Skip to content
日本語

ソフトウェアの欠陥=訴訟の可能性

By Contrast Marketing

3月 12, 2025

セキュリティ 脆弱性対策 コンプライアンス ゼロデイ攻撃 リスク管理 サイバーセキュリティ EU EU製造物責任指令 ソフトウェアセキュリティ

    
Selling software to anyone in the European Union? The new EU PLD changes have serious liability ramifications.

欧州連合(以下、EU)域内の誰もが使用またはダウンロードできるソフトウェアを販売している企業は、新たな重大な責任に直面している。昨年末、欧州委員会はEUの製造物責任指令(以下、PLD)の根本的改正を最終決定したが、この改正が広範囲に影響を及ぼしている。 この改正が全面的に適用されるのは2026年だが、企業がソフトウェアセキュリティをどのように考え、どのように扱うかは大きく変わるだろう。今回の改正にはどんな内容が含まれており、それが何を意味するのかを、詳しく見てみよう。

EUのPLDとは?

改正点について説明する前に、PLDが実際にどのようなものかを理解しておくのが良いだろう。この指令自体は、1985年に初めて制定されたもので長い歴史がある。欧州委員会が規定しているように、PLDは「製造物の欠陥が原因で損害を被った場合に、被害者が製造業者に損害賠償を請求できるようにする」ものである。

EU PLDは何をするものか?

欧州委員会によると、「欠陥のある製品によって損害を被った人(製品の所有者、傍観者、家族など)は誰でも、当該国の裁判所に損害賠償の請求を行うことができる」。つまり、PLDは欠陥製品によって損害を被った人々に補償を提供するための法的枠組みを提供するものである。

例えば、EU内でトースターを買ったとしよう。もしそのトースターに欠陥があり、熱くなりすぎた場合(つまり、トーストを取り出そうとして手を火傷するほど熱くなった場合)、EU加盟国の裁判所でトースターメーカーに対して訴訟を起こすことができるのだ。

今後は、新たな方向性に基づいて、同じことがソフトウェアについても当てはまり、個人が簡単に請求を行えるようになる。 

PLDで補償される対象は?

請求を申し立てることができるのは個人だけ。企業はできない。従って、ある企業が欠陥製品を購入した場合、PLDに基づいて補償を求めることはできない。

裁判所が製品に欠陥があると認めれば、被害者は製造者に賠償を請求することになる。その製造業者がEU域内にいなくても構わない。欧州委員会によると、場合によっては、輸入業者や認定代理人、フルフィルメントサービスプロバイダー、さらには流通業者でさえも責任を問われる可能性がある。

EU PLDの重要なポイントは?

PLDで特徴的なのは、それが「無過失責任」の規則と見なされている点だ。つまり、製造業者がやるべきことをすべてやったと主張しても、例えば、全ての現地の法律を遵守し、厳格な品質基準と検査体を実施しているとしても、最終製品に欠陥があった場合には、製造業者は依然として責任を問われる可能性がある。製品がどのように作られたかは問題ではなく、どのように機能するかだけが重要だ。

新しいPLDの改正とは?

EUのPLDは既に何十年前のものだが、欧州委員会は最近、この指令を改正して、「アプリケーション、オペレーティングシステム、AIシステムなどあらゆる種類のソフトウェアが新しい指令の適用対象となる」ことを明確にした。

これは大きなニュースだ。なぜなら、EU域内でソフトウェアを販売する個人や企業は、そのソフトウェアに欠陥があったり損害を引き起こしたりした場合、責任を問われる可能性があるからだ。

例えば、マーケティング自動化ソフトウェアを製造・販売しており、EUに一部の顧客がいるとする。サイバーセキュリティには真剣に取り組み、SAST(静的アプリケーションセキュリティテスト)とDAST(動的アプリケーションセキュリティテスト)ツールを使用して定期的なスキャンを実行している。そして、WAF(Webアプリケーションファイアウォール)を使用して本番環境に導入されたソフトウェアを保護し、XDR(拡張型の検知と対応)でSOC(セキュリティオペレーションセンター)を強化しているとする。

ここまでは、順調だ。既存のコンプライアンス基準のほとんどでは、正しい方向に進んでいると判定されるだろう。

そして、攻撃者が機密性の高いデータにアクセスし盗み出すという、壊滅的なデータ侵害に見舞われる。後になって、攻撃者がシステムに侵入するためにゼロデイ利用していたことが分かる。そのため、既存のセキュリティではインシデントが検知されなかった。

新しいEU PLDでは、企業はこのような侵害に対しても責任を問われるかもしれない。企業がこれらの安全策を講じていたとしても、顧客は損害を被ったため、EUの新しいPLD改正下では賠償を請求できる可能性がある。

「これで充分」だとか、「業界のベストプラクティス」を使用して最善の結果を期待するだけでは足りない。むしろ、ソフトウェアは極めて安全である必要がある。

特にゼロデイ攻撃に対する安全性を確保する必要があるため、ソフトウェアセキュリティへの取り組み方を根本的に変える必要がある。 EU PLDに準拠するには、既知のシグネチャに依存する境界防御ではなく、ゼロデイ脆弱性が悪用された攻撃であっても、異常な動作をリアルタイムで検知して対応できるソリューションが必要だ。

EU PLDの新たな改正がソフトウェアにどのような影響を与えるのか、またそれに対して何ができるのかについては、Contrast Securityの創設者兼CTOであるJeff Williamsが出演するこの動画を見て欲しい。

関連記事/サイト:
セキュリティ 脆弱性対策 コンプライアンス ゼロデイ攻撃 リスク管理 サイバーセキュリティ EU EU製造物責任指令 ソフトウェアセキュリティ

Contrast Marketing

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2025年3月7日