メディカル・ヘルスケア領域でのサイバーセキュリティ医療機器サイバーセキュリティに係る最新の規制動向

2020年5月、「国際医療機器規制当局フォーラム（IMDRF: International Medical Device Regulators Forum）による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について」^*1との周知依頼が厚生労働省から公表されました。これは、国際協調を推進するIMDRFにおいて作成された、医療機器に係るさまざまな規制要件についてのガイダンス「Principles and Practices for Medical Device Cybersecurity」（以下、IMDRFガイダンス）を翻訳した文書であり、医療機器ライフサイクル全体を通じたサイバーセキュリティの一般原則およびベストプラクティスについて、業界のエコシステム全体の視点からまとめられています。

IMDRFには、オーストラリア、ブラジル、カナダ、中国、EU、日本、ロシア、シンガポール、韓国、米国が積極的に参加しており、これらのマーケットにおける医療機器の申請、上市にあたっては、IMDRFガイダンスの遵守が、実質的な規制要件となってくることが想定されます。日本においても2023年を目途にIMDRFガイダンスの業界への導入の検討が進められています。

本記事では、国内外の市場をターゲットとする医療機器製造業者を対象に、IMDRFガイダンスの概要と注目点、海外における関連する取り組み、各国の医療機器サイバーセキュリティの規制を紹介します。

IMDRFガイダンスとは

1．一般原則

IMDRFガイダンスでは、冒頭に、医療機器を開発、規制、使用、監視する担当者が検討するべきサイバーセキュリティの一般原則が掲げられています。計4つからなり、それぞれ求められている内容は以下のとおりです。

1）国際整合

全ての医療機器関係者（医療機器製造業者、ヘルスケアプロバイダー、規制当局および脆弱性発見者など）による、医療機器の全ライフサイクルに渡ったサイバーセキュリティ対応の国際整合

2）製品ライフサイクル全体

医療機器の初期構想からサポート終了に渡る、サイバーセキュリティリスクの継続的な評価・対処および、医療機器の安全性・基本性能の維持

3）共同責任

医療機器ライフサイクル全体に渡る、医療機器関係者間の責務分掌の明確化および密接な連携

4）情報共有

情報共有分析機関への積極的な参加および以下の事項に係る情報の遅滞ない共有
- 医療機器および接続するヘルスケアインフラの安全性、性能、完全性
- セキュリティに影響し得るサイバーセキュリティのインシデント、脅威および脆弱性

2. IMDRFガイダンスの主な項目と補完情報

IMDRFガイダンスには、医療機器サイバーセキュリティにおいて医療機器関係者が遵守すべき組織的活動（ルール、プロセスなど）が、市販前・市販後に分けて記載されています。ただ、その内容は、活動の概要や指針となる情報の提供にとどまっており、具体的な対応法を検討する上では、記載内容を補完する情報（補完情報）が必要となります。

表1に、IMDRFガイダンスの主な項目と、関連する標準規格もしくは業界団体の取り組み（補完情報）を整理しました。

_{表1：IMDRFガイダンスの主な項目と補完情報}
IMDRFガイダンス		補完情報	ポイント
区分	主な項目	補完情報	ポイント
5.0 医療機器サイバーセキュリティの市販前考慮事項	5.1 セキュリティ要求事項及びアーキテクチャ設計	IEC/TR 60601-4-5	安全性に関連するサイバーセキュリティ要件
		IEC/DIS 81001-5-1	ソフトウェアのセキュア開発
		FDA市販前ガイダンス^*2	セキュリティ機能設計
		Mayo Clinic Vendor Packet	設計アセスメント
	5.2 TPLC に関するリスクマネジメント原則	FDA市販前ガイダンス^*2 AAMI TIR57	安全性リスクおよびサイバーセキュリティリスクの統合
	5.2 TPLC に関するリスクマネジメント原則	MITRE MDDTツール	安全性影響評価への共通脆弱性評価システム（CVSS）の活用
	5.3 セキュリティ試験	ANSI UL2900-1 ANSI UL2900-2-1	セキュリティ検証／テスト
	5.5 ラベリング及び顧客向けセキュリティ文書	FDA市販前ガイダンス^*2 Mayo Clinic Vendor Packet NTIA Software Component Transparency	SBOM（Software Bill Of Material）管理
6.0 医療機器サイバーセキュリティの市販後考慮事項	6.3 協調的な脆弱性の開示	FDA市販後ガイダンス^*3	情報共有分析機関（ISAO）、規制当局との連携
	6.4 脆弱性の修正	FDA市販後ガイダンス^*3	リスクマネジメント、脆弱性発見時の当局対応、情報共有
		IEC/DIS 81001-5-1	ソフトウェアの保守・運用
		MITRE MDDTツール	安全性影響評価へのCVSSの活用
	6.5 インシデントへの対応	AAMI TIR97	製品セキュリティインシデント対応体制（PSIRT）の構築
	6.5 インシデントへの対応	MITRE Regional Incident Preparedness and Response Playbook^*4	インシデントレスポンス
	6.6 レガシー医療機器	－（IMDRFガイダンスに詳しい記載あり）

※灰色は、米国内の取り組みにおける成果物

IMDRFガイダンスにおいては、レガシー医療機器の取り扱いについて新たな考え方が導入されていることにも注意が必要です。レガシー医療機器とは、「現在のサイバーセキュリティの脅威に対して合理的に保護できない医療機器」を言います。過去に販売され、すでに利用されている製品は、これに該当する可能性があります。

レガシー医療機器への対応として、医療機器製造業者は、医療機器のサポートサービスの終了時期（EOS；End Of Support）をヘルスケアプロバイダーに明示することが推奨されています。EOSについて合意が得られた後は、該当の医療機器を製品寿命終了時期（EOL：End Of Life）まで使用するリスクは、ヘルスケアプロバイダーに移転されることになります。十分な対策が取られていないレガシー医療機器はハッカーにとって恰好の攻撃対象であり、そのまま放置することは、医療機器製造業者にとって、事業継続に係るリスクであることを認識しなければなりません。

同時に、レガシー医療機器は、機器のバージョンアップ、リプレイスといったビジネス機会創出につながる側面もあります。医療機器製造業者は、以下のような活動に早期に取り組み、事業継続計画やビジネス戦略を見直す必要があると言えます。

自社のレガシー医療機器の特定
レガシー医療機器の脆弱性の評価、対応計画（EOS含む）
レガシー医療機器を利用するヘルスケアプロバイダーの整理

米国の取り組みから見えてくること

1．IMDRFガイダンスとの関係性

IMDRFの医療機器サイバーセキュリティのワーキンググループの議長は、米国食品医薬局（FDA: Food and Drug Administration）を構成する組織であるCDRH（Center for Devices and Radiological Health）のディレクター、Suzanne Schwartz氏が務めています。Schwartz氏は、FDAの医療機器サイバーセキュリティガイダンス（*2, *3）の発行責任も担っています。このことから、IMDRFガイダンスは米国の意向が色濃く反映されたものであり、医療機器サイバーセキュリティに係る国際的なルール作りは米国が主導しているといった側面がうかがえます。表1において緑に色付けした補完情報は米国における取り組みであり、特に注目することが望ましい情報と言えます。

2．医療機器ハッキングイベントでの協働関係

2019年、世界最高峰のハッキングコンテストである「DEF CON 27」で、FDAやMayo Clinicが出資するBiohacking Village が、医療機器ハッキングイベントを開催。医療機器を製造する複数社が参加し、ハッキング技術に関する情報共有が行われました。業界大手と規制当局との協働関係を示す好例であり、業界大手は積極的に医療機器サイバーセキュリティのルール作りに参加していることが示唆されます。

IMDRFガイダンスと並行して各国規制への対応も

最後に、各国の医療機器サイバーセキュリティに関する規制（表2）を紹介します。それぞれ、IMDRFガイダンスとは独立して策定されたものであり、製品の仕向け地における規制要件として、個別に確認する必要があります。IMDRFガイダンスを遵守した対応を整えつつ、個別の規制に対応することが、医療機器製造業に求められるサイバーセキュリティの現状と言えます。

_{表2：各国の医療機器サイバーセキュリティに関する規制}
国	文書	開示日
日本	医療機器のサイバーセキュリティの確保に係る最近の動向について（医薬品・医療機器等安全情報 No.373）	2020年6月
	医療機器サイバーセキュリティ確保に関するガイダンス（薬生機審発 0724 第1号、薬生安発 0724 第1号）	2018年7月
	医療機器におけるサイバーセキュリティの確保について（薬食機参発 0428 第1号、薬食安発 0428 第1号）	2015年4月
米国	Draft Medical Device Manufacturer Internet of Things (IoT) Code of Conduct	2020年1月
	Draft Guidance: Content of Premarket Submissions for Management of Cybersecurity in Medical Devices	2018年10月
	Final Guidance: Postmarket Management of Cybersecurity in Medical Devices	2016年10月
カナダ	Pre‐market Requirements for Medical Device Cybersecurity	2019年6月
EU	MDCG 2019-16 Guidande on Cybersecurity for medical devices	2019年10月
フランス	Cybersecurity of Medical Devices integrating software during their lifecycle	2019年7月
ドイツ	Cyber Security Requirements for Network-Connected Medical Devices	2018年11月
中国	Draft Technical guideline on medical device cybersecurity, Version II	2020年9月
中国	Medical Device Network Security Registration on Technical Review Guidance Principle	2017年1月
オーストラリア	Medical device cyber security guidance for industry	2019年7月
ブラジル	Guide 38/2020, Principles and Practices of Cyber Security in Medical Devices	2020年9月
サウジアラビア	Guidance to Pre-Market Cybersecurity of Medical Devices	2019年4月
シンガポール	Information Technology Standards Council Technical Reference 67: Medical device cybersecurity	2018年
台湾	適用於製造廠之醫療器材網路安全指引	2019年11月
韓国	Cyber Security Guide for Smart Medical Service	2018年5月

*1：厚生労働省, 2020年. 「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について（周知依頼）」
https://www.mhlw.go.jp/hourei/doc/tsuchi/T200521I0040.pdf

*2：米国食品医薬品局, 2018年. 「Content of Premarket Submissions for Management of Cybersecurity in Medical Devices」
https://www.fda.gov/media/119933/download

*3：米国食品医薬局, 2016年. 「Postmarket Management of　Cybersecurity in Medical Devices」
https://www.fda.gov/media/95862/download

*4：MITRE, 2018年. 「Medical Device Cybersecurity: Regional Incident Preparedness and Response Playbook」
https://www.mitre.org/publications/technical-papers/medical-device-cybersecurity-regional-incident-preparedness-and

執筆者

石戸是亘
マネージャー, PwCコンサルティング合同会社

※法人名・役職などは掲載当時のものです。

メディカル・ヘルスケア領域でのサイバーセキュリティ―デジタル変革期のイノベーションとどう向き合うか

7 results

2022-01-11

サイバーインテリジェンス：DXが加速する製薬業界で製造現場が直面するセキュリティ強化の難題

製薬業界はDXで企業価値や競争力を高めていますが、一方でサイバーリスクの増大にもつながっています。業界が直面している課題について解説します。

2021-08-19

「メディカル・ヘルスケア領域でのサイバーセキュリティ」デジタル・ヘルス・サービスを検討する上で考慮すべきデータコンプライアンス

個人の医療・健康データを二次利用するデジタル・ヘルス・サービスを国内で展開する上で考慮・検討すべき代表的なデータコンプライアンスについて概説します。

2021-06-15

「メディカル・ヘルスケア領域でのサイバーセキュリティ」日本国内における医療機器サイバーセキュリティ対応上の検討ポイント

医療機器のサイバーセキュリティに向けた態勢整備が本格的に求められる今後に向けて、医療機器製造販売事業者が今から取り組むべき内容を、最新の法改正の動向と共に紹介します。

2021-06-03

「メディカル・ヘルスケア領域でのサイバーセキュリティ」医療機器サイバーセキュリティに係る最新の規制動向

IMDRFガイダンスの概要と注目点、海外における関連する取り組み、各国の医療機器サイバーセキュリティの規制を紹介します。

インサイト／ニュース

20 results

2025-04-11

各国サイバーセキュリティ法令・政策動向シリーズ（5）ブラジル

各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。

2025-04-10

パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況

プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。

2025-04-08

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

2025-04-08

JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響

2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度（JC-STAR）の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。

セミナー

4 results

2025-05-19

Digital Trust Forum 2025

PwC Japanグループは、5月19日（月）より表題のセミナーをオンデマンド配信します。

2025-03-31

Digital Identity Forum 2025

PwC Japanグループは、2025年2月26日（水）に開催した本セミナーを、3月31日（月）よりオンデマンドで配信します。

2025-01-27

【セミナー】プライバシー保護対応におけるOneTrustの利活用

PwCコンサルティング合同会社は1月27日（月）より、表題のセミナーをオンデマンド配信します。

2024-10-29

【セミナー】サプライチェーン・デジタルリスク -サイバー攻撃やデジタル法規制に迅速に対応するレジリエントなサプライチェーンの構築-

PwCコンサルティング合同会社は10月29日（火）より、表題のセミナーをオンデマンド配信します。