誰が担うのか？ ISO/SAE 21434やUN-R155で迫られるサプライチェーン全体での協調

セキュリティ規格「ISO/SAE 21434」と法規「UN-R155」

　2021年8月、セキュリティ規格「ISO/SAE 21434」が公開され、自動車におけるサイバーセキュリティ対策の取り組みが本格化することとなった。これは自動車サイバーセキュリティに関する国際規格であり、法的拘束力はないものの車載システム開発において、同規格への適合を求める内容である。それと前後して、国連欧州経済委員会（UNECE）による法規「UN-R155」が発行された。型式認証取得におけるセキュリティ要件が記載された“法的拘束力のある”法規制であり、型式認証を取得しなければ車両を販売できない自動車業界にとっては、SDVを開発するにあたって避けては通れない道となった。

　UN-R155で主に言及されている内容は、「CSMS（サイバーセキュリティマネジメントシステム）」の導入（CSMS適合証明書の所有）であり、リスク評価やインシデント対応体制構築なども規定されている。なお、CSMSとはサイバーセキュリティに関わるリスクマネジメントを効果的・効率的に実施するための仕組みや体制を指している。前述したUN-R155に適合しているかどうかは、実務的にはISO/SAE 21434を参照して実装すれば、おおよそ過不足なくクリアできるという関係性にある。ただし、UN-R155の初版は、ISO/SAE 21434より約半年早く制定されており、当時はドラフト版（DIS）のISO/SAE 21434が参照されていた。

日本における「UN-R155」

　日本も諸外国の例に漏れずにUN-R155を導入しており、道路運送車両法の改正にて対応を行った。当初は、いわゆる「自動運転」を実現する車両のみを対象としていたが、UN-R155に則って対象を拡大し、現在はOTA対応のない車両やソフトウェア更新のない車両、つまり改正以前から販売している車両も含めてほぼすべての車種が対象となっている。

　また、道路運送車両法では、型式認証取得に関する規定があり、日本で唯一の自動車型式認証機関が定める審査事務規定では「サイバーセキュリティシステム及びプログラム等改編システム」に関する項目がある。同項では自動車の電気装置は、UN-R155（の7.3、即ちCSMS導入基準などについて示されている部分）に適合しているものであることが明記されているように、日本でもUN-R155に準拠する必要があるということだ。