日本国内における医療機器サイバーセキュリティ対応上の検討ポイント

2021-06-15

医療機器の使用状況の無理解はサイバーセキュリティの致命傷になりかねない

医療機器のサイバーセキュリティの対応を検討する上では、医療機器が医療機関等のユーザー環境でどのように使用されているかをしっかり把握することが、特に市販後における効果的なセキュリティ強化を図るために重要であると言えます。公益財団法人医療機器センターによる2019年度の調査結果*1によれば、自社製品がユーザー環境でどのように使用されているかについて、事業者全体の4割強が全く把握していないことが示されています。この調査結果は2年前のものであるため、現在は、より多くの事業者が自社の医療機器が使用されている環境を特定する取り組みを実施していると思われます。しかしここで重要な点は、医療機器の設置・使用環境の理解が事業者として十分でなければ、サイバー脅威の直近の動向に応じた環境への影響の最小化や、医療機器のサイバーセキュリティ強化を医療機関等へ効果的かつ効率的に提供することは困難になりかねないということです。医療機器によるサービス提供のエンドユーザーは患者ですから、言うなれば、設置・使用環境の理解の不足は、患者保護の水準に影響を及ぼしかねないと言えます。

医療機器のサイバーセキュリティに関するよくある誤解

こうした取り組みの促進を阻害する原因はさまざまに考えられますが、そのうちの1つとして、医療機器を取り巻く誤った固定観念があると想定されます。例を挙げましょう。テクノロジーの発達に伴い、医療機器と医療情報システムの連携が活発に行われています。このような状況下、厚生労働省「医療情報システムの安全管理に関するガイドライン」*2、経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」*3では、医療情報システムのセキュリティ管理の遵守が求められています。この中にはIoT(Internet of Things)型の医療機器のセキュリティ管理要件も定義されているため、事業者は当該要件への対応をもってサイバーセキュリティを担保しようとする傾向があります。しかしながら、これらのガイドラインが求める要件は個人情報保護法に基づく患者情報の保全が目的であり、サイバーセキュリティの確保が主眼ではない点に留意が必要です。

また、医療機器の承認・認証後に、例えば当該機器が搭載するOS環境への新規パッチ適用といった機能改修を行った場合、無条件に承認・認証を取得し直さなければならないという誤解も根強く存在します。一般社団法人医療機器産業連合会による厚生労働省との質疑応答集*4からも分かるとおり、医療機器の有効性、品質、安全性に影響を及ぼすことがなければ、こうしたセキュリティ面の改修は相対的に軽易な変更申請(軽微変更)により認められます。また、医療機器が搭載するOS環境にインストールしたウイルス対策ソフトウェアのパターンファイル更新(変更)についても、医療機器の信頼性に影響がない限りは、改修対象には該当しないとされています。これらを勘案すると、医療機器の設計段階で、それらがどのような環境で使用されるのかというユースケースを整理の上、医療機器の信頼性に影響が及ばないサイバーセキュリティ対策を事前に組み込むセキュア開発アプローチが、事業者にとって市販後の継続的なサイバーセキュリティ対応コストを合理化する上でも重要であると考えられます。

医療機器プログラムの基準がより明確に

上述で例示した誤った固定観念は、医療などの分野におけるデジタルトランスフォーメーション(DX)のもと、特にメディカルウェルネス、ライフサイエンスなど、デジタルヘルスケアデータ関連サービスを新たに展開・検討する事業者に多いのではないかと考えられます。現在、国内でも、医療機器プログラム(SaMD: Software as a Medical Device)に類するさまざまなサービスが普及していますが、それらの定義や基準は、今まで曖昧な状況でした。しかしながら、2021年3月に公開された厚生労働省「プログラムの医療機器該当性に関するガイドライン」*5により、医療機器プログラムとそれ以外のサービスの切り分け、つまり医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(以下、医薬品医療機器等法)の適用範囲が、従来よりも極めて分かりやすく整理されることになりました(図1)。

