緊急事態下でも持続可能な医療機器サプライチェーンの仕組みを維持するためには、ユーザーとなる医療機関側の調達体制の標準化・効率化に向けた取組が必要となる。これはサイバーセキュリティの分野でも同じだ。
2020年2月24日、欧州ネットワーク情報セキュリティ庁(ENISA)は、病院の医療専門家向けに、サイバーセキュリティの目的を満たす調達プロセスの改善方法についての標準的な指針を提供することを目的として、「病院におけるサイバーセキュリティ向け調達ガイドライン」(関連情報)を公表した。
この調達ガイドラインでは、本連載第51回で触れた「一般データ保護規則(GDPR)」および「ネットワーク・情報システムのセキュリティに関する指令(NIS指令)」と、前述の「医療機器規則(MDR)」の順守を前提とした上で、図3のように、病院における調達のタイプを整理している。ハードウェア、ソフトウェア、サービスが複雑かつ多岐にわたっているのが特徴だ。
そして、病院に対する脅威について、以下の5つを柱に定義している。
次に図4は、病院における調達プロセスのライフサイクルを示している。
ENISAのガイドラインでは、一般的なプラクティスと、図4中の「計画」(1〜2)、「ソース」(3〜5)、「管理」(6〜8)の各フェーズについて、以下のようなサイバーセキュリティ調達関連事項およびグッドプラクティスを整理している。
医療機器企業としては、調達プロセスにおける医療機関との共通サイバーセキュリティルールをうまく活用して、自社製品・サービスの企画・設計から実装、運用管理、廃棄に至るまでの製品ライフサイクル全体をカバーできるルールを整備していく必要がある。そのような体制を準備・構築・維持できれば、新型コロナウイルス感染症拡大期のような緊急事態下でも、重要インフラ調達時に要求されるサイバーセキュリティ要件をスムーズにクリアすることができるだろう。
中国も、米国も、欧州も、新型コロナウイルス感染症拡大期の中で、新しいイノベーションの実現に向けた臨床技術開発や制度的な仕組みづくりが始まっている。まさに今は、日本市場から海外に向けてどのようなソリューションを提供できるかを再考する好機でもある。
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.