医療機器サイバーセキュリティに係る最新の規制動向

2021-06-03

IMDRFガイダンスとは

1.一般原則

IMDRFガイダンスでは、冒頭に、医療機器を開発、規制、使用、監視する担当者が検討するべきサイバーセキュリティの一般原則が掲げられています。計4つからなり、それぞれ求められている内容は以下のとおりです。

1)国際整合

  • 全ての医療機器関係者(医療機器製造業者、ヘルスケアプロバイダー、規制当局および脆弱性発見者など)による、医療機器の全ライフサイクルに渡ったサイバーセキュリティ対応の国際整合

2)製品ライフサイクル全体

  • 医療機器の初期構想からサポート終了に渡る、サイバーセキュリティリスクの継続的な評価・対処および、医療機器の安全性・基本性能の維持

3)共同責任

  • 医療機器ライフサイクル全体に渡る、医療機器関係者間の責務分掌の明確化および密接な連携

4)情報共有

  • 情報共有分析機関への積極的な参加および以下の事項に係る情報の遅滞ない共有
    • 医療機器および接続するヘルスケアインフラの安全性、性能、完全性
    • セキュリティに影響し得るサイバーセキュリティのインシデント、脅威および脆弱性

2. IMDRFガイダンスの主な項目と補完情報

IMDRFガイダンスには、医療機器サイバーセキュリティにおいて医療機器関係者が遵守すべき組織的活動(ルール、プロセスなど)が、市販前・市販後に分けて記載されています。ただ、その内容は、活動の概要や指針となる情報の提供にとどまっており、具体的な対応法を検討する上では、記載内容を補完する情報(補完情報)が必要となります。

表1に、IMDRFガイダンスの主な項目と、関連する標準規格もしくは業界団体の取り組み(補完情報)を整理しました。

表1:IMDRFガイダンスの主な項目と補完情報

IMDRFガイダンス

補完情報

ポイント

区分

主な項目

5.0 医療機器サイバーセキュリティの市販前考慮事項

5.1 セキュリティ要求事項及びアーキテクチャ設計
  • IEC/TR 60601-4-5

安全性に関連するサイバーセキュリティ要件
  • IEC/DIS 81001-5-1

ソフトウェアのセキュア開発
  • FDA市販前ガイダンス*2

セキュリティ機能設計
  • Mayo Clinic Vendor Packet

設計アセスメント

5.2 TPLC に関するリスクマネジメント原則

 
  • FDA市販前ガイダンス*2
  • AAMI TIR57

安全性リスクおよびサイバーセキュリティリスクの統合
  • MITRE MDDTツール

安全性影響評価への共通脆弱性評価システム(CVSS)の活用

5.3 セキュリティ試験
  • ANSI UL2900-1
  • ANSI UL2900-2-1

セキュリティ検証/テスト

5.5 ラベリング及び顧客向けセキュリティ文書
  • FDA市販前ガイダンス*2
  • Mayo Clinic Vendor Packet
  • NTIA Software Component Transparency

SBOM(Software Bill Of Material)管理

6.0 医療機器サイバーセキュリティの市販後考慮事項

6.3 協調的な脆弱性の開示
  • FDA市販後ガイダンス*3

情報共有分析機関(ISAO)、規制当局との連携

6.4 脆弱性の修正
  • FDA市販後ガイダンス*3

リスクマネジメント、脆弱性発見時の当局対応、情報共有
  • IEC/DIS 81001-5-1

 

ソフトウェアの保守・運用
  • MITRE MDDTツール

安全性影響評価へのCVSSの活用

6.5 インシデントへの対応
  • AAMI TIR97

製品セキュリティインシデント対応体制(PSIRT)の構築
  • MITRE Regional Incident Preparedness and Response Playbook*4

インシデントレスポンス

6.6 レガシー医療機器

(IMDRFガイダンスに詳しい記載あり)

※灰色は、米国内の取り組みにおける成果物

 

IMDRFガイダンスにおいては、レガシー医療機器の取り扱いについて新たな考え方が導入されていることにも注意が必要です。レガシー医療機器とは、「現在のサイバーセキュリティの脅威に対して合理的に保護できない医療機器」を言います。過去に販売され、すでに利用されている製品は、これに該当する可能性があります。

レガシー医療機器への対応として、医療機器製造業者は、医療機器のサポートサービスの終了時期(EOS;End Of Support)をヘルスケアプロバイダーに明示することが推奨されています。EOSについて合意が得られた後は、該当の医療機器を製品寿命終了時期(EOL:End Of Life)まで使用するリスクは、ヘルスケアプロバイダーに移転されることになります。十分な対策が取られていないレガシー医療機器はハッカーにとって恰好の攻撃対象であり、そのまま放置することは、医療機器製造業者にとって、事業継続に係るリスクであることを認識しなければなりません。

