医療機器のサイバーセキュリティリスクを“診断”、テストサービス提供開始：製造ITニュース（2/2 ページ）

テュフ ラインランド ジャパンは2021年4月15日、サイバー脅威に対する機器のリスクなどを評価する「医療機器のサイバーセキュリティ テストサービス」を医療機器メーカー向けに提供開始すると発表した。国内外で強まる医療機器のサイバーセキュリティリスクに対する法規制を念頭に、機器のリスクを洗い出すサービスを提供する。

[池谷翼，MONOist]

非輸出の医療機器もガイダンスの対象になり得る

　貝田氏は、米国と欧州、日本の3地域における医療機器のセキュリティリスクに対する法規制の現状についても解説した。

　同氏によると、3地域の中で法規制に関連した取り組みが最も進んでいるのは米国だという。医療機器の監督機関である食品医薬品局（FDA）は以前からサイバーセキュリティガイダンスを一般公開し、パブリックコメントを取り入れてその内容を洗練してきた。また、医療機器の市販前認可方式である「FDA 510K」の申請時にはサイバーセキュリティ関連文書の提出を要求する。文書内に記載されたセキュリティ対応が十分ではないと見なされた場合は、追加文書の提出が必要となり、最悪、認可を却下されるケースもあるという。

　また、患者の医療情報保護に関する法律である「HIPAA（Health Insurance Portability and Accountability Act）」は、個人情報の保護に関して厳しい規定を定めている。機器納入時には、機器に施したサイバーセキュリティ対策に関して医療機器メーカー側に説明が求められることもある。

機器販売開始の2年前にテストサービス開始を推奨＊出典：テュフ ラインライド ジャパン［クリックして拡大］

　欧州は「EU一般データ保護規則（GDPR：General Data Protection Regulation）」に代表されるように、3地域の中で個人情報保護に関する意識が最も高いという特徴がある。医療機器のサイバーセキュリティ対策に対しても高い関心を払っており、医療機器調整グループ（MDCG：Medical Device Coordination Group）が違反者への罰金を伴うセキュリティガイダンスを出している。

機器販売開始の2年前にテストサービス開始を推奨＊出典：テュフ ラインライド ジャパン［クリックして拡大］

　そして日本では、医療業界に関与する世界各国の監督機関が集う国際医療機器規制当局フォーラム（IMDRF：International Medical Device Regulators Forum）が作成したガイダンスを、早ければ2022年にも国内で適用開始すると厚生労働省が発表した。ガイダンス中にはサイバーセキュリティのリスクマネジメント対策が盛り込まれる予定である。国内販売される医療機器にも適用される可能性があるため「輸出を前提とした医療機器だけでなく、国内流通の予定がある医療機器も必要になる」（貝田氏）という。

機器販売開始の2年前にテストサービス開始を推奨＊出典：テュフ ラインライド ジャパン［クリックして拡大］

　これらのセキュリティを巡る法規制の動向を踏まえて、貝田氏はテストサービスの必要性について、「人間が健康診断を通じて身体異常の早期発見を行うのと同様に、機器に潜むリスクを理解することは重要だ。リスクを抑えるためにソフトウェア／ハードウェアに修正を加えなければならないケースもある。まずは問題を正確に把握して、必要な対策をピンポイントで講じるべきだ。ただ対策の必要性が分かっていても何から手を付ければよいか分からないというメーカーも多いだろう。その場合はテストサービスを利用してほしい」と指摘した。

⇒その他の「製造ITニュース」の記事はこちら