の中核を担うスイスにも波及しており、スイス連邦政府はEUに呼応する形で独自の厳格なサイバーセキュリティ法案の策定を進めています。

本記事では、欧州市場への参入や事業拡大を見据える日本企業に向けて、スイスにおける最新のIoTセキュリティ規制や適合性評価の手続き、日本の法制度との決定的な違い、さらにはハードウェア・ソフトウェアメーカーが直面する新たなコンプライアンスの壁について解説します。

欧州サイバーレジリエンス法(CRA)の全体像とスイスにおける法制化の動向

サイバーレジリエンス法が対象とするIoT製品と市場への影響

欧州のサイバーレジリエンス法(CRA)は、デジタル要素を持つすべてのハードウェアおよびソフトウェア製品に対して統一的なサイバーセキュリティ要件を定める包括的な法的枠組みです。この規則の対象範囲は広く、ノートパソコンやスマートフォンといった端末機器だけでなく、スマート家電、産業用制御システム、さらにはファームウェアやオペレーティングシステムなどのソフトウェアコンポーネントまで網羅されています。製品をEU市場で有償無償を問わず提供するすべての事業者は、この法律に従う法的義務を負います。

CRAの最大の特徴は、製品のセキュリティ要件を、EU市場での流通を許可する「適合マーク」であるCEマーキングの取得条件と結びつけている点にあります。これにより、セキュリティ基準を満たさない製品は物理的に市場から排除されることになります。規制違反に対しては、(最大)1,500万ユーロまたは全世界の年間売上高の2.5%の罰金(必須サイバーセキュリティ要件違反の場合)という重い制裁が用意されています。法令の適用スケジュールは以下の表の通り段階的に設定されており、企業には迅速な対応体制の構築が求められます。

法的要件の段階的適用施行・適用日具体的な内容と対象となる義務
法令の正式発効2024年12月10日サイバーレジリエンス法(CRA)の公式な発効日
適合性評価機関の通知2026年6月11日第4章に基づく適合性評価機関への通知規定の適用開始
脆弱性報告義務の開始2026年9月11日悪用された脆弱性および重大なインシデントに関する当局への報告義務化
全面的な適用開始2027年12月11日製品要件やCEマーキングに関する規定を含むすべての条項の完全適用

スイス連邦政府による独自のIoTセキュリティ規制の枠組み

こうしたEUの動きは、非加盟国でありながら欧州市場と深く結びついているスイスにも大きな影響を与えています。スイスの国内法がEU基準から乖離することは、スイス国内で事業を展開する企業の国際競争力を損なうリスクがあるためです。スイス全州議会の安全保障政策委員会から提出された動議「緊急に必要なサイバーセキュリティチェックの実施(Motion 24.3810)」を受け、スイス連邦参事会(内閣)は2025年8月20日、デジタル製品のサイバーレジリエンスを強化するための新法案の起草を正式に決定しました。

この決定に基づき、連邦サイバーセキュリティ局(BACS、旧NCSC)が連邦通信局(BAKOM/OFCOM)および連邦経済事務局(SECO)と連携し、2026年秋までに法案の草案を策定し協議に付すことが義務付けられました。この新法規制は、デジタルコンポーネントを含む製品の開発および商業化に対する厳格な要件を設定し、安全でないデバイスの輸入および販売を禁止する法的根拠を築くことを目的としています。

参考:admin.ch(スイス連邦参事会)|プレスリリース(サイバーレジリエンス強化法案起草決定)

スイス政府は国際的な枠組みであるCRAを意識して立法作業を進めており、国際的に活動する企業が相反するコンプライアンス要件に苦しむことがないよう、行政負担の最小化とスイス経済の保護を両立させる方針を明言しています。これは、スイスを拠点として欧州全体にビジネスを展開する日本企業にとって、スイス法への準拠が事実上EU基準への適合を意味することを示しています。

デジタル製品に対するスイスのコンプライアンス要件と適合性評価の壁

デジタル製品に対するスイスのコンプライアンス要件と適合性評価の壁

設計段階からのセキュリティ確保と脆弱性報告の義務化

新たな法規制の下でハードウェア・ソフトウェアメーカーが直面する最大の課題は、「セキュア・バイ・デザイン(Secure by Design)」および「セキュア・バイ・デフォルト(Secure by Default)」の法的義務化です。製品の企画、設計、開発、生産、納品、保守の全ライフサイクルにわたってサイバーセキュリティリスクアセスメントを実施し、技術文書として記録することが必須となります。

特に重要となるのが「ソフトウェア部品表(SBOM)」の作成と継続的な脆弱性管理です。オープンソースソフトウェアなどを含むサードパーティ製のコンポーネントに脆弱性が発見された場合、メーカーは即座に影響範囲を特定し、セキュリティアップデートを提供する体制を整えなければなりません。また、サイバーインシデントおよび悪用された脆弱性に関しては、厳しい時間的制約を伴う報告義務が課されます。

報告の種類報告期限報告の対象内容と条件
早期警告通知認識から24時間以内悪用されている脆弱性や重大なインシデントに関する第一報
メイン通知認識から72時間以内脆弱性の性質や影響範囲に関する詳細な情報の提供
最終報告書(脆弱性)是正措置の利用可能後14日以内パッチ配信等の是正措置が提供された後の最終的な報告
最終報告書(インシデント)メイン通知から1か月以内重大なインシデントに対する事後評価と再発防止策の報告

スイスにおいても、BACS(連邦サイバーセキュリティ局)が脆弱性コミュニケーションのハブとして機能し、こうした厳格な報告体制の整備と市場監視が進められています。

スイスおよび欧州における適合性評価の手続き

製品を市場に投入する前の関門として、適合性評価の実施が義務付けられます。CRAでは、製品のリスクレベルに応じて複数の適合性評価モジュールが設定されています。一般的な製品については、メーカー自身の内部統制手続きに基づく自己評価(モジュールA)が認められますが、ネットワーク管理システムやスマートメーターのゲートウェイなど、よりクリティカルな製品に対しては、第三者機関によるEU型式審査手続き(モジュールBおよびC)や、完全な品質保証に基づく適合性評価(モジュールH)といった厳格な認証が求められます。

適合性評価を通過した製品のみがCEマーキングを付与され、流通業者や輸入業者は、このマークの有無やサポート期間の明記、技術文書の具備を検証する義務を負います。サプライチェーン全体でコンプライアンスを確認し合う構造が法的に構築されるため、認証を持たない製品は市場の入り口でブロックされることになります。

スイスと日本の法制度の決定的な違いと欧州展開における留意点

日本の電気通信事業法とスイス通信設備規則の比較

日本企業がスイスを含む欧州市場に進出する際、日本の国内法基準のまま製品を輸出することは高い法的リスクを伴います。日本では、IoT製品のセキュリティ要件として、電気通信事業法に基づく「端末設備等規則」(第34条の10、令和2年4月1日施行)が定められています。これは公衆網(デジタルデータ伝送用設備)にインターネットプロトコルで直接接続し、回線経由で設定を変更できる端末機器(ルータ、ウェブカメラ等)を対象とし、PC・スマートフォン等は対象外です。具体的には、アクセス制御機能、初期パスワードの変更を促す機能(または機器ごとの固有パスワードの設定)、ソフトウェア更新機能の搭載、停電時の設定・ソフトウェア維持という4要件が義務付けられています。

これに対してスイスでは、連邦通信局(BAKOM/仏OFCOM)所管の「通信設備令(VFAV、SR 784.101.21)」が2022年7月21日に改正され(2022年9月1日施行)、EUの委任規則(EU)2022/30に整合する形でサイバーセキュリティ要件を導入しました。これらの要件(授権根拠:FAV第7条第3項d〜f号、対象指定:VFAV附属書1第7〜9号)は当初2024年8月1日からの義務化が予定されていましたが、EUにおける調和規格(EN 18031シリーズ)の策定遅延に整合する形でスイスでも経過措置が延長され、最終的な経過措置満了日は2025年7月31日、2025年8月1日から義務化されています(VFAV第10b条)。対象は「すべての無線機器」ではなく、(1)インターネットに接続する機器(ネットワーク保護)、(2)個人データを処理しうる機器(育児用機器・玩具・ウェアラブル等)(個人データ・プライバシー保護)、(3)送金・決済機能を持つ機器(詐欺防止)の指定カテゴリに限定されます(VFAV附属書1第7〜9号)。

この規則は、単なるネットワーク保護にとどまらず、スマートウォッチやワイヤレス玩具といった消費者向けデバイスにおける個人データの保護や、決済機能を持つデバイスにおける金銭的詐欺リスクの最小化を法的に求めています。日本の基準を満たしているだけでは、スイスのVFAVが要求するプライバシー保護機能や不正アクセス防止水準に到達していない可能性が高く、市場へのアクセスが制限される恐れがあります。

任意のラベリング制度と強制的な法規制の差異

両国の規制の性格的な違いは、制度の「強制力」に最も明確に表れています。以下の表は、日本とスイス・欧州におけるIoTセキュリティ規制の枠組みを比較したものです。

比較項目日本の法規制・制度スイスおよび欧州(EU)の法規制・制度
主要な法的枠組み電気通信事業法、IoT製品セキュリティ適合性評価制度(JC-STAR)サイバーレジリエンス法(CRA)、スイス連邦情報セキュリティ法(ISG、SR 128)、新サイバーレジリエンス立法(CRAをベンチマークとする起草中の別個の法案)
制度の強制力JC-STARは任意のラベリング制度。通信法要件は限定的。すべての対象製品に対してコンプライアンスが義務化される強制規格。
違反時のペナルティ任意の制度に基づくため直接的な市場排除や巨額の罰金は想定されにくい。最大1,500万ユーロの罰金、あるいは製品の市場からの即時排除と回収命令。
ライフサイクル管理推奨事項としての位置づけが強い。製品寿命を通じたパッチ提供とSBOM管理が法的な義務。

日本の経済産業省と情報処理推進機構(IPA)が推進するJC-STARは、セキュリティレベルを可視化して消費者の選択を促す任意の評価制度です。一方、スイスおよび欧州の制度は、基準を満たさない製品の販売を違法行為として禁じる「コンプライアンスの壁」として機能します。日本企業は、この法制度の前提となる強制力の違いを深く理解し、コンプライアンス体制を根本から再構築する必要があります。

スイスの製造物責任法とソフトウェア欠陥に関する法的リスク

スイスの製造物責任法とソフトウェア欠陥に関する法的リスク

ソフトウェアを対象に含む新たな製造物責任の枠組み

デジタル製品の安全性義務違反は、行政処分にとどまらず、民事上の製造物責任(プロダクトライアビリティ)を通じた深刻な訴訟リスクを企業にもたらします。スイスの製造物責任法(PrHG)は、製品の欠陥に起因する人身傷害や物的損害に対し、製造者に無過失責任を負わせる法律です。これまで、サイバー攻撃によるソフトウェアの脆弱性が製造物責任の対象となるか否かはグレーゾーンとされてきました。

しかし、EUにおいて2024年に採択された改正製造物責任指令(PLD)により、スタンドアロンのものを含むソフトウェアそのものが明確に「製品」として定義されました。EUの改正製造物責任指令(PLD、指令(EU)2024/2853)では、製品の欠陥性の判断にあたり安全関連のサイバーセキュリティ要件や上市後の継続的支配(アップデート等)が考慮要素として明示され(第7条)、安全維持に必要なソフトウェア・アップデート/アップグレードの欠如は製造者の支配下にある場合に免責の対象外とされました(第11条)。したがって、安全維持に必要な更新を提供しないことが製品の欠陥・責任に直結し得ます。もっとも、スイスは自国法をこのEU基準に調和させつつあるわけではなく、スイスの製造物責任法(PrHG、SR 221.112.944)は旧指令(85/374/EWG)に準拠したままで、新PLDへの調和立法は現時点で確認されません。実務上の影響は、EU市場に製品を供給するスイス企業がEU域内で新PLDの責任体制に直接服する経路で生じます。

スイス連邦最高裁判所の判例に基づく製品の安全性基準

製造物責任法第4条の「欠陥」概念について、連邦最高裁判所が初めて解釈を示した主要先例がBGE 133 III 81(2006年12月19日判決)です。この事件では、コーヒーメーカーのガラス製カラフェが通常のコーヒー準備中に爆発し、使用者が左手に重傷を負いました。最高裁判所は、欠陥の有無は「あらゆる事情を考慮した上で、平均的な消費者が正当に期待できる安全性を製品が提供しているか」という客観的基準によって判断されると確認しました。注目すべきは証明の問題です。被害者が立証すべきは欠陥の原因(製造上の欠陥か設計上の欠陥か)ではなく、製品が消費者の正当な安全性期待を満たしていなかったことで足ります。証明度も厳格証明ではなく優越的蓋然性—「他の可能性が実質的に考慮できない程度に、一方の事実が支持されること」—で足りるとされています。原審は被害者に欠陥原因の厳格な立証を求めたため、最高裁判所は原判決を破棄して差し戻しました。

参考:BGer(スイス連邦最高裁判所)|判例 BGE 133 III 81

一方、4A_255/2010(2010年6月29日判決)はこの基準の限界線を画しました。防音窓の小窓開閉機構に関するこの事件で、最高裁判所はBGE 133 III 81の客観的安全性基準を改めて確認しつつも、問題となった操作方法—固定具を取り外したうえで小窓を動かすという二段階の特殊な操作—が合理的に予見可能な使用態様に当たらないと判断し、製造者の責任を否定しました。製造物責任の考慮対象に含まれるのは通常の使用のほか「通常生じ得る誤使用」までであり、著しく特殊な操作や意図的な悪用は射程外となります。

参考:BGer(スイス連邦最高裁判所)|判例 4A_255/2010(2010年6月29日判決)

この法理をIoT製品に当てはめると、製造者のリスク構造が明確になります。メーカーが既知のソフトウェア脆弱性を放置し、サイバー攻撃によってスマート家電が誤作動して火災を引き起こしたり、工場の制御システムが暴走して物理的損害が生じたりしたケースは、「通常使用中に製品が安全性期待を裏切った」という点でBGE 133 III 81型の事案に近く、「予見不可能な特殊操作が原因」という4A_255/2010型とは構造が異なります。既知の脆弱性の放置は「合理的に予見可能なリスクへの対処を怠った」と評価され、「客観的に期待される安全性」を欠くと認定される蓋然性が高くなります。加えて、BGE 133 III 81の証明度ルールにより、被害者はサイバー攻撃の技術的な因果関係を精密に立証する必要はなく、製品が期待された安全性を欠いていたことを優越的蓋然性をもって示せば足ります。

重要インフラへのサイバー攻撃報告義務と企業への波及効果

製品が社会の重要インフラで利用される場合、企業が負う法的責任はさらに一段階引き上げられます。スイスでは2024年1月に情報セキュリティ法(ISG:Informationssicherheitsgesetz、SR 128)が施行され、2025年4月1日からは同法に基づくサイバー攻撃の強制報告義務が発効しました。これにより、エネルギー、水道、交通、通信、医療機関、州および自治体の行政機関など、重要インフラを運営する組織は、サイバー攻撃を発見してから24時間以内に連邦サイバーセキュリティ局(BACS:Bundesamt für Cybersicherheit、旧NCSC)へ報告することが法的に義務付けられました。

報告義務に違反した場合、BACS(連邦サイバーセキュリティ局)が是正命令を発令し、それに違反した責任者個人に最大10万スイスフランの罰金が科されます。この厳格な法律はインフラ運営者に対するものですが、実質的にはそれらの組織にIoT機器やシステムを納入するサプライヤー(ハードウェア・ソフトウェアメーカー)への波及効果を持ちます。インフラ企業は自らの法的義務を果たすため、納入業者に対して高度な監査権限や24時間以内のインシデント特定・フォレンジック調査の協力を契約で厳格に要求するようになり、コンプライアンスを満たせない企業はサプライチェーンから構造的に排除されることになります。

まとめ

サイバーレジリエンス法(CRA)の成立とスイスの新たなサイバーセキュリティ法案の策定は、デジタル製品の設計、製造、そして事後対応のあり方を根本から変革するものです。日本企業がスイスをはじめとする欧州市場でビジネスを成功させるためには、日本の基準に留まらない「セキュア・バイ・デザイン」の徹底、ソフトウェア部品表(SBOM)の構築、厳格な適合性評価のクリア、そして24時間以内のインシデント報告体制の確立が不可欠です。さらに、ソフトウェアの脆弱性が直結する新たな製造物責任リスクや重要インフラ向け要件への対応など、乗り越えるべきコンプライアンスの壁はかつてなく高く、複雑化しています。

こうした現地の極めて高度な法規制に対応するため、モノリス法律事務所は、スイスのジュネーブに拠点を置く法律事務所Araucariaと緊密な提携関係を結び、日本企業を強力に支援する体制を構築しています。Araucaria法律事務所は、GDPRおよびスイスデータ保護法(DPA)に基づく厳格なデータコンプライアンス、知的財産権の保護、そしてデジタルトランスフォーメーションに伴う法的リスク管理において極めて高い専門性を有しており、現地の行政当局や法執行の実務にも精通しています。

両事務所の協働により、欧州市場への製品投入に向けた法規制の適合性監査から、現地の製造物責任訴訟リスクを最小化するための契約書や利用規約の策定、万が一のインシデント発生時における連邦サイバーセキュリティ局(BACS)等への緊急対応支援まで、シームレスで包括的なリーガルサポートを提供いたします。スイスおよび欧州圏へのビジネス展開を法務面から安全かつ着実に進めるために、ぜひ現地事情を熟知した専門家チームの知見をご活用ください。

監修

河瀬 季

Toki Kawase

IT企業経営の経験を持つエンジニア出身の弁護士。東大院修了後、モノリス法律事務所を開設。上場企業からスタートアップまで顧問弁護士やCLOとして経営を支援する。特にスイス法務に精通し、専門チームを率いて現地法人設立から労務、知財戦略分野で日本企業のスイス進出を多角的にサポートしている。

Contact お問い合わせ

日本語でのご相談が可能です。
スイス進出前のご相談から、進出後の法務対応まで幅広く対応しています。

ご相談・お問い合わせはこちら