　さらにFDAは、2016年1月22日、医療機器の市販後管理向けサイバーセキュリティガイドライン草案を公表している（関連情報、PDFファイル）。同草案では、市販後対策の観点から、医療機関レベルでの機器運用やベストプラクティスの集積に焦点を当てている。具体的な市販後サイバーセキュリティ管理の原則として、以下のような項目を挙げている。

サイバーセキュリティ脆弱性およびリスクの特定、検知のためのサイバーセキュリティ情報リソースのモニタリング
脆弱性の存在および影響の理解、評価、検知
脆弱性の入口と処理のためのプロセスの設置および伝達
サイバーセキュリティリスクから保護、対応、復旧するための軽減策を構築するために必要な臨床パフォーマンスの明確な特定
調整された脆弱性の開示ポリシーと実践の採用
早期かつ実行前にサイバーセキュリティのリスクに対処する軽減策の導入

　また、同草案では、図2のように、医療機器に要求される臨床パフォーマンスに対してサイバーセキュリティが及ぼすリスクを管理する手法として、セキュリティ脆弱性が悪用される可能性の評価軸と、悪用された場合、保健医療に及ぼすインパクトの重大度の評価軸のマトリックスによるアプローチを示している。

図2 医療機器に要求される臨床パフォーマンスに対するサイバーセキュリティリスク管理手法（クリックで拡大）出典：FDA「Postmarket Management of Cybersecurity in Medical Devices - Draft Guidance for Industry and Food and Drug Administration Staff」（2016年1月）

　加えて、FDAは、市販後管理におけるサイバーセキュリティ対策の推奨事項として、NH-ISACに代表される情報共有・分析組織（ISAO：Information Sharing Analytics Organization）の有効活用を掲げている。

　これは、2015年2月13日に米国大統領のバラク・オバマ氏が署名した、政府と民間企業間でサイバー攻撃の脅威に関する情報共有を進めるための大統領令（関連情報）に準拠したアプローチであり、米国の医療機器メーカーにとっては目新しいものではない。ただし、日本では、医療分野に特化したサイバーセキュリティ情報共有の官民連携組織自体整備されていないので、米国市場での医療機器事業展開を図る日本企業にとっては、難題になるかもしれない。

　なお、FDAの医療機器サイバーセキュリティに関するガイドライン類は、本連載第5回で取り上げた手術ロボットや、日本の医薬品医療機器等法で新設された医療ソフトウェアも適用対象としている。特に市販後対策の場合、メンテナンスサービスなど、医療機器のビジネスモデルに深く関わるので注意が必要だ。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara