コネクティッドデバイスのセキュリティが重要視される理由

FDAは病院でネットワーク化された医療機器の規制に向けて監督を強化する方向に進んでいる。

By: Chris Newmarker(オリジナルの英文記事はこちら

米国保健福祉省の観察総監室はto-doリストに新たな項目を加えた。それは、ハッキングの「高まる脅威」に対して病院でネットワーク化された医療機器の保護についてFDAが十分に監督できているかを調査することである。

この新しい目標は最近発表された観察総監室の新年度の作業計画の一部である。同室では、FDAが医療機器の安全性の確保だけでなく、患者の健康情報の保護を適切に監視しているかを調べることを計画している。

「電子医療記録(EMR)やより大規模な健康情報ネットワークと統合されている透析機器や放射線システム、投薬システムでは、個人の健康情報の安全性やプライバシーに関する脅威が増しています。これらの医療機器ではハードウェアやソフトウェアに加えて、患者の状態をモニターし、関連データを送受信するために、有線あるいは無線通信によるネットワークを使っています」と観察総監室では述べている。

この項目では、情報のセキュリティを評価する際に医療サービス提供者を支援するための「製造業者による医療機器セキュリティ開示説明書」“Manufacturer Disclosure Statement for Medical Device Security(MDS2)”フォームを医療機器メーカーが提供することが注記されている。

しかし、観察総監室のニュースは、医療機器ではサイバーセキュリティがますます懸念されるようになってきたというごく最近の徴候にすぎない。

Wired誌で「病院の装置をハッキングするのは容易」という記事は昨年(2014年)出された。実際に、医療機器を通じて気づかれることなく病院や他のヘルスケア機関をハッキングできることが、それを再現したTrapX氏のレポートからも明らかになった。

以前には、多くの医療機器メーカーのレーダーにハッカーが映っていなかったことは明らかである。Reuter紙では2014年に、「ヘルスケア業界には、金融業界や一般小売業界と比べてサイバー攻撃に対する備えがなく、今後サイバー攻撃の増大が懸念されます」というFBIの非公式の見解を引用している。

ヘルスケア業界ではすでに大きなセキュリティ侵害を経験している。例えば、Medtronicは年次報告で同社のコンピューターへの侵入というハッカーによる被害と、他の2つの医療機器会社も同様のハッキングを受けたことを報告している。

「これは戦争のようなものですが、攻撃に対する備えが十分ではありません。政府の保護を受けたハッカーもいます。これが私たちが直面している問題なのです」とOlayinka James氏(前・Zimmer社情報セキュリティ関連主任責任者、現・GEサイバーセキュリティ責任者)は2014年に語っていた。

一方で、Hospira社はハッキングに脆弱性があるとされた輸液システムについて、FDAのSafety Communicationを多く指摘されてきた。最近のものの1つではFDAは医療機関で使わないように勧告している。Hospiraでは既に、FDAが2013年に最初に取り上げた無関係の問題により、Symbiq輸液システムの製造と販売を中止している。

カテゴリー: