　この調達ガイドラインでは、本連載第51回で触れた「一般データ保護規則（GDPR）」および「ネットワーク・情報システムのセキュリティに関する指令（NIS指令）」と、前述の「医療機器規則（MDR）」の順守を前提とした上で、図3のように、病院における調達のタイプを整理している。ハードウェア、ソフトウェア、サービスが複雑かつ多岐にわたっているのが特徴だ。

図3　病院における調達のタイプ（クリックで拡大）出典：The European Union Agency for Cybersecurity (ENISA)「Procurement Guidelines for Cybersecurity in Hospitals」（2020年2月24日）

　そして、病院に対する脅威について、以下の5つを柱に定義している。

自然現象
サプライチェーン障害
人的エラー
悪意のある行動
システム障害

　次に図4は、病院における調達プロセスのライフサイクルを示している。

図4　病院における調達プロセスのライフサイクル（クリックで拡大）出典：The European Union Agency for Cybersecurity (ENISA)「Procurement Guidelines for Cybersecurity in Hospitals」（2020年2月24日）

　ENISAのガイドラインでは、一般的なプラクティスと、図4中の「計画」（1～2）、「ソース」（3～5）、「管理」（6～8）の各フェーズについて、以下のようなサイバーセキュリティ調達関連事項およびグッドプラクティスを整理している。

一般的なプラクティス
- 調達におけるIT部門の関与
- 脆弱性管理
- ハードウェア／ソフトウェア・アップデートのためのポリシー構築
- セキュアな無線通信
- 検証ポリシーの策定
- 事業継続計画の策定
- 相互運用性の課題の考慮
- 監査やロギングの許容
- 暗号化の利用
計画フェーズ
- リスク評価の実施
- 要求事項の事前計画
- アイデンティティー脅威
- ネットワークの分離
- サプライヤー向け適格基準の策定
- クラウド向け専用提案依頼書（RFP）の構築
ソース・フェーズ
- 認証の要求
- データ保護影響評価（DPIA）の実施
- レガシーシステムの取り扱い
- サイバーセキュリティ・トレーニングの提供
- インシデント対応計画の開発
- インシデント管理におけるサプライヤーの関与
- 維持運用の編成
- セキュアな遠隔アクセス
- パッチ当ての要求
管理フェーズ
- サイバーセキュリティの認識の高揚
- 資産在庫および構成管理遂行
- 医療機器設備向け専用アクセス制御メカニズム
- 頻繁なまたはアーキテクチャ／システム変更後のペネトレーションテストのスケジュール設定

　医療機器企業としては、調達プロセスにおける医療機関との共通サイバーセキュリティルールをうまく活用して、自社製品・サービスの企画・設計から実装、運用管理、廃棄に至るまでの製品ライフサイクル全体をカバーできるルールを整備していく必要がある。そのような体制を準備・構築・維持できれば、新型コロナウイルス感染症拡大期のような緊急事態下でも、重要インフラ調達時に要求されるサイバーセキュリティ要件をスムーズにクリアすることができるだろう。

　中国も、米国も、欧州も、新型コロナウイルス感染症拡大期の中で、新しいイノベーションの実現に向けた臨床技術開発や制度的な仕組みづくりが始まっている。まさに今は、日本市場から海外に向けてどのようなソリューションを提供できるかを再考する好機でもある。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
新型コロナウイルスに立ち向かう中国デジタル大手、今も生きる経済危機の経験
2020年に入ってから、中国湖北省の武漢市から拡大した新型コロナウイルス感染症「COVID-19」の影響が世界的な注目を集めている。このような緊急時にITは何ができるのだろうか。中国の大手デジタルプラットフォーマーであるBATH（Baidu、Alibaba、Tencent、Huawei）を中心に取り組みを紹介する。
米国は新型コロナウイルスに「バイオディフェンス」で対応、イノベーション創出も
2020年に入ってから、中国湖北省の武漢市から拡大した新型コロナウイルス感染症「COVID-19」の影響が世界的な注目を集めている。今後の感染拡大がささやかれる米国だが、この新型コロナウイルス感染症にどのように対応しようとしているのだろうか。
社会課題解決型デジタルヘルスで注目されるEU、調整役はエストニア
次なる高齢化の波が押し寄せているEUでも、社会課題解決型デジタルヘルスの新たな取り組みが進んでいる。その調整役になっているのがエストニアだ。
北欧型AI戦略とリビングラボから俯瞰する医療機器開発の方向性
本連載で取り上げた北欧・バルト海諸国のヘルスデータ改革の波は、AI（人工知能）戦略と融合しようとしている。
バルト・北欧諸国でつながるヘルスデータ改革の波と持続可能な開発目標「SDGs」
ICTや健康医療・介護福祉の先進国が集中するバルト・北欧諸国は、ヘルスデータ交換基盤の標準化・共通基盤化でも、世界をけん引している。日本でも取り組みが始まった、持続可能な開発目標（SDGs）でも先行している。
欧州の医療機器規制改革とサイバーセキュリティ動向
欧州連合（EU）では、ICT基盤を支える一般データ保護規則（GDPR）やサイバーセキュリティに加えて、医療機器規制全体を取り巻く改革が進んでいる。
デンマークの医療サイバーセキュリティ戦略とEU域内標準化
データドリブン・アプローチの国として知られるデンマーク。医療サイバーセキュリティ戦略ではどのような方針で進めているのだろうか。