安全、セキュリティ、AIについて： 世界共通の法的枠組みの必要性

Pilz GmbH & Co. Kg業務執行社員、トーマス・ピルツ

(実際と異なる場合あり)

CEマークをご存じの方も多いでしょう。電化製品や玩具、家庭用品、そしてもちろん設備や機械にもよく見られるこのマークは、「Conformité Européenne（欧州適合）」を意味します。欧州経済地域（EUおよびEFTA）内で市場に出回る製品が、基本的な健康・安全・環境要件を満たしていることを示すものです。製品を市場に投入する企業は、CEマークを貼付することで、その製品がEU内の安全関連法規に適合していることを証明します。EU指令の対象となる製品には、過去30年にわたりEC適合宣言が義務付けられてきました。

EU指令のひとつとして、1995年から義務化された「機械指令」があります。この指令は、人と機械の関係における標準化された健康・安全要件を定め、以前は各国でばらばらだった機械安全規制に取って代わるものとなりました。

CE成功モデル
当初は企業にとって大きな壁だったCEマークですが、今やなくてはならない存在となっています。CEマークと機械指令は、メーカとユーザの間に透明性と信頼を築き、成功事例とされる制度です。その影響は他国にも及び、機械安全の法制度を整備する際の手本として今なお世界中で活用されています。

例えばブラジルでは、2010年から機械や作業装置に関する安全要件を定めた国家法「Norma Regulamentadora 12 (NR-12) – MÁQUINAS E EQUIPAMENTO」が施行されています。機械指令の附属書Iから安全要件が多く採用されており、特定の種類の機械を対象とした追加要件も盛り込まれています。そのため、欧州では「ブラジル版機械指令」とも呼ばれています。

機械安全のためのインド初の法制度
急速な経済成長を遂げるインドも、機械安全に関する法制度を導入しています。インド重工業省は2つの関連規制を発表しました。Omnibus Technical Regulationsには、各種機械や電気機器の安全要件が規定されています。これらは、インドで販売される機械が事前に安全規格を満たすことを確実にするためのものです。
欧州と同様、認証の義務化や適合マークの制度が設けられています。インドで新たに採用された要件のほとんどは、既存の国際規格と足並みを揃えた内容となっています。

インドに製品を輸出するには、インド国内に公認代理人を置かなければなりません。ピルツのインド法人は、企業がこれらの要件を満たし、インドに輸出するための手続きをサポートしています。インド法人の従業員は、インド規格局の関連委員会にも関わっています。

インドにおける機械安全への取り組みは、今後さらに発展していくことが確実です。確実に言えるのは、適合していない（インドのCEマークを取得していない）製品や機械は、今後インドに輸入できなくなるということです。つまり、機械や製品は、必要な仕様をサプライヤが満たすまで、インドの税関で止められる可能性があります。

セキュリティ：30年の変化
1990年代半ば、Tim Berners-LeeがスイスのCERN研究所でWWW技術を公開しました。社会や産業のネットワーク化とデジタル化時代の幕開けです。

30年が経った今、セキュリティのあり方も大きく変化しました。ネットワーク化とデジタル化が進んだことで、デジタル要素を備えた製品や機械は、データの改ざんなど、これまでとは異なる新たなリスクにさらされるようになったからです。こうした変化を受けて、欧州の法制度も動き出しました。CEマークの基本的な枠組みを維持しつつ、その取得要件が最新の技術水準に合わせて見直されました。新たな機械規則が2023年に公布され、2027年から現行の機械指令を置き換える予定です。ここからは2つの技術革新、すなわち人工知能と産業サイバーセキュリティについて簡単にご紹介します。

人工知能は安全化か？
「ロボットは人間に危害を加えてはならない」
これは知能を持つ機械のあり方をめぐり、1942年に、アイザック・アシモフが自らのSF小説のなかで提示したロボット工学三原則の一つです。あれから83年。進化を続ける人工知能の登場によって、人と機械の関係性に関するルールは見直しの時を迎えています。
立法側もこうした状況を踏まえ、新機械規則には人工知能に関する項目を盛り込んでいます。新機械規則では、自ら進化するような振る舞いをする機械について触れられています。もし危険な状況で、機械の反応が人の判断ではなくアルゴリズムによって決まるとしたら、安全性はどう確保すればよいのでしょうか？
極端なケースでは、自己学習型のソフトウェアが新たな機械を作り出す可能性にまで踏み込んで考えなければなりません。メーカだけでなく、認証機関にとっても極めて重要なテーマです。

AIの影響は機械の世界にとどまりません。EUが制定した、いわゆるAI法（人工知能規則）は、AIシステムに許されること・許されないことを大枠で定めています。
この規則では、人を不当に誘導するような行為を含め、さまざまなAIの利用方法が禁止されています。言い換えれば、AIが人の意思決定を誘導し、本人や他人に重大な害をもたらすようなことがあってはならないということです。さらに、教育や重要インフラ、法執行といった分野における特定のAI活用は、高リスクAIシステムに分類されており、特別な基準を満たすことが求められます。こうした高リスクAIシステムについても、将来はCEマークの取得が義務付けられます。

AI規則はAIの可能性を最大限に引き出すと同時に、リスクを最小限に抑える重要なルールであるとピルツは捉えています。

セキュリティなくしてCEマークなし
サイバー攻撃や不正操作による被害の急増を受け、今後、新機械規則では、安全機能（制御装置など）の改ざんに対する保護も求められるようになります。産業サイバーセキュリティに関する要件が新たに規定されているのはそのためです。イベントの第2部では、今後も製品のCEマークを維持するために、現時点で企業がどのように対応すべきかについて、当社のエキスパートであるSimon Nutzが詳しく解説します。機械安全に対する考え方は今、大きく変わろうとしています。

3本柱で構成されるセキュリティ関連法
エンジニアリング分野の産業サイバーセキュリティに関して、EUは3本柱の法的要件を導入しています。機械、デジタル要素を備えた製品、そして企業のそれぞれに要件が設けられています。 

• 機械規則： 機械が対象となります。
• サイバーレジリエンス法： デジタル要素を備えた製品に対するサイバーセキュリティの要件を定義します。
• NIS2指令（EU全域で共通する高水準のサイバーセキュリティを確保するための措置に関するEU指令）：当業界において従業員数が50人を超える企業のほぼすべてが対象となります。

これは業界に大きな課題を突きつけるもので、EUでは、3本の関連法が既に公布されています。このうちの2つ、すなわち機械規則とCRA（サイバーレジリエンス法）については、既にカウントダウンが始まっており、業界は今後およそ1年半の間に、開発・製造・設計を、研修や文書作成などの関連プロセスやタスクも含め、新制度に適応させる必要があります。かつて機械指令が導入されたときがそうであったように、その対応は非常に大きな負担になります。

機械規則については、先ほどご説明したとおりです。CRAでは、デジタル要素を備えた製品について、サイバーセキュリティの基本的要件に沿った設計・開発・製造を行うことが求められます。具体的には、リスク評価と安全性確保、脆弱性管理、文書作成、報告義務などに関する要件が新たに定められています。

もちろん、私たちにも関係します。この対応の一環として、当社は数年前、IEC 62443-4-1に準拠した「セキュア」な開発プロセスを製品開発領域に導入し、2022年にはそのプロセスについて正式に認証を取得しました。この体制によって、当社の製品開発がCRAの要件を確実に満たしていることを対外的に示すことができます。ピルツには幅広い製品ラインアップがあるため、CRAの影響範囲と対応の必要性を、各製品について一つひとつ精査する必要がありました。その評価は既に完了しており、必要な対応策も早期に導入済みです。

3つ目の関連法であるEUのNIS2指令では、企業にサイバー攻撃への備えが義務付けられていますが、まだ一部の加盟国で国内法化されていません。本来の期限は昨年10月18日でしたが、現時点で移行を完了しているのは27か国中9か国です。ドイツやオーストリアなどの国では、政治的な事情により法整備が進んでいないのが実情です。

セキュリティは「法律のため」ではなく「会社を守るため」にある
ピルツは自らの実体験を踏まえて注意を喚起します。2019年に当社が受けたサイバー攻撃の経験から断言できるのは、政治的な合意を待ってからセキュリティ対策を講じるのでは遅すぎるということです。大切なのは、法令遵守ではなく、企業の安全とその存続を守り抜くことです。

こうした新しい要件が整備される中で、「EU以外の市場」でも、人工知能やサイバー犯罪などの新たな課題に直面するのかが問われています。そこで私は、CEマークの成功事例に立ち返りたいと思います。機械指令のときと同様に、AIやサイバーセキュリティの分野でも、欧州の法律や規格が世界的な基準として広まっていくことが予想されます。各国の政府は自国民の安全を最大限に確保したいと考えており、機械メーカや製造業者は製品を世界中に展開することを望んでいます。つまり、EU域外の事業者であっても、EU市場への輸出を続けたいのであれば、新たな要件に対応しなければならないということです。

こうして見ると、セキュリティは多面的であり、私たち自身はもちろん、パートナー企業や顧客、社会全体に影響を及ぼします。インドでの新たな認証プロセスや、EUにおけるAIとセキュリティの新要件は、市場を越えた連携の重要性を示す好例です。法律や国際規格はその基盤であり、各国で整備されているセキュリティの技術的な仕組みに信頼を寄せるうえでの拠り所となっています。