無線機器指令(RE指令)第3条(3)(d)(e)(f)項

無線機器指令(RE指令)第3条(3)(d)(e)(f)項

無線機器指令(RE指令、2014/53/EU)の第3条(3)(d)(e)(f)項に関して、規定(Regulation (EU) 2022/30) が欧州官報にて発表されています。(2022年1月12日付)

ネットワーク通信の安全、プライバシー保護、詐欺からの保護に関するもので、2024年8月1日から施行されます。
以下は、規定(Regulation (EU) 2022/30) の概要です。記述の殆どは自動和訳または私見です。必ず原文を参照し個社・個人の責任においてご判断ください。

欧州指令の勘どころ無線機器指令 も併せてご参考ください。

委員会施行規則 (EU) 2022/30 / 2021年10月29日

欧州議会および理事会の指令 2014/53/EU の第3条(3)(d)(e)(f)に規定されている必須要件の補足

(EEA関連テキスト)

欧州委員会は、

欧州連合の条約に関連し、

無線機器を市場で利用可能にする加盟国の調和および指令 1999/5/EC の廃止に関する2014年4月16日の欧州議会と理事会の指令 2014/53/EU ならびに特に第3条(3)(d)(e)(f)項を考慮した上で、

要旨:

 (1)ネットワークまたはその機能を危害から保護し、ユーザーと加入者の個人データとプライバシーを保護し、詐欺から保護することは、サイバーセキュリティリスクに対する保護をサポートする要素です。

 (2)指令 2014/53/EU のリサイタル 13 に記載されているように、無線機器の特定の機能によって、ユーザーおよび無線機器の加入者の個人データとプライバシーの保護、および詐欺からの保護が強化される場合があります。したがって、そのリサイタルによると、無線機器は、適切な場合には、それらの機能をサポートするように設計されるべきである。

 (3)5G は、今後数年間でEUのデジタル経済と社会の発展に重要な役割を果たし、EU市民の生活のほぼすべての側面に影響を与える可能性があります。「5G ネットワークのサイバーセキュリティリスク軽減措置のEUツールボックス」というタイトルの文書は、5G ネットワークの主なサイバーセキュリティリスクを軽減することができる可能性のある共通の一連の措置を特定し、国家レベルおよびEUレベルでの緩和計画で優先されるべき措置の選択のためのガイダンスを提供します。これらの措置に加えて、5G 無線機器がEU市場に投入される際には、5G 無線機器に適用されるサイバーセキュリティ保護の要素に関する必須要件に対する調和のとれたアプローチに従うことが非常に重要です。

 (4)ネットワーク保護、個人データおよびプライバシーの保護のためのセーフガード、および詐欺からの保護を確保するために第3条3項(d),(e),(f)に定める連合必須要件に基づいて適用されるセキュリティレベルは、これらの要件に従うスマートメータが使用されるエネルギー分野における分散型スマートグリッド、および欧州議会および理事会の指令 (EU) 2018/1972 にいう公共電子通信ネットワークおよび公に利用できる電子通信サービスのプロバイダが使用する 5G ネットワーク装置に国レベルで要請する高いレベルのセキュリティが損なわれないものとします。

 (5)また、子供を含む専門家や消費者による無線機器の使用の増加の結果として、サイバーセキュリティリスクの増加に関連して多くの懸念が表明されています: (i) 直接通信するか他の機器(「インターネット接続型無線機器」)を介して通信するかを問わず、それ自体がインターネット上で通信できること、すなわち、当該インターネット接続型機器は、直接または中間装置を介してインターネットとデータを交換するために必要なプロトコルを動作させること。(ii) 欧州議会と理事会の指令2009/48/ECの範囲にも入る無線機能付き玩具、または児童モニターなど育児用に排他的に設計または意図されたもののいずれかであること、または (iii) 腕時計、指輪、リストバンド、ヘッドセット、イヤホン、眼鏡の形をした無線機器(「装着型無線機器」)など、人体の一部(頭部、首、体幹、腕、手、脚、足を含む)または人が着用する衣類(ヘッドウェア、ハンドウェア、履物を含む)に装着、ストラッピング、または吊るすように設計または意図されているもの(専用か否かにかかわらず)。

