IoT機器の市販後フェーズにおける活動項目をみると、コミュニケーションを重視している点が注目される。このうち「活動5:顧客とコミュニケーションするアプローチを定義する」では、市販後コミュニケーションの対象顧客に応じて、IoT機器製造業者は、以下のような質問への回答を想定すべきであるとしている。
さらに、「活動6:顧客とコミュニケーションする内容とそれをコミュニケーションする方法を決定する」では、IoT機器製造者が顧客とのコミュニケーションに含めたいと考える以下の6項目について、想定すべき検討事項を挙げている。
折しも2020年3月18日、本連載第53回で取り上げた国際医療機器規制当局フォーラム(IMDRF)の「医療機器サイバーセキュリティの原則とプラクティス」最終版が公開されている(関連情報、PDF)。NISTのIoT機器製造業者サイバーセキュリティ指針と同様に、IMDRFの医療機器サイバーセキュリティ指針も、市販前および市販後の各フェーズから構成されているが、市販後管理戦略では以下の5項目を考慮事項として掲げている。
医療機器の場合、市販後フェーズの対顧客コミュニケーションでは、メディカルアフェアーズ部門や医療機器情報担当者が重要な役割を果たしている。同じような仕組みがIoT機器製造者全体に広がるのか、それとも従来にない新たな仕組みや技術が導入されるのか、今後が注目される。
一方、「NISTIR 8259A:IoT機器サイバーセキュリティ機能コア・ベースライン」では、「NISTIR 8259:IoT機器製造業者向けの基礎的サイバーセキュリティ活動」をベースとしながら、組織の機器だけでなく機器データやシステムおよびエコシステムを保護する、共通のサイバーセキュリティコントロールをサポートするために必要なデバイス機能(IoT機器サイバーセキュリティ機能)を定義している。具体的な機能項目は以下の通りである。
表1は、IoT機器サイバーセキュリティ機能のうち、デバイスの識別子に関する定義を示したものであり、機能の定義に続いて、共通要素、理論的根拠、IoTレファレンス例を整理している。
具体的な技術的サイバーセキュリティ対策の観点から入るのであれば、NISTIR 8259Aを参照した上で、組織的な仕組みや対策をまとめたNISTIR 8259を読んだ方が理解しやすい。
米国のIoT製造サイバーセキュリティ動向をみると、医療機器や自動車など、セーフティに厳格な業種・業界における取り組みが先導役となり、消費者向けIoT機器へと広がっていったケースが多々見受けられる。
加えて、IoTだけでなく、クラウドコンピューティング、ビッグデータ、フォグ/エッジコンピューティング、AI(人工知能)など、NISTが関わる新技術の標準化/共通化関連ドキュメントでは、健康医療やライフサイエンスに関わるユースケースが幅広く利用されている。その背景には、単一の企業や業種にとどまらない情報開示・共有、コミュニケーションに関わる制度的・技術的仕組みづくりの動きがある。
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.