図1　医療機器サイバーセキュリティリスクとISO 14971に基づく安全性リスクの関係出典：Health Canada「Draft Guidance Document - Pre‐market Requirements for Medical Device Cybersecurity」（2018年12月7日）

　その上で、医療機器に関わるサイバーセキュリティリスクのマネジメントプロセスとISO 14971に基づく安全性リスクのマネジメントプロセスの関係について、図2のような形で説明している。

図2　サイバーセキュリティリスクのマネジメントプロセスととISO 14971に基づく安全性リスクのマネジメントプロセスの関係（クリックで拡大）出典：Health Canada「Draft Guidance Document - Pre‐market Requirements for Medical Device Cybersecurity」（2018年12月7日）

　ガイダンス草案では、サイバーセキュリティのリスクマネジメントプロセスに関連して、参照すべき国際標準規格として、以下のようなものを例示している。

AAMI TIR57:2016 ‐ Principles for medical device security ‐ Risk management
ANSI/CAN/UL 2900‐1:2017 ‐ Standard for Software Security Network‐Connectable Products, Part 1: General Requirements
ANSI/CAN/UL 2900‐2‐1:2018 ‐ Software Cybersecurity for Network Connectable Products
IEC 80001‐1: 2010 ‐ Application of risk management for IT‐networks incorporating medical devices
NIST 800‐30 Revision 1 Guide for Conducting Risk Assessments, September 2012

　情報通信技術から発展してきた「セキュリティ」と、電子制御技術から発展してきた「セーフティ」の関係については、日本の厚生労働省が2018年7月24日に公表した「医療機器のサイバーセキュリティの確保に関するガイダンスについて」（関連情報、PDFファイル）の中でも触れられている。

　今後、医療機器サイバーセキュリティの国際規制調和に向けた動きが本格化することが想定されるので、企業が、医療機器の設計・開発・製造・メンテナンス・廃棄に渡るセキュリティとセーフティの連携・融合体制の構築を検討する際に、カナダの医療機器規制の方向性と比較対照するとよいだろう。

　加えて、「セキュリティ」と「セーフティ」の関係は、医療機器に限らず、コネクテッドカー、スマートホームなどIoT（モノのインターネット）機器全般のリスク管理で議論されてきたテーマでもある。異業種のIoTセキュリティに関わるメーカー、サービスプロバイダーにとっても、カナダ国内の動向は参考になる。