 (6)この点において、育児用無線機器、指令 2009/48/EC の対象となる無線機器、装着型無線機器は、直接通信するか他の機器を経由するかを問わず、それ自体がインターネット上で通信可能なものであれば、インターネット接続型無線機器とみなすべきである。例えばインプラントは、人体や衣服に装着したり、紐で縛ったり、ぶら下げたりしないので、ウェアラブル無線機器とみなされるべきではない。しかし、インプラントは、直接通信するか他の機器を経由するかにかかわらず、それ自体がインターネット上で通信できるのであれば、インターネットに接続された無線機器とみなされるべきです。

 (7)無線機器がサイバーセキュリティリスクの要素に対する保護を保証していないという事実から生じる懸念を考慮し、特定のカテゴリまたはクラス内の無線機器に、ネットワークへの危害からの保護、ユーザーおよび加入者の個人データおよびプライバシーの保護、詐欺からの保護に関連する指令 2014/53/EU の必須要件を適用可能にすることが必要である。

 (8)指令 2014/53/EU は、当該指令の第2条にある「無線機器」の定義を満たす製品に適用されますが、当該指令の第1条(2)および第1条(3)に明記された特定の除外事項に従うものとします。指令 2014/53/EU の第2条にある無線機器の定義は、電波で通信できる機器を指しますが、指令 2014/53/EU のどの要件も無線機器の無線機能と非無線機能を区別していないため、機器のすべての側面と部品はこの委任規則に規定されている必須要件に適合する必要があります。

 (9)ネットワーク又はその機能に対する危害又はネットワーク資源の不正使用に関しては、ネットワークが危害を受けないこと又は不正使用されないことを保証しないインターネット接続された無線機器によって、許容できないサービスの劣化が引き起こされる可能性があります。例えば、攻撃者が悪意を持ってインターネット網を氾濫させて正当なネットワークトラフィックを妨げたり、2つの無線製品間の接続を妨害してサービスへのアクセスを妨げたり、特定の人がサービスにアクセスするのを妨げたり、特定のシステムまたは人へのサービスを妨害したり、情報を破壊したりすることがある。このようにオンラインサービスの低下は、悪意のあるサイバー攻撃となり、事業者、サービスプロバイダ、利用者のコスト、不便さ、リスクの増加につながります。無線機器がネットワークまたはその機能に害を与えず、ネットワーク資源を悪用せず、それによって許容できないサービスの低下を引き起こさないことを要求する指令 2014/53/EU の第3条3項、(d)は、したがってインターネット接続無線機器に適用されるべきものです。

(10)インターネットに接続された無線機器にスピーカー、マイク、その他のセンサーが組み込まれている場合、無線機器が情報を記録、保存、共有し、子供を含むユーザーと対話できることから、そのユーザーと加入者の個人データおよびプライバシーの保護に関しても懸念が提起されている。これらの懸念は、特に、写真、ビデオ、位置情報データ、プレイ体験に関連するデータ、心拍数、睡眠習慣、その他の個人データを記録する無線機器の能力に関するものである。例えば、接続やデータが暗号化されていない場合、または強力な認証メカニズムが導入されていない場合、無線機器の高度な設定にデフォルトパスワードでアクセスできる可能性があります。

(11)したがって、欧州議会および理事会の規則 (EU) 2016/679 の第4条(1)に定義される個人データまたは欧州議会および理事会の指令 2002/58/EC の第2条、ポイント(b)および(c)に定義されるデータを処理できる場合、連合市場に出されるインターネット接続無線機器は、個人データおよびプライバシーが確実に保護されるセーフガードを取り入れることが重要である。したがって、指令 2014/53/EU の第3条3項、ポイント(e)は、インターネットに接続された無線機器に適用されるべきです。

(12)また、個人情報やプライバシーの保護に関して、育児用無線機器、指令 2009/48/EC の対象となる無線機器、ウェアラブル無線機器は、インターネット接続がない場合でも、セキュリティ上のリスクがある。その無線機器が電波を発信または受信し、個人情報およびプライバシー保護を保証する安全装置がない場合、個人情報が傍受される可能性があります。保育用無線機器、指令 2009/48/EC の対象となる無線機器、ウェアラブル無線機器は、ユーザーの多くの機密(個人)データを長期にわたって監視・登録し、安全でない可能性のある通信技術を通じてそれらを再送信することが可能です。育児用無線機器、指令 2009/48/EC の対象となる無線機器、およびウェアラブル無線機器は、規則 (EU) 2016/679 の第4条(2)の意味における個人データ、または指令 2002/58/EC の第2条、ポイント(b)および(c)に定義される交通データおよび位置データを処理できる場合、個人データおよびプライバシー保護も確保する必要がある。したがって、指令 2014/53/EU の第3条3項、ポイント(e)は、その無線機器に適用されるべきです。

(13)不正行為については、インターネット接続された無線機器から個人情報を含む情報が盗まれる可能性があり、不正行為からの保護が確保されていない。具体的には、インターネット接続された無線機器がインターネット上での決済に利用された場合、詐欺の被害が発生する。そのコストは高く、詐欺の被害に遭った人だけでなく、社会全体に関わるものです(例えば、警察の捜査費用、被害者へのサービス費用、責任追及のための裁判費用など)。したがって、インターネット接続された無線機器の利用者がその無線機器を介して支払いを実行し、その無線機器を介して実行された支払いの受領者が金銭的損失を被るリスクを最小化し、信頼できる取引を確保することが必要である。

(14)連合市場に投入されるインターネット接続無線機器は、保有者または利用者が欧州議会および理事会の指令 (EU) 2019/713 の第2条、ポイント(d)に定義される金銭、貨幣価値または仮想通貨を送金できるようにする場合、詐欺からの保護を確保するための機能をサポートすべきである。したがって、指令 2014/53/EU の第3条3項、ポイント(f)は、その無線機器に適用されるべきである。

(15)欧州議会及び理事会の規則 (EU) 2017/745 は医療機器に関する規則を定め、欧州議会及び理事会の規則 (EU) 2017/746 は体外診断用医療機器に関する規則を定めている。規則 (EU) 2017/745 および (EU) 2017/746 はいずれも、指令 2014/53/EU の第3条3項、ポイント(d),(e),(f)が扱うリスクに関連するサイバーセキュリティリスクの特定の要素を扱っています。したがって、これらの規則のいずれかが適用される無線機器は、指令 2014/53/EU の第3条3項、ポイント(d),(e)および(f)に規定された必須要件に適合すべき無線機器のカテゴリまたはクラスに該当しないものとする。

(16)欧州議会および理事会の規則 (EU) 2019/2144 は、自動車、およびそのシステムおよびコンポーネントの型式承認に関する要件を定めています。また、欧州議会及び理事会規則 (EU) 2018/1139 の主要目的は、EUにおける民間航空の安全性の高い均一なレベルを確立し維持することである。さらに、欧州議会と理事会の指令 (EU) 2019/520 は、電子道路料金システムの相互運用性と、EU内の道路料金未払いに関する情報の国境を越えた交換を促進するための条件を定めている。規則 (EU) 2019/2144 および (EU) 2018/1139 と指令 (EU) 2019/520 は、指令 2014/53/EU の第3条3項、ポイント(e)および(f)に規定されるリスクに関連するサイバーセキュリティリスクの要素に対処するものです。したがって、規則 (EU) 2019/2144 および (EU) 2018/1139 または指令 (EU) 2019/520 が適用される無線機器は、指令 2014/53/EU の第3条3項、ポイント(e)および(f)に定める必須要件に適合すべき無線機器のカテゴリまたはクラスに該当しないものとする。

(17)指令 2014/53/EU の第3条は、経済事業者が遵守すべき必須要件について規定している。これらの要求事項への適合性評価を容易にするため、これらの要求事項の詳細な技術仕様を表現する目的で欧州議会及び理事会の規則 (EU) No 1025/2012 に従って採択された任意の整合規格に適合する無線機器に対する適合性の推定を規定している。その仕様は、本規則が関係する無線機器の各カテゴリー又はクラスの意図された使用に対応するリスクのレベルを考慮し、対処するものである。

