欧州委員会は15日、インターネットに接続される機器やソフトウエアについて、メーカーや開発者にサイバーセキュリティ対策を義務付ける「サイバーレジリエンス法案」を発表した。サイバー攻撃の対象になりうるネット接続機器が増え続ける中、世界に先駆けて対策を強化し、この分野で主導権確保を目指す。法案の成立には欧州議会と閣僚理事会の承認が必要で、その2年後から新ルールの適用が開始される。
法案によると、ネット接続機器のメーカーやソフトウエアの開発業者はサイバーセキュリティ上の安全性が確保されているかどうか、専門機関などの評価を受けることが義務付けられ、問題が見つかった場合は直ちに加盟国の監督機関に報告して必要な対策を講じなければならない。製品の発売から少なくとも5年間、または予想される耐用年数の間は安全性に関する監視を続ける必要があり、問題が発覚した場合は各国当局が製品回収などの対応を取る。
新ルールはEU域内で販売される幅広い製品に適用されるが、既に個別の規制が導入されている自動車や医療機器、航空関連の機器などは対象外となる。違反した企業は最大で1,500万ユーロ(約21億円)、または世界の総売上高の2.5%のうち高額な方を制裁金として科される可能性がある。
パソコンやスマートフォンなどの通信機器だけでなく、冷蔵庫や電子レンジなどの家電製品や工場のロボットなど、あらゆるモノがネットでつながる「IoT」の急速な普及に伴い、サイバーセキュリティ上のリスクも高まっている。欧州委によると、世界各地でランサムウェア攻撃が11秒に1回の頻度で発生しており、サイバー犯罪による損失は2021年に全世界で約5兆5,000億ユーロに達したとみられる。欧州だけで年間1,800億~2,900億ユーロのコストが生じているが、欧州委は新ルールに対応するためのコストは290億ユーロ程度で収まると説明している。