技術要件だけではない:CASE車両のサイバーセキュリティ法制度…森・濱田松本法律事務所[インタビュー]

技術要件だけではない:CASE車両のサイバーセキュリティ法制度…森・濱田松本法律事務所[インタビュー]
技術要件だけではない:CASE車両のサイバーセキュリティ法制度…森・濱田松本法律事務所[インタビュー]全 1 枚

自動運転の法整備で、メディアなどは「トロッコ問題」を取り上げることがある。しかし、人間が判断する場合でも答えがない問題より、これからの車両設計・製造に直接かかわる法制度に注目すべきだろう。

型式指定に要求されるセキュリティ要件

自動車サイバーセキュリティについて森・濱田松本法律事務所の佐藤典仁弁護士、蔦大輔弁護士が10月25日開催のオンラインセミナーコネクテッドカーのサイバーセキュリティ対策~今とこれから~に登壇し、自動車サイバーセキュリティに関する法制度の最新動向と実務上の留意点について講演予定だ。今回の講演の見どころを聞いた。

CASE車両の普及拡大とレベル3以上の自動運転を可能にするため、関連法(道交法、道路運送車両法、同保安基準)の見直しが進んでいる。改正基準は、自動運行装置の有無にかかわらず、継続生産される車両にも順次適用される。

具体的には、無線ソフトウェアアップデート(OTA)に対応する2022年7月1日以降の新型車はUN-R155(サイバーセキュリティに関する体制・対策・運用基準)、UN-R156(ソフトウェア管理基準)を満たしている必要がある。両基準とも型式指定の要件となるので、非対応の新車は実質的に販売できない。OTA機能を持つ継続生産車も2024年7月1日までに対応しなければならない。

OTA機能を搭載しなければOKということにはならない。2024年1月1日以降は、OTA機能を持たない新型車でも、セキュリティやOTAに関する基準を満たさなければ型式指定を受けられない。OTAを持たない継続生産車は2026年5月1日までに基準を満たさなければ製造・販売を続けることができない。

2022年7月以降に販売される車両は、新しい関連法をクリアしなければならず、既存車両も24年までに新法に対応させなければ、継続販売ができなくなる。OTA機能を搭載しない車両も、新しい保安基準を満たしていなければ2026年5月1日以降の販売ができない。

サイバーセキュリティの基本は予防と対応

メーカーやサプライヤーは、この法改正ロードマップは周知であり、数年前から車両のE/Eアーキテクチャの更新、サプライチェーンのサイバーセキュリティ体制の構築が進んでいるはずだ。自動運転やコネクテッドカーにおいては「外部からの攻撃やアクセスされるリスクがともなう。対策や基準づくりは、各社ごとの特質に応じたローカル基準だけではなく、半ば強制力を持った法的な基準も必要(蔦氏)」となる。セキュリティに関する基準は、型式指定や保安基準で規定される。

コネクテッドカーや自動運転車両に関する法律は、保安基準だけではない。道路交通法、道路運送車両法、PL法、個人情報保護法など、従来から関係のある法律や基準が拡張され適用される。もしくはサイバーセキュリティなど新しい視点での適用を考える必要がある。車両の安全性を確保するために車両の技術要件にサイバーセキュリティへの対策と自動運転への備えが必要だ。

サイバーセキュリティ関連の規定は、設計や製造段階にかかわる事前業務にかかわる部分と、出荷後のサービスや運用にかかわる部分を考える必要がある。従来の保安基準でも出荷前にクリアすべき事前の規定と、運用中でも維持されなければならない事後の規定の2つがある。これと同じだ。

コネクテッドカーで考慮すべき事項

事前の規定は、セキュリティインシデントを起こさないための組織体制やプロセス。ハッキング対策などインシデントの予防措置などがある。自動運転やADAS機能による事故の扱い。その製造責任。コネクテッドカーが収集する情報のうち個人情報になりえるものの扱い。車両がハッキングされた場合の責任の所在などがある。考慮すべき事象は多岐にわたる。

OEMや大手サプライヤーは、セキュリティ対策や体制づくりを鋭意進めている。サイバー攻撃を受けて工場が停止するというインシデントを経験しているからだ。だが、サプライチェーン全体となると、意識や体制のばらつきもみられる。中小規模のサプライヤーは「IPA(情報処理推進機構)が出している中小企業向けのガイドラインが参考になる。また、経済産業省において工場向けのセキュリティガイドラインも作成が進められている(蔦氏)」という。

レベル2、レベル3自動運転での事故について、どこまでがドライバー(所有者)の運行供用者責任が問われるのか、どこからが開発ベンダー側なのか、といった議論もある。自動運転やコネクテッドカーのハッキングについては「法の適用や考え方についてのベースは整理できている(佐藤氏)」という。また、ハッキングにより事故やトラブルが発生したときはどうなのか。ハッキングで制御が奪われている状態は、ドライバーは運行を支配していないし、その利益も受けていない。

全社体制単位で実施するサイバーセキュリティ

ソフトウェアのアップデートに関連する問題は、IT分野での知見や事例が参考になる。IT、IoT分野では、ソフトウェアの脆弱性などセキュリティ上の問題に対する修正パッチの適用(アップデート)を行っていなかった場合、メーカーの責任範囲、ユーザーの責任範囲がどう変わるのか。ITの世界では、業務システムへの影響が検証できないと、セキュリティパッチが業務に支障をきたす可能性がある。IoT製品は、PCと違って簡単にアップデートできない環境に設置されることもある。

セキュリティ上の問題やバグが、製品の欠陥として成立するなら、メーカーや開発元はPL法が適用されるかもしれない。ソフトウェアはPL法の対象外だが、「ソフトウェアが搭載されたハードウェアはPL法の対象になる(佐藤氏)」からだ。

これからの車両は、おそらくコネクテッド機能が標準的に搭載されるようになるだろう。ネットワークにつながることで、クラウドとの協調処理、AI利用、ハッキング対策が不可欠となり、関連法へのコンプライアンスが、サプライチェーン全体で求められる。

事前の予防技術やプロセスは、組織内部やサプライチェーンの中で考えることができる。だが、事故やインシデント、サイバー攻撃を受けたなどの場合、顧客、規制当局、社会など外部のステークホルダーへの対応を考えなければならない。ここでは法的な解釈と措置が必要になる。セキュリティや法律の専門家の力、知見が威力を発揮する部分だ。

蔦氏および佐藤氏のセミナーでは、コンプライアンス(法令遵守)という視点で、CASE車両のサイバーセキュリティの考え方と対策、(可能な範囲で)ユースケースが紹介される予定だ。

《中尾真二》

テクノロジージャーナリスト・ライター  中尾真二

アスキー(現KADOKAWA)、オライリー・ジャパンの技術書籍の企画・編集を経て独立。現在はWebメディアを中心に取材・執筆活動を展開。インターネットは、商用解放される前の学術ネットワークの時代から利用し、ネットワーク、プログラミング、セキュリティについては企業研修講師もこなす。エレクトロニクス、コンピュータのバックグラウンドを活かし、自動車業界についてもテクノロジーを中心に取材活動を行う。

+ 続きを読む

ピックアップ

アクセスランキング

  1. ホンダ23車種、ガソリンが漏れるおそれ…6月掲載のリコール記事まとめ
  2. スズキ『カプチーノ』復活の可能性!…軽規格を維持、FRレイアウトも継承か
  3. ホンダ23車種・3364台をリコール 低圧燃料ポンプ交換作業に不備
  4. 三菱『パジェロ』新型のデザインはこうなる! 公式発表は2026年秋予定
  5. 発表秒読み?…ホンダ『フィット』7月改良、4グレード構成に刷新か
ランキングをもっと見る

ブックマークランキング

  1. セキュア開発における脅威分析【自動車セキュリティ解説 第2回】
  2. 次世代圧電材料向け、「多能性中間膜」の量産化をJSTが支援…Gaianixxが開発
  3. BMW工場にヒューマノイド「Figure 03」導入…フィジカルAIで全身協調制御
  4. BYD12万人の技術力と日本市場への本気度、補助金逆風下「ラッコ」の戦略とは…BYD Auto Japan 東福寺厚樹 代表取締役社長[インタビュー]
  5. バックミラーは「銀座4丁目」だった…電子ミラー最大手「ジェンテックス」が握る車内センシングの主導権
ランキングをもっと見る