国際標準化が加速する医療機器サイバーセキュリティ、AI活用の前提条件に:海外医療技術トレンド(53)(1/4 ページ)
本連載では、ソフトウェア・アズ・ア・メディカル・デバイス(SaMD)の国際協調に向けた取り組みを紹介しているが、サイバーセキュリティでも同様の動きが本格化している。この医療機器サイバーセキュリティは、医療分野におけるAI(人工知能)活用の前提条件になってきそうだ。
連載第20回で、ソフトウェア・アズ・ア・メディカル・デバイス(SaMD)の国際協調に向けた取り組みを紹介したが、サイバーセキュリティでも同様の動きが本格化している。
国際医療機器規制当局フォーラムがサイバーセキュリティ原則草案を公表
連載第43回で取り上げたように、国際医療機器規制当局フォーラム(IMDRF)は、2018年9月、米国食品医薬品局(FDA)とカナダ保健省を共同座長とする「医療機器サイバーセキュリティ作業部会」を立ち上げた。医療機器サイバーセキュリティ作業部会は、オープンな議論と、全てのステークホルダーが理解できて実行可能なベストプラクティスの共有によって医療機器サイバーセキュリティに関する国際規制の集約を促進することを目標としている。
同作業部会は、医療機器のライフサイクル全体にわたる製造業者、医療機関、規制当局、ユーザーなど、全ての責任あるステークホルダー向けに医療機器サイバーセキュリティ指針を提供する文書の策定に重点を置いている。その後、2019年10月1日には、「医療機器サイバーセキュリティの原則とプラクティス」草案(関連情報)を公開し、パブリックコメントの募集を開始した(募集期間:2019年12月2日まで)。
今回公開した草案では、医療機器リスクマネジメントに関する国際標準規格「ISO 14971」および医療機器の品質マネジメントシステムに関する国際標準規格「ISO 13485」に準拠して、主要なステークホルダーが医療機器サイバーセキュリティの安全性および有効性を保証するための一般原則として、以下のような項目を揚げている。
- トータル製品ライフサイクル(TPLC)
- 共有された責任
- 情報共有
- 特定、保護、検知、対応、復旧する能力
- 国際調和
このうち、「トータル製品ライフサイクル(TPLC)」では、図1のようなセキュリティ・リスクマネジメント・プロセスを参照している。
図1 セキュリティ・リスクマネジメント・プロセスのスキーマ(クリックで拡大) 出典:International Medical Device Regulators Forum(IMDRF)「DRAFT DOCUMENT: Principles and Practices for Medical Device Cybersecurity」(2019年10月1日)
このスキーマは、「セキュリティリスク分析」から、「セキュリティリスク評価」、「セキュリティリスクコントロール」、「全体の残余セキュリティリスク受容可能性評価」、「セキュリティリスクマネジメント報告」、「生産および生産後の情報」に至るまでのプロセスから構成される。その上で、医療機器製造業者に対しては、リスクマネジメントプロセスの一環として、以下の4つの対策が必要だとしている。
- あらゆるサイバーセキュリティ脆弱(ぜいじゃく)性の特定
- 関連するリスクの推定と評価
- これらのリスクを許容できるレベルまでのコントロール
- リスクコントロールの有効性のモニタリング
次に、原則の「共有された責任」では、主要なステークホルダーとして、医療機器製造業者、医療機関、ユーザー、規制当局、脆弱性の発見者を挙げた上で、全てのステークホルダーが、医療機器のライフサイクル全体にわたって、潜在的なサイバーセキュリティリスクと脅威に関する継続的なモニタリング、評価、低減、伝達の責任を有するとしている。
「情報共有」では、医療機器および接続された医療インフラストラクチャの安全性、有効性、完全性、セキュリティに影響を及ぼす可能性があるサイバーセキュリティインシデントや脅威、脆弱性に関する協働やコミュニケーションを促進するために、全てのステークホルダーが積極的に情報共有分析組織(ISAOs)へ参画するよう推奨している。
「特定、保護、検知、対応、復旧する能力」では、米国立標準技術研究所(NIST)が策定した「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」より、5つのコア機能を参照している(関連情報:連載第35回)。
「国際調和」では、イノベーションを促進し、安全性および有効性のある医療機器への迅速な患者のアクセスを可能にする一方、患者安全の維持を保証するために、世界の医療サイバーセキュリティへの取り組みが集約される必要があるとしている。国際調和の対象範囲としては、製品設計、機器ライフサイクルにわたるリスクマネジメント活動、機器表示、規制提出の要求事項、情報共有、市販後活動を挙げている。
連載第43回で触れたように、医療機器サイバーセキュリティ作業部会の共同座長を務めるカナダ保健省は、医療機器製造におけるセーフティとセキュリティの連携・融合に向けた取り組みを推進している。このような流れがグローバルな原則に反映されると、長年、セーフティ重視の品質マネジメントシステム(QMS)に取り組んできた医療機器メーカーは、どのようにサイバーセキュリティ・マネジメントのコントロール策を組み込んでいくかが課題となる。
また、米国FDAと同様にカナダ保健省も、医療機器製造業者に対し、NISTサイバーセキュリティフレームワーク1.1版に基づく管理策を講じることを推奨しており、今後はグローバルレベルで、医療機器に関わるサプライヤーから製造業者、医療機関、患者・家族に至るまでのサイバーサプライチェーンリスクマネジメントのコントロール策を整備することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.