欧州の医療機器規制改革とサイバーセキュリティ動向：海外医療技術トレンド（50）（3/3 ページ）

欧州連合（EU）では、ICT基盤を支える一般データ保護規則（GDPR）やサイバーセキュリティに加えて、医療機器規制全体を取り巻く改革が進んでいる。

[笹原英司，MONOist]

MDR／IVDRやNIS指令から強化が求められるインシデント対応

　なお、EUの医療機器規則（MDR）や体外診断用医療機器規則（IVDR）では、重大インシデント報告が要求されるケースについて、以下の2項目を掲げている。

• a）EU市場で利用可能な機器を含む重大なインシデント
• b）EU市場で利用可能な機器に関する現場の安全是正処置

　サイバーセキュリティリスクに関連して発生した重大インシデントで、上記に該当するものについては、EU域内統一基準として、規制当局への報告を要求している。

図5　セキュリティアラートのイベント発生時にすべきこと（クリックで拡大） 出典：Agence Nationale de Securite du Medicament et des Produits de Sante (ANSM)「Cybersecurity of medical devices integrating software during their life cycle」（2019年7月19日）

　ANSMのガイドライン草案では、セキュリティアラートのイベント発生時における対処方法について、図5のようなフローを示している。

　攻撃や攻撃の試みを受けた医療機器については、以下の4項目の考慮事項を満たすよう推奨している。

1. 患者向けの医療機器の安全な作動を保証する
2. 医療機器の可用性を保証する
3. 医療機器データの完全性と機密性を確認する
4. ユーザーに知らしめる

　加えて欧州NIS指令では、医療施設を含む重要インフラストラクチャで発生したサイバーセキュリティ・インシデント対応における各加盟国NIS所管官庁やコンピュータセキュリティインシデント対応チーム（CSIRT）ネットワークとの間の連携を重視している。フランスの場合、ANSSI傘下のCERT-FR（関連情報）が、インシデント対応における国家レベルの中枢機能を担っている。

　医療施設で日常的に作動する医療機器は、外部からのサイバー攻撃の発端となる可能性があるので、医療機器企業は、製品事業レベル（例．製品CSIRT）、企業組織全体レベル（例：企業CSIRT）、企業の枠を超えたレベル（例．ISAC／ISAO）のおのおので、インシデント対応に関する調整機能を整備しておくことが求められる。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara