表3　「ユーザー向け医療機器サイバーセキュリティ情報第1版」の構成（クリックで拡大）出典：Therapeutic Goods Administration（TGA）「Medical device cyber security guidance for industry」（2019年7月18日）を基にヘルスケアクラウド研究会作成

　ユーザー向けガイダンスでも、医療機器基本原則（EP）やNISTサイバーセキュリティフレームワーク1.1版に準拠したリスクマネジメント戦略を採っている点は同じである。

　そして、患者・消費者向けガイダンスでは、ACSCが消費者・小規模事業者向けに策定した「ステイ・スマート・オンライン」（関連情報）の主要項目を参照している。

　小規模事業者向けガイダンスでは、同じくACSCが策定した「エッセンシャル・エイト成熟度モデル」より、以下の8項目を参照している。

【マルウェアの配布および実行を予防する低減戦略】

1.アプリケーションのホワイトリスト化
2.アプリケーションのパッチ適用
3.Microsoft Officeマクロ設定の構成
4.アプリケーションのハードニング

【サイバーセキュリティ・インシデントの範囲を抑制する低減戦略】

5.管理者特権の制限
6.OSのパッチ適用
7.多要素認証

【データおよびシステムの可用性を回復する低減戦略】

8.日常的なバックアップ

　コンパクトにセキュリティ要求事項が整理されたエッセンシャル・エイトは、要員や予算に限界があるスタートアップ企業にとって参考になる点が多い。

　また、大規模サービス供給者向けガイダンスでは、サービス供給者に適用される標準規格として、以下の4つおよびNISTサイバーセキュリティフレームワーク1.1版を挙げている。

IEC 80001シリーズ（医療機器を組み込むITネットワークのためのリスクマネジメントの適用）
ISO/IEC 15408シリーズ（ITセキュリティ評価基準）
ISO/IEC 30111（情報技術－セキュリティ技術－脆弱性取扱手順）
ISO 27799（医療情報－健康分野におけるISO/IEC27002を活用した情報セキュリテイマネジメント）

　さらに、サイバーセキュリティ・インテリジェンスと脅威の共有では、業界向けガイダンスと同様に、ACSCやAusCERTとの連携を挙げている。

医療機器サイバーセキュリティやMaSD、AIを巡る国際協調の動き

　なおTGAは、2019年2月13日、「コンサルテーション：ソフトウェア・アズ・ア・メディカルデバイス（SaMD）を含むソフトウェアの規制」（関連情報）を公表し、パブリックコメントを募集している（受付期間：2019年3月31日）。ここでいうSaMDには、人工知能（AI）や機械学習（ML）を利用したアルゴリズムに依存するソフトウェアも含まれている。

　SaMDは、今回TGAが公表した医療機器サイバーセキュリティガイドラインの対象として明記されており、AI／機械学習を利用したSaMDについても、トータル製品ライフサイクルのアプローチに基づいて、サイバーセキュリティ要件を検討することになる。

　本連載第43回）で取り上げたように、国際医療機器規制当局フォーラム（IMDRF）の医療機器サイバーセキュリティ作業部会では、米国とカナダがリード役を担っている。また、米国、カナダ、オーストラリア、日本は、国際規制調和策の一環として、第三者調査機関を使った単一調査実現を目的とする「医療機器単一調査プログラム（MDSAP）」に参画している。

　他方、人工知能（AI）に関わる国際ルールづくりでは、第46回で取り上げたように、2018年G7サミット議長国を務めたカナダ政府と、2019年のG7サミット議長国を務めるフランス政府が連携している。

　2019年8月24日～26日のG7ビアリッツサミット開催を控え、今後、医療機器サイバーセキュリティやMaSD、AIを巡る国際協調が加速するか否か注目される。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
TPP11とG20大阪サミットで注目されるカナダの医療機器サイバーセキュリティ規制
米国やオーストラリアで進む医療機器のサイバーセキュリティ規制改革だが、その国際規制調和をリードしているのがカナダだ。TPP11が発効し、G20大阪サミットも控える中で、同国の取り組みに注目が集まっている。
欧米に負けないオーストラリアのデジタルヘルス、NSW州にみるMedtechと地域創生
欧米にも負けないスピード感で地域単位のデジタルヘルスに取り組んでいるオーストラリア。同国で最大規模となるニューサウスウェールズ（NSW）州における、医療技術（MedTech）産業の振興と地域創生の取り組みを見てみよう。
大阪の姉妹都市メルボルンに見る地域発デジタルヘルスの展開
大阪市と1978年から姉妹都市提携を結んでいるオーストラリアのメルボルン市。両市の姉妹都市提携40周年事業の一環で開催された「メルボルン×大阪　ヘルスケア・イノベーション交流セミナー」の模様とともに、メルボルン市の先進的なデジタルヘルスの取り組みを紹介する。
デジタルヘルスと高齢化の施策で互いの将来を俯瞰するオーストラリアと日本
世界各国で進んでいるデジタルヘルス推進施策だが、日本と同じアジア太平洋地域も同様だ。電子カルテ普及率が9割を超えるオーストラリアは、日本の将来を俯瞰する上で参考になる。オーストラリアにとっても、今後の課題となる高齢化施策は日本の取り組みが参考になりそうだ。
トランプ政権下でも着々と進む米国のデジタルヘルス規制の枠組みづくり
「医療機器」と「非医療機器」の双方に重なり合うデジタルヘルス。米国では、イノベーション促進に向けた規制の枠組みづくりが本格化している。