パナソニックEWネットワークス > Solutions > コラム一覧 > 医療機器のサイバーセキュリティ対策とは?IMDRFガイダンスも解説
ここから本文です。
医療機器のサイバーセキュリティ対策とは?IMDRFガイダンスも解説
スイッチングハブをはじめとしたネットワークシステム、入退室管理システム、カメラシステム構築に関するお問い合わせはこちら
医療機関のセキュリティに関する課題
医療機関におけるサイバーセキュリティの中でも、課題になっているのが外部からのサイバー攻撃への対策です。
攻撃手段は多様で、Webサイトを経由したウイルス感染、サーバやクラウドサービスを狙った攻撃、マルウェア感染を狙ったメール攻撃など手口は巧妙化しています。
実際に大規模病院の医療システムの脆弱性を狙ったランサムウェア攻撃の事例、個人診療所の診療データがウイルス感染で使用できなくなる事例なども報告されています。
医療機関でも電子カルテや医療情報システムを使用するところが増加している一方で、サイバー攻撃への理解が進んでいないことも課題です。
例えば医療情報システム管理の人材不足、不正アクセス対策が不十分、システムやソフトウェアの脆弱性、従業員への教育不足などが考えられます。
ひとつひとつは小さな課題やミスであっても、いくつも重なることでセキュリティ対策の弱さを露呈し、サイバー攻撃の発生につながります。
情報セキュリティ対策の視点として組織的対策、人的対策、技術的対策、物理的対策の4つの構成でセキュリティ課題を解決していくことが重要です。
医療機器のサイバーセキュリティ対策をまとめた「IMDRFガイダンス」とは
国際医療機器規制当局フォーラム(IMDRF)は、2020年4月にIMDRFガイダンスを発表しました。
IMDRFガイダンスとは、医療機器のサイバーセキュリティ対策を一般原則とベストプラクティスで整理し、国際的なガイダンスとしてまとめたものです。
厚生労働省でもIMDRFガイダンス導入を進め、2023年4月から薬機法にも基本要件基準にサイバーセキュリティの項目が追加されました。
IMDRFガイダンスが重要視される背景
日本でもIMDRFガイダンスが重要視される背景は、2020年以降に医療機関を狙ったサイバー攻撃発生件数が大幅に伸びていることが要因です。
警察庁サイバー警察局によると、医療・福祉分野におけるランサムウェア被害件数は年々増加しています。
令和3年(2021年)の報告では年間7件だったものが、令和4年(2022年)には上半期だけで9件、下半期には11件の報告がありました。
1年間で被害件数が3倍近くに増えており、医療機関におけるサイバーセキュリティは喫緊の課題です。
また、医療機関の持つ情報は個人情報の中でも特に重要な内容が多い点も要因です。
個人情報流出による被害だけでなく、医療機関がシステム復旧までに要する費用、損害賠償も含めると億単位の被害が発生します。
医療機関のサイバー攻撃被害が拡大する中で、IMDRFガイダンスに基づくセキュリティ対策の強化は世界的にも重要視されています。
IMDRFガイダンスの概要
IMDRFガイダンスは主に医療機器の性能、誤った診断・治療による患者様の不利益にフォーカスしています。
対象となる機器はペースメーカーや輸液ポンプ、人工呼吸器などの内部にソフトウェアを含んだ医療機器、および医療用ソフトウェア(SaMD)などです。
対象となる範囲も広く、医療機器の製造業者および医療機器を使用する利害関係者の共同責任を規定しています。
具体的には、医療機関や医療従事者だけでなく、患者様、規制当局、行政・情報共有機関、脆弱性の発見者まで責任がおよびます。
IMDRFガイダンスでは一般原則とベストプラクティス、製品ライフサイクル(TPLC)まで挙げられており、医療業界における関心はさらに高まると予想されます。
IMDRFガイダンスの改正内容
IMDRFガイダンスに基づき、薬機法(医薬品医療機器等法)の基本要件基準に2023年4月から要求事項が追加されました。
プログラムを用いた医療機器は対応を迫られており、ネットワークへの接続が必要な機器やソフトウェアは規制の対象です。
中でも健康目的ではなく、医療機器としての目的を有し、かつ機能が正常に動作しないと生命に影響与えるおそれがあるプログラムが対象となっています。
ただし基本要件基準への対応は2023年4月1日から適用されますが、1年間の経過措置期間が設けられている点にも注目が必要です。
この場合、3つのケースが考えられます。
- 機器の申請・届出、承認・認証が2023年3月31日までに完了している場合
- 機器の申請・届出が2023年3月31日以前、承認・認証が2023年4月1日以降の場合
- 機器の申請・届出、承認・認証がすべて2023年4月1日以降の場合
1のケースでは再申請や届出は不要です。
2のケースでもサイバーセキュリティ要件の適合を証明する追加資料は不要とされています。
ただし、3のケースでは要件に適合することを証明する資料の提供が必要です。
医療機器のサイバーセキュリティ導入に関する動向
医療業界でも、AI・IoT等の最新技術を活用したデジタルヘルスなどが注目されています。
一方で、各業界で被害の報告が後を絶たないサイバーセキュリティに関するランサムウェアの被害などが、医療の現場でも散見されている状況は看過できません。
医療現場でのシステム被害は人体及び人命に関わる深刻なトラブルに直結するため、サイバーセキュリティの対策が必須です。
医療機器についても、サイバーセキュリティ導入に合わせ、規制の運用に係る体制の整備が世界的に進んでいます。
インターネットを活用した医療機器の普及に伴い、国境を越えたサイバー攻撃を想定し、特に国際的な機関での体制整備の動きが顕著です。
具体的には、各国の医療機器の規制をまとめる国際フォーラムIMDRF(International Medical Device Regulators Forum)から、医療機器の安全性を高めるためのガイダンス「Principles and Practices for Medical Device Cybersecurity(医療機器サイバーセキュリティの原則及び実践)」が2020年に公開されました。
2023年には追加・補足のガイダンスが公開され、サイバーセキュリティ対策が積極的に進められていることが確認できます。
日本国内の動向
国際的な動向だけではなく、国内の体制についてもチェックしていきましょう。
上記のように、IT技術を活用した医療機器の普及が進んでいることを受け、世界的にサイバーセキュリティの対策が進んでいます。
国際動向に合わせ、国内でもサイバーセキュリティの規制の運用について本格的に開始されています。
最近では2023年4月、厚生労働省が定める製造販売承認の基準が一部改正され、サイバーセキュリティに関する条項が追加されました。
2024年4月以降、医療機器の製造販売に係る承認を取得する際は、サイバーセキュリティに関する対応状況の確認が必要となってきます。
またIMDRFの動きに合わせ「医療機器のサイバーセキュリティ導入に関する手引書」が厚生労働省から展開されました。
2021年4月に公開された後、2023年4月に改正されています。
IT技術の発展及び医療機器への導入が急速に進展した一方で、世界でも有数の優れた医療技術を誇る日本では、医療現場の安全性の担保のためにサイバーセキュリティ対策は必須です。
今後も体制の整備・改正が進んでいくと考えられています。
IMDRFガイダンスの主な特徴
IMDRFガイダンスの主な特徴とされる3つのポイントをご紹介します。
SBOMの取り組み強化
SBOM(Software Bill of Materials)は、ソフトウェアを構成するコンポーネントとサプライチェーンなどを記載した記録のことです。
SBOMはソフトウェアのサプライチェーンや脆弱性を狙ったサイバー攻撃に対処するため、普及が進んでいます。
IMDRFガイダンスではSBOMの必要性と概要についても言及しています。
その中で、作成者情報やドキュメント名、コンポーネントリスト、製造販売業者には管理番号、必要に応じた開発・生産・保守体制の追加記載なども示されました。
医療機器製造業者および医療関係者は、SBOM対応と強化への対応が迫られています。
脆弱性情報の開示
IMDRFガイダンスでは、医療業界関係者が協調的にリスク低減のために取り組むことを要求しており、医療機器の製造業者が果たさなければならない役割の1つとして協調的な脆弱性の開示(Coordinated Vulnerability Disclosure:CVD)についても記載があります。
販売前には検知できていなかった脆弱性が、後々発見される可能性を踏まえ、継続的な脆弱性情報の収集、緩和策を関係者に共有する方法の仕組み化が求められています。
具体的な推奨事項について、表でまとめています。
| No. | 推奨事項 |
|---|---|
| 1 | 自社製品の脆弱性情報を収集する |
| 2 | 脆弱性開示のポリシー及び方法を整備する |
| 3 | 脆弱性の処理プロセスを整備する |
| 4 | リスクアセスメント手法を整備し、検出された脆弱性を評価する |
| 5 | 評価結果に対して、リスクの緩和策を作成する 難しい場合には補完的対策を作成する |
| 6 | 規制当局に対して脆弱性の開示に関する情報を共有する |
| 7 | 脆弱性の評価結果と緩和策又は補完的対策に関する情報を全責任関係者に提供する 脆弱性および対策に変化が生じた場合、最新情報を再度提供する |
レガシーデバイスへの対応
レガシーデバイス(レガシー医療機器)とは、現在のサイバーセキュリティに対し、合理的に保護できない医療機器とされています。
合理的に保護できない医療機器とは、老朽化だけではなく、市販開始から5年以内のデバイスであっても、現在のサイバーセキュリティの脅威に対して合理的な手段で保護できないもの全般です。
IMDRFガイダンスでは、レガシーデバイスの使用終了や段階的使用終了のフレームワークについても言及しています。
医療機関に対応が必要なのはいつから?
