みなさまご無沙汰しております。Digital Health Timesで取り上げたいトピックがたくさんあるものの、なかなか筆が追いつかないまま、明日から2022年度であることに驚いている今日この頃です。
さて、今回の記事では、デジタルヘルス関連の医療機器開発において避けては通れないセキュリティ対策について、昨今発行された「医療機器のサイバーセキュリティに関する手引書」(以下、「手引書」という。)(1)について取り上げます。
手引書とIMDRFガイダンス
手引書についての説明を始める前に「IMDRFガイダンス」に触れておきたいと思います。皆さんは「IMDRF」を聞いたことがあるでしょうか?
IMDRFとは、「International Medical Device Regulators Forum」(国際医療機器規制当局フォーラム)(の略称で、医療機器規制における国際協調を目指し、複数国の規制動向関係者が様々なトピックでの議論を交わし、医療機器規制に関する文書を作成・公表しています。IMDRFガイダンスとは、IMDRFが発行するこれらの様々なガイダンスのことを指します。
IMDRFガイダンスの1つに「Principles and Practices for Medical Device Cybersecurity」(医療機器サイバーセキュリティの原則及び実践)(2)という、医療機器のサイバーセキュリティを構築する上で参考とすべき「サイバーセキュリティ対策の国際的な調和を図る」ことを目的とした文書があります。
昨年12月、このガイダンスを元に日本の医療機器製造業者向けに作成されたのが、今回の記事で取り上げる「手引書」であり、厚生労働省より発行されました。
この手引書は平成30年7月に公表された「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(3)に加えて対応すべきものとして、令和5年夏頃までの対応が求められており、今後、医療機器製造業者は手引書に従って医療機器を設計・開発・サポートしていくことが求められています。
手引書の位置づけ
今回の記事では、手引書内で定められている医療機器製造事象者への要求事項についてまとめていきますが、その前に、まずは手引書をどう利用すればいいのかを理解するため、手引書の概要と、その他のガイドラインと比べて何が違うのかを説明します。
手引書は先述の通り「医療機器のサイバーセキュリティに関して、国際整合性をとるため」に作成されたものです。手引書において、サイバーセキュリティとは、
情報及びシステムが不正な活動(不正なアクセス、使用、開示、中断、改変、破壊 等)から保護されており、機密性、完全性、可用性に関するリスクがライフサイクル全体に渡って受容可能なレベルに維持されている状態
と定義されており、国際整合化されたサイバーセキュリティの水準を本邦において満たすために必要な、医療機器の製造からサポート終了までの一連のTPLC(Total Product Life Ctcle)における要求事項をまとめています。
国全体の方針としては、令和5年までに「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準」を改訂し、手引書で要求されたサイバーセキュリティ対応を確認できるような体制を構築する予定となっているため、今年〜来年にはその基準を満たす必要があります。
関連するガイドラインと手引書の関係
手引書の中ではその他に考慮する必要のある法令やガイドラインとして以下のものが挙げられています。
- 医療情報の安全管理に関するガイドライン第5.1版(令和3年1月)(4)
- 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和三十五年法律第百四十五号)
- 医療機器におけるサイバーセキュリティの確保について(平成27年4月)
- 医療機器のサイバーセキュリティの確保に関するガイダンスについて(平成 30年7月24日)
これらの関係性をまとめたものが以下の図になります。
図から分かる通り、手引書の立ち位置は「医療機器セキュリティの中の主として従うべきガイドライン」であり、この手引書に則ることで旧来発行されていた医療機器周りのガイドラインはクリアできることになります。
加速する医療機器セキュリティ需要
昨今、医療機器セキュリティの必要性が叫ばれているのにはいくつかの背景があります。
- 近年の医療機器に対するサイバー攻撃の流行
新’sの記事(5)によれば、昨年の病院に対するランサムウェアによる被害は一昨年と比較して5倍に増えており、外国の病院では心臓モニターがランサムウェアに感染して停止されたがために胎児が亡くなってしまったという痛ましい事故が起こっています。
- 医療機器セキュリティ市場の伸び
様々な企業の市場調査を行っているSDKI.Incのリサーチ(6)によれば、医療機器セキュリティ市場自体の伸びは2031年までに35.59%上昇するとされており、この数値は同社のその他調査内容であるウイルスソフトウェア市場の伸び率である「10.8%」や、自動車セキュリティ市場の伸び率である「16.6%」と比較しても非常に大きい伸び率であることがわかります。
- 医療機器セキュリティ確保のための取り組みの未熟性
2022年2月に実施された病院に対するサイバーセキュリティ調査(7)によれば、「サイバー攻撃の脅威を感じている」という病院が9割以上であるにも関わらず、半分弱の病院では「予算が足りていない」と回答しており、また脆弱性の指摘された機器へのセキュリティ対応状況も同機器利用者の中で35%が未実施または不明、となっており、まだまだ医療機器へのサイバーセキュリティの対応は未発達であることがわかります。
このように医療機器セキュリティ分野は現在重要度の高い分野となってきており、故に医療機器製造事業者にはこれに対して、的確な対応が求められるようになってきています。では、その最重要指標となる手引書内では具体的にどのようなことが求められているのでしょうか?
手引書での要求事項
手引書では下記の図のように、製品の開発からサポート終了まで、すなわちTPLC(Total Product Life Cycle)全てに渡った対策が必要とされています。
内容のイメージが掴めるような部分のみの抜粋になりますが、図の内容について以下に簡単に取り上げます。(詳しい内容は手引書を参照ください。)
設計開発フェーズでの要求事項
| セキュリティ機能の製品への組み込み | 「製造業者/サービス事業者による 医療情報セキュリティ開示書(MDS2)チェックリスト」(8)などのセキュリティ強化に適した開発 |
| 最新のリスクマネジメント手法の適用 | TPLC全体に渡って、CVSSなどを利用した脆弱性評価や、受容可能なレベルでのリスクコントロールなどの、リスクベースアプローチの実施 |
| セキュリティ試験 | ファジングなどの一般的なセキュリティ試験に加えて、STIGs(Security Technical Implementation Guides)やCIS(Center for Internet Security)ベンチマークを利用した定量的セキュリティ評価等を利用した可視化などによるセキュリティコントロールの適切な実施の証明 |
| セキュア運用のためのユーザーへの情報提供 | ソフトウェア部品表(SBOM=Software Bill of Materials)やMDS2を中心としたエンドユーザーへセキュリティ情報を届けるための顧客向け情報の整備 |
| 市販後活動のための活動立案 | 製品寿命の開示やISAO(Information Sharing and Analysis Organization)への加入などの、市販前に具体的に定めれられたプロセスや組織の確立・維持 |
サポートフェーズでの要求事項
| 意図する使用環境における機器の運用 | 自らの責任範囲の明確化、及び設計開発フェーズ4番にて整備した顧客向け情報の配布 |
| 一般的な不具合修正 | 機器に対する不具合の是正、及び計画的に予見可能な課題への対応も併せて行う |
| 情報共有 | 規制当局やISAO/CERTなどと協力した上で、脆弱性の影響を受ける製品及びその影響や、医療機器のセキュリティに影響し得るIT機器の情報など、「国際的に一貫性のある」「患者危害を防ぐための」情報をユーザー等との間え共有する |
| 協調的な脆弱性の開示(CVD=Coordinated Vulnerability Disclosure) | 上記の情報共有に付随し、緩和策や補完的対策が立案できていない脆弱性に対して、修正策の実施や脆弱性の開示予定に関する行政機関との情報共有などを行う |
| 脆弱性の修正/インシデントへの対応 | 上記で公開された脆弱性に対して、販売業者・貸与業者と協力して遅滞のない修正を行う。万が一インシデントが起こった場合にはその対応や行政機関への報告などを行う。なお、このためには組織横断型のPSIRTを設置することが推奨される。 |
限定的サポートフェーズでの要求事項
| 深刻な影響を与える不具合修正 | サポートフェーズ2番の内容と比較して、患者安全に重大な影響を与える不具合に限って修正を行う |
※その他の項目に関してはサポートフェーズと同様の内容となるため割愛します。
サポート終了での要求事項
| 顧客への製品のセキュリティ情報の提供 | 商業的サポート終了時点での製品のセキュリティ情報を提供すると共に、サポート終了後に製品を利用し続ける場合はそのリスクに関しても説明を行う |
| 発生した不具合に関する情報収集… | 当該医療機器において発生した不具合に関して修正を行うことはないが、情報の収集に限って実施する |
| 発生した不具合に関する行政報告 | 上記で収集した情報を行政機関に連携する |
| アドバイザリー情報の整備 | 顧客から提供を求めれた場合に応じることができるよう注意喚起のためのアドバイザリー情報の収集を行う |
最後に
今回の記事では、医療機器のサイバーセキュリティに関する手引書について取り上げました。昨年6月に設定された成長戦略フォローアップにおいて、今後医療機器審査の際、サイバーセキュリティに関して確認できる体制も構築される予定が明らかにされたことから、医療機器製造事業者にとっては、対応の迫られる一年になることが予想されます。
一方で、まだ不慣れな開発企業にとって、手引書の内容を精密に実施することは難易度の高いこととも考えられます。製造時点では想定していなかったようなユースケースや、個々の病院によって異なる医療現場の状況など、取捨選択や分岐の連続するこれらの要因を、ベンダーの立場から全て網羅し対処する事は非常に困難であるためです。だからこそ、現在の医療業界全体の潮流であるリスクベースのマネジメント体制を整え、リスクマネジメントサイクルを回しながらの開発や運用などが必要になっていくのではないかと考えられます。
そして、これには医療機関を含む全ての関係者の協力が必要不可欠です。リスクは決して一面的なものではなく、多面的な特性を持つものであり、そのマネジメントには様々な視点が必要になるためです。
先日行われた日本医療機器産業連合会主催の「医療機器のサイバーセキュリティセミナー」においても、医療機器のサイバーセキュリティに対して「市販前と市販後だけの2元論的な検討に収まらず、より多角的な検討を必要とする」といった言及があり、また「PSIRTが情報や必要なデータを市場に流通させる機能を持っていること」からベンダー側へのPSIRTの構築が推奨されていた事からも、製造販売企業のみではなく他の関係者も巻き込んだ対応が求められていることがわかります。
これは手引書の元になっている、IMDRFガイダンスが、医療に関わる全てのステークホルダーを対象に作られていることからもわかります。
COVID-19の影響でよりオンライン化が進み、世界中どこでもやりとりができるようになった今、セキュリティ対策に国境はありません。国内の基準に従うだけに留まらず、積極的に世界に目を向けていく必要があります。医療機器サイバーセキュリティに興味を持たれた方は、ぜひ手引書やIMDRFガイダンス(和訳あり)(9)もお手にとってみてください。
注釈
(1)厚生労働省:医療機器のサイバーセキュリティの確保及び徹底に係る手引書について
(2)IMDRF::Principles and Practices for Medical Device Cybersecurity
(3)厚生労働省:医療機器のサイバーセキュリティの確保に関するガイダンスについて
(4)厚生労働省:医療情報の安全管理に関するガイドライン第5.1版
(5)新’s:朝日・日経・読売 3社共同プロジェクト
(6)PRTIMES:世界の医療機器セキュリティ市場ーセキュリティの種類別
(7)読売新聞:病院のサイバーセキュリティ対応状況
(8)一般社団法人保健医療福祉情報システム工業会:製造業者/サービス事業者による 医療情報セキュリティ開示書 ver4.0
(9)厚生労働省:国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの 原則及び実践に関するガイダンスの公表について(周知依頼)
