米国NISTが定めるIoT機器製造者向けセキュリティ指針と医療機器の関係性:海外医療技術トレンド(60)(3/3 ページ)
本連載第54回では、2020年1月1日に施行された「カリフォルニア州IoT機器セキュリティ法」を取り上げた。その後、新型コロナウイルス感染症への緊急対応に直面した米国だが、IoT機器の製造・販売プロセスに焦点を当てたサイバーセキュリティ指針の整備が進んでいる。
コミュニケーションを重視するIoT機器の市販後サイバーセキュリティ
IoT機器の市販後フェーズにおける活動項目をみると、コミュニケーションを重視している点が注目される。このうち「活動5:顧客とコミュニケーションするアプローチを定義する」では、市販後コミュニケーションの対象顧客に応じて、IoT機器製造業者は、以下のような質問への回答を想定すべきであるとしている。
- 顧客はどんな用語を理解するか?
- 顧客はどの程度の情報を必要とするか?
- どんな方法で/どこで、情報を提供するか?
- どのような方法で、情報の完全性を検証できるか?
- 顧客は、製造業者としての自分とコミュニケーションする必要があるか?
さらに、「活動6:顧客とコミュニケーションする内容とそれをコミュニケーションする方法を決定する」では、IoT機器製造者が顧客とのコミュニケーションに含めたいと考える以下の6項目について、想定すべき検討事項を挙げている。
- サイバーセキュリティリスクに関連する仮定
- サポートとライフスパンに対する期待
- 機器の構成と機能
- ソフトウェアのアップデート
- 機器の寿命の選択肢
- 技術的および非技術的手段
折しも2020年3月18日、本連載第53回で取り上げた国際医療機器規制当局フォーラム(IMDRF)の「医療機器サイバーセキュリティの原則とプラクティス」最終版が公開されている(関連情報、PDF)。NISTのIoT機器製造業者サイバーセキュリティ指針と同様に、IMDRFの医療機器サイバーセキュリティ指針も、市販前および市販後の各フェーズから構成されているが、市販後管理戦略では以下の5項目を考慮事項として掲げている。
- 市販後監視
- 脆弱性の開示
- パッチ当てとアップデート
- 復旧
- 情報共有(例:ISAOs)
医療機器の場合、市販後フェーズの対顧客コミュニケーションでは、メディカルアフェアーズ部門や医療機器情報担当者が重要な役割を果たしている。同じような仕組みがIoT機器製造者全体に広がるのか、それとも従来にない新たな仕組みや技術が導入されるのか、今後が注目される。
具体的なIoT機器サイバーセキュリティ機能を定義したNISTIR 8259A
一方、「NISTIR 8259A:IoT機器サイバーセキュリティ機能コア・ベースライン」では、「NISTIR 8259:IoT機器製造業者向けの基礎的サイバーセキュリティ活動」をベースとしながら、組織の機器だけでなく機器データやシステムおよびエコシステムを保護する、共通のサイバーセキュリティコントロールをサポートするために必要なデバイス機能(IoT機器サイバーセキュリティ機能)を定義している。具体的な機能項目は以下の通りである。
- デバイスの識別子
- デバイスの構成
- データ保護
- インタフェースへの論理的アクセス
- ソフトウェアのアップデート
- サイバーセキュリティ状態への認識
表1は、IoT機器サイバーセキュリティ機能のうち、デバイスの識別子に関する定義を示したものであり、機能の定義に続いて、共通要素、理論的根拠、IoTレファレンス例を整理している。
表1 IoT機器サイバーセキュリティ機能:デバイスの識別子(クリックで拡大) 出典:NIST「IoT Device Cybersecurity Capability Core Baseline」(2020年5月29日)
具体的な技術的サイバーセキュリティ対策の観点から入るのであれば、NISTIR 8259Aを参照した上で、組織的な仕組みや対策をまとめたNISTIR 8259を読んだ方が理解しやすい。
米国のIoT製造サイバーセキュリティ動向をみると、医療機器や自動車など、セーフティに厳格な業種・業界における取り組みが先導役となり、消費者向けIoT機器へと広がっていったケースが多々見受けられる。
加えて、IoTだけでなく、クラウドコンピューティング、ビッグデータ、フォグ/エッジコンピューティング、AI(人工知能)など、NISTが関わる新技術の標準化/共通化関連ドキュメントでは、健康医療やライフサイエンスに関わるユースケースが幅広く利用されている。その背景には、単一の企業や業種にとどまらない情報開示・共有、コミュニケーションに関わる制度的・技術的仕組みづくりの動きがある。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「海外医療技術トレンド」バックナンバー
新型コロナ対応で重要なオンライン診療と接触追跡技術、海外と日本の違いは
前回紹介した、新型コロナウイルス感染症(COVID-19)対応下の米国の遠隔医療サービスやモバイルヘルスの動向に続けて、今回は、日本の遠隔医療サービスやモバイルヘルスの技術が米国などと比較してどのような状況にあるかを見ていこう。
米国カリフォルニア州の新たな法規制「CCPA」が進める医療イノベーション
前回は国際レベルの医療機器サイバーセキュリティ動向を取り上げたが、米国カリフォルニア州に代表される地域レベルでも新たな取り組みが進んでいる。
国際標準化が加速する医療機器サイバーセキュリティ、AI活用の前提条件に
本連載では、ソフトウェア・アズ・ア・メディカル・デバイス(SaMD)の国際協調に向けた取り組みを紹介しているが、サイバーセキュリティでも同様の動きが本格化している。この医療機器サイバーセキュリティは、医療分野におけるAI(人工知能)活用の前提条件になってきそうだ。
米国NISTのIoTセキュリティリスク管理指針と医療機器
IoTデバイスのセキュリティリスク管理は医療機器業界の共通課題である。重要情報インフラに関わる医療機器ユーザーの技術標準化視点に立ったサイバーセキュリティのガイドライン整備を進めてきた米国のNIST(国立標準技術研究所)が2019年6月25日、IoTデバイスのセキュリティに関連する新たなガイドラインを公表した。
米国で具体化する輸血ポンプのサイバーセキュリティ対策
米国で具体的な動きを見せつつある医療機器のサイバーセキュリティ対策。医療機器ユーザーの視点に立ったガイドラインづくりも具体化している。