図1:医薬品医療機器等法の規制対象にならないデジタル医療サービスの概要

プログラム種別

概要

1.患者説明を目的とするプログラム

①医療関係者が患者や家族に治療方法などを理解してもらうための患者説明用プログラム

2.院内業務支援、メンテナンスを目的とするプログラム

①医療関係者が患者の健康記録などを閲覧などするプログラム。具体的には、過去に実施した患者への処置、治療内容、健康情報などを記録、閲覧または転送するもの。

②診療予約や受付、会計業務など医療機関における一般事務作業の負担軽減などを目的とした院内業務支援プログラム

③医療機関に医療機器の保守点検や消耗品の交換の時期などを伝達するメ ンテナンス用プログラム

3.使用者(患者や健常者)が自らの医療・健康情報の閲覧などをすることを目的とするプログラム

①個人の健康記録を保存、管理、表示するプログラム 医療機器などから取得したデータ
血糖値、血圧、心拍数、体重など を使用者が記録(収集およびログ作成)し、そのデータを医療関係者、介助者、家族などと共有したり、オンラインのデータベースに登録、記録し たりすることを可能にするもの(経時的表示や統計処理をした数値の表示を含む。

②運動管理などの医療・健康以外を目的とするプログラム
使用目的がスポーツや運動目的などであって、疾病の診断や病態の把握を目的としていないもの(診断などに用いることが可能な情報を用いる場合を含む)

4.生命および健康に影響を与えるリスクが低いと考えられるプログラム

①有体物の一般医療機器(クラスⅠ)と同等の処理を行うプログラム
プログラムに不具合が生じることなどにより副作用または機能の障害が生じた場合においても、人の生命および健康に影響を与える恐れがほと んどないもの

従来まで、自社のデジタルヘルスケア関連サービスが医薬品医療機器等法上の医療機器に該当するのではないかという懸念から、市販後の機能改修を最小限にするべく、サイバー脅威への適時の対応に苦心していた新規の事業者は少なくないはずです。そうした事業者にとっては、本ガイドラインにより、患者保護の観点で本来行うべきサイバーセキュリティの必要性をあらためて幅広く検討できるようになったのではないでしょうか。その意味で、このガイドラインは事業者にとっての医療機器(プログラム)の展開に向けた整理基準のみでなく、医療等サービスの中で最終的に保護すべきユーザー、つまり患者を保護するためになすべきことを事業者が検討する、重要な起点に今後なるであろうと考えられます。

事業者には患者を守る責務がある

私たちがクオリティ・オブ・ライフ(QoL)を向上させる上で、優れた医療機器によるサービスも役割を果たしてくれるでしょう。そのサービスは技術発達の中でさまざまに変化していきます。医療機器を製造・販売する事業者が忘れてはならないのは、機器のエンドユーザーは医療機関等ではなく、医療機関等が向かい合う患者であるということです。患者の中には親類や知人、さらには私たち自身も含まれることでしょう。自分、あるいは自分の家族や知人が、本来あるべきサイバーセキュリティがなされていない医療機器により、何らかの致命的な不利益を被ったら――。事業者はこうした想像力をもって、人々のQoLを支える医療機器のサイバーセキュリティをしっかり確保していく必要があるでしょう。

日本国内における医療機器のサイバーセキュリティは、IMDRFガイダンスの導入検討に向けて、まだ端緒に立ったばかりです。自身が患者ひいては社会を守るという使命のもと、セキュアな環境構築を推進する――。こうしたマインドこそ、医療等分野の明日を拓く貴重な道しるべになるはずです。

*1:公益財団法⼈医療機器センター, 2019.「製造販売業者が⾏っている医療機器のサイバーセキュリティ対策に関する実態調査 調査結果概要」
http://www.jaame.or.jp/mdsi/cs21/CS-industry.pdf

*2:厚生労働省, 2021. 「医療情報システムの安全管理に関するガイドライン 第5.1版」
https://www.mhlw.go.jp/content/10808000/000730541.pdf

*3:総務省および経済産業省, 2020. 「医療情報を取り扱う情報システム・サービスの 提供事業者における安全管理ガイドライン」 https://www.meti.go.jp/press/2020/08/20200821002/20200821002-3.pdf

*4:一般社団法人日本医療機器産業連合会, 2019.「医療機器のサイバーセキュリティに関する質疑応答集(Q&A)」
https://www.jfmda.gr.jp/wp/wp-content/uploads/2020/07/1d24d95a1fee8b20fed8c7d3c103f4ef.pdf

*5:厚生労働省, 2021.「プログラムの医療機器該当性に関するガイドライン」
https://www.mhlw.go.jp/content/11120000/000764274.pdf

執筆者

江原 悠介

ディレクター, PwC Japan有限責任監査法人

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}