レガシーデバイスへの医療機関の対応は、いつから必要になるのかご紹介します。
既に申請済みの場合
医療機器は寿命が長いものも多く、10年単位で使用されるものも多いです。
しかしそのようなレガシーデバイスは脆弱性を抱えており、サイバー攻撃の対象となる危険性が高いです。
そのためレガシーデバイスへの対応として、製品寿命までは製造業者のセキュリティ対策のサポートを行い、製品寿命が訪れてからは医療機関が対応計画を策定することが求められます。
その後、段階的に製造業者からのサポートも限定的なものとなり、一定のサポート期間経過後は全責任が医療機関に移転するようにライフサイクルの例を定めています。
医療機器のサイバーセキュリティ対策の注意点
医療機関のサイバーセキュリティ対策の注意点を3点ご紹介します。
4つの構成で対応する
サイバーセキュリティ対策を行う際は、医療機器だけではなく、さまざまな視点から対策を行うことが重要です。
技術的・人的・組織的・物理的対策の4つの視点が重要になります。
どれほどセキュリティ対策を施した医療機器を導入しても、運用ルールや利用者への教育、ネットワークとの通信ルールを定めていなければ意味がないからです。
そのため医療機器の導入と並行する形で、教育や運用ルール、マニュアル作成などの組織面、人材面の体制整備も進めましょう。
ガイダンスの根拠も確認する
IMDRFの作成したガイダンスも、作成の根拠となった資料や規格が存在します。
一例として、FDA(アメリカ食品医薬品局)や国際的な医療機器の企画などです。
IMDRFガイダンスでは医療機器のセキュリティ強化を目的に、世界各国の優れたデータや規格を採用しているからです。
IMDRFガイダンスの内容だけではなく、根拠となる資料や規格まで把握することで、医療機関の規模や使用機器に応じたサイバーセキュリティ対策がとりやすくなります。
共同責任の関係者同士でコミュニケーションを図る
IMDRFガイダンスでは、医療機器製造業者だけでなく、医療機関や医療従事者、機器を利用する患者様まで幅広い対象を共同責任の範囲として捉えています。
従来は医療機関のみ、製造業者のみの個別の責任とする考え方から、情報の透明性を高め、協力してサイバーセキュリティ対策に取り組むことを前提とした考えになっています。
医療機器の購入を検討する段階から、製造業者と医療機関が情報を共有し、セキュリティ対策を共同で進めていくことが重要です。
製品の脆弱性も開示することで、セキュリティインシデント発生時の対応もスムーズになり、関係者の被害を最小限に抑えられるでしょう。
サイバーセキュリティ対策はパナソニックEWネットワークス
IMDRFガイダンスの公表により、日本の医療機関および医療機器製造のセキュリティ対策も具体化が進んでいます。
医療機関へのサイバー攻撃は、時として患者様の生命にも影響を及ぼすリスクです。
IMDRFガイダンスに従ったセキュリティ対策を施すなら、パナソニックEWネットワークスがネットワーク構築からセキュリティ対策まで幅広く対応いたします。
弊社のソリューションは大学病院や医療法人、個人のクリニックでも導入されており、低コストで安全な運用を実現しています。
サイバー攻撃への備えを万全にしつつ、最新のガイドラインにも対応するならパナソニックEWネットワークスにお問い合わせください。
時代に合わせたガイドラインの改正に注目
医療機関のサイバーセキュリティ対策、IMDRFガイダンスの内容などを解説しました。
IMDRFガイダンスの公開により、日本でも薬機法改正やサイバーセキュリティ対策の具体化が進んできています。
時代に合わせてガイドラインも改訂されていきますから、常に最新情報を収集していくことが重要です。
ガイドラインに対応した医療機関のサイバーセキュリティ対策なら、実績豊富なパナソニックEWネットワークスにご相談ください。