技術要件だけではない：CASE車両のサイバーセキュリティ法制度…森・濱田松本法律事務所［インタビュー］

自動運転の法整備で、メディアなどは「トロッコ問題」を取り上げることがある。しかし、人間が判断する場合でも答えがない問題より、これからの車両設計・製造に直接かかわる法制度に注目すべきだろう。

型式指定に要求されるセキュリティ要件

CASE車両の普及拡大とレベル3以上の自動運転を可能にするため、関連法（道交法、道路運送車両法、同保安基準）の見直しが進んでいる。改正基準は、自動運行装置の有無にかかわらず、継続生産される車両にも順次適用される。

具体的には、無線ソフトウェアアップデート（OTA）に対応する2022年7月1日以降の新型車はUN-R155（サイバーセキュリティに関する体制・対策・運用基準）、UN-R156（ソフトウェア管理基準）を満たしている必要がある。両基準とも型式指定の要件となるので、非対応の新車は実質的に販売できない。OTA機能を持つ継続生産車も2024年7月1日までに対応しなければならない。

OTA機能を搭載しなければOKということにはならない。2024年1月1日以降は、OTA機能を持たない新型車でも、セキュリティやOTAに関する基準を満たさなければ型式指定を受けられない。OTAを持たない継続生産車は2026年5月1日までに基準を満たさなければ製造・販売を続けることができない。

2022年7月以降に販売される車両は、新しい関連法をクリアしなければならず、既存車両も24年までに新法に対応させなければ、継続販売ができなくなる。OTA機能を搭載しない車両も、新しい保安基準を満たしていなければ2026年5月1日以降の販売ができない。

サイバーセキュリティの基本は予防と対応

メーカーやサプライヤーは、この法改正ロードマップは周知であり、数年前から車両のE/Eアーキテクチャの更新、サプライチェーンのサイバーセキュリティ体制の構築が進んでいるはずだ。自動運転やコネクテッドカーにおいては「外部からの攻撃やアクセスされるリスクがともなう。対策や基準づくりは、各社ごとの特質に応じたローカル基準だけではなく、半ば強制力を持った法的な基準も必要（蔦氏）」となる。セキュリティに関する基準は、型式指定や保安基準で規定される。

コネクテッドカーや自動運転車両に関する法律は、保安基準だけではない。道路交通法、道路運送車両法、PL法、個人情報保護法など、従来から関係のある法律や基準が拡張され適用される。もしくはサイバーセキュリティなど新しい視点での適用を考える必要がある。車両の安全性を確保するために車両の技術要件にサイバーセキュリティへの対策と自動運転への備えが必要だ。

サイバーセキュリティ関連の規定は、設計や製造段階にかかわる事前業務にかかわる部分と、出荷後のサービスや運用にかかわる部分を考える必要がある。従来の保安基準でも出荷前にクリアすべき事前の規定と、運用中でも維持されなければならない事後の規定の2つがある。これと同じだ。

コネクテッドカーで考慮すべき事項

事前の規定は、セキュリティインシデントを起こさないための組織体制やプロセス。ハッキング対策などインシデントの予防措置などがある。自動運転やADAS機能による事故の扱い。その製造責任。コネクテッドカーが収集する情報のうち個人情報になりえるものの扱い。車両がハッキングされた場合の責任の所在などがある。考慮すべき事象は多岐にわたる。

OEMや大手サプライヤーは、セキュリティ対策や体制づくりを鋭意進めている。サイバー攻撃を受けて工場が停止するというインシデントを経験しているからだ。だが、サプライチェーン全体となると、意識や体制のばらつきもみられる。中小規模のサプライヤーは「IPA（情報処理推進機構）が出している中小企業向けのガイドラインが参考になる。また、経済産業省において工場向けのセキュリティガイドラインも作成が進められている（蔦氏）」という。

レベル2、レベル3自動運転での事故について、どこまでがドライバー（所有者）の運行供用者責任が問われるのか、どこからが開発ベンダー側なのか、といった議論もある。自動運転やコネクテッドカーのハッキングについては「法の適用や考え方についてのベースは整理できている（佐藤氏）」という。また、ハッキングにより事故やトラブルが発生したときはどうなのか。ハッキングで制御が奪われている状態は、ドライバーは運行を支配していないし、その利益も受けていない。

全社体制単位で実施するサイバーセキュリティ

ソフトウェアのアップデートに関連する問題は、IT分野での知見や事例が参考になる。IT、IoT分野では、ソフトウェアの脆弱性などセキュリティ上の問題に対する修正パッチの適用（アップデート）を行っていなかった場合、メーカーの責任範囲、ユーザーの責任範囲がどう変わるのか。ITの世界では、業務システムへの影響が検証できないと、セキュリティパッチが業務に支障をきたす可能性がある。IoT製品は、PCと違って簡単にアップデートできない環境に設置されることもある。

セキュリティ上の問題やバグが、製品の欠陥として成立するなら、メーカーや開発元はPL法が適用されるかもしれない。ソフトウェアはPL法の対象外だが、「ソフトウェアが搭載されたハードウェアはPL法の対象になる（佐藤氏）」からだ。

これからの車両は、おそらくコネクテッド機能が標準的に搭載されるようになるだろう。ネットワークにつながることで、クラウドとの協調処理、AI利用、ハッキング対策が不可欠となり、関連法へのコンプライアンスが、サプライチェーン全体で求められる。

事前の予防技術やプロセスは、組織内部やサプライチェーンの中で考えることができる。だが、事故やインシデント、サイバー攻撃を受けたなどの場合、顧客、規制当局、社会など外部のステークホルダーへの対応を考えなければならない。ここでは法的な解釈と措置が必要になる。セキュリティや法律の専門家の力、知見が威力を発揮する部分だ。