2023年6月29に付けのEU官報に機械規則(REGULATION (EU) 2023/1230)が掲載された。
この規則は6月29日から20日後、すなわち2023年7月14日に発効、2027年1月14日から適用される。
罰則はそれぞれの加盟国が制定する。
現行の機械指令は2006年に作られたものであり下記のように時代に合わない部分が問題になってきていた。
- 新しいデジタルテクノロジーに関連するリスクに対応できていない
- 高いリスクの機械への対応が不十分
- EUの他の製品安全法との一貫性がない
- 加盟各国が法制化しているので解釈の違いがみられる
- 文書の電子化に対応していない
- 範囲と定義が明確でない部分がある
ここでは、まず、新しいデジタルテクノロジーに関連するリスクについての要求を取り上げる。
近年、工場を狙ったサイバー攻撃が多発している。工場は製造ラインを構成する機械をネットワークで接続して制御し運用するシステムを使っている。このネットワークをOT(Operational Technology)ネットワークと呼んでいる。このOTネットワークがサイバー攻撃の対象となっている。OTネットワークがインターネットに接続されていなくても攻撃対象となるのである。機械規則はこのような機械のセキュリティに関する要求を規定している。附属書IIIの1.1.9 「不正行為に対する保護」に以下のような記載がある。
機械又は関連製品は,接続された装置自体の機能を介して,又は機械又は関連製品と通信する遠隔装置を介して,他の装置と接続することが危険な状況につながらないように設計及び構築されなければならない。
すなわち、デバイス(USBメモリやその他のデータ媒体)の接続、および「リモートデバイス」との接続(つまり、インターネット経由)が危険な状況を引き起こさないようにすることが求められているのである。
またソフトウェアに関しては以下のような要求がある。
信号又はデータを伝送するハードウェアコンポーネントで,機械又は関連製品が関連する安全衛生必須要件に準拠するために重要なソフトウェアへの接続又はアクセスに関連するものは,偶発的又は意図的な破損から適切に保護されるように設計しなければならない。機械又は関連製品は,機械又は関連製品のコンプライアンスにとって重要なソフトウェアへの接続又はア クセスに関連する場合,そのハードウェアコンポーネントへの合法的又は非合法的な介入の証拠を収集しな ければならない。
ソフトウェアに関する要求は介入の証拠を収集することにまで及んでいる。
さらに文書の電子化に関連しては以下のとおりである。
デジタル取扱説明書を導入することは可能になったが、以下のような制約がある:
- デジタル取扱説明書は、ダウンロードおよび印刷が可能でなければならない
- 要求があれば、印刷された取扱説明書を手渡さなければならない
- 非専門家ユーザーに対しては、安全情報を紙媒体で提供することが義務付けられている
詳細に関しては以下のURLから原文をダウンロードして読んでいただきたい。