UNECE WP.29 とは

UNECE WP.29とは、国際連合欧州経済委員会による自動車基準調和世界フォーラムです。設立時にはWorking Party (WP) of Experts on Technical Requirement of Vehiclesという名称であったこの審議会は、車両、装置、部品の型式認証の基準を定める機関であり、世界最大規模の国際的な自動車規制制度です。

本制度で最も重要な責務は、国際的な商取引や市場への参入をサポートするため、自動車に関する規則を常に最新かつ適切な内容に更新することにあります。2020年現在、UNECEの1958年協定への締約国は、欧州連合のすべての国と日本、トルコ、ロシア、オーストラリア、南アフリカなどのその他の OECD加盟国を含め、54 か国にまで増加 しました(下記の図 1 をご覧ください)。


2020年6月25日、国際連合は、過去に例のない自動車のサイバーセキュリティに関する規則(ECE/TRANS/WP.29/2020/79)を公表しました。この規則は、OEMメーカーが車両の型式認証を取得するため、組織内や車両に講じなければならない新しいサイバーセキュリティのプロセスおよびセキュリティ対策・軽減対策を定めたものです。ECE/TRANS/WP.29/2020/79は、乗用車、貨物自動車、トラック、バス、トレーラーに適用され、EU、日本および韓国では施行スケジュールがすでに確立されています。

ECE/TRANS/WP.29/2020/79では、業界の課題を示しており、車両のライフサイクル全体を通した、そしてバリューチェーン全体を対象としたサイバーセキュリティの新たな手法、監視、検知、レポート、対応能力が求められます。

UNECE WP.29: FAQs

この規則は、新しいアーキテクチャで開発された新しい車両モデルに対し、いつから、どのように影響を及ぼしますか?

2022 年 7 月以降、自動車の新規型式認証では、統一型式認証を取得するためには、サイバーセキュリティシステムの認証を受けなければなりません。認証機関は、2022 年 7 月から 2024 年 7 月までの間に承認される新しい型式認証に対し、規則の Annex 5 に記載された機能に対する「適切な」代替機能と開発およびリスク管理の間のサイバーセキュリティに対する「適切な考慮」で対応することを認めています。2024 年 7 月以降は、新しいサイバーセキュリティの型式認証およびすべての新しい自動車に関する規則により、市場で引き続き販売される既存の型式認証を取得している自動車は、規則にすべて適合することが求められます (アーキテクチャや発売日に関わらず)。

サイバーセキュリティに関する規則は、自社の車両に対する軽減措置の実装を求めていますか?

「ECE-TRANS-WP29-2020-079-Revised」は、技術によって規則に適合することは要求しておらず、OEMメーカーが規則の要求事項を満たす方法を判断するための融通をきかせています。たとえば、規則の 7.2.2.3. 項では、OEMメーカーに「合理的な期間」内に脅威と脆弱性に対応することを求めていますが、迅速な対応が可能となり得る特定の技術を搭載することを必須とはしていません。どのように措置を講じ、その他の規則による要求事項にどのように対応するか (たとえば、技術またはプロセスで対応するのか、両方またはどちらでもないのか) は、自動車OEMメーカーの判断に委ねられています。 さらに、「ECE-TRANS-WP29-2020-079-Revised」の Annex 5 には、 確実に考慮し、自動車の開発プロセスやライフサイクル全体を通じて自動車の型式に適用されなければならない一般的な脅威や軽減の一覧が記載されています。

サイバーセキュリティに関する WP.29 の規則はどのような内容で構成されていますか? また、その主な要求事項は何ですか?

「ECE-TRANS-WP29-2020-079-Revised」は、サイバーセキュリティの型式認証に関して、次のとおり、特別な要求事項を 2 点定めています。 1) OEMメーカーのサイバーセキュリティ管理システム (CSMS) の承認基準。 2) サイバーセキュリティに関する車両の承認のための基準。CSMS と車両の両方に対する要求事項の一部の要約は下記のとおりです。

OEMメーカーのサイバーセキュリティ管理システム (CSMS) に対する要求事項
– 車両のサイバーリスクの特定および管理
– CSMS の適合認証を取得するために、継続的な見直しおよび改善手続きを実施し、証明しなければならない。
– 「合理的な期限」内でのインシデントへの対応

サイバーセキュリティに関する車両の認証に対する要求事項

WP.29 の新たな要求事項への適合が必要なのはどのカテゴリーの車ですか?

