第737号コラム:江原 悠介 理事
(PwCあらた有限責任監査法人 システム・プロセス・アシュアランス部 シニアマネージャー)
題:「医療機器のサイバーセキュリティとは」

 本コラムの目的は、「医療情報システムのサイバー攻撃被害はよく取り上げられているが、そういえば医療機器はどうなのか?どんなサイバーセキュリティ検討が行われているのか?」という点を解説することにある。これをご覧になられている、ただでさえ忙しいIDF会員の皆さんの可処分時間を不必要に奪わないため、冒頭部でテーマ設定を明確にするとともに、そのテーマ設定に興味のある方のみを読者層としている点、留意頂きたい。(と言っても全文通し読みするのに5分もかかりません)

 医療機関を標的としたサイバー攻撃で報道に上がるものの多くは、現在は技術的な脆弱性を抱えた基幹系の医療情報システム、つまり患者診療の方針を決定し、その結果を記録管理するための電子カルテシステム、及び関連する周辺システム– 医事会計システムや検査管理システム等 — が中心である。厚生労働省による2022年度の医療法第25条第1項の規定に基づく立入検査の項目にランサムウェアを含むサイバー攻撃への備えが含まれた事実は、医療安全管理の一つとしてサイバーセキュリティが実質的に求められるに至ったものとして方々でも取り上げられているが、ここでも主眼はあくまで医療情報システムのサイバーセキュリティである。

 他方、ご存じの方も多くいらっしゃると思うが、厚生労働省は2021年12月に「医療機器のサイバーセキュリティの確保及び徹底に係る手引書について」という文書を発出している。日本も含めた国際医療機器規制当局フォーラム(IMDRF)が医療機器のサイバーセキュリティ対策の国際的な連携を目的に、「Principles and Practices for Medical Device Cybersecurity」(医療機器サイバーセキュリティの原則及び実践)という文書を発行しており、その内容をもとに国内の関係団体の調査結果等も踏まえ、日本国内の医療機器のサイバーセキュリティに関する必要な開発目標と技術要件等を手引書として定義したものである。現時点では法的強制力はないガイダンスの位置付けだが、厚生労働省によれば令和5年度をめどに、この手引書をもとに薬機法の改正も計画されている。

 いわゆる医療機器のサイバーリスクというと、ハッカソンで腕自慢のハッカーが脆弱性を利用して医療機器の誤作動・停止に成功した等の話がイメージされがちである。しっかり準備された特定の条件の下で成功した一部の脆弱性攻撃のケース(大抵は仮に成功したとしても、攻撃者側にどんなインセンティブがあるかもわからないケース)があたかも医療機器全体の問題であるかのように拡大解釈される。そうした事例がセンセーショナルに報道されてきたため、医療セキュリティに詳しい面々からは眉唾物と考えられてきた。ただし、サイバー攻撃がビジネス化するなかで、今まで無防備に構えていた国内の医療情報システムがランサムウェア被害に遭遇している状況を見て、同一の院内ネットワークにぶらさがった医療機器だけがサイバーリスクの被害にあわないと断言できる人はもはやいないであろう。

医療サイバーの潮目も変わり始めている。

 国内の医療機器の製造販売業者はISO13485に基づく一定水準の信頼性を確保すべき品質管理プロセスに準拠して、医療機器を製造販売している。ここでは機器の安全性(セーフティ)がフォーカスエリアであり、その脆弱性(セキュリティ)はあくまで周辺的である。このエリアをカバーすることが医療サイバーでは重要となる。

そのため、今後、製造販売業者は、サイバーセキュリティの観点より、市販前の品質管理プロセスにて、設計、部品製造、組み立て、包装・表示等の一連のプロセスを担う製造業者への管理監督を行いつつ、適切なセキュリティバイデザインをプロセスとして実装し、脆弱性のない機器の市場出荷を判断する責務が求められている。これはQMS(Quality Management System)のスコープである。さらに、市場出荷された医療機器は、経年変化による物理的劣化同様、脆弱性発見に伴うセキュリティ劣化は不可避であるため、その脆弱性をいかに適時にキャッチアップし、上市した機器に関するリスク対応あるいはステークホルダーへ情報提供を行うかという、安全性管理が求められる。これはGVP(Good Vigilance Practice) のスコープである。いうなれば、医療機器の市場出荷に責任を持つ国内の製造販売業者は、今後、市販前のQMS、市販後のGVPにおいて技術脆弱性リスクをマネージし、最重要ステークホルダーである納品先、つまり医療機関と十分なリスクコミュニケーションが求められることになる。逆にいうと、医療機関はこうしたコミュニケーションに対応しなければならなくなる。

 サイバーリスクへのアプローチは、いわゆる3省2ガイドライン(特に経済産業省・総務省安全管理GL)が示す通り、「リスクマネジメント(広義の意味では、リスクレジリエンスも含む)」と「リスクコミュニケーション」が重要である。そのため、この傾向が医療機器のサイバー管理に適用されること自体は何ら驚くべきものではない。

医療情報システムにおけるサイバーリスクに係るマネジメント&コミュニケーションの枠組みにもとづき、医療機器メーカと医療機関は医療機器のサイバー管理水準・責任分界について、相互理解に基づく合意形成を行うことこそが重要となる。

 ただ、その際に、医療機器メーカは医療機関の特性を踏まえてどういったコミュニケートに力点を置くべきか、また医療機関はメーカとのコミュニケーションで何を気にしないとならないのか、これはまだ明確ではない。(というか、まだ薬機法も改正されていない)この点は今後の政策・社会動向を踏まえつつ、IDF医療分科会がカバーできる何らかのポイントを示したいと考えている。

以上

【著作権は、江原氏に属します】