4:00 PM - 4:40 PM
[教育講演2] 医療機器におけるサイバーセキュリティの最新動向
現在の医療機器は,スタンドアロンで使われることより,有線/無線のネットワークを介して他の機器やソフトウェアと連携し,システム化やUSBメモリなどの携帯型メディアを介してデータの授受をおこないながら相互通信で使⽤されるものが増加している.ネットワークなどには,医療機器以外の電気機器(IoT機器)も接続されており,医療機器の使⽤環境が常にセキュアであるとは限らない.サイバー攻撃がおこなわれた時には,患者,医療従事者への健康被害に繋がる可能性もある.このため,医療機器の本来の目的である,有効性および安全性を確保するためにサイバーセキュリティ対策の重要性が増している.
2020年4月IMDRF(国際医療機器規制当局フォーラム)から「医療機器サイバーセキュリティの原則及び実践」に関するガイダンス(N60)が公表された.ポイントとしては,
1)医療機器のサイバーセキュリティに対する⼀般原則およびベストプラクティスについて,すべての責任関係者に対して推奨事項を提供する.
2)患者危害の可能性を検討することに限定し,データプライバシーの侵害に関係するようなその他の危害も重要であるが,この文書の適⽤範囲とはしていない.
3)規制当局の立場から,患者への危害と患者の安全性を重視し,情報セキュリティを除外し,直接的に医療機器の安全と性能を含むことを明記する.
4)サイバーセキュリティは,製造業者,医療提供者,ユーザ,規制当局および脆弱性報告者を含むすべての利害関係者の共同責任であり,廃棄なども含めて製品ライフサイクルの全体を対象とする.
5)設計インプット,リスクマネジメント,セキュリティテスト,市販後管理の戦略,ラベリング規制当局への申請など,市販前の注意事項について述べている.
6)市販後の考慮事項としては,意図する環境における機器の運⽤や情報共有,さらに脆弱性の公開,脆弱性の修正,インシデントへの対応など推奨事項を提供するよう求めている.
さらに2023年4月には,「レガシー医療機器のサイバーセキュリティの原則及び実践」(N70),「医療機器サイバーセキュリティのためのソフトウェア部品表の原則と実践」(N73)が公表された.
N60文書は原則,基礎概念を記述しているものであり,これだけでは実際のおこなうべき内容がわからないという意見もあり,前者は,N60文書6.6のレガシー医療機器の深堀りということで策定された.レガシー機器の定義は,現在のサイバーセキュリティの脅威に対して合理的に保護できない医療機器となっており,概要としては,老朽化の理由のみでその製品がレガシー医療機器であると判断してはならないことも重要であること,さらにレガシー医療機器の使⽤を終了または段階的に使⽤を終了するための概念フレームワークについても言及している.
後者は,N60文書5.5.2の顧客向けセキュリティ文書に記載されているソフトウェア部品表(SBOM: Software Bill of Materials)についての深掘りということで策定された.医療機関が,医療機器および接続されるシステムに対する脆弱性の潜在的な影響を理解し,医療機器の安全性および基本性能を維持することが可能であることを明言している.N73文書では機器に実装される商⽤,オープンソースおよび市販のソフトウェア部品のサイバーセキュリティに関する情報およびサポートの重要性も示されている.製造販売業者は,医療機器で使⽤されているコンポーネントを可視化して顧客に提示し,購入決定および運⽤保守に必要な情報を提供することが可能であるとし,その運⽤に言及している.
我が国でもN60文書の公表から3年を経た2023年3月末N70文書,N73文書も考慮した通知が厚生労働省から「医療機器の基本要件基準第12条第3項の適⽤について」,「医療機器のサイバーセキュリティ導入に関する手引書の改訂について」が発出され,各製造販売業者は,この通知を参考にして対策を進めている状況にある.
製造販売業者として継続的に取り組む課題としては,サイバーセキュリティに関する組織力,体制の強化,さらにリソースの拡充が必要となる.また市販後の安全対策として,ソフトウェアアップデートなど保守としてもきちんと対策する必要がある.製造販売業者は,医療機関を含むすべての利害関係者と連携して,サイバーセキュリティ対策を進めることが重要である.
医療機器を取り巻く環境として,医療機関の皆様に対して医療機器製造販売業者の視点から対策について論じる.
2020年4月IMDRF(国際医療機器規制当局フォーラム)から「医療機器サイバーセキュリティの原則及び実践」に関するガイダンス(N60)が公表された.ポイントとしては,
1)医療機器のサイバーセキュリティに対する⼀般原則およびベストプラクティスについて,すべての責任関係者に対して推奨事項を提供する.
2)患者危害の可能性を検討することに限定し,データプライバシーの侵害に関係するようなその他の危害も重要であるが,この文書の適⽤範囲とはしていない.
3)規制当局の立場から,患者への危害と患者の安全性を重視し,情報セキュリティを除外し,直接的に医療機器の安全と性能を含むことを明記する.
4)サイバーセキュリティは,製造業者,医療提供者,ユーザ,規制当局および脆弱性報告者を含むすべての利害関係者の共同責任であり,廃棄なども含めて製品ライフサイクルの全体を対象とする.
5)設計インプット,リスクマネジメント,セキュリティテスト,市販後管理の戦略,ラベリング規制当局への申請など,市販前の注意事項について述べている.
6)市販後の考慮事項としては,意図する環境における機器の運⽤や情報共有,さらに脆弱性の公開,脆弱性の修正,インシデントへの対応など推奨事項を提供するよう求めている.
さらに2023年4月には,「レガシー医療機器のサイバーセキュリティの原則及び実践」(N70),「医療機器サイバーセキュリティのためのソフトウェア部品表の原則と実践」(N73)が公表された.
N60文書は原則,基礎概念を記述しているものであり,これだけでは実際のおこなうべき内容がわからないという意見もあり,前者は,N60文書6.6のレガシー医療機器の深堀りということで策定された.レガシー機器の定義は,現在のサイバーセキュリティの脅威に対して合理的に保護できない医療機器となっており,概要としては,老朽化の理由のみでその製品がレガシー医療機器であると判断してはならないことも重要であること,さらにレガシー医療機器の使⽤を終了または段階的に使⽤を終了するための概念フレームワークについても言及している.
後者は,N60文書5.5.2の顧客向けセキュリティ文書に記載されているソフトウェア部品表(SBOM: Software Bill of Materials)についての深掘りということで策定された.医療機関が,医療機器および接続されるシステムに対する脆弱性の潜在的な影響を理解し,医療機器の安全性および基本性能を維持することが可能であることを明言している.N73文書では機器に実装される商⽤,オープンソースおよび市販のソフトウェア部品のサイバーセキュリティに関する情報およびサポートの重要性も示されている.製造販売業者は,医療機器で使⽤されているコンポーネントを可視化して顧客に提示し,購入決定および運⽤保守に必要な情報を提供することが可能であるとし,その運⽤に言及している.
我が国でもN60文書の公表から3年を経た2023年3月末N70文書,N73文書も考慮した通知が厚生労働省から「医療機器の基本要件基準第12条第3項の適⽤について」,「医療機器のサイバーセキュリティ導入に関する手引書の改訂について」が発出され,各製造販売業者は,この通知を参考にして対策を進めている状況にある.
製造販売業者として継続的に取り組む課題としては,サイバーセキュリティに関する組織力,体制の強化,さらにリソースの拡充が必要となる.また市販後の安全対策として,ソフトウェアアップデートなど保守としてもきちんと対策する必要がある.製造販売業者は,医療機関を含むすべての利害関係者と連携して,サイバーセキュリティ対策を進めることが重要である.
医療機器を取り巻く環境として,医療機関の皆様に対して医療機器製造販売業者の視点から対策について論じる.