欧州サイバーレジリエンス法（CRA）の違反とは？日本企業にも影響があるCRAへの対応も合わせて解説

欧州サイバーレジリエンス法（CRA）違反は企業にとって重大な問題となり得ます。CRAはサイバーセキュリティリスクに備え、EUの域内市場で流通するデジタル要素を含む製品の製造業者等が対応すべき要件・義務を定めた規則であり、違反に対しては厳しい罰則などが規定されているためです。
この記事では、欧州連合の法規範であるCRAの違反について基本的な知識を解説しています。

欧州サイバーレジリエンス法（CRA）違反とは

欧州サイバーレジリエンス法（CRA）に違反することは、CRAの目的に反することと同じことだといえるでしょう。まずはCRAの目的と違反となる根拠について解説します。

CRAの目的

2024年にEUで制定されたCRA（Cyber Resilience Act）の目的をひと言で表すと、EUの域内で流通するデジタル要素が含まれる製品について、ライフサイクル全般を通じてセキュリティリスクに対する脆弱性を低減し、消費者等を守ることです。その手段として、供給業者に数々の要求・義務付けを行い、違反に対する罰則規定も置いています。CRAの要求を満たすことで、消費者等がサイバー攻撃に対する耐性の高い製品を選べる市場の実現が可能です。

ちなみに、CRAでは消費者を、貿易、事業、技術または職業以外の目的のために行動する自然人と規定しています。

ハードウェアだけでなくソフトウェアもCRAの対象になります。直接的または間接的に他のデバイスやネットワークに接続する製品は、主に医療機器や航空関連機器、自動車や船舶関係機器といったそれぞれの専門的な規制に縛られている製品などの例外を除いてほとんどすべての製品が対象です。

CRAはサイバー攻撃などのセキュリティリスクが増大する現代社会に対応するために制定されました。それまでEUには包括的な規則がなく、高まるサイバーセキュリティリスクに効果的な対応ができないという懸念が背景のひとつです。

CRAが要求する内容に沿っているかどうかの問題

CRA違反とは、EU向けの対象製品がCRAの求める内容・基準を満たしていないことであり、製造業者等の対象となる事業者に義務付けている事柄が履行されないことです。したがって、CRA違反か違反でないかはCRAに書かれている規定によって判断されます。しかし、CRAの規定を正確に理解していなければ、違反になるか否かを判断することは必ずしも簡単ではないといえます。

CRAは域外の事業者にも影響を及ぼす

CRAはEU域内の事業者が影響を受けるだけでなく、域外の事業者にも影響がおよびます。CRAの第2条には、EU市場で入手可能なデジタル要素を含む製品に適用される旨の記述があります。

EU域内で設計・開発・製造した製品ではなく、EU市場で入手可能な製品とされていることから、欧州連合の加盟国に製品を輸出していたり、自社の部品やソフトウェアを組み込んだ製品が加盟国で流通していたりすれば、CRAに影響がおよびます。国を問わずに製品が流通する現代社会において、EU域外の事業者であってもCRAの影響を受ける可能性があります。

EU域内に製品を供給している事業者は、自分の会社がCRAの影響を受けるのか受けないのかについて、しっかりと確認しておくことが重要です。自社製品がCRAの対象にならないと思っていても、実は対象だったということが起こるかもしれません。万一、CRA違反と判断されてしまえば、後述するように厳しい罰則が科されるなどのリスクがあります。

日本企業も違反を警戒すべきCRAの要求・義務付け

日本企業も対象となり得るCRAに違反しないために、CRAの要求・義務付けの概要を解説します。

セキュリティ要件

セキュリティ要件への適合はCRAの基本的な要求事項です。附属書I「必須のサイバーセキュリティ要件」の最初に記載されています。デジタル要素を含む製品の設計・開発・製造には適切なサイバーセキュリティを確保することや、リスクアセスメントのデータに基づいた対応を行うことが規定されています。CRAではセキュアな設計はもちろんのこと、製品のライフサイクル全般を通じたサイバーセキュリティの確保が求められており、リスクアセスメントの実施と活用が必須です。

脆弱性ハンドリング要件

脆弱性ハンドリング要件は同じく附属書Iに規定されています。その内容はSBOM（ソフトウェア部品表）の作成も含め、脆弱性とコンポーネントの文書化を行うことや、遅滞のない脆弱性の解決と修正、脆弱性のテスト、開示に関するポリシーの策定と施行など8項目です。製品の脆弱性についての対策や公開、セキュリティアップデートの提供など、脆弱性が存在し得ることを前提としたセキュリティ体制の構築と、状況に応じた適切な運用が求められています。

インシデント報告義務

CRAではインシデントや脆弱性に関して厳格な報告義務が規定されています。第14条の製造業者の報告義務では、インシデントを認識した製造業者は、指定された先への通知と報告プラットフォームを使った通知が必要です。重大なインシデントを認識した場合は、遅くとも24時間以内に初期報告を行い、詳細について72時間以内に報告を行う必要があります。

また、悪用されている脆弱性を認識した場合の通知と、積極的に悪用されている脆弱性についての早期の警告通知についても同様です。ただし、規定されている時間はあくまでも製造業者がインシデントや脆弱性を発見、認識したときからの経過時間であり、事象の発生時間からではありません。

適合性評価

CRAの適合性評価の結果は、CEマークによって確認できます。CEマークが貼ってあればCRAに準拠していることを意味しており、CEマークのない製品はEU市場に出せません。適合性評価の方法は後述する製品の区分によって異なり、自己宣言と第三者機関認証に分かれています。

CRA違反に対する処分・罰則

CRA違反を犯した場合の処分・罰則はいくつかありますが、場合によっては厳しいものとなっています。

是正勧告や罰則

CRA違反はEU加盟国の市場監視当局が疑義を持った場合に行う評価において判断されるものです。当該国の領域内に限定されない違反があると判断された場合は、他の加盟国と欧州委員会にも通知がなされます。違反に対しては、以下で述べる是正勧告や罰則が用意されています。

CRAの市場監視と違反対応

市場監視当局による監視と違反対応は、CRA第52条以下の定めによります。EU加盟国は、市場監視当局が機能するために必要なサイバーセキュリティのスキルを持った人員を確保することが定められているなど、CRAは実効性を高めるための仕組み作りができています。

• 是正措置要求
  市場監視当局はCRAに適合していないデジタル要素を含む製品について、適合するように是正措置要求を行います。是正措置要求を受けた事業者は期間内に是正しなければなりません。是正措置要求に代えて、市場からの撤去やリコールを求めるケースもあります。国家レベルではなくEUレベルの場合の当局は委員会です。
• 販売制限と禁止
  是正措置要求があったにもかかわらず、期間内に是正されない場合は、国内市場での販売禁止や制限のみならず、撤去や回収などの措置をとることになります。市場監視当局が行うこれらの措置は暫定的なものです。
• 罰則
  CRA第64条の定めにより、違反に対しては最高1,500万ユーロまたは年間売上高の2.5%の高いほうの罰金が科されます。最高額は違反の種類によって異なっており、1,500万ユーロとなるのは、必須のサイバーセキュリティ要件に対する違反、13条の製造業者の義務、14条の報告義務に対する違反の場合です。これらの違反よりも軽い違反については、最高額が1,000万ユーロと500万ユーロに分かれています。年間売上高の2.5%については2%と1%に変わります。金額の比較に使用される売上高は前年の数字です。
  
  罰金額の決定には違反の重大性や違反期間、結果など個別の事情が考慮されます。過去の違反に対する罰則の有無や、違反企業の規模やシェアなども金額を左右する要素です。また、一部期限を守れなかった違反については、違反した製造業者が小規模零細事業者である場合には罰則が適用されません。

違反を検出するためのスイープ

CRAでは第60条により、違反認定以前に規定が守られているか、違反していないかの検出のために製品検査を含むスイープ（Sweeps）と呼ばれる管理、監視が行われます。

CRAに違反すると起こり得る損失

CRA違反のリスクは当局による処分や罰金だけではなく、より幅広い損失につながりかねない点にもあります。

各種対応コスト

CRA違反が認められると、適合するためのさまざまな是正措置を要求されます。是正措置要求を受けた事業者は、前述したように期間内に対応しなければなりません。また、ケースによっては市場からの撤去やリコールを求められます。

これらの要求に対応するためにはコストがかかります。軽微で是正が容易な違反であれば大きなコストにはならないでしょう。しかし、やってみないとわからない可能性もあります。場合によっては物的・人的リソースを集中投入したり、そのために他の業務をストップさせたりする必要が生じるかもしれません。重いコスト負担に経営が圧迫されるおそれがないとはいえない点で、CRA違反による損失は軽視できません。

ブランドイメージへの悪影響

CRAはEU域内で市場投入されている製品と製造業者等の事業者が対象となっていますが、違反した場合はEU域内のみならず、域外での評価にも悪影響を及ぼしかねません。CRAはサイバーセキュリティに対する企業や製品の安全性を考えるうえで重要な指針となり得る規則であり、他の地域でも同種の規則やガイドラインが増えると考えられています。

国際社会の流れがサイバーセキュリティ重視となっているなかで、CRAに違反した製品を使いたいと考えるユーザーは多くないでしょう。また、CRA違反のレッテルが貼られた企業のブランドイメージは下がってしまうおそれがあります。ブランドイメージのダウンは、企業そのものの価値を損なう結果になりかねません。

営業活動の縮小

CRA違反により販売禁止や制限措置がとられた場合、当該市場のみならず世界各国に違反の事実が広まることにより、ユーザーの支持を失って営業活動が縮小してしまう懸念があります。X（旧Twitter）やInstagramに代表されるSNSなどのツールとスマートフォンの普及により、情報拡散速度が速く広範囲に及ぶ現代ではその影響は計り知れないものです。

民事訴訟のリスク

CRA違反による是正措置や罰金などは、あくまでもEUの加盟国や委員会が相手となるものです。しかし、CRA違反となっている製品が原因で実害が発生している場合は、被害者が存在します。他者に損害が発生した場合に考えられるのが賠償金の支払いです。罰金を払ったからよいという話にはなりません。賠償金の額などで折り合わなければ民事訴訟のリスクがあります。いわゆる裁判沙汰ということになれば、さらなるブランドイメージの低下につながりかねません。

CRA違反に問われる可能性がある製品の区分

CRA違反に注意すべき製品はCRAの対象製品ですが、リスクレベルによる区分が存在します。この区分はCEマークの認証とも関係する区分です。

クリティカルな製品

クリティカルとは重大な、危機的なといった意味がある言葉であり、CRAにおいてクリティカルな製品とは、脆弱性が悪用された場合に域内の広範囲に影響が及んだり、多数の被害が生じたりする可能性が高いとされる製品です。附属書IVで「CRITICAL PRODUCTS WITH DIGITAL ELEMENTS」デジタル要素を備えた重要な製品とされています。

附属書には3つ記載があり、Google翻訳で訳したものを意訳すると以下の通りです。

1. セキュリティボックス付きハードウェアデバイス
2. スマートメータシステム内のスマートメータゲートウェイおよび安全な暗号処理を含む高度なセキュリティ目的のためのその他のデバイス（EU指令で定義されているものです）
3. スマートカードまたは類似のデバイス（セキュアエレメントを含む）

重要な製品

日本語で記述するとクリティカルな製品と同じ訳でデジタル要素を備えた重要な製品になってしまいますが、CRAの区分における重要な製品は附属書IIIで規定されています。英語表記では「IMPORTANT PRODUCTS WITH DIGITAL ELEMENTS」で、CRITICALではなくIMPORTANTが用いられている点、CRITICALには危機的な意味合いがある点で別ものです。

附属書IIIで規定されている重要な製品は、クラスIIとクラスIに分けられています。クラスIよりもクラスIIのほうがリスクの高い製品です。

• クラスII
  クラスIIには4つの製品が規定されています。その1番目は「Hypervisors and container runtime systems that support virtualised execution of operating systems and similar environments」で、Google翻訳ではオペレーティングシステムや同様の環境の仮想実行をサポートするハイパーバイザーとコンテナランタイムシステムです。
• クラスI
  クラスIには19の製品がならんでいます。1番目には「Identity management systems and privileged access management software and hardware,including authentication and access control readers,including biometric readers」が記載されており、Google翻訳では認証およびアクセス制御リーダー（生体認証リーダーを含む）を含む、アイデンティティ管理システムおよび特権アクセス管理ソフトウェアとハードウェアです。

一般的な製品

クリティカルな製品にも重要な製品にも入らない、その他のデジタル要素を含む製品が一般的な製品です。パソコンやスマートフォンといったIoT機器や家電製品など何気なく普段使いしている製品の多くが該当します。

一般的な製品は非重要製品、非クリティカルな製品とも呼ばれ、CEマークを貼るにあたって、第三者機関の認証を必要とせず、自己宣言が可能です。しかし、クリティカルな製品や重要な製品については第三者機関による認証を受ける必要があります。ただし、例外的ではあるものの一定の条件下では第三者機関の認証不要で自己宣言可能です。

例外（対象とならない）製品

CRAでは、ほとんどのデジタル要素を含む製品が対象となりますが、例外で対象とならない製品が第2条に規定されています。以下の規則が適用される製品や以下の規則で認証を受けた製品、以下の指令の対象となる製品です。

• EU規則2017/745（医療機器）
• EU規則2017/746（体外診断用医療機器）
• EU規則2019/2144（自動車）
• EU規則2018/1139（航空関連機器）
• EU指令2014/90（船舶用機器）

その他にも一定の条件下でCRAの適用除外、適用制限となる製品があります。

※この章の出典: EU官報「REGULATION（EU）2024/2847 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL（外部サイト）」

CRA違反を避けるためにすべきこと

CRA違反に該当すると、前述したように違反を解消し適合させるための是正措置や、違反製品の回収などの対応や罰金、ブランドイメージの毀損など軽くない損失が発生するリスクを負います。したがって、EUを商圏とする事業者はCRA違反を回避することが重要課題です。

CRAは段階的な実施となっており、2026年3月時点では適用が始まっていないため、実際の違反事例は存在していません。したがって、違反時の現実の処分や対応などを実例に学ぼうとしても現状では無理です。だからこそ、よりしっかりとCRA違反とならないためにすべきこと、取り組みについて考える必要があるといえるでしょう。

CRAの要求事項に対する適正な対応方法の確認

CRAは2024年に成立・発行した規則で、スケジュール的には2026年9月11日に製造業者報告義務が開始され、完全施行は2027年12月11日となっています。

2025年頃から日本でも関心が高まっていますが、2026年3月時点で製造業者報告義務の開始までの残り期間は約半年です。開始までの時間を使って、CRAの要求事項を精査し、要求や義務付けに対する適正な対応方法の確認を行う必要があります。開始してから準備するようでは不適合となって違反を問われるおそれが高くなるため、計画的な準備が必要です。

社内体制の構築

日本企業にとってもCRAへの対応は初めてのこととなるため、自社の現在のサイバーセキュリティ体制が適切なものであるとは限りません。日本でもサイバーセキュリティ基本法やJC-STARセキュリティ要件適合評価及びラベリング制度など、サイバーセキュリティに関する制度設計が進んでおり、サイバーセキュリティ対策に注力している企業は少なくないと思われますが、CRAは要求事項が多く、円滑に対応スタートできる社内体制の構築が求められます。

CRAについての周知徹底と意識付け

CRAに違反しないためには、EU域内を商圏としてデジタル要素を含む製品を提供している製造業者や販売業者などの対象事業者が、計画的に取り組む必要があります。その際、経営層はもちろんのこと全社員に対するCRA対応の周知徹底と意識付けが必要です。とはいえ、掛け声だけではうまく回らない可能性があります。CRA対策の責任者や担当者を置くことが、対策を進めるコツのひとつです。

そのうえでリスクアセスメントの手順確認、セキュアな設計や製品のライフサイクル全般を通じたサイバーセキュリティリスク対策のシステム作りや、脆弱性やインシデント報告の仕組み作りなど、準備を行います。

専門の支援サービス・ソリューションの導入

製造業者などの事業者が独自でCRA対策を行うことが可能かどうかは企業によります。たとえば、2026年9月11日にスタートする製造業者の報告義務ですが、前述したようにCRA第14条では重大なインシデントについては24時間以内に、その他のインシデントは72時間以内の通知を求めています。自社の状況では短期間に準備することが難しい、どのように準備を進めればよいのかわからないといった不安や疑問点があるなら、専門の支援サービスやソリューションの導入・利用を検討するとよいでしょう。

CRAは入念な準備で違反とその後のリスクを避ける

CRAはEU市場で提供されるデジタル要素を含む製品の脆弱性をおさえ、消費者にサイバーセキュリティリスクの少ない製品の選択肢を増やすことで、消費者等の保護に資する規則です。製造業者等には製品のライフサイクル全体を通じての、万全なサイバーセキュリティを確保するためのさまざまな要求や義務を規定しています。そのため、CRAに違反しないように対応するには入念な準備が必要です。専門の支援サービスを活用するなど、違反とその後のリスクを避ける体制作りを進めましょう。

2026年6月2日公開
※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。