일본은 UNECE 1958 협정의 체약국으로서 UN R155와 R156을 직접 적용하고 있다. 국토교통성(MLIT)은 차량 형식 승인에 사이버보안 요구사항을 통합하는 과정을 진행 중이며, 일본자동차부품공업회(JASPAR)가 산업계의 기술 표준 개발을 지원하고 있다.

일본의 단계적 시행 일정은 명확하게 수립되어 있다. 2022년 7월 OTA 대응 신형차에 대한 적용이 시작되었고, 2024년 1월 OTA 비대응 신형차로 확대되었다. 2026년 5월부터는 OTA 비대응 계속생산차(기존 양산 차량)에 대한 적용이 시작되며, 이 시점부터 일본 국내에서 판매되는 사실상 모든 자동차가 사이버보안 관리체계(CSMS) 인증을 받은 제조업체에 의해 생산되어야 한다.

일본 세계 3위 자동차 생산국으로서 토요타, 혼다, 닛산 등 주요 OEM들이 UN R155 준수를 위한 CSMS 인증을 확보하는 과정에 있다. 특히 일본 OEM들은 소프트웨어 정의 차량(SDV) 전환을 가속화하면서 동시에 사이버보안 체계를 강화해야 하는 이중 과제에 직면해 있다.

추가로 경제산업성(METI)은 2026년 10월부터 공급망 강화를 위한 보안대책 평가제도(SCS 평가제도)의 운용을 개시할 예정이다. 이는 미국 NIST CSF 2.0에 준거하여 기업의 사이버보안 대응력을 5단계(기본 수준, 고도화 2단계)로 평가하는 제도다. 배경에는 2022년 3월 자동차 부품 제조업체 코지마 프레스 공업에 대한 랜섬웨어 공격으로 도요타 전 공장이 하루 가동 중단된 사건이 있다. 이 사건은 자동차 산업의 공급망 보안 취약성이 국가 차원의 과제로 인식되는 계기가 되었다.

따라서 일본 자동차 산업은 UN R155 차량 규제와 SCS 공급망 규제를 동시에 대응해야 하는 상황에 처해 있다. 이는 자동차 사이버보안 규제가 차량 단위에서 공급망 전체로 확대되는 전환점이며, 산업 전체의 보안 역량 고도화를 강하게 추동하는 형태다.