一般社団法人モバイル・コンテンツ・フォーラム (MCF)

HOME > イベント > トピックに掲載 > 4/24【MCF・JSSEC共同セミナー】スマホアプリなども対象となるCyber Resilience Act(CRA)の要件と対応について ~法的・技術的な対応策 ~

4/24【MCF・JSSEC共同セミナー】スマホアプリなども対象となるCyber Resilience Act(CRA)の要件と対応について ~法的・技術的な対応策 ~

EUでは、2027年12月に Cyber Resilience Act(CRA) が施行されます。CRAは、EU市場に提供されるデジタル要素を備える製品(Products with Digital Elements:PDE)に対し、サイバーセキュリティ上の最低要件を義務化するEU規則です。

CRAの目的は、製品のライフサイクル全体(設計・開発・提供・運用)において、セキュア・バイ・デザイン/デフォルトの実現と、脆弱性管理(報告・修正・アップデート提供)の体制を確立し、脆弱性悪用やサプライチェーン攻撃等による被害を低減することにあります。
また、製品が満たすべき必須要件(Essential Requirements)の提示に加え、サプライチェーン上の事業者(主にメーカー/輸入者/流通者)に対する義務が定められています。違反した場合には、各加盟国の当局(市場監視当局等)により、是正命令、販売停止・回収等の措置に加え、行政罰としての罰金(fines)が科される可能性があります。

CRAの対象には、EU域内で提供されるスマホアプリ、ならびにスマホアプリと対となるサーバ側(バックエンド)も含まれるとされています。そのため、日本国内で開発したアプリであっても、Google Play/App Store等を通じてEU域内に提供している場合、CRAの適用対象となり得ます。

こうした状況を踏まえ、スマホアプリ開発において必要となるCRA対応のポイントを整理し、実務に活かしていただくことを目的として、一般社団法人モバイル・コンテンツ・フォーラム(MCF)および一般社団法人日本スマートフォンセキュリティ協会(JSSEC)と共同でセミナーを企画いたしました。
当日は、JSSECより、CRA対応の観点でも重要となるセキュアコーディングについて、JSSEC発行の「Androidセキュアコーディングガイド」の紹介も予定しております。

ぜひ多くの皆さまにご参加いただき、CRA施行に向けて求められる対応の理解を深める機会としていただけますと幸いです。
何卒よろしくお願い申し上げます。

【日時】 2026年4月24日(金) 16:00~17:00
【場所】 Zoomによるオンライン形式
      ※2週間の見逃し配信あり
【対象】 MCF会員、JSSEC会員:無料
      ※対象とする参加者:法務・渉外担当、アプリ開発・エンジニア担当、等

【プログラム】
1.「セキュアコーディングガイドの紹介」
JSSECが発行する「Androidアプリのセキュア設計・セキュアコーディングガイド」は、開発現場のセキュリティ水準向上を目的とした実践的なノウハウ集です。本セッションでは10分間で、本ガイドの全体像と効果的な活用方法、およびAndroidの最新動向に追従したアップデートのポイントについて簡潔にご紹介します。

●講師
株式会社ラック
JSSEC セキュアコーディングWG リーダー
宮崎 力 様

(プロフィール)
株式会社ラックにて、JSOCのセキュリティ解析・監視サービスの品質向上やBAS(Breach and Attack Simulation)を活用した高度なセキュリティ有効性評価・改善支援業務等に従事。
社外活動として一般社団法人日本スマートフォンセキュリティ協会(JSSEC)に参画し、2020年よりセキュアコーディングWG のリーダーを務める。継続的な改訂を牽引するほか、各種メディアへの専門記事寄稿、Androidセキュリティ関連書籍の技術レビュワー、新設されたセキュアAI活用推進タスクフォースでの活動など、スマートデバイスと最新技術領域 におけるセキュリティ水準向上のための啓発活動を多角的に推進している。

2.「スマホアプリなども対象となるCyber Resilience Act(CRA)の要件と対応すべきこと」
欧州域で流通させるデジタル製品のセキュリティを高めるためのCRAは、2026年9月より脆弱性/インシデントに関する報告義務が、2027年12月より全ての要件が施行される。違反すると、1500万ユーロもしくは事業者の全売上の2.5%のいずれか高い方の金額を最高額とする制裁金が課される。主な要件は、リスク分析を実施して、これに基づく設計・開発・生産を行い、デジタル製品に悪用可能な脆弱性が無い状態で市場へ流通させること。もし、重大な脆弱性やインシデントが発覚した場合には、速やかに当局へ報告を行い、パッチをリリースする必要がある。アプリなどのデジタル製品のライフサイクル全体にわたり、ユーザがセキュアに利用できることを推進するCRAの要件を読み解くことで、製品提供者が取り組むべき事項を解説する。

●講師
DNVビジネス・アシュアランス・ジャパン株式会社
The Accelerator 日本代表
竹森 敬祐 様

(プロフィール)
これまで、通信事業者におけるスマホ向けアプリ審査業務、JSSECアプリWGリーダ、総務省スマートフォン・プライバシー・イニシアティブの議論などに関わり、スマホアプリに関するセキュリティ&プライバシ保護の推進に従事してきた。この他、欧州GDPR(一般データ・プライバシ規則)や国連UN-R155(自動車サイバーセキュリティ規則)、欧州CRA(Cyber Resillience Act)など、各種サイバーセキュリティ規則への対応支援を担っている。

 

——————————–————————————————–——————
セミナーは無事終了しました。お申込みいただいた皆様ありがとうございました。

——————————–————————————————–——————