米国FDAが強化を求める医療機器のサイバーセキュリティ:海外医療技術トレンド(10)(3/3 ページ)
重要情報インフラの中でも、サイバー攻撃による脅威の拡大が顕在化している米国の医療界。医療のICTサプライチェーンを担う医療機器企業に対するセキュリティの要求事項も高度化している。
医療機器申請時から市販後対策へと広がるサイバーセキュリティ指針
その後FDAは、2014年10月、医療機器のサイバーセキュリティ管理に関わる承認申請手続の内容に関するガイドラインを公表している(関連情報、PDFファイル)。医療機器の設計・開発に際しては、以下のような要素に基づいたアプローチを推奨している。
- 資産、脅威、脆弱性の特定
- 機器の機能およびエンドユーザー/患者に対する脅威や脆弱性の影響評価
- 悪用可能性のある脅威や脆弱性が発生する可能性の評価
- リスクレベルと適切な低減戦略の決定
- 残存リスクとリスク受容基準の評価
サイバーセキュリティ機能については、NISTの「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.0版」に準拠して、以下のような事項を挙げている。
- 信頼できる利用者のみに制限されたアクセス
- 信頼できるコンテンツの保証
- 検知、対応、復旧
その上で、承認申請手続時のサイバーセキュリティに関する文書化について、以下のような推奨事項を挙げている。
- 機器に関する意図的、非意図的サイバーセキュリティリスクに関するハザード分析、低減策、設計上の考慮
- 実装するサイバーセキュリティ・コントロールとリスクを関連付けるトレーサビリティ・マトリックスの考慮
- 医療機器のライフサイクルを通して、安全性と効果を継続的に保証するために必要な、検証されたソフトウェアのアップデートとパッチを提供するための計画を述べたサマリー
- 医療機器ソフトウェアが完全性を維持することを保証する適切なコントロールを述べたサマリー
- 想定の利用環境に適したサイバーセキュリティ・コントロールに関する取扱説明書と製品仕様
さらにFDAは、2016年1月22日、医療機器の市販後管理向けサイバーセキュリティガイドライン草案を公表している(関連情報、PDFファイル)。同草案では、市販後対策の観点から、医療機関レベルでの機器運用やベストプラクティスの集積に焦点を当てている。具体的な市販後サイバーセキュリティ管理の原則として、以下のような項目を挙げている。
- サイバーセキュリティ脆弱性およびリスクの特定、検知のためのサイバーセキュリティ情報リソースのモニタリング
- 脆弱性の存在および影響の理解、評価、検知
- 脆弱性の入口と処理のためのプロセスの設置および伝達
- サイバーセキュリティリスクから保護、対応、復旧するための軽減策を構築するために必要な臨床パフォーマンスの明確な特定
- 調整された脆弱性の開示ポリシーと実践の採用
- 早期かつ実行前にサイバーセキュリティのリスクに対処する軽減策の導入
また、同草案では、図2のように、医療機器に要求される臨床パフォーマンスに対してサイバーセキュリティが及ぼすリスクを管理する手法として、セキュリティ脆弱性が悪用される可能性の評価軸と、悪用された場合、保健医療に及ぼすインパクトの重大度の評価軸のマトリックスによるアプローチを示している。
図2 医療機器に要求される臨床パフォーマンスに対するサイバーセキュリティリスク管理手法(クリックで拡大) 出典:FDA「Postmarket Management of Cybersecurity in Medical Devices - Draft Guidance for Industry and Food and Drug Administration Staff」(2016年1月)
加えて、FDAは、市販後管理におけるサイバーセキュリティ対策の推奨事項として、NH-ISACに代表される情報共有・分析組織(ISAO:Information Sharing Analytics Organization)の有効活用を掲げている。
これは、2015年2月13日に米国大統領のバラク・オバマ氏が署名した、政府と民間企業間でサイバー攻撃の脅威に関する情報共有を進めるための大統領令(関連情報)に準拠したアプローチであり、米国の医療機器メーカーにとっては目新しいものではない。ただし、日本では、医療分野に特化したサイバーセキュリティ情報共有の官民連携組織自体整備されていないので、米国市場での医療機器事業展開を図る日本企業にとっては、難題になるかもしれない。
なお、FDAの医療機器サイバーセキュリティに関するガイドライン類は、本連載第5回で取り上げた手術ロボットや、日本の医薬品医療機器等法で新設された医療ソフトウェアも適用対象としている。特に市販後対策の場合、メンテナンスサービスなど、医療機器のビジネスモデルに深く関わるので注意が必要だ。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 連載「海外医療技術トレンド」バックナンバー
医療機器にも情報セキュリティの脅威、IPAが調査報告書を公開
IPAが、医療機器に対する情報セキュリティの脅威や医療機器業界関係者の取り組み現状などをまとめた調査報告書「2013年度 医療機器における情報セキュリティに関する調査」を公開した。
米国が強化を進める手術ロボットの安全対策
ロボット産業振興策の成長分野として期待される医療。手術ロボットの事業化で先行する米国では、規制当局が市販後安全対策の監視体制の強化に乗り出している。
米国で進む医療機器とビッグデータ連携のためのルール整備
デバイスとしての医療機器は、モノのインターネット(IoT)を介してビッグデータと連携する。米国では、データ利活用に向けた標準化への取り組みも急ピッチで進んでいる。
米国の事例に見る、マルチデバイス化する「非医療機器」のリスク管理
近年、健康増進用途の消費者向けウェアラブル端末やモバイルソフトウェアなど、医薬品医療機器等法(薬機法)の適用対象外となる「非医療機器」のマルチデバイス化が進んでいる。それに伴ってどのようなリスクが出てくるのか。米国の動向をみてみよう。