(18)経済事業者は、本規則の要件に適応するために十分な時間が提供されるべきである。したがって、本規則の適用は延期されるべきである。本規則は、経済事業者がその発効日から本規則に従うことを妨げない。

(19)欧州委員会は、本規則に定める措置の準備作業中に適切な協議を行い、無線設備に関する専門家グループと協議を行った。

この規則を採択した。

第1条

  1. 指令 2014/53/EU の第3条3項(d)に定める必須要件は、直接通信するか他の機器を経由するかを問わず、インターネット上で自己通信できる無線機器(「インターネット接続型無線機器」)に適用されるものとする。
  2. 指令 2014/53/EU の第3条3項(e)に定める必須要件は、当該無線機器が、規則 (EU) 2016/679 の第4条(2)の意味において、規則 (EU) 2016/679 の第4条(1)に定義する個人データ、または指令 2002/58/EC の第2条、ポイント(b および c)に定義する交通データおよび位置データを処理できる場合に、以下のいずれかの無線機器にも適用されるものとします。
    • インターネット接続された無線機器であって、ポイント(b),(c)又は(d)に言及される機器以外のもの。
    • 育児専用に設計または意図された無線機器。
    • 指令 2009/48/EC の対象となる無線機器。
    • 専用であるか否かを問わず、以下のいずれかに装着、ストラップアップ、または吊り下げられるように設計または意図された無線機器。
      • 頭、首、体幹、腕、手、脚、足など、人体のあらゆる部分。
      • 頭部、手部、足部を含む、人間が着用する衣服。
  3. 指令 2014/53/EU の第3条3項(f)に定める必須要件は、当該機器が保有者又は使用者が指令 (EU) 2019/713 の第2条(d)に定義する金銭、貨幣価値又は仮想通貨を移転することを可能にする場合、インターネット接続型無線機器にも適用されるものとします。

第2条

  1. 第1条からの逸脱により、指令 2014/53/EU の第3条3項、ポイント(d),(e)及び(f)に定める必須要件は、以下のいずれかの連合法も適用される無線機器に適用されないものとする。
    • 規則 (EU) 2017/745
    • 規則 (EU) 2017/746
  2. 第1条(2)及び第1条(3)からの逸脱により、指令 2014/53/EU の第3条3項、ポイント(e)及び(f)に定める必須要件は、以下のいずれかの連合法も適用される無線機器に適用されないものとします。
    • 規則 (EU) 2018/1139
    • 規則 (EU) 2019/2144
    • 指令 (EU) 2019/520

第3条

この規則は、欧州連合官報に掲載された日から20日目に発行するものとする。
この規定は、2024年8月1日から適用されるものとする。

この規則は、その全体が拘束力を有し、すべての加盟国において直接適用されるものとする。

2021年10月29日、ブラッセルにて。

欧州委員会委員長
ウルスラ・ヴォン・ダー・ライエン


2022年04月23日

TOPIX

  • ネットワーク保護、個人データおよびプライバシーの保護、および詐欺からの保護を確保の対象として、無線機器が指定された。
  • ネットワークまたはネットワーク機能に悪影響を及ぼしてはならないものとして、ネットワークに接続する無線機器が対象とされた。
  • 個人データー、プライバシー保護を確立する対象として、育児用途の無線機器、玩具指令に該当する無線機器、ウェアラブル無線機器、他その他インターネットに接続無線機器が対象とされた。
  • 詐欺からの保護を確実にする特定の機能をサポートする要件の対象として、金銭とこれに類するもの取引に利用できる無線機器が指定された。

おことわり

当サイトには未確定の情報ならびに私見が含まれています。当サイトの内容はあくまで参考情報としてお取り扱いください。最新情報、原文を参照されご自身または個社の責任にてご判断ください。当サイトの記事・ページは、予告なく変更または削除させていただく場合がございます。トップページ、メインニューまたは上の検索ボタンからお探しください。また、記事に関するリクエスト・ご要望は、お問い合わせのページよりご連絡くだされば幸甚です。

footer border image