医療機器におけるサイバーセキュリティ(その1)

医療機器におけるサイバーセキュリティ(その1)

無線、インターネットおよびネットワーク接続機器の使用の増加に伴い、医療機器の機能および安全性を確保するために有効なサイバーセキュリティの重要性が増してきている。
医療機器のサイバーセキュリティの脆弱性から機器がクラッキングされる恐れが発覚し、機器の使用停止・回収/改修に至るという事例も近年発生している。
ただし、幸いこれまで日本・米国ともサイバーセキュリティに関する健康危害事例はない。
そういった状況を踏まえ日米欧等各国の当局やIMDRFも、サイバーセキュリティに関するガイダンス等を発出し、医療機器の製造業者にサイバーセキュリティ対応を求めるようになってきた。
日本における医療機器のサイバーセキュリティは、IMDRFガイダンスの導入検討に向けてまだ途に就いたばかりである。

サイバーセキュリティとは?

本邦におけるサイバーセキュリティについては「サイバーセキュリティ基本法」の第2条に以下のように定義されている。

サイバーセキュリティ基本法

第2条(定義) この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システムおよび情報通信ネットワークの安全性および信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。

すなわち、サイバーセキュリティとは以下2点から成り立っている。

  1. 電磁的方式により記録・発信・伝送・受信される情報について、以下の措置を講じること
    ・漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置・情報システムおよび情報通信ネットワークの安全性および信頼性の確保のために必要な措置
  2. その状態を適切に維持管理すること 

また、厚生労働省および経済産業省・総務省は、下記の2ガイドラインにおいて、医療情報システムのセキュリティ管理の遵守を求めている。

  1. 厚生労働省 「医療情報システムの安全管理に関するガイドライン
  2. 経済産業省・総務省 「医療情報を取り扱う情報システム・サービスの提供医療機器製造業者における安全管理ガイドライン

このため、医療機器製造業者は上記ガイドラインの要件への対応をもってサイバーセキュリティを担保しようとする傾向がある

医療機器におけるサイバーセキュリティ 

しかしである。これらのガイドラインが求める要件は個人情報保護法に基づく患者情報の保全が目的であり、サイバーセキュリティの確保が主眼ではない。
医療機器においては情報セキュリティではなく、医療機器がハッキングされることによって患者に及ぼす健康被害について安全性を担保するものでなければならないのである。
医療機器がサイバー攻撃を受けた場合、検査装置または診断装置であれば検査の中断や誤った診断につながってしまう可能性が考えられる。
治療に用いられる装置であれば、治療の中断等の事象の発生、放射線治療の線量計算プログラムであれば、過量照射や不十分な量の照射が発生する可能性が考えられる。

FDA による警告 

FDA は、医療機器へのマルウェアの侵入、医療機器や病院ネットワークの設定への不正アクセスを通じて生じる可能性のあるサイバー攻撃による障害リスクを軽減するために、適切な安全措置を適所に確実に設けるための措置を講ずるよう、医療機器製造業者や医療機関に要請した。
ただし、FDAが警告するようなサイバーセキュリティに関する健康危害事例は今のところ発生していない。

IMDRFのサイバーセキュリティガイダンス 

2020年3月18日、IMDRFが「Principles and Practices for Medical Device Cybersecurity」(医療機器サイバーセキュリティの原則および実践)」を発出した。
これに伴い、2020年5月、厚生労働省は「国際医療機器規制当局フォーラム(IMDRF: International Medical Device Regulators Forum)による医療機器サイバーセキュリティの原則および実践に関するガイダンスの公表について」との周知依頼を発出した。
本周知依頼には、IMDRFガイダンスを翻訳した文書が添付されている。
IMDRFガイダンスは、医療機器ライフサイクル全体を通じたサイバーセキュリティの一般原則およびベストプラクティスについて、業界のエコシステム全体の視点からまとめられているものである。
本邦においては、医療機器のサイバーセキュリティに係る安全性を向上させる観点から、今後3年程度(2023年)を目途に医療機器製造販売業者等の関係業者におけるIMDRFガイダンスの導入に向けて検討を行っている。

IMDRFガイダンスの適用範囲は、上述のとおり情報セキュリティではなく 、ISO 14971に基づいた安全関連リスクのうち、サイバーセキュリティに対する脅威が対象となる。(図参照) 

レガシー医療機器 

レガシー医療機器とは、現在のサイバーセキュリティの脅威に対して合理的に保護できない医療機器のことを指す。
過去に販売されすでに利用されている製品は、レガシー医療機器に該当する可能性がある。
医療機器のサイバーセキュリティについて適切に対応するには、医療従事者を含む関係者の協力の下で、医療機器の製造販売業者が個々の医療機器の特性に応じたリスク分析を行った上で、サイバー攻撃によるリスクを低減するための対策を十分に行うことが重要である。

(続く)

関連商品

関連記事一覧