同時に、レガシー医療機器は、機器のバージョンアップ、リプレイスといったビジネス機会創出につながる側面もあります。医療機器製造業者は、以下のような活動に早期に取り組み、事業継続計画やビジネス戦略を見直す必要があると言えます。

  • 自社のレガシー医療機器の特定
  • レガシー医療機器の脆弱性の評価、対応計画(EOS含む)
  • レガシー医療機器を利用するヘルスケアプロバイダーの整理

米国の取り組みから見えてくること

1.IMDRFガイダンスとの関係性

IMDRFの医療機器サイバーセキュリティのワーキンググループの議長は、米国食品医薬局(FDA: Food and Drug Administration)を構成する組織であるCDRH(Center for Devices and Radiological Health)のディレクター、Suzanne Schwartz氏が務めています。Schwartz氏は、FDAの医療機器サイバーセキュリティガイダンス(*2, *3)の発行責任も担っています。このことから、IMDRFガイダンスは米国の意向が色濃く反映されたものであり、医療機器サイバーセキュリティに係る国際的なルール作りは米国が主導しているといった側面がうかがえます。表1において緑に色付けした補完情報は米国における取り組みであり、特に注目することが望ましい情報と言えます。

2.医療機器ハッキングイベントでの協働関係

2019年、世界最高峰のハッキングコンテストである「DEF CON 27」で、FDAやMayo Clinicが出資するBiohacking Village が、医療機器ハッキングイベントを開催。医療機器を製造する複数社が参加し、ハッキング技術に関する情報共有が行われました。業界大手と規制当局との協働関係を示す好例であり、業界大手は積極的に医療機器サイバーセキュリティのルール作りに参加していることが示唆されます。

IMDRFガイダンスと並行して各国規制への対応も

最後に、各国の医療機器サイバーセキュリティに関する規制(表2)を紹介します。それぞれ、IMDRFガイダンスとは独立して策定されたものであり、製品の仕向け地における規制要件として、個別に確認する必要があります。IMDRFガイダンスを遵守した対応を整えつつ、個別の規制に対応することが、医療機器製造業に求められるサイバーセキュリティの現状と言えます。

表2:各国の医療機器サイバーセキュリティに関する規制

文書

開示日

日本

医療機器のサイバーセキュリティの確保に係る最近の動向について(医薬品・医療機器等安全情報 No.373)

2020年6月

医療機器サイバーセキュリティ確保に関するガイダンス

(薬生機審発 0724 第1号、薬生安発 0724 第1号)

2018年7月

医療機器におけるサイバーセキュリティの確保について

(薬食機参発 0428 第1号、薬食安発 0428 第1号)

2015年4月

米国

Draft Medical Device Manufacturer Internet of Things (IoT) Code of Conduct

2020年1月

Draft Guidance: Content of Premarket Submissions for Management of Cybersecurity in Medical Devices

2018年10月

Final Guidance: Postmarket Management of Cybersecurity in Medical Devices

2016年10月

カナダ

Pre‐market Requirements for Medical Device Cybersecurity

2019年6月

EU

MDCG 2019-16 Guidande on Cybersecurity for medical devices

2019年10月

フランス

Cybersecurity of Medical Devices integrating software during their lifecycle

2019年7月

ドイツ

Cyber Security Requirements for Network-Connected Medical Devices

2018年11月

中国

Draft Technical guideline on medical device cybersecurity, Version II

2020年9月

Medical Device Network Security Registration on Technical Review Guidance Principle

2017年1月

オーストラリア

Medical device cyber security guidance for industry

2019年7月

ブラジル

Guide 38/2020, Principles and Practices of Cyber Security in Medical Devices

2020年9月

サウジアラビア

Guidance to Pre-Market Cybersecurity of Medical Devices

2019年4月

シンガポール

Information Technology Standards Council Technical Reference 67: Medical device cybersecurity

2018年

台湾

適用於製造廠之醫療器材網路安全指引

2019年11月

韓国

Cyber Security Guide for Smart Medical Service

2018年5月

*1:厚生労働省, 2020年. 「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの 原則及び実践に関するガイダンスの公表について(周知依頼)」
https://www.mhlw.go.jp/hourei/doc/tsuchi/T200521I0040.pdf

*2:米国食品医薬品局, 2018年. 「Content of Premarket Submissions for Management of Cybersecurity in Medical Devices」
https://www.fda.gov/media/119933/download

*3:米国食品医薬局, 2016年. 「Postmarket Management of Cybersecurity in Medical Devices」
https://www.fda.gov/media/95862/download

*4:MITRE, 2018年. 「Medical Device Cybersecurity: Regional Incident Preparedness and Response Playbook」
https://www.mitre.org/publications/technical-papers/medical-device-cybersecurity-regional-incident-preparedness-and

執筆者

石戸 是亘
マネージャー, PwCコンサルティング合同会社

※法人名・役職などは掲載当時のものです。

 

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

関連サービス