サイバーセキュリティ対策が必須に
サイバーセキュリティ対策が必須に
2023年4月1日から、サイバーセキュリティ対策が基本要件基準に盛り込まれることになった。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となった。
具体的には、下記の通り、基本要件基準の第12条 プログラムを用いた医療機器に対する配慮に第3項が追記される。
(プログラムを用いた医療機器に対する配慮)
第12条 略
2 略
3 プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器または外部からの不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能に支障が生じるまたは安全性の懸念が生じるサイバーセキュリティに関わる危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。
また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない。
これは、2020年3月に国際医療機器規制当局フォーラム(IMDRF)において、「医療機器サイバーセキュリティの原則及び実践に関するガイダンス」が取りまとめられたことに伴い、プログラムを用いた医療機器における基本要件基準の改正を行うものである。
IMDRFガイダンスにおいて取りまとめられたサイバーセキュリティを確保するための要件として、
- 製品の全ライフサイクルに渡って医療機器サイバーセキュリティを検討する計画を備えること
- サイバーリスクを低減する設計及び製造を備えること
- 適切な動作環境に必要となるハードウェア、ネットワーク、IT セキュリティ対策の最低限の要件を設定すること
の3つの観点を基本要件基準に盛り込む改正を行う。
具体的な対策として、以下の2点を確保することを求めている。
- 医療機器がサイバー攻撃による影響を受けないように、製品としての耐性を持つこと(サイバー攻撃を受けるような脆弱性が対策され、正常に作動すること)であり、医療機器が感染源にならないように市販前から設計・製造されていること(サイバー攻撃を受けないように防御し、感染拡大させない)が必要。
- また、市販後に製造販売業者による適正な管理(意図した使用環境での使用、脆弱性の修正(パッチ、アップデート)、インシデントへの対応など)及び使用者である医療機関内等で適正な管理が、相互になされることが必要。
筆者のもとにも、サイバーセキュリティ対策に関する相談が日々多く来る。
サイバーセキュリティ対策は、医療機器プログラム自身のセキュリティホール(脆弱性)を塞ぐことが大切である。
上市したばかりの製品にセキュリティホールがあったら大変である。そのために医療機器プログラムの設計者は最新のセキュリティ情報を収集する必要がある。
一方で、医療機関側でもファイヤーウォールを設置し、不要なネットワークポートを閉じるなどの対策が必要である。
医療機器プログラムが医療機関内に設置されるのではなく、クラウドでサービスを実施する場合も同様に、ファイヤーウォールの設置などの対策を講じる必要がある。 つまり、セキュリティホールが見付かってからの対策では遅いため、ネットワークインフラそのものによる対策が必要となる。