規則は、カテゴリー M (乗用車) とカテゴリー N (トラックなど貨物を運ぶことを目的とした車両) に適用されます。また、電子制御装置 (ECU) を少なくとも 1 台取り付けたカテゴリー O の車両にも適用されます。さらに、車両にレベル 3 以上の自動運転機能が装備されている (WP.29 の自動運転に関連する協約を定めた参考書類および自動運転車両に関する国連規則制定のための一般原則 (ECE/TRANS/WP.29/1140) に記載のとおり) 場合、規則は、カテゴリー L6 と L7 の車両に適用されます。

WP.29 のサイバーセキュリティに関する規則はいつ法規になりますか?

EU、日本、韓国は、「ECE-TRANS-WP29-2020-079-Revised」の施行に関する計画を正式に発表しました。日本は、2020 年 4 月を開始とする法令の適用を計画しています。韓国では、段階的な手法を採用し、2020 年の前半のうちに国の指針にサイバーセキュリティに関する規則の条文を加え、第 2 段階として、法令の改訂手続きを進めます。欧州連合では、General Safety Regulation (Regulation (EU) 2019/2144) に、国連のサイバーセキュリティに関する規則を、議案の可決に従って、最も早い可能な日にすべて適用することを求めています。この指令により、欧州連合は、2022 年 7 月以降、すべての新しい自動車の型式に対してサイバーセキュリティ型式認証制度を義務付け、2024 年 7 月以降に初めて登録するすべての車両に対し、制度を必須事項とする法令を追加する計画を発表しました。

国連はいずれの国に対しても規則を強制的に施行していませんが、どのような仕組みでどの国に影響を及ぼすのでしょうか?

UNECE の自動車に関する規則は、自動車基準調和世界フォーラム (WP.29) の承認によって国際的なレベルで採択されます。このフォーラムは、世界的に認められた自動車に関する規則の検討を担当する国連の審議会です。WP.29 は、すべての国連加盟国が署名できる UNECE の 1958 年協定に基づいて設立されました。1958 年協定の加盟国 (締約国とも呼ばれている) は、WP.29 が採択した新しい規則を、自動車に関する国の法令の枠組みに追加するよう取り組んでいます。2020 年 7 月現在、欧州連合、日本、韓国が WP.29 のサイバーセキュリティに関する規則 (「ECE-TRANS-WP29-2020-079-Revised」) の施行についての正式な計画を発表しました。

WP.29 のサイバーセキュリティに関する規則の最新の状況はどのようなものですか?

2020 年 6 月に開催された WP.29 の第 181 回会合では、新たに下記の 3 種類の国連規則が承認されました (プレスリリースについては、こちらとこちらからご覧ください)。
1. サイバーセキュリティおよびサイバーセキュリティ管理システム (CSMS) に係る自動車の認証に関する統一の条項 – 「ECE-TRANS-WP29-2020-079-Revised」
2. ソフトウェアのアップデートおよびソフトウェアのアップデート管理システム (SUMS) に係る自動車の認証に関する統一の条項 – 「ECE/TRANS/WP.29/2020/80」
3. 自動車線維持支援システム (ALKS) に係る自動車の認証に関する統一の条項 – 「ECE/TRANS/WP.29/2020/81」

UNECE の自動車に関する規則の影響を受けるのはどの国ですか?

UNECE の自動車に関する規則は、現在、世界で 54 か国に適用されており、すべての欧州連合加盟国 26 (または 27) か国、日本、韓国が含まれます。自動車規則に関する UNECE の 1958 年協定への加盟国 (つまり締約国) 情報を含む最新のリストは、こちらに掲載されています。

自動車業界では、なぜサイバーセキュリティに関する規則が必要なのでしょうか?

自動車と、インターネット、外部端末、その他の車両、インフラ設備などへの接続がますます増えていることから、サイバー攻撃に対する自動車の脆弱性が増えています。Auto ISAC、NHTSA、ISO、ENISA などの組織によって設定された自動車のサイバーセキュリティに関する数種類の優れた規格、指針、ベストプラクティスが存在するにも関わらず、自動車OEMメーカーは、車両の認証 (型式認証、自社認証など) を受けるにあたり、自動車のサイバーセキュリティ対策の証明をまだ求められていません。自動車業界におけるサイバー攻撃の潜在的な影響についての懸念が高まっている状況に鑑みると、公共の安全、国家安全保障、不明確な法的説明責任、さらに、新しいコネクテッドサービスの最適な使用が有益となるような事業環境に関わる、更なる懸念事項などを解消するため、車両のサイバーセキュリティというテーマに対し、より多くの業界の規制や標準が設けられていくことになります。

認証の「延長」と統一型式認証 (WVTA) の違いは何ですか?

認証の「延長」とは、すでに型式認証を取得した対象の車種への変更、追加、更新 (たとえば、車両のサイバー攻撃に関する要素を変更する情報通信装置を新たに取り付ける場合) を指します。このような変更において、OEMメーカーは WVTA に関連するすべての車両システムに対し再認証を受ける必要はなく、変更によって影響を受けるシステムのみに対し、認証を取得する必要があります。新しいまたは更新後のシステムの要求基準をすべて満たしていると判定された場合、WVTA の「延長」が認められるので、自動車製造事業者は WVTA に関連する手続きをすべて行う必要なく、当局に従って車両の型式の指定を変更することができます。

車両の型式と、アーキテクチャ、車種、モデルとの違いは何ですか?

1 種類の車両アーキテクチャに基づいて複数の車種が開発されることがあります。ですが、車種間で必ずしも型式が異なるわけではありません。型式認証は、通常、車両の重要な要素が決定的にまたは大きく異なる場合に求められるものです。「車両モデル」という用語は、通常は、対象の車種が販売される年のモデルを指します。

2021 年 1 月 (国連で効力が発生すると予想される時期) 以降、2022 年 7 月より前に生産が開始される新しい車種の場合、影響はありますか?

国際連合のサイバーセキュリティに関する規制 (WP.29) の効力が発生する 2021 年初頭に、締約国 (1958 年の UNECE の自動車の規則に関する協定に署名した国) は、規則の最終的な成文や書類の国の法令への追加を開始することができます。そのため、国際連合と対象国の法律での規制の効力は同時には発生しません。たとえば、ロシアではサイバーセキュリティに関する法令を 2021 年 7 月に施行する一方で、ドイツでは 2022 年 7 月に法令を施行する場合、ロシアの市場で 2021 年 7 月以降に販売される車両は「ECE-TRANS-WP29-2020-079-Revised」の要求事項を満たす必要がありますが、ドイツで販売される車両は 2022 年 7 月まで、当該要求事項を満たす必要はありません。

新システムの型式認証のプロセスにはどのような影響がありますか?

新しいシステム (モデルチェンジする車両に追加するシステムなど) が、統一認証済みの車両のセキュリティのアーキテクチャまたはリスク評価に影響を及ぼす場合、その自動車OEMメーカーは、サイバーセキュリティに対するシステム承認を認証範囲に含めるため、認証の延長を取得する必要がある可能性があります。

既存の車両のモデルチェンジの際に、2022 年 7 月以前または以降、そして 2024 年 7 月以前または以降に、サイバーセキュリティとソフトウェアアップデートの新しい認証が必要ですか?

車両のモデルチェンジに、車両のサイバーセキュリティに影響を及ぼす可能性のあるシステム (情報通信、テレマティクスなど) の変更または交換が含まれている場合、当該車両のOEMメーカーは、新たな統一型式認証 (WVTA) か、当該車両に対して取得済みの WVTA の延長取得が必要とされる可能性があります。

この規則は、既存のアーキテクチャで製造を開始する新しい車種に対し、いつから、どのように影響を及ぼしますか?

2022 年 7 月以降、既存のアーキテクチャで生産を開始する新しい車種 (つまり自動車の型) は、統一型式認証 (WVTA) 手続きの一環として、サイバーセキュリティシステムの型式認証を取得する必要があります。

国連のサイバーセキュリティに関する規則は、すでに公道を走っている車両にどのような影響を及ぼしますか?

サイバーセキュリティに関する国連規則は、対象国での規則の効力発生前 (国連の規則として施行される前ではなく) に取得済みの型式認証には影響を及ぼしません。また、規則はすでに公道を走っている車両にも影響を及ぼしません。2024 年 7 月以降、自動車OEMメーカーは、お客様が「ECE-TRANS-WP29-2020-079-Revised」が適用されるいずれかの国の機関で車両を登録できるようにするため、サイバーセキュリティシステムの型式認証を取得しなければなりません。この要求事項を満たし、OEMメーカーが現在製造中の車両を継続して販売できるよう、既存の車両プログラムへの変更依頼が必要となる可能性があります。

その他の参考情報

Other Regulations