Japan Association for Medical Informatics

[2-B-2-03] 医療機器セキュリティ対策状況の現状について

*Koichiro Matsumoto1 (1. 日本光電工業株式会社)

IoT Security Guideline, risk management, International Medical Device Regulatory Forum (IMDRF)


近年,医療機器は,有線/無線のネットワークを介しての他の機器やソフトウェアと連携等システム化やUSBメモリ等の携帯型メディアを使って医療情報を入出力する機会も増えて来ており,ネットワーク等には医療機器以外の電気機器も接続されており,医療機器の使用環境が常にセキュアであるとは限らない.このため,医療機器の有効性及び安全性を確保するためにサイバーセキュリティの重要性がより増している.本稿では,医療機器を経由して侵入されるセキュリティリスクの事例を説明し,平成28年に総務省・経産省から発出された「IoTセキュリティガイドラン Ver1.0」をベースとして医療機器との特性について論じる.さらに厚生労働省からは,平成27年,「医療機器におけるサイバーセキュリティの確保について」,平成30年「医療機器のサイバーセキュリティの確保に関するガイダンスについて」が主として医療機器製造業者に対して発出されている.サイバーセキィリティとしては,他の機器・ネットワーク等と接続して使用する又は他からの不正なアクセス等が想定される医療機器については,サイバーリスクを含む危険性を評価・除去し,リスクマネジメントを行い,使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこととしている.本年4月には,国際医療機器規制当局フォーラム(IMDRF)から医療機器サイバーセキュリティの原則及び実践に関するガイダンスが公表された.これは,一般原則及びベストプラクティスについて,全ての責任関係者に対して推奨事項を提供するもので,製造業者,医療提供者,ユーザー,規制当局及び脆弱性報告者を含むすべての利害関係者の共同責任であり,製品ライフサイクルの全体を対象としており,今後3年目途に国内でも導入の検討がされる.さらに遠隔医療の観点も踏まえて安全管理ガイドラインとサイバーセキュリティガイダンスについて論じる.