　2024年3月31日以前に製造販売の承認／認証／届け出が済んでいて、今後も製造販売する予定の医療機器については、厚生労働省の事務連絡「医療機器の基本要件基準第12条第3項の適用に関する質疑応答集（Q&A）について」において、JIS T 81001-5-1の「附属書F トランジションヘルスソフトウェア」（以下、附属書F）を適用するとされています。トランジションヘルスソフトウェアとは、JIS T 81001-5-1の箇条4～9の全ての要求事項への適合がされないまま開発されたソフトウェアを指します。これは、JIS T 2304（医療機器ソフトウェアライフサイクルプロセス規格）が規定する「レガシーソフトウェア」と類似します。附属書Fには、トランジションヘルスソフトウェアへの要求事項が規定されています。

　附属書Fに適合するために必要な主な対応は以下のようになります。

当該医療機器が規制対象となるか否かを確認し、対象となる場合にはその範囲を確認すること
セキュリティ要求事項を文書化すること
システムレベルの試験を実行し文書化すること
リスクマネジメントプロセスを実行し文書化すること
セキュリティに問題がある場合はJIS T 81001-5-1に従い再開発するか、セキュリティを改善すること
保守プロセスへの移行計画を策定し実行すること

　つまり、製造販売済みの医療機器は、附属書Fに適合させ、移行計画に従い保守プロセスを実行する必要があります。医療機器事業者は、2024年4月1日以降に承認／認証申請を行う医療機器への対応はもちろんのこと、既に製造販売済みの医療機器に対して、この附属書Fへの適合を急いで進めている状況となっています。

サイバーセキュリティへの技術的な課題

　医療情報システムと医療機器のどちらにおいても、規制要求に基づくアウトプットは異なるものの、技術的なアプローチに大きな違いはないと考えられます。重要な点は、IoT（モノのインターネット）機器やシステムに対して、セキュリティ観点でのリスクマネジメントを行い、最新の技術に基づく対策を講じ、有効なセキュリティ試験を行い、リリース後も継続的に安全管理（脆弱性の監視、対策）を行うことです。セキュリティに関する技術は一朝一夕で身につくものではなく、高い専門性が求められます。

　総務省の調査「セキュリティ対策の課題」によると、セキュリティ人材の確保が大きな課題となっています。医療情報システムや医療機器の事業者においても、サイバーセキュリティに関する人材確保が課題であるとの声を多く聞きます。特に医療機器では規制要求の経過措置期間が1年と異例の短期間であることから、業界では外部ベンダーへの委託も含めたセキュリティ人材の奪い合いが起きているような状況です。各事業者は、長期的には社内での人材育成を図るとともに、外部ベンダーの活用も含めたサイバーセキュリティ対策が必要となります。

今後の見通し

　本連載は、医療分野のサイバーセキュリティの最新動向を伝えるとともに、これを受けた国内における規制の動向や、メーカーが必要な対応を説明してきました。サイバー攻撃を巡る技術の高度化は日進月歩であり、今後も技術の発展やサイバーセキュリティを取り巻く環境の変化に応じて、規制はアップデートされていくものと考えられます。また、医療分野に限らず、EUサイバーレジリエンス法のようにデジタル製品全般へのサイバーセキュリティ対策が広がっていくことでしょう。サイバーセキュリティには非常に高い専門性が求められるため、技術や規制のアップデートに伴い、セキュリティベンダーの活用も含めた体制を構築し、対応を進めていかなければなりません。

　サイバーセキュリティの強化は目に見える機能や性能を向上させるものではなく、投資に及び腰の企業も多いと考えられます。しかし、サイバーセキュリティの確保はもはや安全に医療機器や医療情報システムを扱うための前提であり、必須事項です。サイバーセキュリティが確保されない製品は決して医療機関で使われ続けることはなく、自然とそのような製品は市場で淘汰（とうた）されていくことでしょう。本連載が読者のサイバーセキュリティ対策の一助となることを願います。（連載完）

筆者プロフィール

富士ソフト伊藤健 システムインテグレーション事業本部インフォメーションビジネス事業部第2技術部第1技術グループ課長／フェロー

富士ソフトで多くの医療機器／医療情報システム開発に従事し、医療業界のさまざまな知見を獲得。同社内にて、医療機器／医療情報システム開発に必要となる各種サービス／ソリューションの立ち上げなど、市場の動向に合わせたサービスを企画、推進している。自身としても医療の法規制に関するコンサルタントとして活動している。

・富士ソフトWebサイトの伊藤氏執筆記事まとめ

≫連載「医療サイバーセキュリティ最新動向」のバックナンバー
急ピッチで整備が進む国内の医療関連サイバーセキュリティ規制
医療分野におけるサイバーセキュリティの最新動向を紹介するとともに、今後の医療機器開発の進め方などについて説明する本連載。第2回は、国内における医療関連分野を中心としたサイバーセキュリティの規制動向を取り上げる。
医療分野で急増するサイバー攻撃、政府の対応はどこまで進んでいるのか
医療分野におけるサイバーセキュリティの最新動向を紹介するとともに、今後の医療機器開発の進め方などについて説明する本連載。第1回は、医療分野で急増するサイバー攻撃の状況と日本政府の対応を取り上げる。
米国でヘルスケアデータを扱う非医療機器の規制がさらに強化される理由
本連載第8回で取り上げた米国の「非医療機器（Non-SaMD）」を取り巻くプライバシーやサイバーセキュリティの規制が大きく変わりつつある。
米国で急加速するゲノムデータのサイバーセキュリティ対策
本連載第84回および第88回で米国のバイオエコノミー研究開発推進施策を取り上げたが、その中からサイバーセキュリティ対策の進捗状況について取り上げる。
欧州はGDPRを起点にデータ保護エンジニアリングへ、医療分野はじめ新産業創出も
本連載第83回で、保健データ越境利用の社会実装に向けたEUの制度的仕組みづくりを取り上げたが、技術面では、GDPRを起点とするプライバシー保護技術の標準化と産業創出支援の活動が進んでいる。