第501号コラム:江原 悠介 理事
(PwCあらた有限責任監査法人 システム・プロセス・アシュアランス部 マネージャー)
題:「医療機器のサイバーリスクと社会的な想像力」

1.医療機器におけるサイバーリスク
内閣サイバーセキュリティセンター(NISC)は、サイバーリスクから防衛すべき重要インフラに医療を指定した上で、重要システム例の一つに医療情報システムとともに、医療機器を挙げている。こうしたなか、厚生労働省は2015年4月に「医療機器におけるサイバーセキュリティの確保について」という通知(薬食機参発 0428 第1号/ 薬食安発 0428 第1号)を発出しており、日本でも医療機器についてのサイバーリスクマネジメントの重要性が高まっていることは周知の通りである。
例えば、米国では、2013年6月に食品医薬品局(Food and Drug Administration:FDA)にて医療機器のサイバーリスク管理に関するガイダンス案が発行された後、販売前(pre-market)の医療アプリケーションに関するサイバーセキュリティガイダンス(2014年10月)、医療機器の脆弱性に関する脅威通知(2015年7月)、販売後(post-market)における医療機器のサイバーリスクモニタリング(2016年1月)等、様々な施策が矢継ぎ早に展開され、2016年12月には医療機器のサイバーセキュリティをモニタリングするガイドラインの最終草案が発行され、更なる検討が進められている。日本においても、上述の厚生労働省通知に加え、米国動向を踏まえた観点より、官庁間で医療機器を対象としたサイバーセキュリティ管理に関するガイダンスの検討が進められており、今後、医療機器におけるサイバーリスクマネジメントは重要な機器品質水準の一つに位置付けられることになることが想定される。

2.今までの枠組みで本当に十分なのか
日本国内の医療機器製造事業者は、現在でもISO14971(JIS T 14971)等に準拠したリスクマネジメントサイクルのなかでサイバーリスクも含めたリスク全般に係る管理を行っている。しかしながら、サイバーリスクは他のリスクとは異なり、技術環境の変化とともに常に変容する。現行の枠組みの中でリスクの低減を図れていたとしても、外部技術の変化に伴い当初想定していなかったリスクシナリオの発生を回避することは困難といえるだろう。このような想定外のリスクシナリオの発生による影響を予め可能なかぎり織り込み、機器の品質水準を維持できるようにするための対策を検討しておくことが、今後の医療機器製造事業者にとってのリスクマネジメントには求められている。
例えば、FDAのサイバーリスク管理に関するガイドラインでは、サイバーリスクの評価結果に基づく機器の安定稼働を担保するための機器製造プロセスが求められている。このプロセスは情報システム業界ではセキュアシステム開発ライフサイクル(セキュアSDLC)という用語で表現されており、大抵のシステムにおいては当たり前のものとして採用されている。一方で、医療機器という特殊な製品において、このプロセスを十分に踏まえた製造プロセスを整備している企業は未だ一握りではないだろうか。しかしながら、サイバー攻撃を行う外部者にとっては、医療情報システムも医療機器も既に同列の攻撃対象として標的となっている点には留意しなければならない。
サイバーリスクの顕在化に伴う医療機器の不具合は国内では製造物責任法の範疇に含まれる事象になる可能性が高い。現時点で、本法による医療機器に係る法的係争件数は非常にかぎられているが、今後のサイバーリスクの動向によって、医療機器に係る法的論点がどのように変化するかは現時点では不透明と言える。また、法的な過失が仮にない場合においても、自社の機器が外部攻撃に悪用される脆弱性を有していたため、サイバーリスクが顕在化したことが判明した場合、当今のメディア環境を勘案すると、ネット炎上等、製造事業者にとっては大きな風評被害を被ることは免れないだろう。

3.外部者の攻撃に晒された医療機器。誰が一番の被害者か?
例えば、「SHODAN」という検索サイトがある。この検索サイトは、インターネットに接続している様々な機器の情報にアクセスできる便利なサイトである。逆に言えば、無防備にインターネットに接続している機器を検索し、そこから当該機器の脆弱性等を探索することを可能にするものでもある。この検索サイトを用いて、医療機関のウェブページを対象に検索すると、内部ネットワークへの侵入のヒントになる様々な情報を拾うことができる。
入口対策の甘い医療機関は、こうした脆弱性を悪用され、内部ネットワークに侵入された場合、システム・機器の設定情報が変更されるリスクと隣り合わせである。一体誰がこうしたリスクを最も引き受けているのか。言うまでもなく、それは患者である。

4.医療機器に求められる社会的な想像力とは
現在の日本国内における医薬品医療機器等法に基づく医療機器審査の中では、機器のセキュリティは外部者攻撃を想定した、想像力のある観点からの深い検討・対応は求められないかもしれない。あるいは、サイバーリスクを想定した観点からの対応はプロダクトとしてのコスト面を考慮した対応要否を検討することが企業(あるいは導入先の医療機関等)にとって経済合理性に適っているといえるかもしれない。
しかしながら、今後、医療機器のセキュリティとは、これまでの枠組みを拡張したうえで、患者という最大のステークホルダーを保護する目的で検討しなければならない。何故なら、その弱みを標的とした攻撃者が現れた場合、その被害は本来医療機器によって保護すべき患者に及ぶのである。想像して頂きたい。その患者が貴方自身、あるいは貴方が大事に思う人であった場合、「規制が求める枠組みには含まれていなかったので、特に対応は行っていない」といった、病院あるいは機器製造業者による弁明を納得感を持って「ハイ分かりました」と受け止めることはできるだろうか。
医療機器のサイバーリスクに対する日本の法制度上の制約は、未だ緩やかかもしれない。しかし、患者(あるいは、自分や自分が大事に思う人たち)を保護するという目的に照らし、想像力をもって医療機器の<いま>を真摯に考えることは、色々な意味で重要となっている。このような意味で、日本における医療機器の<いま>は、個人を超えた、<社会的な想像力>に委ねなければならない局面にまで来ていると言えるのではないだろうか。

【著作権は、江原氏に属します】