特集記事

医療機器のサイバーセキュリティの現状と展望(2)

5.日本における規制と工業会の対応

厚生労働省はこれらの状況を受け、2015年4月28日に厚生労働省通知「医療機器におけるサイバーセキュリティの確保について」を発出した(https://www.pmda.go.jp/files/000204891.pdf)本通知において、サイバーリスクについても既知または予期しうる危害として識別し、必要な措置を行うことを製造業者に求めた。具体的には以下の3点である。(筆者要約:正式には原文を参照願う)

(1)サイバーリスクを含む危険性を評価・除去し、適切な対策を行うこと。
(2)サイバーセキュリティの確保が出来ていない機器に対する注意喚起を行うこと。
(3)医療機関においてサイバーセキュリティの確保が出来るように、必要な情報を提供して連携を図ること。

この通知は日本においては他の業種の対応と比較して先進的かつ画期的なものであった。他の業界においては、例えばPL法のような既存の枠組みの中でサイバーセキュリティに対処しようとしていた時期に、Safetyのリスクマネジメントにおいてサイバーリスクをハザードとして定義することを医療機器製造業者に要求している。(サイバーリスクをリスクマネジメントの対象として求めた業種横断的なガイドラインとしては、総務省と経済産業省による「IoTセキュリティガイドライン」があるが、発行されたのは厚生労働省通知の一年以上後の2016年7月である。)

サイバーリスクをハザードとして定義した例

この厚生労働省通知において重要なのは(2)と(3)である。既存の実際に使用されているサイバーセキュリティの確保が出来ていない医療機器を許容した上で、残存リスクがある旨を利用者に注意喚起させ、医療機関の組織としての情報セキュリティ対策を施すことで、既存の機器のセキュアゾーン内などでの利用を可能としている。既存製品の回収のような重大なインパクトを与えず、医療機器製造業者各社に追加のリスクアセスメントを求めることでサイバーセキュリティ対策を啓発する非常にバランスの取れたものとなっている。

通知発行後の対応を見ると、医療機器製造業者においては製品のライフサイクルマネジメントの必要性はsafetyマネジメントの観点から十分に認識されており、納入後のサポートを含めた医療機器製造業者の対応は従来から行われていたため、脆弱性の修正が容易に出来るか否かは別として、出荷後の保守対応の考え方は問題なく受け入れられた。

現実の運用においては、医療機器製造業者は医療機器に対してどのようなセキュリティ対策が行われているかを利用者に対して明確にすることが求められており、医療機関は機器単体では未対策な残存リスクに対する防護を組織としての技術的対策や運用的対策などでカバーする必要がある。

医療機関と医療機器製造業者の役割分担

実際に通知が発行された後の工業会の対応も迅速であった。JEITA(一般社団法人 電子情報技術産業協会)、JIRA(一般社団法人 日本画像医療システム工業会)、JAHIS(一般社団法人 保健医療福祉情報システム工業会)の医療機器に関連する三工業会が合同のプロジェクトチームを設置し、各国の具体的な規制やガイダンス、国際標準化の動向を踏まえ、各工業会の会員に対するサイバーセキュリティ対策の周知や啓発活動を積極的に実施した。

特にJAHISとJIRAの合同WGにより策定された「製造業者による医療情報セキュリティ開示書」ならびにその記述方式を解説したガイドは厚生労働省通知への対応を説明する上で非常に有用な文章となっている。医療機関が遵守すべき「医療情報システムの安全管理に関するガイドライン」における要求事項に対する技術的対策の対応状況をチェックシートに記載可能となっており、医療機関から見れば、業界統一フォーマットで医療機器や医療情報システムの情報セキュリティ対策機能を集積し、医療機関のセキュリティマネジメントに役立てることが可能となっている。

また、JEITAからは2017年3月に「医療機器サイバーセキュリティ技術報告書」が発行され、医療機器のサイバーセキュリティに関する規制や国際標準、業界標準など、会員会社がリスクマネジメントを実施する上での判断材料を提供している。

6.今後に向けて:関係者の協調による対応の必要性

サイバーセキュリティに対処するには、医療機器に対する医療安全を守る医療機器製造業者、組織としての情報セキュリティ対策を行う医療機関、脆弱性情報の分析や情報提供を行うセキュリティの監視機関、規制やガイダンスを提供する国や自治体などが協調して対応する必要があり、どれが欠けても適切な対策を実施できない。

医療機器のサイバーセキュリティにおける関係者

情報共有の仕組みやインシデント発生時のエスカレーションルールの策定など、迅速に対応できる仕組みの構築が求められる。JAHISに所属する筆者としても、関係団体と連携してより適切な対応体制を構築すべく鋭意努力していきたいと考えている。


著者紹介:茗原秀幸〔一般社団法人保健医療福祉情報システム工業会(JAHIS)セキュリティ委員会 委員長〕

1987年明治大学政治経済学部経済学科卒業、同年三菱電機株式会社入社。1998年からヘルスケアセキュリティ関連の営業、事業企画、技術企画などを歴任。並行して工業会などを通じて国際標準化活動に参画し、現在に至る。現在の主な役職は以下のとおり。

  • ISO/TC215 WG4 vice convenor
  • ISO/TC215国内対策委員会 WG4作業部会 副部会長
  • 日本HL7協会 セキュリティWGリーダー
  • 保健・医療・福祉情報セキュアネットワーク基盤普及促進コンソーシアム 運用検討WG主査

←1 医療機器サイバーセキュリティの現状と対策 2

カテゴリー: