　2015年12月7日、欧州委員会と欧州議会、閣僚理事会は、EU各加盟国に対して、コンピュータセキュリティ・インシデント対応チーム（CSIRT）の構築／運用など、サイバーセキュリティにおける機能や相互協力の改善を求める一方、域内の重要インフラ事業者（金融、運輸、電力、保健医療）やオンラインサービス提供者（eコマースプラットフォーム、オンライン決済、クラウド事業者、検索エンジン、SNS）に対して、リスクベースのマネジメントアプローチや、基幹サービスのインシデント報告などを求める「ネットワーク・情報セキュリティ（NIS）指令」（通称：EUサイバーセキュリティ指令）提案に合意した（関連情報）。

　その後2016年7月5日、欧州委員会が、サイバーセキュリティの欧州官民連携組織（PPP）を構築し、2020年までに180万ユーロを投資する計画を公表し（関連情報）、翌6日には、欧州議会がEUサイバーセキュリティ指令を正式に採択した（関連情報）。

　同月19日、図1のような形で、EUサイバーセキュリティ指令の正式な法律文書が公表され（関連情報）、翌月の8月から適用開始となり、各加盟国は、それに基づくサイバーセキュリティ関連国内法制を2018年5月までに整備することになっている。

EU個人データ保護規則対応と両にらみのグローバル体制整備が急務

　米国では、食品医薬品局（FDA）が、2016年1月22日、医療機器の市販後管理向けサイバーセキュリティガイドライン草案を公表し（関連情報、PDFファイル）、医療機器に要求される臨床パフォーマンスに対してサイバーセキュリティが及ぼすリスクを管理する手法や、情報共有・分析組織（ISAO：Information Sharing Analytics Organization）の有効活用などを推奨事項として示している。今後、EUおよび各加盟国が、医療機器メーカーに対して、どのような要求／推奨事項を提示するのかが注目される。

　くしくも、EUサイバーセキュリティ指令に基づく各加盟国レベルでの国内法制の整備は、域内における個人データ保護の厳格化を求めるEU個人データ保護規則の施行と同じタイミングの2018年5月に向けて進むことになった。機微な患者の個人情報を取り扱う機会が多い医療機器メーカーは、EU域内で重要インフラ事業者を担う保健医療機関のサプライヤとしても位置付けられることになる。

　日本発の医療機器の欧米市場展開を狙う企業にとっては、サイバーセキュリティおよびプライバシー／個人データ保護の両面から、販売／市販後対策を担う海外子会社／現地法人と、「セキュリティ・バイ・デザイン」「プライバシー・バイ・デザイン」を担う本社の製品設計・開発・品質管理部門や、ITガバナンスを担うIT部門、内部統制を統括するコーポレート部門との間で、グローバルな相互連携体制を再構築することが急務となる。

医療機器規制のEU域内統一化に向けた準備作業も本格化

　　　　　　 1|2|3 次のページへ