法制化が進む医療現場におけるサイバーセキュリティ

BlackBerryが公開した最新の脅威インテリジェンスレポート（調査対象期間2022年12月1日～2023年2月28日）では、世界の医療業界において、同社のソフトウェアが5,246件のマルウェアサンプルを防ぎ、9,3000件を超える攻撃を回避したと報告されています。

サイバー攻撃者は、医療記録、保険証の情報、さらにはクレジットカード情報などの患者データを標的にします。前述の数字は、旧式かつ無防備なインフラストラクチャが医療システムに致命的な脅威をもたらしている事実を明らかにしています。さらに、医療業界でデジタル化が進む中、医療機関や医療機器メーカーがサイバー脅威に対して脆弱な医療機器のセキュリティ向上や患者データの保護に取り組む必要性を浮き彫りにしています。

サイバー攻撃による被害の責任は誰にある？

医療現場では現在、多くの医療機器がより良い医療サービスの提供を目指して、ソフトウェアを用いてデータを収集・活用しています。医療業界のデジタル化は大きなメリットをもたらしますが、医療現場におけるIoTシステムの規模と複雑さが拡大するにつれて、セキュリティリスクが大きくなっているのも事実です。

こうした状況が続く中、医療現場では機密データのリスクに絶えずさらされています。一例として、2021年10月に発生した徳島・半田病院のインシデントでは、VPN装置の脆弱性を悪用したランサムウェア感染による攻撃を受け、システムの完全復旧までに約3カ月を要しました。国際医療機器規制当局フォーラム（IMDRF）は、今後このようなトラブルがセキュリティ対策の施されていない医療機器を感染源として発生した場合、医療機器メーカーにも共同責任を問うと示唆しています。

こうした責任に対応するためにも、すべてのロボット、AI、埋め込み型医療機器、パーソナライズ医療などの新しい技術をヘルスケアに導入する際は、セキュリティを設計段階から組み込む必要があります。　　　　　　　　　　　　　　　　　　　　　　　　

進むサイバーセキュリティ関連の法制化

食料、医薬品、医療機器などの安全性の検査や違反品の取り締まりを行う米国食品医薬品局（Food and Drug Administration、以下FDA）は以前からこの問題を認識し、ガイドラインを公開しています。

また近年では、米国オムニバス法案としても知られる2023年度包括的歳出法案（Consolidated Appropriations Act, 2023）が2022年12月29日に法制化されました。これは連邦食品医薬品化粧品法(FD&C)を改正したもので、医療機器のサイバーセキュリティをFDAが明示的な法的権限を持って規制することを可能にしました。この法案は、医療機器業界に大きな影響を与えています。

同法案の発効日である2023年3月29日時点で、医療機器メーカーが医療機器のサイバーセキュリティを担保し、患者や医療システムの安全性を確保するために従わなければならないサイバーセキュリティの要件は、以下の通りです。

サイバーデバイスの定義、要件の適用範囲
サイバーセキュリティの保証と脆弱性への対応: デバイスがサイバーセキュリティ防御を確保していることを合理的に保証し、重大な脆弱性に対処するために、アップデートやパッチ適用が可能であることの証明
文書化されたエビデンス: 商用、オープンソース、市販のソフトウェアコンポーネントに関するソフトウェアの部品表(Software Bill of Materials、以下SBOM)
デバイスおよび関連システムがサイバー攻撃への対策を搭載しているという合理的な実証による保証

また、欧州サイバーレジリエンス法は、欧州連合(EU)の新しいサイバーセキュリティ規則を提案しています。これにより、EUで医療機器を展開するメーカーは、より安全なハードウェアとソフトウェアを確保するための新しい一連の基準を課せられます。この新しい規則には、製品のライフサイクルのあらゆる段階でセキュリティを優先するためのプロセスとアクションの確立が含まれます。

日本でも同様の傾向が見られ、経済産業省はSBOMガイドラインの発行に向け積極的な動きを見せています。各社各自の取り組みだけでなく、グローバル基準の高品質なサイバーセキュリティ対策に業界全体で取り組んでいくことが安心・安全な医療機器の実現にとって不可欠な時代となっています。

販売路を確保するために安全性を証明する

日本のメーカーが欧米でビジネスを展開するには、安全保障関連法の遵守と安全性の実証をすることが必須となっています。

デバイスが安全であると見なされるためには、リスクを管理するプロセスが重要です。ISO 14971規格は医療機器メーカーがリスク管理を改善する上で役立ちます。

この規格への準拠には、デバイスに関連する潜在的なリスクを特定し、それらのリスクを分析し、デバイスの規制への整合性が維持されるようにそれらを軽減するための対策を実装することが含まれます。

結局のところ、各種規格をはじめとする業界標準への準拠は、医療機器の安全性とセキュリティを確保するためのより大きな取り組みの一部にすぎません。

テクノロジーが進歩し、サイバー脅威や戦術が高度化するにつれて、メーカーはリスクと脆弱性に対し、警戒と予防を維持して対処を続ける必要があります。

ミッションクリティカルな産業にセキュリティファーストの考え方を

現在、医療機器メーカーに対する規制はより厳格なサイバーセキュリティ要件の適用を求めており、メーカーは高度化する状況への迅速な対応を迫られています。

ミッションクリティカルなヘルスケア機器市場において、安全性を担保しながらより精度の高い製品を提供するには、開発から製品ライフサイクルの終わりまでセキュリティニーズに対応するソリューションが必要です。

既存の医療機器を更新する場合や、FDAによる市販前承認が必要な新しい医療機器を開発する場合でも、コンプライアンスを確保するためのセキュリティニーズに対応できるソリューション選びが重要な時代が到来しています。

セキュアー・バイ・デザイン(Secure by design)、セキュアー・バイ・デフォルト（Secure by default）が新たな世界標準となりつつあるなか、日本のメーカーは医療ソリューションや医療機器製造のリーダーとして、世界のサプライチェーンにおいて高水準の安全性と信頼性を維持する上で重要な役割を担っています。