オーストラリアの医療機器サイバーセキュリティと国際協調：海外医療技術トレンド（49）（1/3 ページ）

本連載でこれまでも何度かオーストラリアのデジタルヘルスを取り上げたが、医療機器の分野でもユニークな動きを見せている。

[笹原英司，MONOist]

⇒連載「海外医療技術トレンド」バックナンバー

　本連載第31回、第34回、第42回で、オーストラリアのデジタルヘルスを取り上げたが、医療機器の分野でもユニークな動きを見せている。

豪州TGAが包括的な医療機器サイバーセキュリティガイドラインを公表

　2019年7月18日、オーストラリア連邦政府保健省傘下の薬品・医薬品行政局（TGA）は、「業界向け医療機器サイバーセキュリティ・ガイダンス第1版」と「ユーザー向け医療機器サイバーセキュリティ情報第1版」を公表した（関連情報）。

　TGAは、サイバーセキュリティに限らず、医療機器および体外診断用（IVD）医療機器の製造業者が順守すべき事項として、以下のような「医療機器基本原則（EP）」を掲げている（関連情報）。

• EP1.健康や安全を損なわない医療機器の使用
• EP2.安全原則に適合する医療機器の設計および構築
• EP3.意図した目的に適合する医療機器
• EP4.長期的な安全
• EP5.輸送や保存による副次的な影響を受けない医療機器
• EP6.あらゆる望ましくない結果を上回る医療機器の利点
• EP7.化学的、物理学的、生物学的特性
• EP8.感染および微生物汚染
• EP9.建設および環境資産
• EP10.測定機能付医療機器
• EP11.放射線防護
• EP12.エネルギー源と接続または装備した医療機器
• EP13.医療機器とともに提供される情報
• EP14.臨床エビデンス
• EP15.体外診断用医療機器のみに適用される原則

　米国の場合、医療機器業界向けのサイバーセキュリティについては保健福祉省（HHS）傘下の食品医薬品局（FDA）がガイドライン類を整備する一方、医療機器を導入・運用する医療施設向けのサイバーセキュリティについては、医療保険の相互運用性と説明責任に関する法律（HIPAA）を所管するHHS傘下の公民権室（OCR）や、重要インフラを所管する国土安全保障省（DHS）傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）などがガイドライン類の整備を行ってきた。

　これに対してオーストラリアの場合、TGAが、2016年に制定された「オーストラリアサイバーセキュリティ戦略」（関連情報）や医療機器基本原則をベースとして、包括的な観点から、業界向けおよび医療施設／ユーザー向け双方のガイドラインを取りまとめている。

　今回公表された「業界向け医療機器サイバーセキュリティ・ガイダンス第1版」では、以下のような事業者を対象としている。

• ――スタンドアロンの医療機器向けまたはソフトウェア・アズ・ア・メディカルデバイス（SaMD）として使用されるソフトウェアを開発する製造業者（設計時に人工知能を組み込む機器を含む）
• ――サイバーベースの脅威に対して脆弱な可能性のあるコンポーネントを含む医療機器（体外診断用医療機器を含む）の製造業者
• ――オーストラリアにおける医療機器の供給に責任のある医療機器のスポンサーで、安全および品質が証明され、基本原則の順守が維持されていることを保証する者

　本連載第27回で取り上げたSaMDも、TGAのサイバーセキュリティの規制対象として明記されている。

　TGAは、図1に示すような形で、IoT（Internet of Things）、デジタルヘルス／IoMT（Internet of Medical Things）、医療情報技術、規制対象医療機器などの関係を捉えた上で、これらの技術に潜む脆弱性（Vulnerabilities）に注目し、悪用（Exploits）、脅威（Threats）、リスク（Risks）といったサイバー関連課題の解決に役立つものとして、サイバーセキュリティを位置付けている。

図1　進化するデジタルヘルスとサイバーの動向（クリックで拡大） 出典：Therapeutic Goods Administration（TGA）「Medical device cyber security guidance for industry」（2019年7月18日）