急展開した米国サイバーセキュリティ法が医療機器開発に及ぼす影響：海外医療技術トレンド（14）（3/3 ページ）

ホワイトハウス主導の米国サイバーセキュリティ法が2015年末から急展開を始めている。同法は保健医療分野の製品／システム開発にどのような影響を及ぼすのだろうか。

[笹原英司，MONOist]

米国で始まった保健医療分野のサイバーセキュリティ認証制度

　その後、2016年3月16日、HHSは、「サイバーセキュリティ国家行動計画」を受けた保健医療分野の組織横断的な取り組みとして、「ヘルスケア産業サイバーセキュリティ・タスクフォース」を立ち上げたことを公表した（関連情報）。タスクフォースには、政府機関（例：HHS、DHS、NIST、国防総省／退役軍人省）の他、安全認証機関（例：UL）、医療機関／医療保険者（例：Cook Children’s Health Care System、Kaiser Permanente、Anthem、Sutter Health、Catholic Health Initiatives、Hofstra Northwell School of Medicine）、医薬品／医療機器企業（例：Philips Healthcare、Merck ＆ Co.、Stryker Corp.、Quest Diagnostics）、テクノロジーベンダー（例：CareSet Systems、Imprivata, Inc.、Augmedix, Inc.、Symantec Corp.、I Am The Cavalry、FireEye, Inc.）が名を連ねている。同年4月21日には、創立総会を開催している（関連情報）

　そして4月5日には、ULが、ネットワーク接続型製品／システムのサイバーセキュリティ試験基準「UL 2900」シリーズに基づく「サイバーセキュリティ認証プログラム（UL CAP）」を開始したことを正式に公表した（関連情報）。

　「UL 2900」シリーズは、ソフトウェアのサイバーセキュリティに関する一般的な要求事項を記した「UL 2900-1」、ネットワーク接続された医療機器を含むヘルスケアシステムに関する要求事項を記した「UL 2900-2-1」（関連情報）、産業制御システムに関する要求事項を記した「UL 2900-2-2」、組織／プロセスに関する試験の一般的な要求事項を記した「UL 2900-3」（開発中）、実装／評価に関する一般的な要求事項を記した「UL 2900-4」（開発中）などから構成される。

　今後、米国市場での事業展開を狙う医療機器企業は、新規開発の初期段階から「UL 2900」シリーズなどのサイバーセキュリティ認証制度を念頭に置いたリスクマネジメント体制を構築するとともに、米国サイバーセキュリティ情報共有法に準拠した情報共有／分析組織（ISAO：Information Sharing and Analytics Organization）の構築に向けた準備を行う必要がある。

　特にISAOは、FDAが2016年1月22日に公表した、医療機器の市販後管理向けサイバーセキュリティガイドライン草案の推奨事項にもなっている（関連情報、PDFファイル）。欧米勢は、承認申請から市販後管理全般に渡るまでの製品ライフサイクル全体で、部門横断的な取り組みを本格化させており、それに合わせた組織改革も進んでいる。輸出志向のビジネスモデルを描く日本勢にとって、2016年は大きな正念場となるだろう。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara